• Estudios Admision
  • 1

Proyectos de investigación

Los requerimientos en materia de protección de datos aplican igualmente a los Proyectos de Investigación, por lo que los mismos deben adecuarse oportunamente a dichas exigencias. Asimismo, programas como Horizonte 2020 requieren que los investigadores e instituciones involucradas en los proyectos cumplan con todas las exigencias en esta materia. A continuación se indican todos los aspectos que deben ser considerados.

La Universidad Rey Juan Carlos, como institución que utiliza datos de carácter personal, tiene las obligaciones que en materia de protección de datos determina la legislación vigente. Las más relevantes son las siguientes:

  • Declarar los ficheros de datos personales, tanto informatizados como manuales, que utilicen para el ejercicio de sus competencias, y comunicarlos a los Registros de la Agencia Española de Protección de Datos, todo ello antes de iniciar el tratamiento de datos personales y realizar dicho tratamiento conforme a la declaración de los ficheros y a la legislación sobre protección de datos de carácter personal. En el ámbito de los proyectos de investigación se ha declarado el siguiente fichero, del que su proyecto pasa a formar parte como anexo al mismo:

- Proyectos de Investigación

Finalidad: Creación y tratamiento de bases de datos de carácter personal, necesarios para la realización de encuestas, estudios, investigaciones y actividades análogas a realizar por investigadores o grupos de investigación legalmente reconocidos pertenecientes a la Universidad Rey Juan Carlos.

Responsable: Vicerrectorado de Innovación, Calidad Científica e Infraestructuras de Investigación.

  • Recoger y tratar adecuadamente los datos. Los formularios, o cualquier otro elemento o procedimiento que se utilice para la recogida de datos personales, deberán adecuarse al principio de calidad, es decir, no deberán contemplar datos excesivos o no necesarios para el fin que se persigue. La fase de la recogida de la información y los restantes tratamientos deberán cumplir además con los siguientes principios de protección de datos: información en la recogida de datos, consentimiento, datos especialmente protegidos, seguridad de los datos, deber de secreto, comunicación de datos y acceso a datos por cuenta de terceros. Puede encontrarse más información de estos principios en la web:http://online.urjc.es/es/proteccion-de-datos 

En el contexto de su proyecto, esto se traduce en que cualquier recogida de datos deberá llevar obligatoriamente el siguiente clausulado:

Los datos personales recogidos serán incorporados y tratados en el fichero Proyectos de Investigación, cuya finalidad es la creación y tratamiento de bases de datos de carácter personal, necesarios para la realización de encuestas, estudios, investigaciones y actividades análogas a realizar por investigadores o grupos de investigación legalmente reconocidos pertenecientes a la Universidad Rey Juan Carlos, inscrito en el Registro de Ficheros de Datos Personales de la Agencia Española de Protección de Datos (https://www.agpd.es/portalwebAGPD/index-ides-idphp.php ), y podrán ser cedidos a _______, además de otras cesiones previstas en la Ley. El órgano responsable del fichero es el Vicerrectorado de Innovación, Calidad Científica e Infraestructuras de Investigación, y la dirección donde el interesado podrá ejercer los derechos de acceso, rectificación, cancelación y oposición ante el mismo es Vicerrectorado de Innovación, Calidad Científica e Infraestructuras de Investigación, C/ Tulipán s/n, 28933-Móstoles, todo lo cual se informa en cumplimiento del artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

  • Facilitar a las personas que lo soliciten el ejercicio de sus derechos de acceso, rectificación, y cancelación sobre sus propios datos, cuando proceda, y de modo totalmente gratuito. En el contexto de su proyecto, tal y como se explicita en el clausulado anterior, esto implica que al responsable del fichero (Vicerrector) podrán llegarle solicitudes de estos derechos, las cuales le serán remitidas al correspondiente Investigador Principal para darles respuesta en los plazos legales estipulados, y que son:
  • Acceso: informar a los interesados que lo soliciten, en el plazo máximo de un mes sobre los datos que de ellos tiene la universidad, cuál es su origen (por ejemplo, si se han obtenido mediante un formulario rellenado por él o han sido cedidos por la Comunidad Autónoma o la Administración General del Estado) y si se han comunicado a alguna otra institución u organismo ajenos a la propia Universidad.
  • Rectificación: a instancia del interesado, rectificar aquellos de sus datos que estén incompletos o sean inexactos, en un plazo máximo de 10 días.
  • Cancelación: cancelar los datos de las personas que lo soliciten cuando su tratamiento no se ajuste a la ley en unplazo máximo de 10 días. (por ejemplo, cuando se estén tratando datos sin que el fichero haya sido aprobado mediante la correspondiente disposición de carácter general).
  • Oposición: derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo, en un plazo máximo de 10 días.

