Ley orgánica de protección de datos

Normativa

Document de seguretat

 

Ejercicio de los derechos ARCO

Ejercicio de los derechos de acceso, rectificación, cancelación y oposición previstos en la Ley 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) y a la normativa que la desarrolla

  1. El control sobre nuestros datos personales se ejerce a través de los llamados derechos ARCO (acceso, rectificación, cancelación y oposición) o derechos de habeas data, que dan a la persona la potestad de proteger esta información de exigir su control efectivo.
  2. Puede ejercer el derecho la persona afectada o un representante en su nombre (en el caso de menores de 14 años, personas discapacitadas, personas mayores de 14 años si la ley lo exige, o cuando la persona afectada designe voluntariamente a alguien que la represente).
  3. El derecho de acceso. El ejercicio de dicho derecho consiste en pedir información sobre los datos personales incluidos en un fichero.
  4. El derecho de rectificación. El ejercicio de este derecho tiene por finalidad que los datos personales respondan con veracidad a la situación actual de la persona interesada. Hay que aportar documentación justificativa de la rectificación solicitada.
  5. El derecho de cancelación. El ejercicio de este derecho tiene por finalidad la cancelación de un dato que resulte innecesario o no pertinente para la finalidad para la que fue recogido. El dato será bloqueado, es decir: identificado y reservado con la finalidad de impedir su trato. Hay que aportar documentación justificativa de la cancelación solicitada.
  6. El derecho de oposición. El ejercicio de este derecho tiene por finalidad la exclusión dle trato de los datos personales o el cese del trato en los supuestos del artículo 34 del Real decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD. Hay que aportar documentación que acredite los motivos fundamentales y legítimos de oposición solicitada.
  7. En referencia a la videovigilancia, los derechos se ejercen de conformidad con lo que dispone el artículo 5.1 de la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el Trato de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.
  8. Para ejercer los derechos ARCO en cuanto a datos facilitados a la UIB, hay que dirigirse por escrito a: Universidad de las Illes Balears, a la atención del responsable de seguridad en materia de protección de datos de carácter personal, cra. de Valldemossa, km 7,5, 07122 Palma (Illes Balears).
  9. La UIB pone a disposición de los interesados formularios para ejercer cada uno de los derechos ARCO de manera sencilla y gratuita.

 

 

Videovigilància

Solicitud de cesión de datos personales de estudiantes

Solicitud de cesión de datos personales de estudiantes con finalidades académicas o laborales (empresas o entidades externas a la UIB). Procedimiento a seguir

  1. La cesión de datos personales se rige por la Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD).
  2. La solicitud de cesión de datos personales de terceras personas se debe hacer por escrito, mediante el formulario correspondiente, que se puede rellenar electrónicamente y enviar, como documento adjunto, al responsable de seguridad en materia de protección de datos de carácter general, a la dirección csweeney@uib.cat.
    Si se envía el formulario en papel, debe ir firmado y con la fecha de entrada en el Registro General.
  3. Hay que especificar, en la solicitud, los datos que se pide (p.ej., nombre, dirección, teléfono/s, dirección electrónica, estudios o titulación), el/los colectivo/s afectado/s, las condiciones de selección y la finalidad de los datos solicitados.
  4. La presentación de una solicitud de cesión de datos personales compromete a la persona que la presenta a guardar la confidencialidad de los datos cedidos y a hacer uso suyo exclusivamente para la finalidad expresada.
  5. Cada solicitud será objeto de estudio para no incumplir la normativa vigente, y será autorizada o denegada de acuerdo con lo que se prevé en el artículo 11 de la LOPD sobre la comunicación de datos.
  6. La cesión de datos especialmente protegidos se ajustará a lo que prevé el artículo 7 de la LOPD.
  7. No se dará ningún dato personal de terceras personas por teléfono.
  8. Para cualquier duda o aclaración, se puede dirigir a la responsable de seguridad en materia de protección de datos de carácter personal, por correo electrónico a csweeney@uib.cat o por teléfono a la extensión 30 66.

 

 

Preguntas frecuentes (FAQs) sobre protección de datos de carácter personal

Preguntas generales

  1. Ámbito de aplicación
  2. Conceptos generales
  3. Consentimiento
  4. Cesión de datos
  5. Videovigilancia
  6. Medidas de seguridad

1. Ámbito de aplicación

¿Es aplicable la normativa de protección de datos de carácter personal a los organismos públicos?

La LOPD es aplicable a lo datos de carácter personal registrados en soporte físico, que las haga susceptibles de trato, y a cualquier modalidad de uso posterior de estos datos por los sectores público y privado.

Afecta a todos los organismos (públicos y privados) que tratan (en papel o en soporte electrónico) datos de personas físicas (empleados, colaboradores, clientes...) para garantizar el derecho fundamental a la intimidad y la privacidad.

No es aplicable a los datos de personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios, consistentes únicamente en el nombre y apellidos, las funciones o lugares ejercidos, así como la dirección postal o electrónica, teléfono y número de fax profesionales.

¿Es aplicable la normativa de protección de datos a los ficheros en formato papel?

La normativa es aplicable a cualquier trato de datos de personas físicas, en papel o en soporte electrónico.

¿Los trámites de la administración electrónica están sujetos al régimen de protección de datos de carácter personal?

Para que la administración electrónica se desarrolle adecuadamente resulta indispensable aplicar la LOPD. El respeto al derecho fundamental a la protección de datos es un elemento esencial que, en ningún caso, se puede obviar a la hora de implantar la e-administración en un organismo público. Para conseguir este objetivo, hay que analizar los procedimientos de la e-administración desde el punto de vista del cumplimiento de la LOPD, con un análisis del impacto en la privacidad.

