Llei orgànica de protecció de dades

Normativa

Document de seguretat

Què és un document de seguretat?

El 13 de desembre de l’any 1999 es va publicar la Llei Orgànica de Protecció de Dades de caràcter personal (LOPD 15/1999), l’objecte de la qual era, i és: garantir i protegir tot allò concernent al tractament de dades personals, les llibertats públiques i els drets fonamentals de les persones físiques i especialment, el seu honor i intimitat personal i familiar. 

El document de seguretat ha estat elaborat per a donar compliment al Reial Decret 1720/2007, de 21 de desembre, pel qual s’aprova el Reglament de desenvolupament de la Llei Orgànica 15/1999 de protecció de dades de caràcter personal. 

Aquest document és el desenvolupament de la política de seguretat de la Universitat en quant al tractament de dades personals, és a dir, qualsevol informació que identifiqui o faci identificable a una persona física, i recull les mesures d’índole tècnica, jurídica i organitzatives necessàries per garantir la protecció, la confidencialitat, la integritat i la disponibilitat dels recursos afectats per la normativa vigent en matèria de protecció de dades. 

L’objectiu d’aquest document és descriure les mesures, les normes, els procediments, les regles i els estàndards de seguretat que el Departament assumeix en el tractament de dades personals per a garantir la seguretat d’aquestes dades evitant la seva alteració, la pèrdua, el tractament o l’accés per part de persones no autoritzades. 

El seu propòsit és ajudar-nos a millorar la qualitat dels nostres serveis, oferint una major seguretat i confiança en la tramitació i garantint el dret a la intimitat de les persones que es relacionen amb la Universitat.

 

DESCRIPCIÓ DEL DOCUMENT DE SEGURETAT DE DADES

Al document de seguretat queden definits els següents aspectes:

Làmbit daplicació del document i tots aquells recursos i persones que shi troben afectats.

Les normes, les polítiques, els estàndards i els procediments a seguir per garantir el compliment del nivell de seguretat especificades en el Reial Decret 1720/2007 que desenvolupa la LOPD.

Funcions i Obligacions del Personal.

 

ÀMBIT D’APLICACIÓ

Àmbit jurídic

Aquest document és d’aplicació a tots els fitxers i als sistemes d’informació que continguin dades de caràcter personal.

Àmbit personal

Aquest document de seguretat és d’obligat compliment per a tot el personal de la Universitat com també d’aquells col·laboradors externs que d’una forma o altra intervinguin en el tractament de dades personals i dels sistemes d’informació de la Universitat.

Les normes internes contingudes el present document s’han fet avinents a tot el personal mitjançant la divulgació del Document de seguretat. Tot el personal de la Universitat i personal col·laborador que treballi, utilitzi, i tracti dades personals i els sistemes d’informació ha de conèixer el contingut d’aquest document i adoptar les instruccions establertes per garantir la protecció adequada de les dades dels afectats. L’objectiu final és estendre tant com sigui possible la “cultura de la seguretat”.

Àmbit material

Les normes de seguretat contingudes en aquest document són daplicació a qualsevol tipus de suport que formen el conjunt d’actius que contenen dades de caràcter personal, dels quals n’és titular la Universitat, incloent-hi: els documents electrònics i en paper, el maquinari, el programari, el programari base, les comunicacions, l’electrònica i tots aquells altres components que, directa o indirectament, estan relacionats amb el tractament de dades personals.

 

Exercici dels drets ARCO

Exercici dels drets d'accés, rectificació, cancel·lació i oposició prevists a la Llei 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD) i a la normativa que la desenvolupa

  1. El control sobre les nostres dades personals s'exerceix a través dels anomenats drets ARCO (accés, rectificació, cancel·lació i oposició) o drets d'habeas data, que donen a la persona la potestat de protegir aquesta informació i d'exercir-hi un control efectiu.
  2. Pot exercir el dret la persona afectada o un representant en nom seu (en el cas de menors de 14 anys, persones discapacitades, persones més grans de 14 anys si la llei ho exigeix, o quan la persona afectada designi voluntàriament algú que la representi).
  3. El dret d’accés. L’exercici d’aquest dret consisteix a demanar informació sobre les dades personals incloses en un fitxer.
  4. El dret de rectificació. L’exercici d’aquest dret té com a finalitat que les dades personals responguin amb veracitat a la situació actual de la persona interessada. Cal aportar documentació justificativa de la rectificació sol·licitada.
  5. El dret de cancel·lació. L’exercici d’aquest dret té com a finalitat la cancel·lació d’una dada que resulti innecessària o no pertinent per a la finalitat per a la qual fou recollida. La dada serà bloquejada, és a dir, identificada i reservada amb la finalitat d’impedir-ne el tractament. Cal aportar documentació justificativa de la cancel·lació sol·licitada.
  6. El dret d’oposició. L’exercici d’aquest dret té com a finalitat l’exclusió del tractament de les dades personals o el cessament del tractament en els supòsits de l’article 34 del Reial decret 1720/2007, de 21 de desembre, pel qual s’aprova el Reglament de desenvolupament de la LOPD. Cal aportar documentació que acrediti els motius fonamentats i legítims de l’oposició sol·licitada.
  7. Pel que fa a la videovigilància, els drets s’exerceixen de conformitat amb el que disposa l’article 5.1 de la Instrucció 1/2006, de 8 de novembre, de l’Agència Espanyola de Protecció de Dades, sobre el tractament de dades personals amb fins de vigilància a través de sistemes de càmeres o videocàmeres.
  8. Per exercir els drets ARCO quant a dades facilitades a la UIB, cal adreçar-se per escrit a: Universitat de les Illes Balears, a l’atenció del responsable de seguretat en matèria de protecció de dades de caràcter personal, cra. de Valldemossa, km 7,5, 07122 Palma (Illes Balears).
  9. La UIB posa a disposició dels interessats formularis per exercir cada un dels drets ARCO de manera senzilla i gratuïta.
 

