Tanto las Universidades públicas como privadas son entidades que gestionan una enorme cantidad de datos personales en su actividad diaria.
Por ello, si no disponen de un sistema adecuado de protección de esos datos personales, pueden poner en peligro datos sensibles. Para evitar esos riesgos, deben disponer de un Plan de protección de datos adaptado a sus necesidades que asegure la disponibilidad, confidencialidad e integridad de toda la información personal que manejan.
Entre la información tratada por las Universidades están los datos de alumnos, ex-alumnos, profesores, empleados e investigadores. La información que manejan va desde los curriculum del personal docente, los resultados académicos de alumnos, datos financieros y económicos, control horario o datos de partes médicos de bajas o justificantes de faltas de los alumnos.
Obligaciones del RGPD para las Universidades
Actualmente, la mayoría de las Universidades realizan parte de su actividad a través de Internet a través de campus virtuales. Este uso constante de soportes informáticos origina un mayor riesgo sobre los datos tratados lo que conlleva la adopción de medidas de seguridad necesarias para evitar fallos o ataques informáticos.
Dentro de las principales obligaciones para cumplir la normativa de Protección de datos están:
1. DPD
El RGPD y la ley de desarrollo en España, LOPDGDD, exigen que las Universidades públicas y privadas nombren un DPD con los conocimientos y experiencia profesional adecuados. Ese nombramiento debe notificarse a la AEPD para que lo incluya en el Registro de Delegados de Protección de datos. Y ese DPD puede ser una persona externa a la Universidad o formar parte de la plantilla de la misma, dependiendo del tamaño de esa entidad y de su presupuesto.
2. Registro de actividades de tratamiento
Por otro lado, las Universidades deben elaborar un Registro de Actividades de tratamiento. En este registro se definirán cada uno de los tratamientos que se realicen indicando el origen de la información que manejan, la legitimación para poder tratarla y las cesiones de datos que van a realizarse.
3. Análisis de riesgos y Evaluación de impacto
Debe realizarse también un Análisis de riesgos de cada uno de los tratamiento donde se estudien los posibles riesgos asociados a cada tratamiento y las medidas de seguridad para evitarlos. En caso de que la conclusión de ese análisis de riesgos sea que existe un riesgo alto para los derechos y libertades de los afectados, tendrán que realizar también una Evaluación de impacto donde se determinen las medidas de seguridad que reduzcan al mínimo esos riesgos.
4. Información y consentimiento
Para poder tratar toda esa información las Universidades necesitan el consentimiento expreso de los afectados y deben proporcionarles información sobre cómo, para qué y quién va a usar sus datos personales. La información proporcionada a los interesados sobre el tratamiento de sus datos personales debe cumplir los principios de transparencia, limitación de la finalidad, exactitud y lealtad.
Dentro de los datos sensibles que manejan las Universidades están los referidos a minusvalías de alumnos o empleados, situaciones económicas de alumnos para la concesión de becas o transferencias internacionales de datos en los intercambios de alumnos. En estos casos habría que adoptar medidas específicas como el cifrado de los datos o la seudonimización.
Política interna sobre Protección de datos
Es fundamental que las Universidades dispongan de una Política de Protección de datos puesta en conocimiento de todo el personal según su nivel de acceso a la información. Esta política debe ser vinculante, existiendo un sistema de sanciones en casos de incumplimiento.
El contenido de esta política debe ser:
- Clasificación de la información tratada
- Requisitos de confidencialidad según el tipo de datos
- Normas para gestionar los ordenadores, redes wifi y móviles
- Control interno de los recursos de la Universidad por empleados y otro personal
Aparte de esta política de Protección de datos, las Universidades pueden crear protocolos internos para situaciones específicas como el teletrabajo, ejercicio de los derechos por los interesados o plan de actuación en casos de ataques informáticos.
También existen múltiples empresas externas que se relacionan con las Universidades y a las que estas les ceden datos personales. Por eso es obligatorio que la Universidad identifique a todos esos terceros y firme los correspondientes acuerdos de Protección de datos que garanticen que ese tercero va a cumplir la normativa.
Seguridad tecnológica en las Universidades
La existencia de una política de seguridad tecnológica es fundamental para asegurar la protección de la información que manejan. Por ello, el Plan de protección de datos de la Universidad debe implicar al DPD, órganos de gobierno, departamento informático y departamento jurídico.
Es fundamental también la formación y concienciación de todo el personal implicado en el tratamiento de esa información por lo que la Universidad debe establecer programas de formación continua para su personal.
Debilidades de las Universidades en Protección de datos
Las Universidades no son conscientes muchas veces de la importancia de proteger la información que manejan por lo que no invierten lo suficiente en un asesoramiento tecnológico y legal necesario.
Otro de los puntos débiles es la poca formación que se proporciona al personal de las Universidades sobre protección de datos. Esto conlleva que ese personal no se preocupe en la adopción de medidas de seguridad necesarias para proteger esos datos.
Para cumplir adecuadamente todas sus obligaciones en materia de protección de datos, las Universidades deben realizar un mayor esfuerzo tanto económico como de tiempo. Para evitar que este tema les quite tiempo para realizar otras tareas de gestión habituales, es recomendable contratar los servicios de una empresa experta en protección de datos que conozca las circunstancias específicas de las Universidades. Esto especialistas realizarán auditorías, les ayudarán con la elaboración del Plan de Protección de datos y pueden ejercer las funciones de DPD.
Sanciones
En casos de incumplimiento de la normativa de Protección de datos, las Universidades pueden ser sancionadas con multas de hasta 20 millones de euros. En el caso de Universidades públicas no existirá sanción económica, solo apercibimiento. Pero la AEPD identificará al responsable de esa infracción y lo publicará en su página web.
La sanción puede implicar también una amonestación para los directivos de esa Universidad que originará sanciones disciplinarias.
De todas formas, exista o no sanción económica, supondrá un coste muy elevado para su reputación y un considerable daño. Por ello es fundamental cumplir las obligaciones previstas y evitar incumplimientos.