Preguntes freqüents

Preguntas generales

  1. Ámbito de aplicación
  2. Conceptos generales
  3. Consentimiento
  4. Transferencia internacional de datos
  5. Videovigilancia
  6. Medidas de seguridad

1. Ámbito de aplicación

¿Es aplicable la normativa de protección de datos de carácter personal a los organismos públicos?

El RGPD es aplicable a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a cualquier modalidad de uso posterior de estos datos por los sectores públicos y privados.

Afecta a todos los organismos (públicos y privados) que tratan (en papel o en soporte electrónico) datos de personas físicas (empleados, colaboradores, clientes...) para garantizar el derecho fundamental a la intimidad y la privacidad.

No es aplicable a los datos de personas jurídicas, ni a los registros de actividades de tratamiento, que se limiten a incorporar los datos de las personas físicas que presten sus servicios, consistentes únicamente en el nombre y apellidos, las funciones o lugares ejercidos, así como la dirección postal o electrónica, teléfono y número de fax profesionales.

¿Los trámites de la administración electrónica están sujetos al régimen de protección de datos de carácter personal?

Para que la administración electrónica se desarrolle adecuadamente resulta indispensable aplicar el RGPD. El respeto al derecho fundamental a la protección de datos es un elemento esencial que, en ningún caso, se puede obviar a la hora de implantar la e-administración en un organismo público. Para conseguir este objetivo, hay que analizar los procedimientos de la e-administración desde el punto de vista del cumplimiento del RGPD, con un análisis del impacto en la privacidad.

¿Es aplicable la normativa de protección de datos a las personas muertas?

El RGPD no es aplicable a los datos referidos a personas muertas. No obstante, las personas vinculadas al muerto, por razones familiares o análogas, se pueden dirigir a los responsables del tratamiento que contengan datos de la persona muerta con la finalidad de notificar el óbito, aportando la acreditación suficiente y solicitar, el acceso, la rectificación o la supresión de los datos, a excepción que la persona fallecida lo haya prohibido expresamente o así lo determine una ley.

2. Conceptos generales

¿Qué principios rigen la normativa de protección de datos?

Los principios de la proporcionalidad, de la calidad de los datos, del deber de información en la recogida, del consentimiento del afectado, de los datos especialmente protegidos, de la seguridad de los datos, del deber de secreto, de la comunicación de datos y del acceso a los datos por cuenta de terceros. 

¿Qué es el principio de calidad de los datos?

Los datos de carácter personal solo se pueden recoger y tratar cuando sean adecuados, pertinentes y no excesivos con relación al ámbito y las finalidades determinadas, explícitas y legítimas para las que se han obtenido.

¿Qué es un dato de carácter personal?

Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo referente a personas físicas identificadas o identificables.

Una persona identificable es cualquier persona cuya identidad se pueda determinar, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considera identificable si la identificación requiere plazos o actividades desproporcionadas.

¿La dirección electrónica es un dato personal?

Como información alfanumérica referente a una persona física cuya identidad se puede determinar, directa o indirectamente, la dirección electrónica es un dato personal.

¿Qué son datos especialmente protegidos?

Los datos de carácter personal especialmente protegidos son aquellos que, por su especial condición, requieren mayores garantías y requisitos para su uso legítimo. Los podemos clasificar en dos grupos:

Los datos de carácter personal que revelen la ideología, la afiliación sindical, la religión y las creencias, solo puedan ser objeto de tratamiento con el consentimiento expreso y por escrito del afectado.

Los datos de carácter personal que hagan referencia al origen racial o étnico, datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o orientación sexual, solo pueden ser recogidos, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado lo consienta expresamente.

¿Qué se considera tratamiento de datos?

Cualquier operación o procedimiento técnico, ya sea automatizado o no, que permita la recogida, grabación, conservación, elaboración, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

¿Qué derechos tienen los ciudadanos en el ámbito de la protección de datos de carácter personal?

Los derechos de acceso, rectificación, oposición, supresión, portabilidad y limitación en el tratamiento, forman parte esencial del derecho fundamental a la protección de datos.

El derecho de acceso permite al ciudadano dirigirse al responsable de un fichero determinado para pedir información sobre los datos personales incluidos en un fichero para conocer, de manera gratuita, la existencia de tratamiento de los datos, la finalidad, el origen de los datos y las comunicaciones realizadas o previstas.