Videovigilància

Sol·licitud de cessió de dades personals

Sol·licitud de cessió de dades personals amb finalitats acadèmiques o laborals (empreses o entitats externes a la UIB). Procediment a seguir

  1. La cessió de dades personals es regeix per la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD).
  2. La sol·licitud de cessió de dades personals de terceres persones s’ha de fer emplenant el formulari electrònic o per escrit, mitjançant el formulari corresponent, que es pot enviar signat i escanejat, al responsable de seguretat en matèria de protecció de dades de caràcter personal, a l’adreça caty.pou@uib.cat.
  3. Cal especificar, a la sol·licitud, les dades que es demanen (p.ex., nom, adreça, telèfon/s, adreça electrònica, estudis o titulació), el/s col·lectiu/s afectat/s, les condicions de selecció i la finalitat de les dades sol·licitades.
  4. La presentació d’una sol·licitud de cessió de dades personals compromet la persona que la presenta a guardar la confidencialitat de les dades cedides i a fer-ne ús exclusivament per a la finalitat expressada.
  5. Cada sol·licitud serà objecte d’estudi per tal de no incomplir la normativa vigent, i serà autoritzada o denegada d’acord amb el que preveu l’art. 11 de la LOPD sobre la comunicació de dades.
  6. La cessió de dades especialment protegides s’ajustarà al que preveu l’art. 7 de la LOPD.
  7. No es donarà cap dada personal de terceres persones per telèfon.
  8. Per a qualsevol dubte o aclariment, us podeu dirigir a la responsable de seguretat en matèria de protecció de dades de caràcter personal, per correu electrònic a  caty.pou@uib.cat o per telèfon a l’extensió 97 93.
 

Preguntes freqüents (FAQs) sobre protecció de dades de caràcter personal

Preguntes generals

  1. Àmbit d'aplicació
  2. Conceptes generals
  3. Consentiment
  4. Cessió de dades
  5. Videovigilància
  6. Mesures de seguretat

1. Àmbit d’aplicació

És aplicable la normativa de protecció de dades de caràcter personal als organismes públics?

La LOPD és aplicable a les dades de caràcter personal registrades en suport físic, que les faci susceptibles de tractament, i a qualsevol modalitat d’ús posterior d’aquestes dades pels sectors públic i privat.

Afecta tots els organismes (públics i privats) que tracten (en paper o en suport electrònic) dades de persones físiques (empleats, col·laboradors, clients,...) per garantir el dret fonamental a la intimitat i la privacitat.

No és aplicable a les dades de persones jurídiques, ni als fitxers que es limitin a incorporar les dades de les persones físiques que hi prestin els seus serveis, consistents únicament en el nom i cognoms, les funcions o llocs exercits, així com l’adreça postal o electrònica, telèfon i número de fax professionals.

És aplicable la normativa de protecció de dades als fitxers en format paper?

La normativa és aplicable a qualsevol tractament de dades de persones físiques, en paper o en suport electrònic.

Els tràmits de l’administració electrònica estan subjectes al règim de protecció de dades de caràcter personal?

Perquè l’administració electrònica es desenvolupi adequadament resulta indispensable aplicar-hi la LOPD. El respecte al dret fonamental a la protecció de dades és un element essencial que, en cap cas, es pot obviar a l’hora d’implantar l’e-administració en un organisme públic. Per aconseguir aquest objectiu, cal analitzar els procediments de l’e-administració des del punt de vista del compliment de la LOPD, amb una anàlisi de l’impacte en la privacitat.

És aplicable la normativa de protecció de dades a les persones mortes?

El Reglament de desplegament de la LOPD no és aplicable a les dades referides a persones mortes. No obstant això, les persones vinculades al mort, per raons familiars o anàlogues, es poden dirigir als responsables dels fitxers o tractaments que continguin dades de la persona morta amb la finalitat de notificar l’òbit, aportant l’acreditació suficient, i sol·licitar, quan escaigui, la cancel·lació de les dades.

2. Conceptes generals

Quins principis regeixen la normativa de protecció de dades?

Els principis de la proporcionalitat, de la qualitat de les dades, del deure d'informació en la recollida, del consentiment de l'afectat, de les dades especialment protegides, de la seguretat de les dades, del deure de secret, de la comunicació de dades i de l'accés a les dades per compte de tercers.

Què és el principi de qualitat de les dades?

Les dades de caràcter personal només es poden recollir i tractar quan siguin adequades, pertinents i no excessives amb relació a l'àmbit i les finalitats determinades, explícites i legítimes per a les quals s'han obtingut.

La llei estableix un conjunt de regles que indiquen al responsable del fitxer com ha de recollir, emmagatzemar i utilitzar les dades de caràcter personal perquè el tractament de les dades pugui ser considerat «lleial i lícit».

Què és una dada de caràcter personal?

Qualsevol informació numèrica, alfabètica, gràfica, fotogràfica, acústica o de qualsevol altre tipus referent a persones físiques identificades o identificables.

Una persona identificable és qualsevol persona la identitat de la qual es pugui determinar, directament o indirecta, mitjançant qualsevol informació referida a la seva identitat física, fisiològica, psíquica, econòmica, cultural o social. Una persona física no es considera identificable si la identificació requereix terminis o activitats desproporcionats.

L’adreça electrònica és una dada personal?

Com a informació alfanumèrica referent a una persona física la identitat de la qual es pot determinar, directament o indirectament, l’adreça electrònica és una dada personal.

Què són dades especialment protegides?

Les dades de caràcter personal que facin referència a l’origen racial o ètnic, a la salut i a la vida sexual només poden ser recollides, tractades i cedides quan, per raons d’interès general, així ho disposi una llei o l’afectat hi consenti expressament.

Les dades de caràcter personal que revelin la ideologia, l’afiliació sindical, la religió i les creences, i només poden ser objecte de tractament amb el consentiment exprés i per escrit de l’afectat.

Què es considera tractament de dades?

Qualsevol operació o procediment tècnic, ja sigui automatitzat o no, que permeti la recollida, gravació, conservació, elaboració, consulta, utilització, modificació, cancel·lació, bloqueig o supressió, així com les cessions de dades que resultin de comunicacions, consultes, interconnexions i transferències.

Què és un fitxer?

Qualsevol conjunt organitzat de dades de caràcter personal que permeti l’accés a les dades d’acord amb uns criteris determinats, sigui quina sigui la forma o modalitat de la seva creació, emmagatzematge, organització i accés.

Quins drets tenen els ciutadans en l’àmbit de la protecció de dades de caràcter personal?

