DISPOSICIONES PARTICULARES PARA LA PROTECCIÓN DE DATOS PERSONALES DE LA UNIVERSIDAD CATÓLICA SAN PABLO
APROBADOPOR:
RESOLUCIÓNRECTORALN°21-2025-UCSP
DEFECHA30DEJULIODE2025
FECHADE ENTRADAEN VIGENCIA 31/07/2025 VERSIÓN 1 NÚMERODE PÁGINAS 7
CAPÍTULO I GENERALIDADES
Artículo 1 La Universidad Católica San Pablo, en adelante la Universidad, comprometida con la protección de los datos personales que trata en el ejercicio de sus funciones académicas y administrativas, elabora el presentedocumentodeseguridadcomopartedesuculturaorganizacional orientada al cumplimiento normativo, la gestión responsable de la información y la mejora continua. Este documento forma parte de las acciones institucionales para fortalecer la seguridad de la información, garantizando un enfoque transversal, adaptable y alineado a estándares internacionales.
Artículo 2 Elpresentedocumentosesustentaenlanormativanacionalvigentesobre protección de datos personales, incluyendo la Ley de Protección de Datos Personales, en adelante LPDP, su Reglamento, modificatorias y normas complementarias vigentes; así como en estándares técnicos y buenas prácticasreconocidasenmateriadeseguridaddela información.
OBJETO
Artículo 3 LaspresentesdisposicionestienenporobjetoestablecerelDocumentode Seguridad del Sistema de Protección de Datos Personales conforme a lo indicado en el Reglamento de la LPDP, el cual recoge lineamientos generalesorientadosalaproteccióndelosdatospersonalestratadosenla Universidad.
Artículo 4 Este documento establece principios y medidas mínimas institucionales relacionadas con la gestión de accesos, privilegios, verificación periódica, inventariodedatospersonalesyeltratamientosegurodelainformacióna lolargodesu ciclodevida.
Artículo 5 Las presentes disposiciones orientan los instrumentos de gestión que persiguen la protección de datos personales, la regulación de las condiciones informadas de tratamiento y los derechos de los titulares de datospersonales,enlaUniversidad.
ALCANCE
Artículo 6 El presente documento es aplicable a todas las unidades académicas y administrativasqueparticipenenactividadesqueimpliqueneltratamiento de datos personales, sea de forma automatizada o no automatizada, así como el uso y tratamiento que se realice en equipos, sistemas e infraestructurasdela Universidad.
Artículo 7 Para el establecimiento del alcance del Sistema de Protección de Datos Personales, se tiene como guía la NTP-ISO/IEC 27001:2022, que a su vez consideralaNormaInternacionalISO31000:2018.
Secretaría General
CAPÍTULO II
POLÍTICAS INTERNAS DE GESTIÓN Y TRATAMIENTO DE DATOS PERSONALES
Artículo 8 La Universidad, fiel a su identidad y al cumplimiento de sus objetivos, garantiza la confidencialidad y protección de los datos personales de profesores, estudiantes,antiguos alumnos, graduados, titulados, personal administrativo y terceros en general, en cumplimiento de la LPDP, su Reglamento,modificatoriasynormascomplementarias vigentes.
Artículo 9 La Universidad se compromete a tratar los datos personales con responsabilidad, respetando su carácter privado y utilizando los datos únicamente para fines institucionales legítimos a lo largo de su ciclo de vida; es decir, desde su obtención, uso y hasta su posterior supresión. En algunos casos, y siempre con consentimiento previo, se podrán tratar datossensiblesodifundir imágenes captadasenactividadesuniversitarias atravésdeplataformasinternas,páginaweb,subdominios,redessociales ydemásespaciosdepublicidadATL.
Artículo 10 El detalle del ciclo de la vida de los datos personales a tratar seguirá lo establecido en las Políticas de Privacidad de la Universidad Católica San Pablo publicadas en el apartado de Transparencia de la página web de la Universidad.
CAPÍTULO III DE LOS PROCEDIMIENTOS
Artículo 11 Los procedimientos descritos en el presente documento tienen como finalidad establecer controles claros y consistentes para gestionar de formaseguraelacceso,usoyadministracióndelossistemasqueprocesan datospersonalesenlaUniversidad.