El derecho de rectificación tiene por finalidad corregir los datos personales inexactos o incompletos de manera que los datos personales respondan con veracidad a la situación actual del interesado. Hay que aportar documentación justificativa de la rectificación solicitada.

El derecho de cancelación tiene como finalidad dar de baja un dato que resulte innecesario o no pertinente para la finalidad para la que fue recogida. La cancelación de los datos personales no implica necesariamente que los destruyan de manera inmediata, sino que se bloqueen. Hay que aportar documentación justificativa de la cancelación solicitada.

El derecho de oposición tiene como finalidad la exclusión del trato de los datos personales o el cese del tratamiento en los supuestos previstos en el Reglamento de despliegue de la LOPD hay que aportar documentación que acredite los motivos fundamentales y legítimos de la oposición solicitada.

El derecho de portabilidad. El ejercicio de este derecho tiene como finalidad transmitir los datos personales de un responsable de tratamiento a otro, o bien solicitar la entrega de los datos en un formato estructurado, de uso común y lectura mecánica.

El derecho de supresión o "derecho al olvido". El ejercicio de este derecho tiene como finalidad borrar los datos del interesado o bien, impedir la difusión de información personal a través de Internet.

El derecho a la limitación del tratamiento. El ejercicio de este derecho tiene como finalidad que no se apliquen a los datos de carácter personal del interesado, las operaciones de tratamiento que en cada caso correspondan.

3. Consentimiento

¿Es necesario el consentimiento de la persona afectada para tratar sus datos personales?

El consentimiento es cualquier manifestación de la voluntad, libre, inequívoca, específica e informada, mediante la cual el interesado consiente el tratamiento de datos personales que le conciernen. El tratamiento de los datos de carácter personal requiere el consentimiento inequívoco del afectado, excepto si la ley dispone otra cosa.

No es necesario el consentimiento cuando:

  • los datos de carácter personal se recogen para el ejercicio de las funciones propias de las administraciones públicas en el ámbito de sus competencias.
  • se refieren a las partes de un contrato o negocio, y son necesarios para su mantenimiento o cumplimiento.
  • el tratamiento tiene como finalidad proteger un interés vital de la persona interesada.
  • los datos figuran en fuentes accesibles al público.

¿Es necesario el consentimiento de la persona afectada para tratar datos de salud?

Los datos de carácter personal que hagan referencia a la salud pueden ser objeto de tratamiento cuando sea necesario para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o de tratamientos médicos o la gestión de servicios sanitarios, siempre que el tratamiento de datos lo efectúe un profesional sanitario sujeto al secreto profesional o otra persona sujeta a una obligación equivalente de secreto.

Los datos de salud solo pueden ser recogidos, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado lo consienta expresamente.

¿Es necesario el consentimiento del titular de la patria potestad o tutela para tratar datos personales de menores de edad?

Hay que obtener el consentimiento del padre, madre o tutor/a en el caso de menores de 14 años o de personas discapacitadas (con diversidad funcional).

¿El consentimiento siempre debe de ser expreso o por escrito?

El consentimiento siempre tiene que ser expreso, con una declaración afirmativa. Por tanto, no se admite el consentimiento tácito.

En caso de rellenar una solicitud, no se considerará consentimiento las casillas ya marcada, el silencio o la inacción.

En caso de datos especialmente protegidos (relativos al origen racial o étnico, a la salud y a la vida sexual), el consentimiento también debe ser siempre expreso.

En el caso de datos relativos a la ideología, la afiliación sindical, la religión y las creencias, el consentimiento también debe ser expreso.

¿Se puede publicar la foto de una persona sin su consentimiento?

Una información gráfica o fotográfica (una imagen) que identifica o que permite determinar la identidad de una persona sin un esfuerzo desproporcionado es un dato de carácter personal. La publicación de una foto de una persona identificada o identificable es una cesión de datos personales que requiere el consentimiento de la persona afectada.

Ahora bien, si las imágenes se recogen en un lugar público y con finalidad informativa, no es necesario pedir el consentimiento de las personas fotografiadas, siempre que la imagen se enmarque en el contexto informativo, no sea el objetivo principal de la cámara y no afecte a la intimidad de la persona fotografiada.

¿Se pueden publicar datos personales en una noticia de un diario o en una web?

El derecho fundamental a la protección de datos de carácter personal no es un derecho absoluto y puede chocar con  —y pueden prevalecer— otros derechos fundamentales, como el derecho a la libertad de expresión (la manifestación de una opinión) o el derecho de información (el derecho que tiene cualquier persona a dar y a recibir información).

