Debe ser un miembro de la plantilla de la UPV/EHU.

Procure que sea un nombre breve y definitorio del tratamiento.

Explique claramente cuál es la finalidad del tratamiento. Tenga en cuenta que esta información se va a trasladar, tal y como la describa, a las personas interesadas (apartados 18 y 19 del formulario, como información legal).

Además, debe rellenar los campos:

• Duración del tratamiento.
• Periodo de conservación de los datos (tiempo que debe guardarlos una vez finalizado el tratamiento).
• Nº de personas afectadas (rango).
• Extensión geográfica del tratamiento.
• Medios de tratamiento.
• Si se toma o no alguna medida de tratamiento para proteger la identidad de las personas interesadas (pseudonimización, disociación o ninguna).

Bajo estos campos verán otros dos campos que se rellenan de manera automática en función de los datos que usted suministre en el formulario:

El nivel de impacto estimado es:

0

BAJO

El primero es el cálculo del nivel de impacto en la privacidad expresado tanto en términos
cuantitativos como cualitativos, y en el segundo aparecerá si debe realizar o no un análisis de
impacto del tratamiento. Veremos más adelante cómo.

Aquí debe consignar cuál es la base legal del tratamiento, es decir, cuál o cuáles de los seis supuestos le autorizan a tratar los datos personales. Es posible que haya más de uno. Si tiene dudas, contacte con el Delegado de Protección de Datos (dpd@ehu.eus).

En el caso de que la legitimación del tratamiento no se base exclusivamente en el consentimiento de las personas interesadas, debe detallar en el apartado 4.1 las leyes o regulaciones que legitiman el tratamiento de datos. Esta información también se trasladará a las personas interesadas (apartado 19 del formulario, como información legal).

En el apartado 4.2 no ponga nada, ya que la UPV/EHU no se ha adherido aún a ningún Código de Conducta.

Procure rellenar de manera exhaustiva este apartado. Esta información también se trasladará a las personas interesadas (apartado 19 del formulario, como información legal).

En el apartado 6.1 marque los ítems que puedan caracterizar a su tratamiento.

En el apartado 6.2, la tipificación correspondiente a la finalidad. Pueden ser varias. Por ejemplo, en los proyectos de investigación suelen ser 2:

• En Finalidades Varias:
  • Fines científicos, históricos o estadísticos.
  • Publicaciones.

Indique las categorías de interesados, detalle los colectivos específicos o grupos particulares (si procede) e indique si hay colectivos en situación de especial vulnerabilidad.

No requiere mayor explicación.

Debe entenderse por cesión, la comunicación de datos personales a una tercera parte previamente autorizada por la persona interesada o basada en alguna fuente de legitimación (apartado 4). No se considerarán cesiones aquellas comunicaciones de datos realizadas a quienes se encargan del tratamiento.

En este apartado debe detallar el número de cesiones y a quién se destinan. Esta información también se trasladará a las personas interesadas (apartado 19 del formulario, como información legal).

En este apartado deben consignarse todas las transferencias internacionales de datos. Debe considerarse transferencia internacional cualquier comunicación o encargo de tratamiento de datos personales y entidades situadas fuera de la Unión Europea.

Debe indicarse si se realizan transferencias internacionales de datos a países considerados "no seguros" para el tratamiento de datos personales. Se consideran "no seguros" países de fuera de la Unión Europea y que NO figuran en el siguiente listado:

• Andorra
• Argentina
• Canadá (Sector privado)
• Suiza
• Islas Feroe
• Guernsey
• Israel
• Isla de Man
• Jersey
• Nueva Zelanda
• Uruguay

En este apartado debe detallar el número de transferencias y a quién se destinan. Esta información también se trasladará a las personas interesadas (apartado 19 del formulario, como información legal).

Un «encargado del tratamiento» o «encargado» es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta de la persona responsable del tratamiento.

En este apartado debe detallar el número de encargados de tratamiento y su razón social.

Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento tendrán la consideración de corresponsables del tratamiento.

En este apartado debe detallar el número de corresponsables de tratamiento y su razón social.

En este apartado debe indicar la mayor o menor de dificultad para cumplir con el ejercicio de los derechos de las personas interesadas:

• acceso
• rectificación
• limitación del tratamiento
• oposición
• portabilidad
• supresión

Indique qué medidas se toman para preservar los factores referidos.