Els drets d’accés, rectificació, cancel·lació i oposició (drets ARCO) formen part essencial del dret fonamental a la protecció de dades.

El dret d’accés permet al ciutadà dirigir-se al responsable d'un fitxer determinat per demanar informació sobre les dades personals incloses en un fitxer per conèixer, de manera gratuïta, l'existència de tractament de les dades, la finalitat, l'origen de les dades i les comunicacions realitzades o previstes.

El dret de rectificació té com a finalitat corregir les dades personals inexactes o incompletes de manera que les dades personals responguin amb veracitat a la situació actual de l’interessat. Cal aportar documentació justificativa de la rectificació sol·licitada.

El dret de cancel·lació té com a finalitat donar de baixa una dada que resulti innecessària o no pertinent per a la finalitat per a la qual fou recollida. La cancel·lació de les dades personals no implica necessàriament que es destrueixin de manera immediata, sinó que es bloquegin. Cal aportar documentació justificativa de la cancel·lació sol·licitada.

El dret d’oposició té com a finalitat l’exclusió del tractament de les dades personals o el cessament del tractament en els supòsits prevists al Reglament de desplegament de la LOPD. Cal aportar documentació que acrediti els motius fonamentats i legítims de l’oposició sol·licitada.

3. Consentiment

És necessari el consentiment de la persona afectada per tractar les seves dades personals?

El consentiment* és qualsevol manifestació de la voluntat, lliure, inequívoca, específica i informada, mitjançant la qual l’interessat consenti el tractament de dades personals que el concerneixen. El tractament de les dades de caràcter personal requereix el consentiment inequívoc de l’afectat, llevat que la llei disposi una altra cosa.

No cal el consentiment quan:

  • les dades de caràcter personal es recullen per a l'exercici de les funcions pròpies de les administracions públiques en l'àmbit de les seves competències
  • es refereixen a les parts d'un contracte o negoci, i són necessàries per al seu manteniment o compliment
  • el tractament té com a finalitat protegir un interès vital de la persona interessada
  • les dades figuren en fonts accessibles al públic

ATENCIÓ: canvis prevists a la proposta de Reglament general de protecció de dades personals de la UE (vegeu l’article de Antonio Troncoso, a la revista de la UOC, IDP Nº 15, novembre de 2012)

És necessari el consentiment de la persona afectada per tractar dades de salut?

Les dades de caràcter personal que facin referència a la salut poden ser objecte de tractament quan sigui necessari per a la prevenció o per al diagnòstic mèdics, la prestació d’assistència sanitària o de tractaments mèdics o la gestió de serveis sanitaris, sempre que el tractament de dades, l’efectuï un professional sanitari subjecte al secret professional o una altra persona subjecta a una obligació equivalent de secret.

Les dades de salut només poden ser recollides, tractades i cedides quan, per raons d’interès general, així ho disposi una llei o l’afectat hi consenti expressament. 

És necessari el consentiment dels pares per tractar dades personals de menors d’edat?

Cal obtenir el consentiment del pare o tutor en el cas de menors de 14 anys o de persones discapacitades.

El consentiment sempre ha de ser exprés o per escrit?

Segons el cas, el consentiment es pot obtenir de manera expressa o tàcita*, sempre que es garanteixi el dret d’informació en la recollida de dades.

En el cas d’emplenar una sol·licitud, el consentiment per recollir i tractar les dades personals és tàcit.

En el cas de dades especialment protegides (relatives a l’origen racial o ètnic, a la salut i a la vida sexual), el consentiment ha de ser sempre exprés, encara que no necessàriament escrit.

En el cas de dades relatives a la ideologia, l’afiliació sindical, la religió i les creences, el consentiment exprés ha de ser per escrit

ATENCIÓ: canvis prevists a la proposta de Reglament general de protecció de dades personals de la UE (vegeu l’article de Antonio Troncoso, a la revista de la UOC, IDP Nº 15, novembre de 2012)

Es poden cedir/comunicar dades a una altra persona o entitat sense el consentiment del titular?

Per regla general —la normativa estableix una sèrie d’excepcions—, les dades de caràcter personal només poden ser comunicades a un tercer per al compliment de finalitats directament relacionades amb les funcions legítimes del cedent i del cessionari amb el consentiment previ de l’interessat. Aquest consentiment té caràcter revocable. Si es preveu cedir les dades personals recollides, l’afectat ha de ser informat prèviament, durant la recollida de les dades, de la finalitat i del destinatari de la cessió.

No es considera comunicació de dades l’accés d’un tercer a les dades quan l’accés sigui necessari per a la prestació d’un servei al responsable del fitxer. Només es poden compartir dades personals entre entitats jurídiques distintes si la relació està formalitzada per un contracte de prestació de serveis degudament formalitzat o si existeix alguna llei que ho autoritzi.

Es pot publicar la foto d’una persona sense el seu consentiment?

Una informació gràfica o fotogràfica (una imatge) que identifica o que permet determinar la identitat d’una persona sense un esforç desproporcionat és una dada de caràcter personal. La publicació d’una foto d’una persona identificada o identificable és una cessió de dades personals que requereix el consentiment de la persona afectada.

Ara bé, si les imatges es recullen en un lloc públic i amb finalitat informativa, no cal demanar el consentiment de les persones fotografiades, sempre que la imatge s'emmarqui en el context informatiu, no sigui l'objectiu principal de la càmera i no afecti la intimitat de la persona fotografiada.

Es poden publicar dades personals en una notícia d’un diari o en una web?

El dret fonamental a la protecció de dades de caràcter personal no és un dret absolut i pot topar amb —i poden prevaler— altres drets fonamentals, com ara el dret a la llibertat d'expressió (la manifestació d'una opinió) o el dret d'informació (el dret que té qualsevol persona a donar i a rebre informació).

Si les dades es publiquen en el context informatiu, amb finalitat informativa, no cal demanar el consentiment de la persona afectada.

4. Cessió de dades

Es poden cedir/comunicar dades personals entre diferents administracions públiques?

Es poden comunicar dades personals entre administracions públiques, sense el consentiment de l’afectat, quan la cessió està autoritzada en una llei o tingui com a objecte el tractament posterior de les dades amb finalitats històriques, estadístiques o científiques.

Es poden transferir dades personals a qualsevol país?