¿Es aplicable la normativa de protección de datos a las personas muertas?

El Reglamento de despliegue de la LOPD no es aplicable a los datos referidos a personas muertas. No obstante, las personas vinculadas a la muerte, por razones familiares o análogas, se pueden dirigir a los responsables de los ficheros o tratos que contengan datos de la persona muerta con la finalidad de notificar el óbito, aportando la acreditación suficiente y solicitar, cuando proceda, la cancelación de los datos.

2. Conceptos generales

¿Qué principios rigen la normativa de protección de datos?

Los principios de la proporcionalidad, de la calidad de los datos, del deber de información en la recogida, del consentimiento del afectado, de los datos especialmente protegidos, de la seguridad de los datos, del deber de secreto, de la comunicación de datos y del acceso a los datos por cuenta de terceros. 

¿Qué es el principio de calidad de los datos?

Los datos de carácter personal solo se pueden recoger y tratar cuando sean adecuados, pertinentes y no excesivos con relación al ámbito y las finalidades determinadas, explícitas y legítimas para las que se han obtenido.

La ley establece un conjunto de reglas que indican al responsable del fichero como debe de recoger, almacenar y utilizar los datos de carácter personal para que el trato de los datos pueda ser considerado «leal y lícito».

¿Qué es un dato de carácter personal?

Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo referente a personas físicas identificadas o identificables.

Una persona identificable es cualquier persona cuya identidad se pueda determinar, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considera identificable si la identificación requiere plazos o actividades desproporcionadas.

¿La dirección electrónica es un dato personal?

Como información alfanumérica referente a una persona física cuya identidad se puede determinar, directa o indirectamente, la dirección electrónica es un dato personal.

¿Qué son datos especialmente protegidos?

Los datos de carácter personal que hagan referencia al origen racial o étnico, a la salud y a la vida sexual solo pueden ser recogidos, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado lo consienta expresamente.

Los datos de carácter personal que revelen la ideología, la afiliación sindical, la religión y las creencias, y solo puedan ser objeto de trato con el consentimiento expreso y por escrito del afectado.

¿Qué se considera trato de datos?

Cualquier operación o procedimiento técnico, ya sea automatizado o no, que permita la recogida, grabación, conservación, elaboración, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

¿Qué es un fichero?

Cualquier conjunto organizado de datos de carácter personal que permita el acceso a los datos de acuerdo con unos criterios determinados, sea cual sea la forma o modalidad de su creación, almacenaje, organización y acceso.

¿Qué derechos tienen los ciudadanos en el ámbito de la protección de datos de carácter personal?

Los derechos de acceso, rectificación, cancelación y oposición (derechos ARCO) forman parte esencial del derecho fundamental a la protección de datos.

El derecho de acceso permite al ciudadano dirigirse al responsable de un fichero determinado para pedir información sobre los datos personales incluidos en un fichero para conocer, de manera gratuita, la existencia de trato de los datos, la finalidad, el origen de los datos y las comunicaciones realizadas o previstas.

El derecho de rectificación tiene por finalidad corregir los datos personales inexactos o incompletos de manera que los datos personales respondan con veracidad a la situación actual del interesado. Hay que aportar documentación justificativa de la rectificación solicitada.

El derecho de cancelación tiene como finalidad dar de baja un dato que resulte innecesario o no pertinente para la finalidad para la que fue recogida. La cancelación de los datos personales no implica necesariamente que los destruyan de manera inmediata, sino que se bloqueen. Hay que aportar documentación justificativa de la cancelación solicitada.

El derecho de oposición tiene como finalidad la exclusión del trato de los datos personales o el cese del trato en los supuestos previstos en el Reglamento de despliegue de la LOPD hay que aportar documentación que acredite los motivos fundamentales y legítimos de la oposición solicitada.

3. Consentimiento

¿Es necesario el consentimiento de la persona afectada para tratar sus datos personales?

El consentimiento* es cualquier manifestación de la voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consiente el trato de datos personales que le conciernen. El trato de los datos de carácter personal requiere el consentimiento inequívoco del afectado, excepto si la ley disponen otra cosa.

No es necesario el consentimiento cuando:

  • los datos de carácter personal se recogen para el ejercicio de las funciones propias de las administraciones públicas en el ámbito de sus competencias
  • se refieren a las partes de un contrato o negocio, y son necesarios para su mantenimiento o cumplimiento
  • el trato tienen como finalidad proteger un interés vital de la persona interesada
  • los datos figuran en fuentes accesibles al público

ATENCIÓN: cambios previsto en la propuesta de Reglamento general de protección de datos generales de la UE (véase el artículo de Antonio Troncoso, en la revista de la UOC, IDP Nº 15, noviembre de 2012)

¿Es necesario el consentimiento de la persona afectada para tratar datos de salud?

Los datos de carácter personal que hagan referencia a la salud pueden ser objeto de trato cuando sea necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o de tratos médicos o la gestión de servicios sanitarios, siempre que el trato de datos lo efectúe un profesional sanitario sujeto al secreto profesional o otra persona sujeta a una obligación equivalente de secreto.

Los datos de salud solo pueden ser recogidos, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado lo consiente expresamente.

¿Es necesario el consentimiento de los padres para tratar datos personales de menores de edad?

Hay que obtener el consentimiento del padre o tutor en el caso de menores de 14 años o de personas discapacitadas.

¿El consentimiento siempre debe de ser expreso o por escrito?

Según el caso, el consentimiento se puede obtener de manera expresa o tácita*, siempre que se garantice el derecho de información en la recogida de datos.

En caso de rellenar una solicitud, el consentimiento para recoger y tratar los datos personales es tácito.