Si los datos se publican en el contexto informativo, con finalidad informativa, no hay que pedir el consentimiento de la persona afectada.

4. Transferencia internacional de datos

¿Se pueden transferir datos personales a cualquier país?

Por regla general, solo se pueden hacer transferencias internacionales de datos, es decir, movimientos que supongan una transmisión de datos fuera del territorio del Espacio Común Europeo, cuando la Comisión haya decidido que el tercer país, puede garantizar un nivel de protección adecuado.

Si la Comisión no se ha pronunciado respecto a un tercer país, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.
 

5. Videovigilancia

¿Se pueden poner cámaras de videovigilancia en cualquier lugar?

La instalación de cámaras de videovigilancia comporta una recogida de datos consistentes en imágenes de personas que pueden ser identificadas o identificables, que tienen la consideración de datos personales en la medida que permitan la identificación efectiva de una persona. Por eso, la instalación de un sistema de videovigilancia y los tratos posteriores de las imágenes o de las imágenes y voces, que se deriven están sujetos a la normativa sobre protección de datos personales, sin perjuicio de otra normativa aplicable y del respeto a otros derechos fundamentales, como el derecho a la intimidad y a la propia imagen.

En referencia a la ubicación de las cámaras, hay que buscar una orientación que evite la captación incidental de imágenes de la vía pública o de personas que se reúnen en un lugar de descanso y conviene evitar la utilización de sistemas de videovigilancia en el ámbito académico o laboral, dado que puede resultar no-adecuado al principio de proporcionalidad en la medida que no sea necesario para la seguridad de personas e instalaciones.

6. Medidas de seguridad

¿Qué es una incidencia en el ámbito de la protección de datos personales?

Se entiende por incidencia cualquier anomalía que afecte o pueda afectar a la seguridad de los datos (por ejemplo, una caída súbita de tensión que apague los sistemas o un acceso indebido de terceros ajenos o la pérdida de soportes físicos como CD-ROM, memorias o discos portátiles USB, etc.).

Algunos ejemplos de incidencias podrían ser:

  • Olvido de contraseña
  • Sospecha de uso indebido de contraseña
  • Pérdida de soportes informáticos
  • Infección por virus de un archivo o de una aplicación
  • Accesos no autorizados a dependencias que contienen sistemas de información con datos protegidos
  • Envío de información personal a una dirección equivocada
  • Entrega de información sensible a personas ajenas
  • Avería de disco duro que provoque pérdida de datos
  • Caída de la red
  • Petición de recuperación de datos

 

Preguntas específicas sobre la UIB

  1. Ámbito de aplicación
  2. Conceptos generales
  3. Obligaciones
  4. Consentimiento
  5. Cesión de datos
  6. Videovigilancia
  7. Medidas de seguridad
  8. Responsabilidad activa

1. Ámbito de aplicación

¿Es aplicable la normativa de protección de datos a la UIB?

El RGPD es aplicable a todos los organismos (públicos y privados) que tratan (en papel o en soporte electrónico) datos de personas físicas (trabajadores, estudiantes, colaboradores...) para garantizar el derecho fundamental a la intimidad y la privacidad.

No es aplicable a los datos de la UIB como persona jurídica, ni a los ficheros que se limiten a incorporar los datos del personal de administración y servicios o docente e investigador que prestan sus servicios, consistentes únicamente en el nombre y apellidos, las funciones o lugares ejercidos, así como la dirección postal o electrónica, teléfono y número de fax profesionales.

¿Se puede publicar/difundir en la web de la UIB el nombre, apellidos y datos de contacto de todo el personal que trabaja en la UIB?

Los tratamientos de datos personales que consisten en la publicación de datos, de manera que sean accesibles para una pluralidad indeterminada de personas, pertenecen al ámbito de aplicación de la normativa de protección de datos.

Sin embargo, la normativa no es aplicable a los datos de personas jurídicas, ni a los registros de actividades de tratamiento que se limitan a incorporar los datos de las personas físicas que prestan sus servicios, consistentes únicamente en el nombre y apellidos, las funciones o lugares ejercidos, así como la dirección postal o electrónica, teléfono y número de fax profesionales.

Si los datos del PAS o PDI aparecen vinculados, exclusivamente, a la actividad en el entorno profesional y en el marco de la integración profesional en la persona jurídica (UIB), y siempre que se limiten a los datos mencionados, estarían excluidos del marco de aplicación de la normativa sobre protección de datos de carácter personal y la UIB, por lo tanto, las podría publicar en la web sin el consentimiento de los afectados.