Per regla general —la normativa estableix una sèrie d’excepcions—, no es poden fer transferències internacionals de dades, és a dir, moviments que suposen una transmissió de dades fora del territori de l’Espai Econòmic Europeu, sense l'autorització prèvia del Director de l'Agència Espanyola de Protecció de Dades (AEPD), quan la transferència tingui per destí un Estat respecte del qual la Comissió Europea no ha declarat que hi ha un nivell adequat de protecció o el director de l’Agència Espanyola de Protecció de Dades no ho considera. No cal l’autorització quan la transferència es trobi en un dels supòsits que preveuen els apartats a) a j) de l’article 34 de la LOPD.

En tot cas, la transferència internacional de dades ha de ser notificada per tal de procedir a la seva inscripció en el Registre General de Protecció de Dades i, si la transferència internacional es refereix a dades d’un fitxer ja inscrit i no consta la transferència internacional en la inscripció, cal sol·licitar una modificació del fitxer perquè hi consti expressament en els termes fixats per la normativa vigent. 

5. Videovigilància

Es poden posar càmeres de videovigilància a qualsevol lloc?

La instal·lació de càmeres de videovigilància comporta una recollida de dades consistents en imatges de persones que poden ésser identificades o identificables, que tenen la consideració de dades personals en la mesura que permetin la identificació efectiva d’una persona. Per això, la instal·lació d’un sistema de videovigilància i els tractaments posteriors de les imatges, o de les imatges i veus, que se’n derivin estan subjectes a la normativa sobre protecció de dades personals, sens perjudici d’altra normativa aplicable i del respecte a altres drets fonamentals, com ara el dret a la intimitat i a la pròpia imatge.

Pel que fa a la ubicació de les càmeres, cal cercar una orientació que eviti la captació incidental d’imatges de la via pública o de persones que es reuneixen en un lloc de descans i convé evitar la utilització de sistemes de videovigilància en l’àmbit acadèmic o laboral, atès que pot resultar no-adequada al principi de proporcionalitat en la mesura que no sigui necessari per a la seguretat de persones i instal·lacions.

6. Mesures de seguretat

Què és una incidència en l’àmbit de la protecció de dades personals?

S’entén per incidència qualsevol anomalia que afecti o pugui afectar la seguretat de les dades (per exemple, una caiguda súbita de tensió que apagui els sistemes, o un accés indegut de tercers aliens, o la pèrdua de suports físics com ara CD-ROM, memòries o discs portàtils USB, etc).

Alguns exemples d’incidències podrien ser:

  • Oblit de contrasenya
  • Sospita d’ús indegut de contrasenya
  • Pèrdua de suports informàtics
  • Infecció per virus d’un arxiu o d’una aplicació
  • Accessos no autoritzats a dependències que contenen sistemes d’informació amb dades protegides
  • Enviament d’informació personal a una adreça equivocada
  • Donar informació sensible a persones alienes
  • Avaria de disc dur que provoqui pèrdua de dades
  • Caiguda de la xarxa
  • Petició de recuperació de dades

Qui és el responsable de seguretat en matèria de protecció de dades

El responsable de seguretat és una figura prevista als articles 95 i 109 del RLOPD, que regulen les mesures de seguretat de nivell mitjà. Té com a finalitat coordinar i controlar les mesures definides en el document de seguretat.

El responsable de seguretat no respon personalment en cap cas per les infraccions del responsable del fitxer, només serà responsable pels seus propis actes si d'aquests es deriven altres responsabilitats en el pla civil o penal.

 

Preguntes específiques de la UIB

  1. Àmbit d’aplicació
  2. Conceptes generals
  3. Obligacions
  4. Consentiment
  5. Cessió de dades
  6. Videovigilància
  7. Mesures de seguretat

1. Àmbit d’aplicació

És aplicable la normativa de protecció de dades a la UIB?

La LOPD és aplicable a tots els organismes (públics i privats) que tracten (en paper o en suport electrònic) dades de persones físiques (treballadors, estudiants, col·laboradors,...) per garantir el dret fonamental a la intimitat i la privacitat.

No és aplicable a les dades de la UIB com a persona jurídica, ni als fitxers que es limitin a incorporar les dades del personal d’administració i serveis o docent i investigador que hi prestin els seus serveis, consistents únicament en el nom i cognoms, les funcions o llocs exercits, així com l’adreça postal o electrònica, telèfon i número de fax professionals.

Es poden publicar/difondre a la web de la UIB el nom, cognoms i dades de contacte de tot el personal que hi treballa?

Els tractaments de dades personals que consisteixen en la publicació de dades de manera que siguin accessibles per a una pluralitat indeterminada de persones pertanyen a l’àmbit d’aplicació de la normativa de protecció de dades.

Ara bé, la normativa no és aplicable a les dades de persones jurídiques, ni als fitxers que es limiten a incorporar les dades de les persones físiques que hi prestin els seus serveis, consistents únicament en el nom i cognoms, les funcions o llocs exercits, així com l’adreça postal o electrònica, telèfon i número de fax professionals.

Si les dades del PAS o PDI apareixen vinculades, exclusivament, a l’activitat en l’entorn professional i en el marc de la integració professional en la persona jurídica (UIB), i sempre que es limitin a les dades esmentades, estarien excloses del marc d’aplicació de la normativa sobre protecció de dades de caràcter personal i la UIB, per tant, les podria publicar a la web sense el consentiment dels afectats.

Es poden publicar/difondre a la web de la UIB el nom, cognoms i dades de contacte dels estudiants matriculats?

Els tractaments de dades personals que consisteixen en la publicació de dades de manera que siguin accessibles per a una pluralitat indeterminada de persones pertanyen a l’àmbit d’aplicació de la normativa de protecció de dades. La publicació de dades personals dels estudiants a la web de la UIB suposaria una cessió indiscriminada de dades a terceres persones que, llevat que una norma amb rang de llei ho autoritzi, requereix el consentiment dels estudiants. Com a titular de les dades personals publicades, l’estudiant afectat pot exercir, gratuïtament, el dret d’oposició a la difusió.

2. Conceptes generals

Com puc saber quins fitxers té inscrits la UIB al Registre General de Protecció de Dades (RGPD)?