En caso de datos especialmente protegidos (relativos al origen racial o étnico, a la salud y a la vida sexual), el consentimiento debe ser siempre expreso, aunque no necesariamente escrito.

En el caso de datos relativos a la ideología, la afiliación sindical, la religión y las creencias, el consentimiento expreso debe ser por escrito.

ATENCIÓN:cambios  previstos en la propuesta de Reglamento general de protección de datos personales de la UE (véase el artículo de Antonio Troncoso, en la revista de la UOC, IDP Nº 15, noviembre de 2012)

¿Se pueden ceder/comunicar datos a otra persona o entidad sin el consentimiento del titular?

Por regla general —la normativa establece una serie de excepciones—, los datos de carácter personal solo pueden ser comunicados a un tercero para el cumplimiento de finalidades directamente relacionadas con las funciones legítimas del cedente y del cesionario con el consentimiento previo del interesado. Este consentimiento tiene carácter revocable. Si se prevé ceder los datos personales recogidos, el afectado debe ser informado previamente, durante la recogida de los datos, de la finalidad y del destinatario de la cesión.

No se considera comunicación de datos el acceso de un tercero a los datos cuando el acceso sea necesario para la prestación de un servicio al responsable del fichero. Solo se pueden compartir datos personales entre entidades jurídicas distintas si la relación está formalizada por un contrato de prestación de servicios debidamente formalizado o si existe alguna ley que lo autorice. 

¿Se puede publicar la foto de una persona sin su consentimiento?

Una información gráfica o fotográfica (una imagen) que identifica o que permite determinar la identidad de una persona sin un esfuerzo desproporcionado es un dato de carácter personal. La publicación de una foto de una persona identificada o identificable es una cesión de datos personales que requiere el consentimiento de la persona afectada.

Ahora bien, si las imágenes se recogen en un lugar público y con finalidad informativa, no es necesario pedir el consentimiento de las personas fotografiadas, siempre que la imagen se enmarque en el contexto informativo, no sea el objetivo principal de la cámara y no afecte a la intimidad de la persona fotografiada.

¿Se pueden publicar datos personales en una noticia de un diario o en una web?

El derecho fundamental a la protección de datos de carácter personal no es un derecho absoluto y puede chocar con  —y pueden prevalecer— otros derechos fundamentales , como el derecho a la libertad de expresión (la manifestación de una opinión) o el derecho de información (el derecho que tiene cualquier persona a dar y a recibir información).

Si los datos se publican en el contexto informativo, con finalidad informativa, no hay que pedir el consentimiento de la persona afectada.

4. Cesión de datos

¿Se pueden ceder/comunicar datos personales entre diferentes administraciones públicas?

Se pueden comunicar datos personales entre administraciones públicas, sin el consentimiento del afectado, cuando la cesión esté autorizada en una ley o tenga por objeto el trato posterior de los datos con finalidades históricas, estadísticas o científicas.

¿Se pueden transferir datos personales a cualquier país?

Por regla general —la normativa establece una serie de excepciones—, no se pueden hacer transferencias internacionales de datos, es decir, movimientos que supongan una transmisión de datos fueran del territorio del Espacio Económico Europeo, sin la autorización previa del Director de la Agencia Española de Protección de Datos (AEPD), cuando la transferencia tenga por destino un Estado respecto al que la Comisión Europea no ha declarado que haya un nivel adecuado de protección o el director de la Agencia Española de Protección de Datos no lo considera. No es necesaria la autorización cuando la transferencia se encuentre en uno de los supuestos que prevén los apartados a) a j) del artículo 34 de la LOPD.

En todo caso, la transferencia internacional de datos debe ser notificada para proceder a su inscripción en el Registro General de Protección de Datos y, si la transferencia internacional se refiere a datos de un fichero ya inscrito y no consta la transferencia internacional en la inscripción, hay que solicitar una modificación del fichero para que conste expresamente en los términos fijados por la normativa vigente.

5. Videovigilancia

¿Se pueden poner cámaras de videovigilancia en cualquier lugar?

La instalación de cámaras de videovigilancia comporta una recogida de datos consistentes en imágenes de personas que pueden ser identificadas o identificables, que tienen la consideración de datos personales en la medida que permitan la identificación efectiva de una persona. Por esto, la instalación de un sistema de videovigilancia y los tratos posteriores de las imágenes, o de las imágenes y voces, que se deriven están sujetos a la normativa sobre protección de datos personales, sin perjuicio de otra normativa aplicable y del respeto a otros derechos fundamentales, como el derecho a la intimidad y a la propia imagen.

En referencia a la ubicación de las cámaras, hay que buscar una orientación que evite la captación incidental de imágenes de la vía pública o de personas que se reúnen en un lugar de descanso y conviene evitar la utilización de sistemas de videovigilancia en el ámbito académico o laboral, dado que puede resultar no-adecuado al principio de proporcionalidad en la medida que no sea necesario para la seguridad de personas e instalaciones.

6. Medidas de seguridad

¿Qué es una incidencia en el ámbito de la protección de datos personales?

Se entiende por incidencia cualquier anomalía que afecte o pueda afectar a la seguridad de los datos (por ejemplo, una caída súbita de tensión que apague los sistemas, o un acceso indebido de terceros ajenos, o la pérdida de soportes físicos como CD-ROM, memorias o discos portátiles USB, etc.).

Algunos ejemplos de incidencias podrían ser:

  • Olvido de contraseña
  • Sospecha de uso indebido de contraseña
  • Pérdida de soportes informáticos
  • Infección por virus de un archivo o de una aplicación
  • Accesos no autorizados a dependencias que contienen sistemas de información con datos protegidos
  • Envío de información personal a una dirección equivocada
  • Entrega de información sensible a personas ajenas
  • Avería de disco duro que provoque pérdida de datos
  • Caída de la red
  • Petición de recuperación de datos

¿Quién es el responsable de seguridad en materia de protección de datos?