¿Se pueden publicar/difundir en la web de la UIB el nombre, apellidos y datos de contacto de los estudiantes matriculados?

Los tratamientos de datos personales que consisten en la publicación de datos, de manera que sean accesibles para una pluralidad indeterminada de personas, pertenecen al ámbito de aplicación de la normativa de protección de datos. La publicación de datos personales de los estudiantes en la web de la UIB supondría una cesión indiscriminada de datos a terceras personas que, excepto que una norma con rango de ley lo autorice, requiere el consentimiento de los estudiantes. Como titular de los datos personales publicados, el estudiante afectado puede ejercer, gratuitamente, el derecho de oposición a la difusión.

2. Conceptos generales

¿La dirección electrónica corporativa @uib es un dato personal?

Como información alfanumérica referente a una persona física cuya identidad se puede determinar, directa o indirectamente, la dirección electrónica es un dato personal. Como dato de persona física que presta sus servicios a una persona jurídica, la dirección electrónica corporativa o profesional, queda excluida de la normativa de protección de datos de carácter personal.

3. Obligaciones

¿Qué obligaciones tiene la UIB en materia de protección de datos de carácter personal?

Para respetar las garantías que establece el RGPD para proteger la intimidad y otros derechos fundamentales de las personas físicas, como responsable del tratamiento, la UIB tiene las obligaciones siguientes:

  • notificar a la DPO todas las actividades de tratamiento de datos de carácter personal que gestiona para que queden inscritos en nuestro registro.
  • recoger, tratar y ceder los datos de carácter personal aplicando los principios de la protección de datos.
  • garantizar el derecho de información en la recogida de datos para que las personas puedan saber quién recoge sus datos, por qué los recoge, quien será el destinatario, qué derechos les asisten y dónde se deben dirigir para ejercerlos.
  • facilitar a las personas el ejercicio de sus derechos de acceso, rectificación, oposición, supresión, portabilidad y limitación en el tratamiento, con un procedimiento sencillo y gratuito.
  • guardar secreto profesional sobre los datos de carácter personal que recoge y trata y adoptar las medidas necesarias para garantizar la confidencialidad de los datos.
  • asegurar que todo el personal en su servicio conoce su obligación de guardar secreto respecto a los datos personales a los que tiene acceso, obligación que subsiste incluso tras finalizar el vínculo que se tiene.
  • implantar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, trato o acceso no autorizado.
  • legitimar las transferencias internacionales de datos aplicando las garantías que el RGPD establece para este supuesto.

¿Cómo cumple la UIB con el deber de información en la recogida de datos?

UIBdigital, la herramienta que permite acceder a los servicios telemáticos de la UIB, permite que el usuario (PAS, PDI o estudiante) personalice su espacio web, los datos con los que se presenta al resto de la comunidad universitaria y la gestión de sus credenciales. En cumplimiento de lo que dispone el RGPD, el apartado "Datos personales" incluye una nota o leyenda que informa al usuario de la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de los datos, del carácter obligatorio o facultativo de sus respuestas, de la posibilidad de ejercer los derechos de acceso, rectificación, oposición, supresión, portabilidad y limitación en ell tratamiento, y de la identidad y dirección de la UIB, responsable del tratamiento.

Los formularios de inscripción, en línea o en papel, que utilizan los departamentos, servicios y unidades académicas y administrativas de la UIB para recoger datos de carácter personal, incluyen una nota o leyenda informativa similar.

¿Qué procedimiento tiene la UIB para garantizar el ejercicio de los derechos de acceso, rectificación, oposición, supresión, portabilidad y limitación del tratamiento?

Para ejercer los derechos de acceso, rectificación, oposición, supresión, portabilidad, limitación del tratamiento, en cuanto a datos facilitados a la UIB, hay que dirigirse por escrito a: Universidad de las Illes Balears, a la atención de la delegada de protección de datos de carácter personal, ctra. de Valldemossa, km 7,5, 07122 Palma (Illes Balears). La UIB pone a disposición de los interesados formularios para ejercer cada uno de los derechos de manera sencilla y gratuita. Tanto el procedimiento como los formularios están al alcance en la Sede electrónica y en todas las conserjerías y secretarías del centro.

