Buenas Prácticas en Materia de Protección de
Datos Personales en la Universidad de Guanajuato

buenas practicas

Para  proteger  la  confidencialidad  de  cualquier  dato  personal  o  sensible,  la  Universidad  de Guanajuato establece las siguientes buenas prácticas, a saber:

I.

Las áreas universitarias que realicen el tratamiento de datos personales deberán poner a disposición en un lugar visible dentro de sus oficinas, el aviso de privacidad simplificado; de igual forma mantenerlo publicado y actualizado en las páginas institucionales.

Además de lo anterior, en las cédulas, fichas, formatos, sistemas electrónicos, aplicaciones y cualquier otro documento en donde recaben datos personales, las áreas universitarias deberán incluir en la parte inferior el siguiente Aviso de Privacidad:

Con fundamento en los artículos 3, fracciones VII y VIII, 7, 9, 13, 14, 15, 16, 17, 19, 28, 32, 38, 39, 42, 46, 60 y demás relativos de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados para el estado de Guanajuato, se le informa que los datos personales recabados por señalar el nombre del área universitaria serán tratados para los fines previstos por nuestro Aviso de Privacidad (disponible en línea a través de www.transparencia.ugto.mx/avisos-de-privacidad ). Por tanto, se harán efectivos los criterios y procedimientos que garanticen la confidencialidad de la información bajo resguardo de esta área universitaria para evitar su alteración, pérdida, transmisión o acceso no autorizado”.

Derechos ARCO

¿Conoces el valor de tus Datos Personales?

 Protección de datos personales durante el trabajo a distancia                           

Decálogo

II. El personal de las áreas universitarias que use, registre, organice, conserve, elabore, modifique, consulte, almacene, posea, acceda, maneje, aproveche, transfiera y en general, disponga de datos personales, deberá firmar un acuerdo de confidencialidad respecto del tratamiento que realiza con motivo de sus facultades, competencias o funciones. Las obligaciones del personal de las áreas universitarias contenidas en el acuerdo de confidencialidad subsistirán aún después de finalizar su relación jurídica con la Universidad. (véase ANEXO 1).
III. No podrán crearse bases de datos o sistemas que contengan datos personales sensibles, sin que se justifique su creación. En caso de que la Universidad requiera crear bases de datos que contengan datos personales sensibles, deberá solicitar a él o la titular de los datos personales su consentimiento expreso, dando a conocer la finalidad y el tratamiento que le dará a la misma, de conformidad con el Aviso de Privacidad correspondiente.
IV. Las áreas universitarias realizarán el tratamiento de los datos personales que sean efectivamente necesarios para el desarrollo de los procedimientos, trámites o actividades relacionados con sus facultades, competencias o funciones.

 V.