El responsable de seguridad es una figura prevista en los artículos 95 y 109 del RLOPD, que regulan las medidas de seguridad de nivel medio. Tiene como finalidad coordinar y controlar las medidas definidas en el documento de seguridad.

El responsable de seguridad no responde personalmente en ningún caso por las infracciones del responsable del fichero, solo será responsable de sus propios actos si de estos se derivan otras responsabilidades en el plano civil o penal. 

Preguntas específicas sobre la UIB

  1. Ámbito de aplicación
  2. Conceptos generales
  3. Obligaciones
  4. Consentimiento
  5. Cesión de datos
  6. Videovigilancia
  7. Medidas de seguridad

1. Ámbito de aplicación

¿Es aplicable la normativa de protección de datos a la UIB?

La LOPD es aplicable a todos los organismos (públicos y privados) que tratan (en papel o en soporte electrónico) datos de personas físicas (trabajadores, estudiantes, colaboradores...) para garantizar el derecho fundamental a la intimidad y la privacidad.

No es aplicable a los datos de la UIB como persona jurídica, ni a los ficheros que se limitan a incorporar los datos del personal de administración y servicios o docente e investigador que prestan sus servicios, consistentes únicamente en el nombre y apellidos, las funciones o lugares ejercidos, así como la dirección postal o electrónica, teléfono y número de fax profesionales.

¿Se puede publicar/difundir en la web de la UIB el nombre, apellidos y datos de contacto de todo el personal que trabaja en la UIB?

Los tratos de datos personales que consisten en la publicación de datos de manera que sean accesibles para una pluralidad indeterminada de personas pertenecen al ámbito de aplicación de la normativa de protección de datos.

Sin embargo, la normativa no es aplicable a los datos de personas jurídicas, ni a los ficheros que se limitan a incorporar los datos de las personas físicas que prestan sus servicios, consistentes únicamente en el nombre y apellidos, las funciones o lugares ejercidos, así como la dirección postal o electrónica, teléfono y número de fax profesionales.

Si los datos del PAS o PDI aparecen vinculados, exclusivamente, a la actividad en el entorno profesional y en el marco de la integración profesional en la persona jurídica (UIB), y siempre que se limiten a los datos mencionados, estarían excluidos del marco de aplicación de la normativa sobre protección de datos de carácter personal y la UIB, por lo tanto, las podría publicar en la web sin el consentimiento de los afectados.

¿Se pueden publicar/difundir en la web de la UIB el nombre, apellidos y datos de contacto de los estudiantes matriculados?

Los tratos de datos personales que consisten en la publicación de datos de manera que sean accesibles para una pluralidad indeterminada de personas pertenecen al ámbito de aplicación de la normativa de protección de datos. La publicación de datos personales de los estudiantes en la web de la UIB supondría una cesión indiscriminada de datos a terceras personas que, excepto que una norma con rango de ley lo autorice, requiere el consentimiento de los estudiantes. Como titular de los datos personales publicados, el estudiante afectado puede ejercer, gratuitamente, el derecho de oposición a la difusión.

2. Conceptos generales

¿Cómo puedo saber qué ficheros tiene inscritos la UIB en el Registro General de Protección de Datos (RGPD)?

La inscripción de un fichero se puede consultar en el Catálogo de ficheros inscritos en el RGPD, en la sección de Ficheros inscritos de la página web de la Agencia Española de Protección de Datos https://www.agpd.es/portalwebAGPD/index-ides-idphp.php.

¿Quién es el responsable de los datos de carácter personal que contienen los ficheros de la UIB?

La propia UIB es la responsable como persona jurídica, de naturaleza pública, que decide sobre la finalidad, el contenido y el uso del trato de los datos de carácter personal que contienen sus ficheros.

¿La dirección electrónica corporativa @uib es un dato personal?

Como información alfanumérica referente a una persona física cuya identidad se puede determinar, directa o indirectamente, la dirección electrónica es un dato personal. Como dato de persona física que presta sus servicios a una persona jurídica, la dirección electrónica corporativa, o profesional, queda excluida de la normativa de protección de datos de carácter personal.

3. Obligaciones

¿Qué obligaciones tiene la UIB en materia de protección de datos de carácter personal?

Para respetar las garantías que establece la LOPD para proteger la intimidad y otros derechos fundamentales de las personas físicas, como responsable del fichero la UIB tiene las obligaciones siguientes:

  • notificar a la Agencia Española de Protección de Datos los ficheros de datos de carácter personal que gestiona para que queden inscritos en el Registro General de Protección de Datos
  • recoger, tratar y ceder los datos de carácter personal aplicando los principios de la protección de datos
  • garantizar el derecho de información en la recogida de datos para que las personas puedan saber quien recoge sus datos, por qué los recoge, quien será el destinatario, qué derechos le asisten y dónde se debe dirigir para ejercerlos
  • facilitar a las personas el ejercicio de sus derechos de acceso, rectificación, cancelación y oposición con un procedimiento sencillo y gratuito
  • guardar secreto profesional sobre los datos de carácter personal que recoge y trata y adoptar las medidas necesarias para garantizar la confidencialidad de los datos
  • asegurar que todo el personal en su servicio conoce su obligación de guardar secreto respecto a los datos personales a los que tiene acceso, obligación que subsiste incluso tras finalizar el vínculo que se tiene
  • implantar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, trato o acceso no autorizado
  • legitimar las transferencias internacionales de datos aplicando las garantías que la LOPD establece para este supuesto

¿Cómo cumple la UIB con el deber de información en la recogida de datos?