La inscripció d’un fitxer es pot consultar al Catàleg de fitxers inscrits al RGPD, a la secció de Fitxers inscrits de la pàgina web de l'Agència Espanyola de Protecció de Dades https://www.agpd.es/portalwebAGPD/index-ides-idphp.php.

Qui és el responsable de les dades de caràcter personal que contenen els fitxers de la UIB?

La pròpia UIB n’és responsable com a persona jurídica, de naturalesa pública, que decideix sobre la finalitat, el contingut i l’ús del tractament de les dades de caràcter personal que contenen els seus fitxers.

L’adreça electrònica corporativa @uib és una dada personal?

Com a informació alfanumèrica referent a una persona física la identitat de la qual es pot determinar, directament o indirecta, l’adreça electrònica és una dada personal. Com a dada de persona física que presta els seus serveis a una persona jurídica, l’adreça electrònica corporativa, o professional, queda exclosa de la normativa de protecció de dades de caràcter personal.

3. Obligacions

Quines obligacions té la UIB en matèria de protecció de dades de caràcter personal?

Per tal de respectar les garanties que estableix la LOPD per protegir la intimitat i altres drets fonamentals de les persones físiques, com a responsable del fitxer la UIB té les obligacions següents:

  •  notificar l'Agència Espanyola de Protecció de Dades els fitxers de dades de caràcter personal que gestiona perquè quedin inscrits en el Registre General de Protecció de Dades
  • recollir, tractar i cedir les dades de caràcter personal aplicant els principis de la protecció de dades
  • garantir el dret d'informació en la recollida de dades per tal que les persones puguin saber qui recull les seves dades, per què les recull, qui en serà el destinatari, quins drets l'assisteixen i on s'han d'adreçar per exercir-los
  • facilitar a les persones l'exercici dels seus drets d’accés, rectificació, cancel·lació i oposició amb un procediment senzill i gratuït
  • guardar secret professional sobre les dades de caràcter personal que recull i tracta i adoptar les mesures necessàries per garantir la confidencialitat de les dades
  • assegurar que tot el personal al seu servei coneix la seva obligació de guardar secret respecte de les dades personals a les que tingui accés, obligació que subsisteix fins i tot després de finalitzar el vincle que hi té
  • implantar les mesures d'índole tècnica i organitzatives necessàries que garanteixin la seguretat de les dades de caràcter personal i evitin la seva alteració, pèrdua, tractament o accés no autoritzat
  • legitimar les transferències internacionals de dades aplicant les garanties que la LOPD estableix per a aquest supòsit

Com compleix la UIB amb el deure d’informació en la recollida de dades

UIBdigital, l’eina que permet accedir als serveis telemàtics de la UIB, permet que l'usuari (PAS, PDI o estudiant) personalitzi el seu espai web, les dades amb què es presenta a la resta de la comunitat universitària i la gestió de les seves credencials. En compliment del que disposa la LOPD, l’apartat ‘Dades personals’ inclou una nota o llegenda que informa l’usuari de l'existència d'un fitxer o tractament de dades de caràcter personal, de la finalitat de la recollida de les dades, del caràcter obligatori o facultatiu de les seves respostes, de la possibilitat d'exercir els drets d'accés, rectificació, cancel·lació i oposició, i de la identitat i adreça de la UIB, responsable del tractament.

Els formularis d’inscripció, en línia o en paper, que utilitzen els departaments, serveis i unitats acadèmiques i administratives de la UIB per recollir dades de caràcter personal, inclouen una nota o llegenda informativa similar.

Quin procediment té la UIB per garantir l’exercici dels drets ARCO?

Per exercir els drets d’accés, rectificació, cancel·lació i oposició (ARCO) quant a dades facilitades a la UIB, cal adreçar-se per escrit a: Universitat de les Illes Balears, a l’atenció del responsable de seguretat en matèria de protecció de dades de caràcter personal, cra. de Valldemossa, km 7,5, 07122 Palma (Illes Balears). La UIB posa a disposició dels interessats formularis per exercir cada un dels drets ARCO de manera senzilla i gratuïta. Tant el procediment com els formularis són a l’abast a la Seu electrònica i a totes les consergeries i secretaries de centre.

Els drets ARCO s’exerceixen davant la Secretaria General, llevat de dades facilitades a l’Oficina de Suport a la Recerca (OSR) o incloses al fitxer «Sindicatura de Greuges».

Quins terminis té la UIB per respondre a l’exercici d’un dret ARCO?

Pel que fa a l’exercici del dret d’accés, el termini de resposta és d’un mes màxim a partir de la recepció de la sol·licitud. En el cas de persones que tenen un compte a UIBdigital, no calen terminis formals, atès que la plataforma permet l’accés permanent en línia a les dades personals de l’usuari.

Pel que fa a l’exercici dels altres drets, el termini de resposta és de deu dies a partir de la recepció de la sol·licitud.

4. Consentiment

La UIB necessita el consentiment del personal (PAS i PDI) per recollir-ne i tractar-ne les dades personals?

De manera excepcional, les dades de caràcter personal només es poden tractar sense el consentiment del seu titular quan aquest no sigui exigible d'acord amb el que disposen les lleis. Un dels supòsits en què la LOPD estableix que no és exigible el consentiment del titular és quan les dades es refereixen a les parts d'un contracte o precontracte d'una relació negocial, laboral o administrativa i siguin necessaris per al seu manteniment o compliment.

La UIB necessita el consentiment dels estudiants per recollir-ne i tractar-ne les dades personals?

De manera excepcional, les dades de caràcter personal només es poden tractar sense el consentiment del seu titular quan aquest no sigui exigible d'acord amb el que disposen les lleis. Un dels supòsits en què la LOPD estableix que no és exigible el consentiment del titular és quan les dades es recullen per a l'exercici de les funcions pròpies de les administracions públiques en l'àmbit de les seves competències. Un altre estableix que no és exigible el consentiment del titular quan les dades es refereixen a les parts d'un contracte o precontracte d'una relació negocial, laboral o administrativa i siguin necessaris per al seu manteniment o compliment.

La UIB necessita el consentiment del personal per confeccionar la targeta universitària?