Artículo 12 La Universidad cuenta con el Procedimiento de gestión de accesos y privilegios, el Procedimiento para el tratamiento y protección de datos personales, el Manual para la protección de datos personales y otros documentos de gestión que buscan proteger los datos personales almacenadosoporalmacenaren laUniversidad.
Artículo 13
SUBCAPÍTULO I GESTIÓN DE ACCESOS FÍSICOS
LaUniversidadcuentaconelProcedimientoparaelcontroldeingresoalas instalaciones de la UCSP, donde se detalla la gestión de accesos físicos garantizando que el ingreso a espacios donde se almacena, procesa o resguardan datos personales y/o sensibles, se realiza de manera autorizada, segura y conforme a las funciones institucionales del personal administrativo, garantizando en todo momento el cumplimiento de la LPDP,su Reglamento,modificatoriasynormascomplementariasvigentes.
Artículo 14 El acceso físico se encuentra restringido al personal que cuenta con autorización expresa, asignada de acuerdo con su rol o encargatura. La Universidad asegura que estos accesos estén alineados con criterios de confidencialidad,integridadydisponibilidaddelosactivos,yqueseaplican medidas para evitar el acceso, consulta, modificación o traslado no autorizadode lainformación.
Artículo 15 Lasunidadesorgánicasqueadministranocustodianinformacióncontenida en documentos no automatizados aseguran condiciones apropiadas de resguardo y acceso controlado. Estas condiciones comprenden el uso de espacios cerrados protegidos, elementos de almacenamiento seguros, la designaciónderesponsablesdecustodiaylaimplementacióndecontroles que garanticen trazabilidad y seguridad, conforme a los lineamientos institucionalesoprocedimientosespecíficosquedesarrollanestamateria.
Artículo 16 La gestión de accesos físicos garantiza que los permisos otorgados sean revisados, modificados o revocados cuando cambien las condiciones del personal autorizado, o en caso se requiera acceso por parte de personas externas.
Artículo 17 Ensituacionescomovacaciones,licencias,rotacionesocesedelvínculo,se aplican medidas para prevenir accesos indebidos. Asimismo, el acceso de personalexternoestácondicionadoaautorizacionesformalessustentadas en contratos u órdenes de servicio, supervisadas por la unidad responsable.
SUBCAPÍTULO II
GESTIÓN DE ACCESOS Y PRIVILEGIOS A LOS SISTEMAS DE INFORMACIÓN
Artículo 18 El Procedimiento para la gestión de accesos y privilegios refleja el control de acceso a los sistemas de información de la Universidad, garantiza que estudiantes, colaboradores y terceros legalmente autorizados accedan a los sistemas de información de forma segura, controlada y eficiente. La adecuada gestión deaccesosesclaveparalaprotección de lainformación asociada ala Universidad.
Artículo 19 Toda solicitud de accesos y privilegios deberá ser enviada siguiendo adecuadamente el procedimiento institucional vigente, el cuál detalla los pasosaseguir,losformatosrequeridosyalasinstanciascorrespondientes paraelotorgamientodeaccesosyprivilegiosalossistemasdeinformación. Es indispensable que la información proporcionada sea precisa, clara y completa, a fin de evitar retrasos en la evaluación y aprobación de la solicitud.
Artículo 20 La aprobación de accesos a los sistemas de información estará condicionada al nivel de sensibilidad y estructura jerárquica de la Universidad, garantizando en todo momento el cumplimiento de la LPDP, suReglamento,modificatoriasynormas complementariasvigentes.
Artículo 21 Cuando el colaborador se encuentre en licencia, permiso de vacaciones u otra actividad extraordinaria. La unidad orgánica debe definir si un colaborador temporal, requerirá accesos, los cuales deberán tener una vigencia claramente definida y limitarse exclusivamente al tiempo que durelaencargatura,informando aDesarrolloHumano.
Artículo 22 Las actividades de solicitud, otorgamiento, actualización y revocación de accesosseencuentranreguladasenelprocedimientoinstitucionalvigente, elcualestableceloscontrolestécnicosyadministrativoscorrespondientes.