UIBdigital, la herramienta que permite acceder a los servicios telemáticos de la UIB, permite que el usuario (PAS, PDI o estudiante) personalice su espacio web, los datos con los que se presenta al resto de la comunidad universitaria y la gestión de sus credenciales. En cumplimiento de lo que dispone la LOPD, el apartado 'Datos personales' incluye una nota o leyenda que informa al usuario de la existencia de un fichero o trato de datos de carácter personal, de la finalidad de la recogida de los datos, del carácter obligatorio o facultativo de sus respuestas, de la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición, y de la identidad y dirección de la UIB, responsable del trato.

Los formularios de inscripción, en línea o en papel, que utilizan los departamentos, servicios y unidades académicas y administrativas de la UIB para recoger datos de carácter personal, incluyen una nota o leyenda informativa similar.

¿Qué procedimiento tiene la UIB para garantizar el ejercicio de los derechos ARCO?

Para ejercer los derechos de acceso, rectificación, cancelación y oposición (ARCO) en cuanto a datos facilitados a la UIB, hay que dirigirse por escrito a: Universidad de las Illes Balears, a la atención del responsable de seguridad en materia de protección de datos de carácter personal, cra. de Valldemossa, km 7,5, 07122 Palma (Illes Balears). La UIB pone a disposición de los interesados formularios para ejercer cada uno de los derechos ARCO de manera sencilla y gratuita. Tanto el procedimiento como los formularios están al alcance en la Sede electrónica y en todas las conserjerías y secretarías del centro.

Los derechos ARCO se ejercen ante la Secretaría General, excepto datos facilitados en la Oficina de Soporte a la Investigación (OSR) o incluidas en el fichero «Sindicatura de Greuges».

¿Qué plazos tiene la UIB para responder al ejercicio de un derecho ARCO?

En referencia al ejercicio del derecho de acceso, el plazo de respuesta es de un mes máximo a partir de la recepción de la solicitud. En el caso de personas que tienen una cuenta en UIBdigital, no hacen falta plazos formales, dado que la plataforma permite el acceso en línea a los datos personales del usuario.

En referencia al ejercicio de los otros derechos, el plazo de respuesta es de diez días a partir de la recepción de la solicitud.

4. Consentimiento

¿La UIB necesita el consentimiento del personal (PAS y PDI) para recoger y tractar sus datos personales?

De manera excepcional, los datos de carácter personal solo se pueden tratar sin el consentimiento de su titular cuando este no sea exigible de acuerdo con lo que disponen las leyes. Uno de los supuestos en el que la LOPD establece que no es exigible el consentimiento del titular es cuando los datos se refieren a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sea necesarios para su mantenimiento o cumplimiento.

¿La UIB necesita el consentimiento de los estudiantes para recoger y tratar sus datos personales?

De manera excepcional, los datos de carácter personal solo se pueden tratar sin el consentimiento de su titular cuando este no sea exigible de acuerdo con lo que disponen las leyes. Uno de los supuestos en el que la LOPD establece que no es exigible el consentimiento del titular es cuando los datos se crogen para el ejercicio de las funciones propias de las administraciones públicas en el ámbito de sus competencias. Otro establece que no es exigible el consentimiento del titular cuando los datos se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento.

¿La UIB necesita el consentimiento del personal para confeccionar la tarjeta universitaria?

La UIB ofrece a su personal (PAS, PDI, contratados,...) una tarjeta que permite, entre otros, acreditarse como miembros de la comunidad universitaria, identificarse electrónicamente (por ejemplo, para el control horario del PAS), llevar de forma segura un certificado digital y su uso, opcional, como tarjeta financiera. La tarjeta universitaria se debe solicitar en UIBdigital y la emiten diferentes entidades financieras, con las que la UIB tiene firmados contratos para la confección de la tarjeta. En cumplimiento de lo que dispone la LOPD, el apartado 'Tarjeta UIB', en 'Gestiones y servicios', informa al usuario de que, con la solicitud, otorga el consentimiento para ceder sus datos a la entidad financiera escogida, que debe emitir la tarjeta universitaria bajo las instrucciones de la UIB.

¿La UIB necesita el consentimiento de los estudiantes para confeccionar la tarjeta universitaria?

La UIB ofrece a los estudiantes una tarjeta que permite, entre otros, acreditarse como miembros de la comunidad universitaria, identificarse electrónicamente (por ejemplo, para imprimir en las copisterías desde las aulas informáticas), llevar de forma segura un certificado digital y su uso, opcional, como tarjeta financiera. La tarjeta universitaria se debe solicitar en UIBdigital y la emiten diferentes entidades financieras, con las que la UIB tiene firmados contratos para la confección de la tarjeta. En cumplimiento de lo que dispone la LOPD, el apartado 'Tarjeta UIB', en 'Gestiones y servicios', informa al usuario que, con la solicitud, otorga el consentimiento para ceder sus datos a la entidad financiera escogida, que debe emitir la tarjeta universitaria bajo las instrucciones de la UIB.

¿La UIB puede ceder/comunicar datos de los estudiantes a una empresa o otra entidad que lo pida?

La regla general —la normativa establece una serie de excepciones— es que para comunicar datos personales a un tercero es necesario el consentimiento del titular de estos datos. Por esto, la UIB utiliza, durante el proceso de matrícula en UIBdigital, una leyenda con cláusulas de consentimiento explícito, si procede, para la cesión de datos a las empresas y entidades que lo soliciten con finalidades académicas o laborales, durante los estudios y/o durante los cinco años siguientes, una vez terminados los estudios. En caso de autorizar una cesión de datos de estudiantes, la UIB solo cede los datos de aquellos que le han otorgado el consentimiento.