Los derechos de acceso, rectificación, oposición, supresión, portabilidad y limitación del tratamiento, se ejercen ante la delegada de protección de datos.

¿Qué plazos tiene la UIB para responder al ejercicio de un derecho ARCO?

 

La DPO tendrá que resolver en el plazo de un mes. Este se podrá prorrogar dos meses más, teniendo en cuenta la complejidad y el número de solicitudes. La DPO informará al interesado de cualquiera de las prórrogas, en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.

 

Si la DPO no da curso a la solicitud del interesado, transcurrido un mes de la recepción de la solicitud, le informará sin más dilación, de las razones por las cuales no ha tramitado la solicitud y de la posibilidad de presentar una reclamación ante la Agencia Española de Protección de Datos.

 

4. Consentimiento

¿La UIB necesita el consentimiento del personal (PAS y PDI) para recoger y tratar sus datos personales?

De manera excepcional, los datos de carácter personal solo se pueden tratar sin el consentimiento de su titular cuando este no sea exigible de acuerdo con lo que disponen las leyes. Uno de los supuestos en el que el RGPD establece que no es exigible el consentimiento del titular cuando el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (articulo 6 RGPD).

¿La UIB necesita el consentimiento de los estudiantes para recoger y tratar sus datos personales?

De manera excepcional, los datos de carácter personal solo se pueden tratar sin el consentimiento de su titular cuando este no sea exigible de acuerdo con lo que disponen las leyes. Uno de los supuestos en el que el RGPD establece que no es exigible el consentimiento del titular cuando el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (articulo 6 RGPD).

¿La UIB necesita el consentimiento del personal para confeccionar la tarjeta universitaria?

La UIB ofrece a su personal (PAS, PDI, contratados, etc.) una tarjeta que permite, entre otros, acreditarse como miembros de la comunidad universitaria, identificarse electrónicamente (por ejemplo, para el control horario del PAS), llevar de forma segura un certificado digital y su uso, opcional, como tarjeta financiera. La tarjeta universitaria se debe solicitar en UIBdigital y la emiten diferentes entidades financieras, con las que la UIB tiene firmados contratos para la confección de la tarjeta. En cumplimiento de lo que dispone la LOPD, el apartado "Tarjeta UIB", en "Gestiones y servicios", informa al usuario de que, con la solicitud, otorga el consentimiento para ceder sus datos a la entidad financiera escogida, que debe emitir la tarjeta universitaria bajo las instrucciones de la UIB.

¿La UIB necesita el consentimiento de los estudiantes para confeccionar la tarjeta universitaria?

La UIB ofrece a los estudiantes una tarjeta que permite, entre otros, acreditarse como miembros de la comunidad universitaria, identificarse electrónicamente (por ejemplo, para imprimir en las copisterías desde las aulas informáticas), llevar de forma segura un certificado digital y su uso, opcional, como tarjeta financiera. La tarjeta universitaria se debe solicitar en UIBdigital y la emiten diferentes entidades financieras, con las que la UIB tiene firmados contratos para la confección de la tarjeta. En cumplimiento de lo que dispone la LOPD, el apartado "Tarjeta UIB", en "Gestiones y servicios", informa al usuario que, con la solicitud, otorga el consentimiento para ceder sus datos a la entidad financiera escogida, que debe emitir la tarjeta universitaria bajo las instrucciones de la UIB.

¿La UIB puede ceder/comunicar datos de los estudiantes a una empresa u otra entidad que lo pida?

La regla general —la normativa establece una serie de excepciones— es que para comunicar datos personales a un tercero es necesario el consentimiento del titular de estos datos. Por eso, la UIB utiliza, durante el proceso de matrícula en UIBdigital, una leyenda con cláusulas de consentimiento explícito, si procede, para la cesión de datos a las empresas y entidades que lo soliciten con finalidades académicas o laborales, durante los estudios y/o durante los cinco años siguientes, una vez terminados los estudios. En caso de autorizar una cesión de datos de estudiantes, la UIB solo cede los datos de aquellos que le han otorgado el consentimiento.

¿Se pueden grabar los exámenes orales?

La grabación de exámenes orales (imagen y voz) es un tratamiento de datos que requiere el consentimiento del afectado, salvo que una norma legal disponga otra cosa.