La UIB ofereix al seu personal (PAS, PDI, contractats,...) una targeta que permet, entre d’altres, acreditar-se com a membres de la comunitat universitària, identificar-se electrònicament (per exemple, per al control horari del PAS), portar de forma segura un certificat digital i el seu ús, opcional, com a targeta financera. La targeta universitària s'ha de sol·licitar a UIBdigital i l’emeten diferents entitats financeres, amb les quals la UIB té signats contractes per a la confecció de la targeta. En compliment del que disposa la LOPD, l’apartat ‘Targeta UIB’, a ‘Gestions i serveis’, informa l’usuari que, amb la sol·licitud, atorga el consentiment per cedir les seves dades a l’entitat financera triada, que ha d’emetre la targeta universitària sota les instruccions de la UIB.

La UIB necessita el consentiment dels estudiants per confeccionar la targeta universitària?

La UIB ofereix als estudiants una targeta que permet, entre d’altres, acreditar-se com a membres de la comunitat universitària, identificar-se electrònicament (per exemple, per imprimir a les copisteries des de les aules informàtiques), portar de forma segura un certificat digital i el seu ús, opcional, com a targeta financera. La targeta universitària s'ha de sol·licitar a UIBdigital i l’emeten diferents entitats financeres, amb les quals la UIB té signats contractes per a la confecció de la targeta. En compliment del que disposa la LOPD, l’apartat ‘Targeta UIB’, a ‘Gestions i serveis’, informa l’usuari que, amb la sol·licitud, atorga el consentiment per cedir les seves dades a l’entitat financera triada, que ha d’emetre la targeta universitària sota les instruccions de la UIB.

La UIB pot cedir/comunicar dades dels estudiants a una empresa o altra entitat que ho demani?

La regla general —la normativa estableix una sèrie d’excepcions— és que per comunicar dades personals a un tercer cal el consentiment del titular d'aquestes dades. Per això, la UIB fa servir, durant el procés de matrícula a UIBdigital, una llegenda amb clàusules de consentiment explícit, si escau, per a la cessió de dades a les empreses i entitats que ho sol·licitin amb finalitats acadèmiques o laborals, durant els estudis i/o durant els cinc anys següents, un cop acabats els estudis. En cas d’autoritzar una cessió de dades d’estudiants, la UIB només cedeix les dades d’aquells que hi han atorgat el consentiment.

Es poden enregistrar els exàmens orals?

L’enregistrament d’exàmens orals (imatge i veu) és un tractament de dades que requereix el consentiment de l’afectat, llevat que una norma legal disposi una altra cosa.

L’article 30 del Reglament acadèmic de la Universitat estipula que els exàmens o proves orals finals seran enregistrats per permetre una posterior revisió de la qualificació, llevat dels casos següents: a) que el professor ofereixi a l’estudiant la possibilitat de renunciar al dret que l’enregistrin i l’estudiant l’accepti per escrit; b) que l’examen es produeixi davant un tribunal. Les proves o intervencions orals que formin part d’un procediment d’avaluació contínua no cal que siguin enregistrades, sempre que es puguin desenvolupar en presència de la resta d’estudiants de l’assignatura.

Es poden publicar/difondre a la web de la UIB fotos i videos en què apareixen persones que no pertanyen a la comunitat universitària?

Una informació gràfica o fotogràfica (una imatge) que identifica o que permet determinar la identitat d’una persona sense un esforç desproporcionat és una dada de caràcter personal. La publicació d’una imatge d’una persona identificada o identificable és una cessió de dades personals que requereix el consentiment de la persona afectada, tant si pertany a la comunitat universitària (PAS, PDI, estudiants) com si no.

Ara bé, si les imatges es recullen en un acte públic, com ara la inauguració de l’any acadèmic, i amb finalitat informativa, no cal demanar el consentiment de les persones fotografiades o filmades, sempre que la imatge s'emmarqui en el context informatiu, no sigui l'objectiu principal de la càmera i no afecti la intimitat de la persona fotografiada o filmada.

5. Cessió de dades

Es poden penjar les llistes del procés de preinscripció a un tauler d’anuncis o a la web de la UIB?

Les proves d’accés a la Universitat i altres actes del procés de preinscripció són procediments administratius de concurrència competitiva subjectes al principi de publicitat i a les normes per notificar els actes administratius establertes a la Llei 30/1992 reguladora del procediment administratiu comú.

L’apartat 59.6.b) de la Llei esmentada garanteix el principi de publicitat en procediments de concurrència competitiva tot establint que la publicació de l’acte substitueix la notificació i té els mateixos efectes quan es tracti d’actes integrants d’un procediment selectiu o de concurrència competitiva de qualsevol tipus. La convocatòria ha d'indicar el tauler d'anuncis o els mitjans de comunicació on s'efectuaran les publicacions successives, i no tenen validesa les que es duguin a terme en llocs diferents.

Es pot penjar a un tauler d’anuncis un llistat de notes amb nom i cognoms dels estudiants?

La difusió de notes de qualificació a través dels taulons d’anuncis, constitueix un tractament de dades de caràcter personal dels estudiants amb habilitació legal, en virtud de la disposició addicional vint-i-unena de la Llei Orgànica 4/2007 d’Universitats (LOU), que estableix que no cal el consentiment dels estudiants per a la publicació dels resultats de les proves relacionades amb l’avaluació dels seus coneixements i competències ni dels actes que resultin necessaris per a l’adequada realització i el seguiment de l’avaluació esmentada.

Ara bé, la UIB ha establert que les qualificacions finals de les assignatures es publicaran a través de la plataforma UIBdigital en una llista amb noms i cognoms, sense DNI, i amb possibilitat de consulta només per als estudiants matriculats en cada grup assignatura, i que el termini d’exposició serà de fins a una setmana després de la data de revisió de les qualificacions fixada.

La publicació de qualsevol tipus de qualificació s’ha de realitzar amb nom i cognoms, amb la finalitat de garantir el control sobre possibles errors o arbitrarietats per part dels interessats.

Per què es publiquen les qualificacions acadèmiques a UIBdigital?

La UIB considera que seria manifestament contrari a la legislació de protecció de dades publicar les qualificacions acadèmiques de forma oberta, és a dir, permetre-hi el lliure accés a qualsevol persona. Per això ha establert que les qualificacions finals de les assignatures es publicaran a través de la plataforma UIBdigital amb possibilitat de consulta només per als estudiants matriculats en cada grup assignatura, i que el termini d’exposició serà de fins a una setmana després de la data de revisió de les qualificacions fixada.