¿Se  pueden grabar los exámenes orales?

La grabación de exámenes orales (imagen y voz) es un trato de datos que requiere el consentimiento del afectado, salvo que una norma legal disponga otra cosa.

El artículo 30 del Reglamento académico de la Universidad estipula que los exámenes o pruebas orales finales serán grabados para permitir una posterior revisión de la calificación, salvo en los casos siguientes : a) que el profesor ofrezca al estudiante la posibilidad de renunciar al derecho de que le graben y el estudiante lo acepte por escrito; b) que el examen se produzca frente a un tribunal. Las pruebas o intervenciones orales que formen parte de un proceso de evaluación continua no es necesario que sean grabadas, siempre que se puedan desarrollar en presencia del resto de estudiantes de la asignatura.

¿Se pueden publicar/difundir en la web de la UIB fotos y vídeos en los que aparecen personas que no pertenecen a la comunidad universitaria?

Una información gráfica o fotográfica (una imagen) que identifica o que permite determinar la identidad de una persona sin un esfuerzo desproporcionado es un dato de carácter personal. La publicación de una imagen de una persona identificada o identificable es una cesión de datos personales que requiere el consentimiento de la persona afectada, tanto si pertenece a la comunidad universitaria (PAS, PDI, estudiantes) como si no.

Si bien, si las imágenes se recogen en un acto público, como por ejemplo la inauguración del año académico, y con finalidad informativa, no es necesario pedir el consentimiento de las personas fotografiadas o filmadas, siempre que la imagen se enmarque en el contexto informativo, no sea el objetivo principal de la cámara y no afecte a la intimidad de la persona fotografiada o filmada.

5. Cesión de datos

¿Se pueden colgar las listas del proceso de preinscripción en un tablón de anuncios o en la web de la UIB?

Las pruebas de acceso a la Universidad y otros actos del proceso de preinscripción son procedimientos administrativos de concurrencia competitiva sujetos al principio de publicidad y a las normas para notificar los actos administrativos establecidos en la Ley 30/1992 reguladora del procedimiento administrativo común.

El apartado 59.6.b) de la Ley citada garantiza el principio de publicidad en procedimientos de concurrencia competitiva estableciendo que la publicación del acto sustituye a la notificación y tiene los mismos efectos cuando se trate de actos integrantes de un procedimiento selectivo o de concurrencia competitiva de cualquier tipo. La convocatoria debe indicar el tablón de anuncios o los medios de comunicación donde se efectuarán las publicaciones sucesivas, y no tienen validez las que se lleven a cabo en lugares diferentes.

¿Se puede colgar en un tablón de anuncios un listado de notas con nombre y apellidos de los estudiantes?

La difusión de notas de calificación a través de los tablones de anuncios constituye un trato de datos de carácter personal de los estudiantes con habilidad legal, en virtud de la disposición adicional 21ª de la Ley Orgánica 4/2007 de Universidades (LOU), que establece que no es necesario el consentimiento de los estudiantes para la publicación de resultados de las pruebas relacionadas con la evaluación de sus conocimientos y competencias ni de los actos que resulten necesarios para la adecuada realización y el seguimiento de la evaluación citada.

Sin embargo, la UIB ha establecido que las calificaciones finales de las asignaturas se publicarán a través de la plataforma UIBdigital en una lista con nombres y apellidos, sin DNI, y con la posibilidad de consulta solo para los estudiantes matriculados en cada grupo asignatura, y que el plazo de exposición será de hasta una semana tras la fecha de revisión de las calificaciones fijada.

La publicación de cualquier tipo de calificación se debe realizar con nombre y apellido, con la finalidad de garantizar el control sobre posibles errores o arbitrariedades por parte de los interesados.

¿Por qué se publican las calificaciones académicas en UIBdigital?

La UIB considera que sería manifiestamente contrario a la legislación de protección de datos publicar las calificaciones académicas de manera abierta, es decir: permitir el libre acceso a cualquier persona. Por eso ha establecido que las calificaciones finales de las asignaturas se publicarán a través de la plataforma UIBdigital con posibilidad de consulta solo para los estudiantes matriculados en cada grupo asignatura, y que el plazo de exposición será de hasta una semana tras la fecha de revisión de las calificaciones fijada.

En el caso que por razones técnicas los profesores no puedan utilizar la plataforma UIBdigital, pueden actuar de dos maneras: colgar la lista en la herramienta de Campus Extens, en formato PDF o similar, con las mismas condiciones expuestas, o imprimir la lista y entregar el documento a las conserjerías de los edificios para que los interesados, una vez identificados, la puedan consultar según las mismas condiciones expuestas.

La publicación de cualquier tipo de calificación se debe realizar con nombre y apellidos, con la finalidad de garantizar el control sobre posibles errores o arbitrariedades por parte de los interesados.

¿Un profesor puede acceder al expediente académico de un estudiante?

Los usuarios deben tener acceso solo a aquellos recursos necesarios para desarrollar las tareas encargadas. Para poder realizar su tarea docente, un profesor tiene legitimidad para acceder a los expedientes académicos de los estudiantes matriculados de las asignaturas que imparte, siempre que sea con una finalidad académica.

El acceso no puede ser indiscriminado, sino que cada profesor solo puede acceder a los datos de sus estudiantes del año académico vigente y no estaría justificado el acceso a los datos del resto de estudiantes. La UIB tiene implantados los controles de acceso necesarios para cumplir con esta medida de seguridad prevista en el artículo 91 de Reglamento de despliegue de la LOPD.

