Política de Clasificación de confidencialidad de datos

La Pontificia Universidad Católica de Chile (UC) está comprometida con la protección de la información y datos, tanto personales como institucionales. Relacionados con la docencia, investigación y extensión, así como también; actividades financieras y económicas, en relación con la comunidad UC y público en general. Por lo anterior, es que tener una apropiada clasificación de la confidencialidad de la información y datos, permitirá la Universidad entregar la adecuada protección en cada caso.

Esta política tiene como propósito definir la clasificación de confidencialidad de los datos utilizados, creados o generados por la (UC) según su nivel de sensibilidad, valor y criticidad. Y, por otra parte, definir las responsabilidades en la clasificación de los datos. Ambos factores, permitirá establecer los controles de seguridad mínimos necesarios para proteger los datos según su categoría.

Estas protecciones deberán estar regidas por consideraciones legales, contractuales o de políticas de la Universidad.

Esta política aplica a todos los miembros de la Comunidad UC y a toda persona externa que posea acceso a los datos custodiados por la UC, a través de cualquier medio (físico o digital).

Datos UC: Se definen como toda la información generada por o para la UC, propiedad o en posesión de la institución, y/o que se relacione de cualquier manera con las actividades de la Universidad.

Estos pueden existir en cualquier formato (electrónico, papel u otro medio) e incluyen, entre otros, todos los datos académicos, administrativos y de investigación. Así como la infraestructura informática y los códigos de programación que respaldan las operaciones de la Universidad.

Clasificación de datos: Es el proceso de organizar y categorizar la información en función de su nivel de sensibilidad, valor o criticidad para la institución. Esto permite que los datos se gestionen de acuerdo con su importancia y se protejan de manera adecuada.

Los Datos UC serán clasificados como: públicos, internos UC o confidencial UC. Los públicos, puede ser divulgado a cualquier persona. Mientras que, los internos y confidenciales, serán considerados como “información privada”, por lo que debe ser protegida con medidas de seguridad más estrictas para garantizar su resguardo y prevenir accesos no autorizados.

Los conjuntos de datos deben clasificarse de acuerdo con el nivel de confidencialidad más alto que posea cualquiera de sus elementos.

Si un determinado tipo de dato no se encuentra explícitamente mencionado en esta política, cada unidad deberá clasificarlo según corresponda[1], considerando los riesgos de; divulgación, modificación o pérdida, tanto para la UC como para las personas. En caso de dudas, podrán solicitar ayuda a la Dirección de Informática UC, quienes, a su vez, se coordinarán con la Mesa de Protección de Datos UC para garantizar la consistencia de criterio en toda la institución.

Las unidades deben prestar especial atención en la protección los datos personales sensibles, cuya divulgación sin el consentimiento de la persona podría generar un daño social o moral a cualquiera de los involucrados

Los datos, los sistemas UC y los contenedores de datos, deberán ser clasificados en una de las 3 categorías de confidencialidad* definidas a continuación:

*Si un dato no está clasificado explícitamente, se considerará por omisión como “Interno UC”.

[1] Para más definiciones, visitar la página web de Protección de Datos UC

Los datos públicos son la información que puede ser divulgada a cualquier persona, independiente de su afiliación con la UC. La clasificación de datos públicos se aplica a datos que no requieren ningún nivel de protección en su divulgación. Sin embargo, esta información debe estar protegida contra modificaciones no autorizadas. Los datos públicos pueden compartirse con una amplia audiencia, tanto dentro como fuera de la comunidad universitaria, y no es necesario tomar medidas para prevenir su distribución.

A efecto de esta Política y otras Políticas relacionadas con la Seguridad de la Información, los datos públicos incluyen, pero no se limitan a:

• Catálogos de cursos
  • Comunicados de prensa
  • Planes de respuesta a emergencias (seguridad de vida)
  • Planos de espacios públicos
  • Publicaciones UC
  • Sitios web abiertos al público

Los datos clasificados como Interno UC son la información de uso interno que no está destinada a ser compartida con el público. En general, los datos Interno UC no deben divulgarse fuera de la Universidad sin el permiso de la persona o grupo responsable de esos datos.

El responsable del dato o grupo de datos deberá clasificar la información como Interno UC cuando corresponda y de la forma apropiada. Estos datos solo podrán compartirse con miembros de la Comunidad UC, o un subconjunto de ellos, siempre y cuando se cuente previamente la autorización de la Mesa de Protección de Datos (mediante una Evaluación de Pertinencia). Esta información deberá estar protegida contra divulgaciones y modificaciones no autorizadas.