En cas que per raons tècniques els professors no puguin utilitzar la plataforma UIBdigital, poden actuar de dues formes: penjar la llista a l’eina de Campus Extens, en format PDF o similar, amb les mateixes condicions exposades, o imprimir la llista i lliurar el document a les consergeries dels edificis per tal que els interessats, una vegada identificats, el puguin consultar segons les mateixes condicions exposades.

La publicació de qualsevol tipus de qualificació s’ha de realitzar amb nom i cognoms, amb la finalitat de garantir el control sobre possibles errors o arbitrarietats per part dels interessats.

Un professor pot accedir a l’expedient acadèmic d’un estudiant?

Els usuaris han de tenir accés només a aquells recursos necessaris per desenvolupar les tasques encomanades. Per poder realitzar la seva tasca docent, un professor té legitimitat per accedir als expedients acadèmics dels estudiants matriculats de les assignatures que imparteix, sempre que sigui amb una finalitat acadèmica.

L’accés no pot ser indiscriminada, sinó que cada professor només pot accedir a les dades dels seus estudiants de l’any acadèmic vigent i no estaria justificada l’accés a les dades de la resta d’estudiants. La UIB té implantats els controls d’accés necessaris per complir amb aquesta mesura de seguretat prevista a l’article 91 del Reglament de desplegament de la LOPD.

El pare o tutor d’un estudiant té dret a conèixer-ne les qualificacions acadèmiques?

En el cas d’un estudiant major d’edat, la UIB no pot comunicar-ne cap informació acadèmica al pare, tutor o representant legal atès que, sense el consentiment de l’estudiant, constituiria una cessió de dades personals no coberta per cap de les excepcions que contempla la normativa vigent en matèria de protecció de dades. Només si l’estudiant és menor d’edat (menor de 14 anys), el pare, tutor o representant legal té dret a sol·licitar a la Universitat les qualificacions del fill.

Els candidats a un òrgan de representació de la Universitat, tenen dret a utilitzar les dades personals del cens electoral per enviar informació de la seva candidatura?

En principi, aquesta possibilitat s’ha de preveure a la normativa electoral de la Universitat. Tant els Estatuts com la normativa electoral han d’establir la regulació del cens electoral i han de preveure quines dades ha de contenir el cens i l’ús que en pot fer cada candidatura en un procés electoral.

En cas contrari, cal aplicar el que preveu l’article 41.5 de la Llei orgànica 5/1985 reguladora del règim electoral general, que estableix que les candidatures poden obtenir, dins els dos dies següents a la proclamació, còpia del cens electoral corresponent, ordenat per meses.

La UIB s’inclina per alternatives tecnològiques que permeten satisfer les obligacions del règim electoral general sense comunicar dades de caràcter personal als candidats. Així, té implantat un sistema de llistes de distribució que permet enviar missatges amb informació electoral de manera que els candidats només coneixen una adreça genèrica i no assumeixen cap responsabilitat pel que fa al tractament de les dades de caràcter personal.

La Universitat pot cedir dades personals de PAS, PDI o estudiants al Síndic de Greuges?

La Llei orgànica 6/2001, d’Universitats (LOU) preveu la figura del defensor universitari per vetllar pel respecte als drets i les llibertats dels professors, estudiants i personal d'administració i serveis, davant les actuacions dels diferents òrgans i serveis universitaris.

El Síndic de Greuges, nom que reb el defensor universitari a la UIB, és l'òrgan encarregat de defensar i protegir els drets i les llibertats de tots els membres de la comunitat universitària davant les actuacions dels diferents òrgans i serveis universitaris. Les seves actuacions han d’anar sempre adreçades a la millora de la qualitat universitària en tots els àmbits. A aquests efectes, pot supervisar les activitats universitàries, tot respectant els drets i les llibertats individuals.

En la mesura que les dades a cedir per la UIB tinguin com a finalitat complir amb les funcions pròpies del Síndic de Greuges, la cessió estaria autoritzada per una llei i exempta, per tant, del consentiment de l’afectat. Altrament, el consentiment és imprescindible.

Els representants sindicals tenen dret a utilitzar l’adreça electrònica corporativa dels treballadors de la UIB per enviar-los informació sindical?

Com a informació alfanumèrica referent a una persona física la identitat de la qual es pot determinar, directament o indirecta, l’adreça electrònica corporativa és una dada personal. La comunicació de les adreces dels treballadors als representants sindicals és una cessió de dades habilitada legalment per una de les excepcions al consentiment previstes per la normativa de protecció de dades personals.

L’article 8 de la Llei orgànica 11/1985, de llibertat sindical habilita que es comuniquin les adreces electròniques, tant dels afiliats a un sindicat com dels treballadors en general, a les seccions sindicals dels sindicats més representatius i d’aquells que tinguin representació en els òrgans de representació establerts, amb la finalitat de facilitar la difusió dels avisos que els puguin interessar.

La UIB garanteix la representació dels diferents sectors de la comunitat universitària però s’inclina per alternatives tecnològiques que permeten satisfer les obligacions de la llibertat sindical sense comunicar dades de caràcter personal als representants sindicals. Per una banda, la web institucional conté un espai per als òrgans de representació on, tant la Comissió de Representants del personal (juntes de personal i comitès d’empresa) com els treballadors, poden compartir qualsevol qüestió d’interès i/o enllaçar amb les webs pròpies o les xarxes socials on tenen perfil. Per altra banda, la UIB té implantat un sistema de llistes de distribució que permet enviar missatges amb informació sindical de manera que els òrgans de representació sindical només coneixen una adreça genèrica i no assumeixen cap responsabilitat pel que fa al tractament de les dades de caràcter personal.

Els sindicats tenen dret a utilitzar l’adreça electrònica corporativa dels treballadors de la UIB per enviar-los informació sindical?

Com a informació alfanumèrica referent a una persona física la identitat de la qual es pot determinar, directament o indirecta, l’adreça electrònica corporativa és una dada personal. La comunicació entre el sindicat i els treballadors, afiliats o no, és un element essencial del dret fonamental a la llibertat sindical, atès que la transmissió d’informació d’interès sindical és el fonament de la participació, permet l’exercici de l’acció sindical i promou el desenvolupament de la democràcia i del pluralisme sindical.