¿El padre o tutor de un estudiante tiene derecho a conocer sus calificaciones académicas?

En el caso de un estudiante mayor de edad, la UIB no puede comunicar ninguna información académica suya al padre, tutor o representante legal dado que, sin el consentimiento del estudiante, constituiría una cesión de datos personales no cubierta por ninguna de las excepciones que contempla la normativa vigente en materia de protección de datos. Solo si el estudiante es menor de edad (menor de 14 años), el padre, tutor o representante legal tiene derecho a solicitar a la Universidad las calificaciones de su hijo.

¿Los candidatos a un órgano de representación de la Universidad, tienen derecho a utilizar leo datos personales del censo electoral para enviar información de su candidatura?

En principio, esta posibilidad se debe prever en la normativa electoral de la Universidad. Tanto los Estatutos como la normativa electoral deben establecer la regulación del censo electoral y deben prever qué datos deben contener el censo y el uso que puede hacer de él cada candidatura en un proceso electoral.

En caso contrario, hay que aplicar lo que prevé el artículo 41.5 de la Ley orgánica 5/1985 reguladora del régimen electoral general, que establece que las candidaturas pueden obtener, dentro de los dos días siguientes a la proclamación, copia del censo electoral correspondiente, ordenado por meses.

La UIB se inclina por alternativas tecnológicas que permiten satisfacer las obligaciones del régimen electoral general sin comunicar datos de carácter personal a los candidatos. Así, tiene implantado un sistema de listas de distribución que permite enviar mensajes con información electoral de manera que los candidatos solo conocen una dirección genérica y no asumen ninguna responsabilidad en cuanto al trato de los datos de carácter personal.

¿La Universidad puede ceder datos personales de PAS, PDI o estudiantes en el Síndic de Greuges?

La Ley orgánica 6/2001, de Universidades (LOU) prevé la figura del defensor universitario para velar por el respeto a los derechos y las libertades de los profesores, estudiantes y personal de administración y servicios, frente a las actuaciones de los diferentes órganos y servicios universitarios.

El Síndic de Greuges, nombre que recibe el defensor universitario en la UIB, es el órgano encargado de defender y proteger los derechos y las libertades de todos los miembros de la comunidad universitaria frente a las actuaciones de los diferentes órganos y servicios universitarios. Sus actuaciones deben ir siempre dirigidas a la mejora de la calidad universitaria en todos los ámbitos. A estos efectos, puede supervisar las actividades universitarias, respetando los derechos y las libertades individuales.

En la medida que los datos a ceder por la UIB tengan como finalidad cumplir con las funciones propias del Síndic de Greuges, la cesión estaría autorizada por una ley exenta, por lo tanto, del consentimiento del afectado. De otra manera, el consentimiento es imprescindible.

¿Los representantes sindicales tienen derecho a utilizar la dirección electrónica corporativa de los trabajadores de la UIB para enviarles información sindical?

Como información alfanumérica referente a una persona física cuya identidad se puede determinar, directamente o indirectamente, la dirección electrónica corporativa es un dato personal. La comunicación de las direcciones de los trabajadores a los representantes sindicales es una cesión de datos habilitada legalmente por una de las excepciones al consentimiento previstas por la normativa de protección de datos personales.

El artículo 8 de la Ley orgánica 11/1985, de libertad sindical habilita que se comuniquen las direcciones electrónicas tanto de los afiliados a un sindicato como de los trabajadores en general, a las secciones sindicales de los sindicatos más representativos y de aquellos que tengan representación en los órganos de representación establecidos, con la finalidad de facilitar la difusión de los avisos que les puedan interesar.

La UIB garantiza la representación de los diferentes sectores de la comunidad universitaria pero se inclina por alternativas tecnológicas que permiten satisfacer las obligaciones de la libertad sindical sin comunicar datos de carácter personal a los representantes sindicales. Por una parte, el web institucional contiene un espacio para los órganos de representación donde, tanto la Comisión de Representantes del personal (juntas de personal y comités de empresa) como los trabajadores, pueden compartir cualquier cuestión de interés y/o enlazar con las webs propias o las redes sociales donde tienen perfil. ,Por otra parte, la UIB tiene implantado un sistema de listas de distribución que permite enviar mensajes con información sindical de manera que los órganos de representación sindical solo conozcan una dirección genérica y no asuman ninguna responsabilidad en cuanto al trato de los datos de carácter personal.

¿Los sindicatos tienen derecho a utilizar la dirección electrónica corporativa de los trabajadores de la UIB para enviarles información sindical?

Como información alfanumérica referente a una persona física cuya identidad se puede determinar, directa o indirectamente, la dirección electrónica corporativa es un dato personal. La comunicación entre el sindicato y los trabajadores, afiliados o no, es un elemento esencial del derecho fundamental a la libertad sindical, dado que la transmisión de información de interés sindical es el fundamento de la participación, permite el ejercicio de la acción sindical y promueve el desarrollo de la democracia y del pluralismo sindical.

Como dice la sentencia 281/2005 del Tribunal Constitucional, «sobre el empresario pesa el deber de mantener al sindicato en el goce pacífico de los instrumentos aptos para su acción sindical siempre que tales medios existan, su utilización no perjudique la finalidad para la que fueron creados por la empresa y se respeten los límites y reglas de uso».

La UIB se inclina por alternativas tecnológicas que permiten satisfacer las obligaciones de la libertad sindical sin comunicar datos de carácter personal a los sindicatos. Así, la web institucional contiene un espacio para los órganos de representación donde los sindicatos con representación pueden compartir información sindical y/o enlazar con las webs propias.