El artículo 30 del Reglamento académico de la Universidad estipula que los exámenes o pruebas orales finales serán grabados para permitir una posterior revisión de la calificación, salvo en los casos siguientes: a) que el profesor ofrezca al estudiante la posibilidad de renunciar al derecho de que le graben y el estudiante lo acepte por escrito; b) que el examen se produzca frente a un tribunal. Las pruebas o intervenciones orales que formen parte de un proceso de evaluación continua no es necesario que sean grabadas, siempre que se puedan desarrollar en presencia del resto de estudiantes de la asignatura.

¿Se pueden publicar/difundir en la web de la UIB fotos y vídeos en los que aparecen personas que no pertenecen a la comunidad universitaria?

Una información gráfica o fotográfica (una imagen) que identifica o que permite determinar la identidad de una persona sin un esfuerzo desproporcionado es un dato de carácter personal. La publicación de una imagen de una persona identificada o identificable es una cesión de datos personales que requiere el consentimiento de la persona afectada, tanto si pertenece a la comunidad universitaria (PAS, PDI, estudiantes) como si no.

Si bien, si las imágenes se recogen en un acto público, como por ejemplo la inauguración del año académico, y con finalidad informativa, no es necesario pedir el consentimiento de las personas fotografiadas o filmadas, siempre que la imagen se enmarque en el contexto informativo, no sea el objetivo principal de la cámara y no afecte a la intimidad de la persona fotografiada o filmada.

5. Cesión de datos

¿Se puede colgar en un tablón de anuncios un listado de notas con nombre y apellidos de los estudiantes?

La difusión de notas de calificación a través de los tablones de anuncios constituye un trato de datos de carácter personal de los estudiantes con habilidad legal, en virtud de la disposición adicional 21ª de la Ley Orgánica 4/2007 de Universidades (LOU), que establece que no es necesario el consentimiento de los estudiantes para la publicación de resultados de las pruebas relacionadas con la evaluación de sus conocimientos y competencias ni de los actos que resulten necesarios para la adecuada realización y el seguimiento de la evaluación citada.

Sin embargo, la UIB ha establecido que las calificaciones de las asignaturas se publicarán a través de la plataforma UIBdigital en una lista con nombres y apellidos, sin DNI, y con la posibilidad de consulta solo para los estudiantes matriculados en cada grupo asignatura, y que el plazo de exposición será de hasta una semana tras la fecha de revisión de las calificaciones fijada.

La publicación de cualquier tipo de calificación se debe realizar con nombre y apellido, con la finalidad de garantizar el control sobre posibles errores o arbitrariedades por parte de los interesados.

¿Por qué se publican las calificaciones académicas en UIBdigital?

La UIB considera que sería manifiestamente contrario a la legislación de protección de datos publicar las calificaciones académicas de manera abierta, es decir: permitir el libre acceso a cualquier persona. Por eso ha establecido que las calificaciones de las asignaturas se publicarán a través de la plataforma UIBdigital con posibilidad de consulta solo para los estudiantes matriculados en cada grupo asignatura y que el plazo de exposición será de hasta una semana tras la fecha de revisión de las calificaciones fijada.

En el caso que por razones técnicas los profesores no puedan utilizar la plataforma UIBdigital, pueden actuar de dos maneras: colgar la lista en la herramienta de Campus Extens, en formato PDF o similar, con las mismas condiciones expuestas o imprimir la lista y entregar el documento a las conserjerías de los edificios para que los interesados, una vez identificados, la puedan consultar según las mismas condiciones expuestas.

La publicación de cualquier tipo de calificación se debe realizar con nombre y apellidos, con la finalidad de garantizar el control sobre posibles errores o arbitrariedades por parte de los interesados.

¿El padre o la madre o tutor/a de un estudiante tiene derecho a conocer sus calificaciones académicas?

En el caso de un estudiante mayor de edad, la UIB no puede comunicar ninguna información académica suya al padre, la madre, tutor/a o representante legal dado que, sin el consentimiento del estudiante, constituiría una cesión de datos personales no cubierta por ninguna de las excepciones que contempla la normativa vigente en materia de protección de datos. Solo si el estudiante es menor de edad (menor de 16 años), el padre, la madre, tutor/a o representante legal tiene derecho a solicitar a la Universidad las calificaciones de su hijo/a.

¿Los candidatos a un órgano de representación de la Universidad, tienen derecho a utilizar los datos personales del censo electoral para enviar información de su candidatura?

En principio, esta posibilidad se debe prever en la normativa electoral de la Universidad. Tanto los Estatutos como la normativa electoral deben establecer la regulación del censo electoral y deben prever qué datos deben contener el censo y el uso que puede hacer de él cada candidatura en un proceso electoral.