Com diu la sentència 281/2005 del Tribunal Constitucional, «sobre el empresario pesa el deber de mantener al sindicato en el goce pacífico de los instrumentos aptos para su acción sindical siempre que tales medios existan, su utilización no perjudique la finalidad para la que fueron creados por la empresa y se respeten los límites y reglas de uso».

La UIB s’inclina per alternatives tecnològiques que permeten satisfer les obligacions de la llibertat sindical sense comunicar dades de caràcter personal als sindicats. Així, la web institucional conté un espai per als òrgans de representació on els sindicats amb representació poden compartir informació sindical i/o enllaçar amb les webs pròpies.

La FUEIB pot utilitzar l’adreça electrònica dels estudiants, o dels antics alumnes, de la UIB per enviar-los informació sobre cursos de postgrau i d’altres?

La Fundació Universitat-Empresa de les Illes Balears (FUEIB) és una fundació cultural privada de caràcter permanent, amb caràcter de mitjà propi de la UIB. La utilització de l’adreça electrònica d’estudiants, o d’antics alumnes, de la UIB per part de la FUEIB implica una cessió de dades realitzada per una Administració Pública a una persona jurídica privada, supòsit que no està cobert per cap de les excepcions al consentiment previstes a l’article 11 de la LOPD.

Només la UIB pot adreçar-se directament als estudiants, o als antics alumnes, per mantenir-los informats sobre coses que els poden interessar, sempre que el tipus d’informació sigui compatible amb la finalitat dels fitxers d’estudiants que gestiona.

Quan la FUEIB, o qualsevol altra entitat o empresa, vol enviar informació als estudiants, o als antics alumnes, ha de sol·licitar les adreces a la UIB d’acord amb el procediment establert i, en cas d’autoritzar-ne la cessió, la UIB només cedeix l’adreça d’aquells estudiants que hi han atorgat el consentiment durant el procés de matrícula.

L’AQUIB pot accedir als fitxers de dades del personal que treballa a la UIB?

L’Agència de Qualitat Universitària de les Illes Balears (AQUIB) és una entitat de dret públic (un consorci), creada amb la participació del Govern de les Illes Balears i de la Universitat de les Illes Balears, amb reconeixement legislatiu com a institució responsable de l’avaluació del sistema universitari de les Illes Balears per la Llei 2/2003 de 20 de març, d’organització institucional del sistema universitari de les Illes Balears.

Les funcions que té atribuïdes l’AQUIB inclouen l’avaluació i l’acreditació del personal docent i investigador contractat en el marc del sistema universitari a les Illes Balears i la valoración dels mèrits del personal docent i investigador, funcionari i contractat, en el marc del sistema universitari a les Illes Balears, per poder percebre complements retributius.

Per a l’exercici de les funcions que té encomanades, l’AQUIB pot demanar als òrgans de les institucions corresponents la informació necessària, i tenir accés a la documentació existent, sense perjudici del règim de protecció de la confidencialitat de les dades de caràcter personal. Els òrgans de l’AQUIB, el personal que hi treballa i els tècnics interns o externs que realitzen les corresponents avaluacions han de preservar la confidencialitat de les dades, de la informació i de la documentació que empren.

Les funcions que té atribuïdes l’AQUIB no inclouen l’avaluació del personal d’administració i serveis.

L’AQUIB pot accedir als fitxers de dades dels estudiants matriculats a la UIB?

L’Agència de Qualitat Universitària de les Illes Balears (AQUIB) és una entitat de dret públic (un consorci), creada amb la participació del Govern de les Illes Balears i de la Universitat de les Illes Balears, amb reconeixement legislatiu com a institució responsable de l’avaluació del sistema universitari de les Illes Balears per la Llei 2/2003 de 20 de març, d’organització institucional del sistema universitari de les Illes Balears.

Les funcions que té atribuïdes l’AQUIB no inclouen l’avaluació dels estudiants.

6. Videovigilància

Es poden posar càmeres de videovigilància a les aules?

La instal·lació de càmeres de videovigilància i els tractaments posteriors de les imatges, o de les imatges i veus, que se’n derivin estan subjectes a la normativa sobre protecció de dades personals, sens perjudici d’altra normativa aplicable i del respecte a altres drets fonamentals, com ara el dret a la intimitat i a la pròpia imatge.

Cal tenir present que la instal·lació de càmeres a l’interior de les aules comporta una intromissió en els drets dels alumnes que pot afectar el seu lliure desenvolupament.

Es poden posar càmeres de videovigilància als despatxos?

La instal·lació de càmeres de videovigilància i els tractaments posteriors de les imatges, o de les imatges i veus, que se’n derivin estan subjectes a la normativa sobre protecció de dades personals, sens perjudici d’altra normativa aplicable i del respecte a altres drets fonamentals, com ara el dret a la intimitat i a la pròpia imatge.

Cal tenir present que pot resultar no-adequada al principi de proporcionalitat la utilització de sistemes de videovigilància en l’àmbit laboral amb la finalitat exclusiva de controlar el rendiment dels treballadors. En la mesura que no sigui necessari per a la seguretat de persones i instal·lacions, convé evitar la captació de forma continuada d’imatges de les persones en el seu lloc de treball.

7. Mesures de seguretat

Quin és el procediment a seguir en cas d’una incidència de seguretat a la UIB?

Qualsevol persona que formi part de la plantilla de la UIB, o s’hi trobi prestant els seus serveis temporalment, ha de notificar immediatament l‘administrador del sistema o el responsable de seguretat, qualsevol incidència o anomalia que detecti i que afecti o pugui afectar la seguretat, la integritat i/o la disponibilitat de les dades.

La notificació d’una incidència es pot realitzar per telefòn o per UIBdigital, amb el formulari corresponent.

El notificador ha de comunicar la incidència especificant, al menys, les dades següents:

  • Data i hora
  • Descripció de la incidència
  • Persona que notifica
  • Destinataris de la comunicació (amb còpia per al responsable de seguretat

Per la seva banda, l’administrador informàtic ha de completar el registre amb les dades següents:

  • Número de registre de la incidència
  • Tipus d’incidència
  • Impacte de la incidència
  • Referència (número de registre d’incidència associat, si està relacionada amb una incidència anterior)