¿La FUEIB puede utilizar la dirección electrónica de los estudiantes, o de los antiguos alumnos, de la UIB para enviarles información sobre cursos de posgrado y otros?

La Fundació Universitat-Empresa de les Illes Balears (FUEIB) es una fundación cultural privada de carácter permanente,  con carácter de medio propio de la UIB. La utilización  con carácter de medio propio de la UIB. La utilización de la dirección electrónica de estudiantes, o de antiguos alumnos, de la UIB por parte de la FUEIB implica una cesión de datos realizadas por una Administración Pública a una persona jurídica privada, supuesto que no está cubierto por ninguna de las excepciones al consentimiento previstas en el artículo 11 de la LOPD.

Solo la UIB puede dirigirse directamente a los estudiantes, o a los antiguos alumnos, para mantenerlos informados sobre cosas que les pueden interesar, siempre que el tipo de información sea compatible con la finalidad de los ficheros de estudiantes que gestiona.

Cuando la FUEIB, o cualquier otra entidad o empresa, quiere enviar información a los estudiantes, o a los antiguos alumnos, deben solicitar las direcciones a la UIB de acuerdo con el procedimiento establecido y, en el caso de autorizar su cesión, la UIB solo cede la dirección de aquellos estudiantes que le han otorgado consentimiento durante el proceso de matrícula.

¿La AQUIB puede acceder a los ficheros de datos del personal que trabajo en la UIB?

La Agència de Qualitat Universitària de les Illes Balears (AQUIB) es una entidad de derecho público (un consorcio), creada con la participación del Govern de les Illes Balears y de la Universidad de las Illes Balears, con reconocimiento legislativo como institución responsable de la evaluación del sistema universitario de las Illes Balears por la Ley 2/2003 de 20 de marzo, de organización institucional del sistema universitario de las Illes Balears.

Las funciones que tiene atribuidas la AQUIB incluyen la evaluación y la acreditación del personal docente e investigador contratado en el marco del sistema universitario en las Illes Balears y la valoración de los méritos del personal docente e investigador, funcionario y contratado, en el marco del sistema universitario en las Illes Balears, para poder percibir complementos retributivos.

Para el ejercicio de las funciones que tiene encargadas, la AQUIB puede pedir a los órganos de las instituciones correspondientes la información necesaria, y tener acceso a la documentación existente, sin perjuicio del régimen de protección de la confidencialidad de los datos de carácter personal. Lo órganos de la AQUIB, el personal que treballa en ella y los técnicos internos o externos que realizan las correspondientes evaluaciones deben preservar la confidencialidad de los datos, de la información y de la documentación que utilizan .

Las funciones que tiene atribuidas la AQUIB no incluyen la evaluación del personal de administración y servicios.

¿La AQUIB puede acceder a los ficheros de datos de los estudiantes matriculados en la UIB?

La Agència de Qualitat Universitària de les Illes Balears (AQUIB) es una entidad de derecho público (un consorcio), creada con la participación del Govern de les Illes Balears y de la Universida de las Illes Balears, con reconocimiento legislativo como institución responsable de la evaluación del sistema universitario de las Illes Balears por la Ley 2/2003 de 20 de marzo, de organización institucional del sistema universitario de las Illes Balears.

Las funciones que tiene atribuidas la AQUIB no incluyen la evaluación de los estudiantes.

6. Videovigilancia

¿Se pueden poner cámaras de videovigilancia en las aulas?

La instalación de cámaras de videovigilancia y los tratos posteriores de las imágenes, o de las imágenes y voces, que se deriven están sujetos a la normativa sobre protección de datos personales, sin perjuicio de otra normativa aplicable y del respeto a otros derechos fundamentales como por ejemplo el derecho a la intimidad y a la propia imagen.

Hay que tener presente que la instalación de cámaras en el interior de las aulas comporta una intromisión en los derechos de los alumnos que puede afectar a su libre desarrollo.

¿Se pueden poner cámaras de videovigilancia en los despachos?

La instalación de cámaras de videovigilancia y los tratos posteriores de las imágenes, o de las imágenes y voces, que se deriven están sujetos a la normativa sobre protección de datos personales, sin perjuicio de otra normativa aplicable y del respeto a otros derechos fundamentales como por ejemplo el derecho a la intimidad y a la propia imagen.

Hay que tener presente que podría resultar no-adecuada al principio de proporcionalidad la utilización de sistemas de videovigilancia en el ámbito laboral con la finalidad exclusiva de controlar el rendimiento de los trabajadores. En la medida que no sea necesario para la seguridad de las personas e instalaciones, conviene evitar la captación de forma continua de imágenes de las personas en su lugar de trabajo.

7. Medidas de seguridad

¿Cuál es el procedimiento a seguir en caso de una incidencia de seguridad en la UIB?

Cualquier persona que forme parte de la plantilla de la UIB, o se encuentre prestando sus servicios temporalmente, debe notificar inmediatamente al administrador del sistema o al responsable de seguridad cualquier incidencia o anomalía que detecte y que afecte o pueda afectar la seguridad, la integridad y/o la disponibilidad de los datos.

La notificación de una incidencia se puede realizar por teléfono o por UIBdigital, con el formulario correspondiente.

El notificador debe comunicar la incidencia especificando, al menos, los siguientes datos:

  • Fecha y hora
  • Descripción de la incidencia
  • Persona que notifica
  • Destinatarios de la comunicación (con copia para el responsable de seguridad

Por su parte, el administrador informático debe completar el registro con los datos siguientes:

  • Número de registro de la incidencia
  • Tipo de incidencia
  • Impacto de la incidencia
  • Referencia (número de registro de incidencia asociada, si está relacionada con una incidencia anterior)