En caso contrario, hay que aplicar lo que prevé el artículo 41.5 de la Ley orgánica 5/1985 reguladora del régimen electoral general, que establece que las candidaturas pueden obtener, dentro de los dos días siguientes a la proclamación, copia del censo electoral correspondiente, ordenado por meses.

La UIB se inclina por alternativas tecnológicas que permiten satisfacer las obligaciones del régimen electoral general sin comunicar datos de carácter personal a los candidatos. Así, tiene implantado un sistema de listas de distribución que permite enviar mensajes con información electoral de manera que los candidatos solo conocen una dirección genérica y no asumen ninguna responsabilidad en cuanto al trato de los datos de carácter personal.

¿La Universidad puede ceder datos personales de PAS, PDI o estudiantes en el Síndic de Greuges?

La Ley orgánica 6/2001, de Universidades (LOU) prevé la figura del defensor universitario para velar por el respeto a los derechos y las libertades de los profesores, estudiantes y personal de administración y servicios, frente a las actuaciones de los diferentes órganos y servicios universitarios.

El Síndic de Greuges, nombre que recibe el defensor universitario en la UIB, es el órgano encargado de defender y proteger los derechos y las libertades de todos los miembros de la comunidad universitaria frente a las actuaciones de los diferentes órganos y servicios universitarios. Sus actuaciones deben ir siempre dirigidas a la mejora de la calidad universitaria en todos los ámbitos. A estos efectos, puede supervisar las actividades universitarias, respetando los derechos y las libertades individuales.

En la medida que los datos a ceder por la UIB tengan como finalidad cumplir con las funciones propias del Síndic de Greuges, la cesión estaría autorizada por una ley exenta, por lo tanto, del consentimiento del afectado. De otra manera, el consentimiento es imprescindible.

¿Los representantes sindicales tienen derecho a utilizar la dirección electrónica corporativa de los trabajadores de la UIB para enviarles información sindical?

Como información alfanumérica referente a una persona física cuya identidad se puede determinar, directamente o indirectamente, la dirección electrónica corporativa es un dato personal. La comunicación de las direcciones de los trabajadores a los representantes sindicales es una cesión de datos habilitada legalmente por una de las excepciones al consentimiento previstas por la normativa de protección de datos personales.

El artículo 8 de la Ley orgánica 11/1985, de libertad sindical habilita que se comuniquen las direcciones electrónicas tanto de los afiliados a un sindicato como de los trabajadores en general, a las secciones sindicales de los sindicatos más representativos y de aquellos que tengan representación en los órganos de representación establecidos, con la finalidad de facilitar la difusión de los avisos que les puedan interesar.

La UIB garantiza la representación de los diferentes sectores de la comunidad universitaria pero se inclina por alternativas tecnológicas que permiten satisfacer las obligaciones de la libertad sindical sin comunicar datos de carácter personal a los representantes sindicales. Por una parte, la web institucional contiene un espacio para los órganos de representación donde, tanto la Comisión de Representantes del personal (juntas de personal y comités de empresa) como los trabajadores, pueden compartir cualquier cuestión de interés y/o enlazar con las webs propias o las redes sociales donde tienen perfil. Por otra parte, la UIB tiene implantado un sistema de listas de distribución que permite enviar mensajes con información sindical de manera que los órganos de representación sindical solo conozcan una dirección genérica y no asuman ninguna responsabilidad en cuanto al tratamiento de los datos de carácter personal.

¿Los sindicatos tienen derecho a utilizar la dirección electrónica corporativa de los trabajadores de la UIB para enviarles información sindical?

Como información alfanumérica referente a una persona física cuya identidad se puede determinar, directa o indirectamente, la dirección electrónica corporativa es un dato personal. La comunicación entre el sindicato y los trabajadores, afiliados o no, es un elemento esencial del derecho fundamental a la libertad sindical, dado que la transmisión de información de interés sindical es el fundamento de la participación, permite el ejercicio de la acción sindical y promueve el desarrollo de la democracia y del pluralismo sindical.

Como dice la sentencia 281/2005 del Tribunal Constitucional, «sobre el empresario pesa el deber de mantener al sindicato en el goce pacífico de los instrumentos aptos para su acción sindical siempre que tales medios existan, su utilización no perjudique la finalidad para la que fueron creados por la empresa y se respeten los límites y reglas de uso».