A continuación se indican las medidas de seguridad que deben cumplir los Proyectos de Investigación que cuenten con datos de Nivel Básico.

  • Registro de incidencias: toda incidencia que ocurra en relación con los datos personales recabados, estén estos almacenados en formato automatizado o manual, debe ser consignada en un registro a tal fin. El procedimiento para ello será crear una incidencia en www.cau.urjc.es que actuará como registro de la misma.
  • Identificación y autentificación: el acceso al ordenador que almacene los datos necesariamente deberá contar con una contraseña segura (ej.: mínimo de 10 caracteres, con letras y números), así como a las aplicaciones/bases de datos/ficheros en los que resida el fichero. Dicha contraseña deberá cambiarse al menos una vez al año. De igual modo, deberá existir una relación actualizada de usuarios y sus accesos autorizados.

En caso de estar trabajando en un dispositivo no conectado al dominio de la Universidad, y ser administrador del mismo, podrá configurar dichos parámetros en entornos Windows 7 mediante el Editor de Directivas de Grupo Local.

a. Haga clic en Inicio, escriba gpedit.msc en el cuadro Iniciar búsqueda, y a continuación presione Entrar.

NB1

b. Acceda a Configuración del Equipo -> Configuración de Windows -> Configuración de Seguridad -> Directivas de cuenta -> Directiva de contraseñas. En dicho panel deberá establecer los siguientes parámetros:

    • Almacenar contraseñas de cifrado reversible: Deshabilitado.
    • Exigir historial de contraseñas: 3 contraseñas recordadas.
    • La contraseña debe cumplir los requisitos de complejidad: Habilitada.
    • Longitud mínima de la contraseña: 10 caracteres.
    • Vigencia máxima de la contraseña: 365 días.
    • Vigencia mínima de la contraseña: 0 días.

NB2

  • Control de accesos: cada usuario podrá acceder únicamente a los datos necesarios para realizar sus funciones, por lo que dichos accesos se deberán establecer mediante permisos específicos con las oportunas contraseñas asociadas.

    En el caso de accesos a ficheros manuales también se deberán aplicar dichas medidas, de tal forma que a los dispositivos de almacenamiento sólo puedan acceder las personas autorizadas para ello.

  • Gestión de soportes: se deben adoptar medidas para evitar la sustracción, pérdida o robo o acceso indebido a la información contenida en los soportes, durante su traslado y cuando estos soportes vayan a ser destruidos o borrados. Dichos soportes deberán almacenarse en un lugar con acceso restringido, y en caso de que se fuese necesaria la salida de dichos soportes de las instalaciones del Responsable del Fichero se deberá contar con autorización para ello.

    En el caso de soportes y documentos manuales los dispositivos de almacenamiento deberán tener mecanismos que obstaculicen su apertura. Asimismo, cuando la documentación no se encuentre archivada se deberá custodiar e impedir los accesos no autorizados.

  • Copias de seguridad: se debe contar como mínimo con una copia de respaldo semanal, salvo que en dicho período se haya producido una actualización de los datos. Con su cuenta de correo, dispone de un espacio de almacenamiento asociado (Onedrive), en el que podrá realizar esta tarea en caso de que no disponga de medios para ello.

A continuación se indican las medidas de seguridad que deben cumplir los Proyectos de Investigación que cuenten con datos de Nivel Medio, a las cuales hay que sumar las correspondientes al Nivel Básico.

  • Identificación y autenticación de los usuarios: se deberá identificar unívoca y personalmente a cada usuario, por lo que se deberá evitar el empleo de usuarios genéricos. Asimismo, deberá existir un límite al número de intentos reiterados de acceso no autorizados.

    En caso de estar trabajando en un dispositivo no conectado al dominio de la Universidad, y ser administrador del mismo, podrá configurar dicho parámetro en entornos Windows 7 mediante el Editor de Directivas de Grupo Local.

a. Haga clic en Inicio, escriba gpedit.msc en el cuadro Iniciar búsqueda, y a continuación presione Entrar.