Artículo 23 El Oficial de Datos Personales, en adelante ODP, es responsable de velar por la información sensible de la Universidad, podrá solicitar revisiones o formular observaciones en caso se identifiquen accesos injustificados o riesgos para la seguridad de la información, en colaboración con las unidades orgánicas involucradas, como el área de Tecnologías de la InformaciónyeláreadeInnovaciónyEstrategiaDigital.
Artículo 24 Ninguna persona externa a la Universidad podrá acceder, por ningún motivo o medio, a datos personales o sensibles sobre los que realice tratamientosincontarpreviamenteconuncontratooacuerdoformalque lo autoriceexpresamente. Garantizando así, el cumplimiento de la Ley, su Reglamento,disposiciones ymodificaciones.
Artículo 25 El acceso de los colaboradores a los sistemas de información debe realizarse utilizando cuentas institucionales individuales que permitan asegurar la trazabilidad de las acciones. En casos excepcionales, se podrá autorizar el uso de cuentas genéricas o compartidas, siempre que exista justificaciónformalyseasigneexpresamenteunresponsable.
SUBCAPÍTULO III
VERIFICACIÓN PERIÓDICA DE PRIVILEGIOS
Artículo 26 La Universidad, conforme al Procedimiento de control de accesos y privilegiosdeberealizar,de forma periódica,laverificación yactualización delosaccesosyprivilegiosotorgadosalossistemasdeinformación,conel
Secretaría General
findeasegurarqueloscolaboradorescuentenúnicamenteconlosaccesos necesariosparaeldesarrollode susfunciones.
Artículo 27 La verificación será coordinada por los gestores de accesos a los sistemas de información, quienes remitirán reportes a los responsables de cada proceso para su revisión. Cada unidad orgánica deberá validar que los accesos y privilegios otorgados se encuentren justificados y alineados al principio deproporcionalidad.
Artículo 28 Todasolicitud de acceso,modificación orevocación de accesos asistemas de información debe ser comunicada mediante canales institucionales. Esta debe permitir la trazabilidad del requerimiento, incluyendo al personal responsable de su aprobación, y deberá registrar la fecha y motivodelaaccióncorrespondiente.
Artículo 29 Toda actualización debe ser informada a las instancias correspondientes colocadas en el procedimiento vigente, quienes podrán requerir informaciónadicionalencasosedetectenriesgoso inconsistencias.
CAPÍTULO IV CÓDIGO DE CONDUCTA
Artículo 30 El presente Código de Conducta tiene como objeto establecer los lineamientos y disposiciones necesarias para asegurar lo establecido en el ReglamentodelaLPDP,garantizandoelcorrectotratamientoyprotección de losdatospersonalesquealmacenalaUniversidad.
Artículo 31 El alcance del presente Código de Conducta corresponde a los colaboradoresyterceroslegalmenteautorizados.
Artículo 32 Con el fin de coadyuvar al cumplimiento de lo establecido en el presente Código deConducta,seráresponsabledesupromoción ydifusiónelODP.
Artículo 33 La Universidad cuenta con un conjunto de lineamientos para asegurar la aplicación efectiva del tratamiento de los datos personales, con el fin de garantizar que toda actividad se realice de acuerdo con la LPDP, su Reglamento,yposiblesmodificatorias,estosparámetrosson:
a. Garantíadeconfidencialidaddelosdatosrecabados.
b. Recogeryusardatosparafinesexpresosylegítimos.
c. Facilitar y respetar el acceso y ejercicio de los derechos ARCO (acceso, portabilidad,rectificación,cancelación yoposición).
Artículo 34 La Universidad cuenta con un Procedimiento para la protección de datos personales, el cual garantiza el pleno ejercicio de los derechos de información, acceso, rectificación, cancelación y oposición de los afectados,demaneravirtualyfísica.
Secretaría General
Artículo 35 La Universidad cuenta con medidas de seguridad documentales, donde se establecen cláusulas de protección de datos personales, así como contratos de encargo para la transferencia de los mismos, tanto en territorio nacional como internacional; incluyendo las garantías mínimas paralaprotecciónde losdatosdelostitulares.