La materialización de una divulgación externa no autorizada de datos Interno UC representa un riesgo para la UC y/o para las personas, ya que podría generar acciones legales, la aplicación de multas regulatorias y/o incurrir en incumplimientos normativos, entre otros.

 A efecto de esta Política y otras Políticas relacionadas con la Seguridad de la Información, los datos clasificados como Interno UC incluyen, pero no se limitan a:

• Datos personales no sensibles[2]
• Datos personales de identificación2
• Dirección de correo electrónico UC
• Información de cuentas presupuestarias UC

[2]   Para más definiciones, visitar la página web de Protección de Datos UC

Se consideran datos Confidenciales UC toda información que, por su naturaleza crítica o sensible, debe mantenerse en estricta reserva, accesible únicamente a un subconjunto claramente definido de personas dentro de la institución y no debe ser conocida fuera del grupo autorizado estrictamente necesario para su tratamiento.

Esta información está sujeta a controles especiales de protección, ya que de ser entregada, recibida u obtenida por personas no autorizadas, podría afectar tanto a la Universidad como a los individuos involucrados, o incluso a las operaciones de la institución.

Esta clasificación también incluye datos que la Universidad está obligada a mantener bajo confidencialidad, ya sea por ley (por ejemplo; datos personales sensibles) o en virtud de un acuerdo con un tercero, (por ejemplo; proveedor, otra Universidad, investigadores, empresa colaboradora, etc.). Esta información deberá estar protegida contra divulgaciones y modificaciones no autorizadas.

Cualquier divulgación no autorizada o pérdida de datos confidenciales deberá ser reportada inmediatamente a la Dirección de Informática UC, Secretaría General o Mesa de Protección de Datos.

A efecto de esta Política y otras Políticas relacionadas con la Seguridad de la Información, los datos clasificados como Confidencial UC incluyen, pero no se limitan a:

Relativo a las Personas:

• Contraseñas y PINs
• Correo Electrónico (El contenido o cuerpo de un correo electrónico está protegido por ley chilena y es considerado correspondencia privada.)
• Datos personales sensibles [3]
• Denuncias y sumarios internos
• Ficha y Licencia médica con diagnóstico
• Remuneraciones del personal
• Información de cuentas financieras de personas (por ejemplo: número de cuenta bancaria, de tarjetas de crédito o débito)
• Información de personas protegida bajo algún convenio o contrato de confidencialidad

Datos Institucionales

• Estados financieros no públicos
• Información de cuentas financieras institucionales (como, por ejemplo: número de cuenta bancaria, de tarjetas de crédito o débito)
• Información especificada como confidencial por contratos de proveedores y NDA (acuerdo de confidencialidad

Tecnología

• Claves de cifrado privadas
• Información especificada como confidencial por acuerdos de uso de datos
• Procedimientos y arquitecturas del sistema de seguridad de la UC

[3]   Para más definiciones, visitar la página web de Protección de Datos UC

Las Unidades UC que generen datos, deberán clasificarlos acorde a las categorías indicadas en esta política e implementar las medidas de seguridad que correspondan. Así mismo, deberán implementar rutinas de revisión (monitoreo) de clasificación de la información que procesen para detectar datos no clasificados.

De existir alguna excepción a esta política, el tema será revisado por la Dirección de Informática, quién determinará si la situación es considerada o no como una excepción.

El incumplimiento de esta Política será sancionado de acuerdo con los reglamentos UC y legislación chilena vigente.

• Normativa de Uso de Recursos Informáticos UC
• Política de Tratamiento y Protección de Datos UC
• Ciberseguridad UC (página web)

Para preguntas sobre la interpretación de esta política, asistencia con los pasos de implementación o para obtener información sobre los servicios de seguridad de la información que se ofrecen la UC, visite el sitio informatica.uc.cl.

• Contenedor de datos: medio donde se almacena información, sea física o digital.
• Comunidad UC: Todo integrante de los diferentes estamentos de la Universidad.
• Dato o Dato UC: Toda información que es objeto de tratamiento por parte de la UC.
• Sistemas UC: Son sistemas de propiedad de la UC, comprados o gestionados por la UC, ya sea en las instalaciones propias o a través de servicios contratados basados en la nube.
• Tratamiento de datos: Cualquier operación o conjunto de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan de cualquier forma recolectar, procesar, almacenar, comunicar, transmitir o utilizar datos personales o conjuntos de datos personales. (Ley N°19.628).
• Unidad UC: Unidad organizacional o académica UC.
• Usuario: Cualquier persona que utilice datos, donde la UC es el responsable.
• Web DI: Sitio Web de la Dirección de Informática UC (informatica.uc.cl).