NM1

b. Acceda a Configuración del Equipo -> Configuración de Windows -> Configuración de Seguridad -> Directivas de cuenta -> Directiva de bloqueo de cuenta. En dicho panel deberá establecer un límite no superior a cinco en el apartado de “Umbral de bloqueo de cuenta”, así como una duración del bloqueo de cuenta en 15 minutos.

NM2

  • Control de accesos: deberán existir controles de acceso físico a los locales donde se encuentren los sistemas de información.
  • Gestión de soportes: se debe contar con un registro de entrada y salida de los soportes. Asimismo, se deberán adoptar medidas para impedir la recuperación posterior de información de un soporte que vaya a ser desechado o reutilizado. Para ello se deberán hacer borrados seguros sobre dichos soportes informáticos.

A continuación se indican las medidas de seguridad que deben cumplir los Proyectos de Investigación que cuenten con datos de Nivel Alto, a las cuales hay que sumar las correspondientes al Nivel Básico y Medio.

  • Acceso y transmisión mediante Telecomunicaciones: la transmisión de datos a través de redes de telecomunicaciones se realizará cifrando los datos, garantizando así que los datos no son inteligibles mi susceptibles de ser manipulados por terceros. Para ello en el siguiente apartado se describe el funcionamiento de una herramienta para este propósito.
  • Gestión soportes: cuando sea necesario distribuir soportes se hará cifrando los datos. Para ello en el siguiente apartado se describe el funcionamiento de una herramienta para este propósito.

En el caso de documentos en papel el acceso a los respectivos armarios o archivadores estará protegido mediante puertas con cerradura. Cuando no se acceda a las mismas deberán permanecer cerradas.

  • Registro de accesos: deberá existir un registro de accesos en los sistemas y aplicaciones usados para acceder a los datos personales. En dicho registro deben figurar los siguientes datos: nombre de usuario, hora, tipo de acceso y el registro que fue accedido.

En caso de estar trabajando en un dispositivo no conectado al dominio de la Universidad, y ser administrador del mismo, podrá configurar dicho parámetro en entornos Windows 7 mediante el Editor de Directivas de Grupo Local.

a. Haga clic en Inicio, escriba gpedit.msc en el cuadro Iniciar búsqueda, y a continuación presione Entrar.

NA1

b. Acceda a Configuración del Equipo -> Configuración de Windows -> Configuración de Seguridad -> Directivas locales -> Directiva de auditoría. En dicho panel deberá establecer los siguientes parámetros:

  • Auditar el acceso a objetos: seleccionar Correcto y Erróneo. Posteriormente seleccionar el fichero o carpeta que contiene datos personales, con el botón derecho del ratón seleccionar Propiedades. Ir a la pestaña de Seguridad y a Opciones Avanzadas. Allí seleccionar la pestaña Auditoría, y dentro de la misma agregar los usuarios que correspondan.

NA2

NA3

NA4

NA5

NA6

NA7

NA8

NA9

En el caso de documentos manuales que estén disponibles para múltiples usuarios también se deberá contar con un mecanismo para identificar dichos accesos (por ej., un formulario donde consten tales datos).

A continuación se indican programas gratuitos para el cifrado de la información en entornos Windows. El uso de alguno de estos programas será de carácter obligatorio en aquellos proyectos de investigación donde se traten datos de nivel alto.

Es muy IMPORTANTE resaltar que si el usuario pierde la clave con que fue cifrada la información no será posible recuperar la misma por medio alguno.

AxCrypt

El proceso de instalación es simple, estando disponible la aplicación desde la página webhttp://www.axantum.com/axcrypt/Downloads.html. A continuación se indican los pasos a seguir y el funcionamiento básico del programa, recordando que para instalar el programa se requieren permisos de administrador en el equipo.

a. La instalación sólo requiere ir aceptando las diversas pantallas de configuración.

C1C2

b. Para cifrar un documento basta hacer click derecho sobre el mismo y seleccionar AxCrypt. De entre todas las opciones disponibles se debe elegir la correspondiente a cifrado para seguir con el proceso.

C3

c. Al seleccionar la opción de cifrado se debe introducir la que será la contraseña de acceso.

C4

d. Para descifrar un archivo hay que usar la opción correspondiente e introducir la clave de acceso.

C5C6

e. Una vez que un documento deja de ser necesario el aplicativo incorpora una opción de borrado seguro.

C7