La UIB se inclina por alternativas tecnológicas que permiten satisfacer las obligaciones de la libertad sindical sin comunicar datos de carácter personal a los sindicatos. Así, la web institucional contiene un espacio para los órganos de representación donde los sindicatos con representación pueden compartir información sindical y/o enlazar con las webs propias.

¿La FUEIB puede utilizar la dirección electrónica de los estudiantes o de los antiguos alumnos de la UIB para enviarles información sobre cursos de posgrado y otros?

La Fundación Universidad-Empresa de las Illes Balears (FUEIB) es una fundación cultural privada de carácter permanente,  con carácter de medio propio de la UIB. La utilización de la dirección electrónica de estudiantes o de antiguos alumnos de la UIB por parte de la FUEIB implica una cesión de datos realizada por una Administración Pública a una persona jurídica privada, supuesto que no está cubierto por ninguna de las excepciones al consentimiento previstas en el RGPD.

Solo la UIB puede dirigirse directamente a los estudiantes o a los antiguos alumnos, para mantenerlos informados sobre cosas que les pueden interesar, siempre que el tipo de información sea compatible con la finalidad de los ficheros de estudiantes que gestiona.

Cuando la FUEIB o cualquier otra entidad o empresa quiere enviar información a los estudiantes o a los antiguos alumnos, deben solicitar las direcciones a la UIB de acuerdo con el procedimiento establecido y, en el caso de autorizar su cesión, la UIB solo cede la dirección de aquellos estudiantes que le han otorgado consentimiento durante el proceso de matrícula.

6. Videovigilancia

¿Se pueden poner cámaras de videovigilancia en las aulas?

La instalación de cámaras de videovigilancia y los tratamientos posteriores de las imágenes, o de las imágenes y voces, que se deriven están sujetos a la normativa sobre protección de datos personales, sin perjuicio de otra normativa aplicable y del respeto a otros derechos fundamentales como por ejemplo el derecho a la intimidad y a la propia imagen.

Hay que tener presente que la instalación de cámaras en el interior de las aulas comporta una intromisión en los derechos de los alumnos que puede afectar a su libre desarrollo.

¿Se pueden poner cámaras de videovigilancia en los despachos?

La instalación de cámaras de videovigilancia y los tratamientos posteriores de las imágenes, o de las imágenes y voces, que se deriven están sujetos a la normativa sobre protección de datos personales, sin perjuicio de otra normativa aplicable y del respeto a otros derechos fundamentales como por ejemplo el derecho a la intimidad y a la propia imagen.

Hay que tener presente que podría resultar no-adecuada al principio de proporcionalidad la utilización de sistemas de videovigilancia en el ámbito laboral con la finalidad exclusiva de controlar el rendimiento de los trabajadores. En la medida que no sea necesario para la seguridad de las personas e instalaciones, conviene evitar la captación de forma continua de imágenes de las personas en su lugar de trabajo.

7. Medidas de seguridad

¿Cuál es el procedimiento a seguir en caso de una incidencia de seguridad en la UIB?

Cualquier persona que forme parte de la plantilla de la UIB, o se encuentre prestando sus servicios temporalmente, debe notificar inmediatamente al administrador del sistema o al responsable de seguridad cualquier incidencia o anomalía que detecte y que afecte o pueda afectar la seguridad, la integridad y/o la disponibilidad de los datos.

La notificación de una incidencia se puede realizar por teléfono o por UIBdigital, con el formulario correspondiente.

El notificador debe comunicar la incidencia especificando, al menos, los siguientes datos:

  • Fecha y hora
  • Descripción de la incidencia
  • Persona que notifica
  • Destinatarios de la comunicación (con copia para el responsable de seguridad)

Por su parte, el administrador informático debe completar el registro con los datos siguientes:

  • Número de registro de la incidencia
  • Tipo de incidencia
  • Impacto de la incidencia
  • Referencia (número de registro de incidencia asociada si está relacionada con una incidencia anterior)

 8. Responsabilidad activa

La responsabilidad activa implica que todos los responsables de tratamiento de datos, tienen que adoptar las medidas necesarias para garantizar que los tratamientos que realizan son conformes con el RGPD y están en condiciones de demostrarlo.

Consultas más frecuentes a la Agencia Española de Protección de Datos

Podéis consultar las respuestas a las consultas más frecuentes referidas a las competencias de la Agencia Española de Protección de Datos: acceso a las FAQ de la AEPD.