Artículo 36 La Universidad promueve la implementación de acciones institucionales orientadas al fomento y difusión de protección de datos personales por medio de la capacitación y sensibilización del personal administrativo, académico,proveedoresydemásinvolucradosen eltratamientodedatos personalesde laUniversidad.
Artículo 37 La Universidad cuenta con medidas para garantizar la confidencialidad de los datos personales, estableciendo lineamientos para asegurar la confidencialidad,teniendo lassiguientesmedidas:
a. Cláusulas para el control y tratamiento de los datos personales en contratosdeprestación ylocación deservicios.
b. Cláusulasdeconfidencialidadenconveniosconinstitucionesnacionales einternacionales.
c. Procedimientosparaelcontrolytratamientodelosdatospersonales.
Artículo 38 El ODP junto con el Comité de Datos Personales se encargan del control y verificacióndelcumplimientodelasdisposicionesdelCódigodeConducta, asícomodelmonitoreoperiódicodel mismo.
Artículo 39 La Universidad cuenta con medidas de protección legal para la obtención del libre consentimiento del titular de los datos, mediante las cuales se comunica de manera libre, previa, expresa, inequívoca e informada al titular de los datos personales, así como el detalle de las finalidades del tratamientodeestos.
Artículo 40 Así mismo, se incorporan cláusulas informativas en documentos legales, además de las Políticas de Privacidad de la UCSP. Estas cláusulas son utilizadas a través de todos los canales de la Universidad mediante los cuales se recaban datos personales, a fin de garantizar que los titulares sean informadosdemaneralibre,previa,expresa,inequívocaeinformada sobrelascaracterísticasdeltratamientoalqueseránsometidos.Asimismo, cuando corresponda, dicho tratamiento deberá inscribirse en el Registro NacionaldeProteccióndeDatosPersonales,conformealoestablecidopor la normativa vigente de conformidad con el Procedimiento para la proteccióndedatospersonales.
Artículo 41 La Universidad cuenta con el Procedimiento para el tratamiento de datos personales, donde se contemplan procedimientos para el ejercicio de derechosARCOporpartedelostitularesdedatospersonales.
Artículo 42 LaUniversidadcuentaconcláusulasparaelenvíodeinformacióndedatos personales que, al momentode identificar la necesidad de realizar el flujo transfronterizo, serán aplicadas en contratos y convenios correspondientes,dondeelencargadoasumelasmismasobligacionesque
Secretaría General
la Universidad. En relación a ello, la Universidad cumple con informar al titular de los datos personales con quien se está realizando el flujo transfronterizomedianteellistadodetercerosvinculadospublicadoensu páginawebconeldetalledelasinstitucionesopersonasquetienenacceso a los datos personales. Asimismo, el encargado asume las mismas obligacionesquelaUniversidad,ensucalidaddetitulardelbancodedatos personales.
CAPÍTULO V
INVENTARIO DE DATOS PERSONALES
Artículo 43 La Universidad cuenta con un registro organizado que permite identificar losdatospersonalesquealmacena,detallandoelbancodedatosenelque seencuentraysusdemáscaracterísticasdealmacenamiento;denominado InventariodeDatosPersonales.
DISPOSICIONES COMPLEMENTARIAS
Artículo 44 La unidad orgánica responsable de los instrumentos de gestión citados en estas disposiciones, es la encargada de mantenerla actualizada cuando corresponda,bajosupervisión delODP.
Artículo 45 Elincumplimientodelasdisposicionescontenidasenestedocumentodará lugar a la apertura del correspondiente procedimiento disciplinario y a la imposición de las sanciones administrativas previstas en el Reglamento Interno de Trabajo y Reglamento de Profesores, sin perjuicio de las responsabilidadescivilesopenalesque pudierancorresponder.
DISPOSICIONES FINALES
Artículo 46 Cualquier caso o circunstancia no prevista en las presentes disposiciones será resuelta por el Oficial de Datos Personales en coordinación con las unidadesorgánicasresponsablesdelosinstrumentosdegestión citados.
General