Las áreas universitarias deberán adoptar las medidas necesarias para procurar que los datos personales sean exactos, completos, pertinentes, actualizados y correctos.
 VI. Las áreas universitarias deberán establecer estrictas medidas de seguridad administrativas, físicas y técnicas para evitar cualquier pérdida, destrucción, robo, extravío, uso o acceso, daño, modificación o alteración no autorizada de los datos personales que tienen sometidos a tratamiento.
 VII. Los plazos de conservación de los datos personales y datos sensibles en tratamiento de las áreas universitarias estarán establecidos en el cuadro de clasificación archivística y de conformidad con lo dispuesto en la Ley General de Archivos y la Ley de Archivos del estado de Guanajuato.
VIII. Las áreas universitarias resguardarán y protegerán los datos personales y sensibles a los que dan tratamiento, de forma que no se encuentren al alcance de terceros. Cuando los datos personales se encuentren en documentos físicos deberán de protegerse por medio de sobres cerrados o en su caso, mantenerse bajo resguardo en las oficinas del área universitaria, en archiveros bajo llave y con un control de acceso y disposición, con la finalidad de que las y los servidores públicos en el ejercicio de sus funciones, las y los titulares de los datos personales sean los únicos que puedan acceder a ellos.
IX. El personal de las áreas universitarias evitará la difusión pública no autorizada de información relacionada con datos personales y sensibles. En todo caso, las comunicaciones institucionales relacionadas con estos datos deberán ser mediante correos electrónicos oficiales y privilegiará que la información esté disociada, para con ello evitar la identificación de cualquier persona. En la prestación de servicios médicos o de salud, el personal de las áreas universitarias deberá tomar las medidas de protección adecuadas para evitar exponer en lugares abiertos al público, en documentos de trámite administrativo o en sitios de internet de acceso público, datos personales y sensibles contenidos en los expedientes clínicos, relacionados con el estado de salud de las personas, tanto del pasado, presente y futuro.
X. Las áreas universitarias en las que reciban, atiendan, substancien y/o resuelvan procedimientos derivados de controversias entre miembros de la comunidad universitaria y medios alternos de solución de conflictos, se procurará cuenten con espacios adecuados para llevar a cabo el desahogo de diligencias o actos procesales, garantizando la privacidad de las personas y la protección de la información, y con ello evitar su difusión a terceros que no tenga relación con datos personales sensibles.
XI. Para el acceso a sistemas electrónicos que contengan bases de datos personales, se recomienda a las áreas universitarias implementar medidas técnicas tales como cifrado de control de acceso a bases de datos (autenticación a través de contraseñas). Así mismo, sugerir a los usuarios que, para la creación de contraseñas personales, opten por las que tengan al menos ocho caracteres que combinen números, letras (mayúsculas y minúsculas) y en su caso, caracteres especiales.
XII. Los nombres de usuarios y contraseñas creados para cumplir con las atribuciones, funciones y competencias del personal de las áreas universitarias son de carácter personalísimo y es responsabilidad del o la titular su buen uso, por tal motivo, queda estrictamente prohibido comunicar o compartir los usuarios y contraseñas a terceros.
XIII. Las y los titulares de las cuentas de correo electrónico oficial deberán evitar asociar su cuenta y contraseña a sus perfiles de redes sociales. Así mismo deben procurar no anotar o resguardar las contraseñas en lugares visibles o de fácil acceso, tampoco deben transmitirse por medios electrónicos ni redes sociales, quedando bajo la responsabilidad del usuario el mal uso que se haga.
XIV. Los equipos de cómputo, ordenadores portátiles, y todo aquel dispositivo de almacenamiento móviles como son los teléfonos móviles, discos, memorias, tabletas entre otros que contenga información de los sistemas electrónicos relacionados con bases de datos personales o que permitan el acceso directo a la misma, deberán mantenerse bajo supervisión, control y cuidado por parte del área universitaria responsable de su administración y tratamiento, estableciendo contraseñas para su acceso; lo anterior para evitar su mal uso, pérdida o sustracción.
XV. La información que se encuentra en los sistemas electrónicos, que contengan bases de datos personales o sensibles así como aquella que obre en documentos en los archivos físicos sólo podrá ser utilizada por las y los servidores públicos adscritos al área universitaria que corresponda, con motivo de sus funciones, atribuciones y competencias, por tanto queda prohibida su utilización, reproducción o divulgación con fines distintos a su tratamiento señalado en los Avisos de Privacidad correspondientes.
XVI. Las áreas universitarias implementarán mecanismos para proteger la información que se encuentre en los sistemas electrónicos que contengan bases de datos personales, se respetará la configuración de aplicaciones y sistemas institucionales, por lo que sólo podrá ser modificada bajo la autorización del responsable de seguridad o de los administradores informáticos autorizados.
XVII. Si con motivo de la atención a solicitudes de acceso a la información pública, se requiere información que contiene datos personales o sensibles, las áreas universitarias deberán atender lo establecido en la Ley de Transparencia, Acceso a la Información Pública para el estado de Guanajuato, así como en la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados para el estado de Guanajuato.
XVIII. Las áreas universitarias, cuando deban compartir o transferir información de datos personales con otras áreas internas de la Universidad, deberán utilizar las vías institucionales de correspondencia y el correo electrónico institucional.
XIX. Toda transferencia de datos personales o sensibles que realicen las áreas universitarias relacionadas con la salud, deberán estar justificadas y fundamentadas; debiendo hacerse por las vías institucionales y los correos electrónicos oficiales.
XX.

La transferencia de información que contenga datos personales o sensibles entre áreas universitarias, se podrán realizar siempre que las atribuciones, funciones y competencias del área receptora se adecúen a las finalidades para las que se recabó el dato. Por lo que, ante dicho escenario se recomienda agregar en cada documento donde se realice una transferencia de datos personales, la siguiente leyenda:

“Se refiere que los datos personales contenidos en los documentos que se entregan han sido tratados por la señalar el nombre del área universitaria de acuerdo con las finalidades establecidas en el aviso de privacidad disponible en el siguiente enlace: www.transparencia.ugto.mx/avisos-de-privacidad. Por lo anterior, el receptor, se obliga a hacer efectivos los criterios y procedimientos que garanticen la confidencialidad de la información bajo su resguardo y únicamente los utilizará para los fines establecidos en dicho aviso de privacidad, ello con el objetivo de evitar su alteración, pérdida, transmisión o acceso no autorizado con fundamento en los artículos 3, fracciones VII y VIII, 7, 9, 13, 14, 15, 16, 17, 19, 28, 32, 38, 39, 42, 46, 60, 97, fracciones II y VIII, así como los demás relativos de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados para el estado de Guanajuato”.
XXI. Las áreas universitarias, en los datos obtenidos de niñas, niños y adolescentes, deberán preservar en todo momento su identidad, incluidos el nombre, la nacionalidad y su pertenencia cultural (costumbres, origen étnico y lengua), sus relaciones familiares y todos aquellos datos que puedan hacerlos sujetos de discriminación o poner en riesgo su esfera personal; lo anterior de conformidad con la Ley de los Derechos de Niñas, Niños y Adolescentes para el estado de Guanajuato.
XXII. Las áreas universitarias, las y los profesores deberán abstenerse de difundir información relacionada con los nombres y resultados de las evaluaciones y calificaciones de las o los estudiantes. Para tal efecto, se recomienda hacerlo mediante comunicación directa con las y los estudiantes o sus tutores, en el caso de las niñas, niños y adolescentes, utilizando las vías institucionales y los correos electrónicos oficiales; protegiendo siempre la identidad de los estudiantes.
XXIII. Las áreas universitarias deberán abstenerse de difundir datos personales de las y los servidores públicos, así como las y los estudiantes a través de medios o redes sociales no oficiales. En caso de que sean difundidos dichos datos en medios oficiales, su tratamiento deberá estar respaldado en el aviso de privacidad respectivo.
XXIV. Las y los estudiantes adultos podrán permitir, bajo su responsabilidad, que sus calificaciones sean proporcionadas a terceros como son sus padres, familiares o cualquier otra persona que para tales efectos le autorice. Por lo anterior, el personal de las áreas universitarias deberá verificar que él o la estudiante haya otorgado su consentimiento de forma expresa (véase ANEXO 2) y, además, deberán confirmar la identidad de quien pretende acceder a los datos personales del o la estudiante (véase ANEXO 3).
XXV. Las áreas universitarias que utilicen hojas de reciclaje deberán revisar y asegurarse que no contengan datos personales o sensibles, en caso contrario se recomienda no reutilizar y en su caso, triturar.
XXVI. En la realización de reuniones y clases virtuales, el personal de las áreas universitarias, las y los profesores deben atender las siguientes medidas: a) Ubicar y conocer los términos del aviso de privacidad de las aplicaciones y plataformas; b) Utilizar sólo plataformas oficiales y mantener actualizadas las aplicaciones; c) Evitar emplear perfiles o correos electrónicos personales para iniciar sesión; d) Establecer previamente las reglas respecto a la utilización de cámara y micrófono, así como del material o información que se compartirá; e) Si es necesario compartir datos personales, debe hacerse a través de medios oficiales como es el correo institucional; f) Verificar que los asistentes correspondan al personal o estudiantes convocados; y, g) Garantizar que la información que se comparte de forma directa en la plataforma no contenga datos personales y sensibles de la cual no esté autorizada su utilización.
XXVII. Al realizar actividades a través de medios digitales y fuera de las instalaciones de la Universidad de Guanajuato, se recomienda al personal de las áreas universitarias: a) Utilizar los servicios de nube institucional y acceso a internet, de conformidad con las políticas oficiales establecidas; o en su caso aquellos de confianza asequibles; y b) Ingresar a los sistemas electrónicos con bases de datos personales a través de autentificación, utilizando la cuenta del usuario y contraseña que previamente le fue proporcionada.
XXVIII. Las áreas universitarias y su personal son responsables de proteger la integridad, confidencialidad, disponibilidad de la información y datos personales que tienen bajo tratamiento, con motivo del desarrollo de los procedimientos, trámites o actividades relacionadas con sus facultades, competencias o funciones.
XXIX. La Unidad de Transparencia auxiliará y orientará a él o la titular de datos personales en la elaboración de las solicitudes para el ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO), así también, asesorará a las áreas universitarias en materia de protección de datos personales.

 

El Comité de Transparencia, a través de la Unidad de Transparencia, con el apoyo de la Dirección de Comunicación y Enlace, realizará la socialización y difusión de las Buenas Prácticas en Materia de Protección de Datos Personales, haciendo uso de los medios de difusión institucionales.

HISTORIAL
INDICADORES DE TRÁMITE Y RESPUESTA
INSTRUCCIONES PARA REALIZAR PAGOS