Rellene este apartado si se trata de un proyecto de investigación. Este apartado es muy importante. Es fundamental que los proyectos de investigación cumplan los estándares del Esquema Nacional de Seguridad (ENS) y tengan elaborado un análisis de riesgos. Eso significa, en nuestro país, tener un estudio de los mismos según metodología MAGERIT. No se asuste, estamos para ayudarle. Simplemente conteste a las preguntas con el compromiso de cumplir sus respuestas:

Apartado 15.1

Describa con el mejor detalle posible los sistemas que utilizarán en su tratamiento de datos: dónde guardarán los datos no informatizados (papel, cintas de video…) y los medios informatizados (servidores, ordenadores personales, sistemas de almacenamiento compartido, comunicaciones, teleproceso, etc.)

Apartado 15.2

Debe responder afirmativamente a todos los ítems. Esto quiere decir:

• a) Que se compromete a guardar bajo llave toda la información no informatizada (papel, grabaciones video o audio…)
• b) Que hay un registro de accesos de las personas que acceden a dicha información (o que sólo hay una persona facultada para ello)
• c) Que pasado el plazo de conservación de los datos no informatizados, estos se destruirán de forma confidencial y segura.
• d) Que además de todo lo anterior, se toman medidas adicionales para garantizar la confidencialidad de los datos no informatizados.

Si no responde afirmativamente a los ítems, el Comité de Ética de Investigación con Seres Humanos (CEISH), puede reclamarle un Análisis de Riegos que contemple las medidas que garanticen un tratamiento legal de los datos personales.

Apartado 15.3

Marque los ítems que sea menester. Conviene que sean todos o casi todos, porque si no: "el Comité de Ética de Investigación con Seres Humanos (CEISH), puede reclamarle un Análisis de Riegos que contemple las medidas que garanticen un tratamiento legal de los datos personales."

Como es una duda común, la "Autenticación de factor único" y la "Autenticación de doble factor" se refiere a los requisitos para entrar al sistema informatizado. Una identificación de factor único, puede ser un simple usuario y contraseña. Una de doble factor puede que además le exija una huella dactilar.

Apartado 15.4 "Disponibilidad"

Marque los sistemas de que dispone frente a fallos del sistema que impidan continuar con el tratamiento de los datos personales. Conviene que sean todos o casi todos, porque si no: "el Comité de Ética de Investigación con Seres Humanos (CEISH), puede reclamarle un Análisis de Riegos que contemple las medidas que garanticen un tratamiento legal de los datos personales."

En seguridad informática, un ataque de denegación de servicio, también llamado ataque DoS (por sus siglas en inglés, Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos.

Apartado 15.5

Marque lo que utilice. Conviene que sean todos o casi todos, porque si no: "el Comité de Ética de Investigación con Seres Humanos (CEISH), puede reclamarle un Análisis de Riegos que contemple las medidas que garanticen un tratamiento legal de los datos personales."

Apartado 15.6

Marque lo que utilice. Conviene que sean todos o casi todos, porque si no: "el Comité de Ética de Investigación con Seres Humanos (CEISH), puede reclamarle un Análisis de Riegos que contemple las medidas que garanticen un tratamiento legal de los datos personales."

Apartado 15.7

Con las respuestas que Vd. nos de, su proyecto de investigación quedará caracterizado por los medios que se emplean. Eso, junto con los apartados anteriores del punto 15 nos permitirá hacer un análisis de riesgos a medida.

Sólo si ha rellenado todos los apartados anteriores, vaya a la página 2. Si al final de la página lee la frase "SE DEBE HACER UNA EVALUACIÓN DE IMPACTO PARA ESTE TRATAMIENTO”, rellene este apartado.

Es un apartado muy subjetivo. Responda con sinceridad y piense si merece la pena ética hacer lo que pretende.

Suerte.

Esta página la rellenará el Delegado de Protección de Datos. Dará un número de registro e informaciones adicionales de sumo interés para la persona responsable interna del tratamiento. Le informará donde puede consultar los datos de su tratamiento y las aspectos de mismo que pueden modificarse y cómo.

A partir de toda la información que pacientemente ha suministrado en este formulario, en este punto se puede obtener la información mínima que debe suministrar a las personas interesadas en el momento de recabar sus datos personales o informarles de su tratamiento. Es una INFORMACIÓN MÍNIMA Y OBLIGATORIA. Puede imprimirla, copiarla por los medios informáticos a su alcance, pero no puede obviarla.

Es este punto puede obtener la información completa que las personas interesadas pueden consultar. Se albergará en una página web referenciada en el punto 18, pero es recomendable que se suministre en primera instancia, si ello es posible.