Preguntes freqüents

Preguntes generals

  1. Àmbit d'aplicació
  2. Conceptes generals
  3. Consentiment
  4. Transferència internacional de dades
  5. Videovigilància
  6. Mesures de seguretat

1. Àmbit d’aplicació

És aplicable la normativa de protecció de dades de caràcter personal als organismes públics?

La LOPDGDD és aplicable a les dades de caràcter personal registrades en suport físic, que les faci susceptibles de tractament, i a qualsevol modalitat d’ús posterior d’aquestes dades pels sectors públic i privat.

Afecta tots els organismes (públics i privats) que tracten (en paper o en suport electrònic) dades de persones físiques (empleats, col·laboradors, clients,...) per garantir el dret fonamental a la intimitat i la privacitat.

No és aplicable a les dades de persones jurídiques, ni als fitxers que es limitin a incorporar les dades de les persones físiques que hi prestin els seus serveis, consistents únicament en el nom i cognoms, les funcions o llocs exercits, així com l’adreça postal o electrònica, telèfon i número de fax professionals.

Els tràmits de l’administració electrònica estan subjectes al règim de protecció de dades de caràcter personal?

Perquè l’administració electrònica es desenvolupi adequadament resulta indispensable aplicar-hi el RGPD. El respecte al dret fonamental a la protecció de dades és un element essencial que, en cap cas, es pot obviar a l’hora d’implantar l’e-administració en un organisme públic. Per aconseguir aquest objectiu, cal analitzar els procediments de l’e-administració des del punt de vista del compliment del RGPD, amb una anàlisi de l’impacte en la privacitat.

És aplicable la normativa de protecció de dades a les persones mortes?

El RGPD no és aplicable a les dades referides a persones mortes. No obstant això, les persones vinculades al mort, per raons familiars o anàlogues, es poden dirigir als responsables dels tractaments que continguin dades de la persona morta amb la finalitat de notificar l’òbit, aportant l’acreditació suficient, i sol·licitar, l'accés, la rectificació o la supressió de les dades, excepte quan la persona morta ho hagi prohibit expressament o així ho determini una llei.

2. Conceptes generals

Quins principis regeixen la normativa de protecció de dades?

Els principis de la proporcionalitat, de la qualitat de les dades, del deure d'informació en la recollida, del consentiment de l'afectat, de les dades especialment protegides, de la seguretat de les dades, del deure de secret, de la comunicació de dades i de l'accés a les dades per compte de tercers.

Què és el principi de qualitat de les dades?

Les dades de caràcter personal només es poden recollir i tractar quan siguin adequades, pertinents i no excessives amb relació a l'àmbit i les finalitats determinades, explícites i legítimes per a les quals s'han obtingut.

Què és una dada de caràcter personal?

Qualsevol informació numèrica, alfabètica, gràfica, fotogràfica, acústica o de qualsevol altre tipus referent a persones físiques identificades o identificables.

Una persona identificable és qualsevol persona la identitat de la qual es pugui determinar, directament o indirecta, mitjançant qualsevol informació referida a la seva identitat física, fisiològica, psíquica, econòmica, cultural o social. Una persona física no es considera identificable si la identificació requereix terminis o activitats desproporcionats.

L’adreça electrònica és una dada personal?

Com a informació alfanumèrica referent a una persona física la identitat de la qual es pot determinar, directament o indirectament, l’adreça electrònica és una dada personal.

Què són dades especialment protegides?

Les dades de caràcter personal especialment protegides són aquelles que, per la seva especial condició, requereixen majors garanties i requisits per al seu ús legítim. Les podem classificar en dos grups:

Les dades de caràcter personal que revelin la ideologia, l’afiliació sindical, la religió i les creences, només poden ser objecte de tractament amb el consentiment exprés i per escrit de l’afectat.

Les dades de caràcter personal que facin referència a l'origen ètnic o racial, dades genètiques, dades biomètriques dirigides a identificar de manera inequívoca a una persona física, dades relatives a la salut, dades relatives a la vida sexual, o a l'orientació sexual de les persones físiques, només poden ser recollides, tractades i cedides quan, per raons d’interès general, així ho disposi una llei o l’afectat hi consenti expressament.

Què es considera tractament de dades?

Qualsevol operació o procediment tècnic, ja sigui automatitzat o no, que permeti la recollida, gravació, conservació, elaboració, consulta, utilització, modificació, cancel·lació, bloqueig o supressió, així com les cessions de dades que resultin de comunicacions, consultes, interconnexions i transferències.

Quins drets tenen els ciutadans en l’àmbit de la protecció de dades de caràcter personal?

Els drets d’accés, rectificació, oposició, supressió, portabilitat i limitació en el tractament, formen part essencial del dret fonamental a la protecció de dades.

El dret d’accés permet al ciutadà dirigir-se al responsable d'un fitxer determinat per demanar informació sobre les dades personals incloses en un fitxer per conèixer, de manera gratuïta, l'existència de tractament de les dades, la finalitat, l'origen de les dades i les comunicacions realitzades o previstes.

El dret de rectificació té com a finalitat corregir les dades personals inexactes o incompletes de manera que les dades personals responguin amb veracitat a la situació actual de l’interessat. Cal aportar documentació justificativa de la rectificació sol·licitada.

El dret d’oposició té com a finalitat l’exclusió del tractament de les dades personals o el cessament del tractament en els supòsits prevists al Reglament de desplegament de la LOPD. Cal aportar documentació que acrediti els motius fonamentats i legítims de l’oposició sol·licitada.

El dret de portabilitat. L’exercici d’aquest dret té com a finalitat transmetre les dades personals d’un responsable del tractament a un altre, o bé sol·licitar l’entrega de les dades en un format estructurat, d’ús comú i lectura mecànica.

El dret de supressió o "dret a l'oblit". L'exercici d'aquest dret té com a finalitat esborrar les dades de l'interessat o bé, impedir la difusió d'informació personal a través d'Internet.

El dret a la limitació del tractament. L’exercici d’aquest dret té com a finalitat que no s’apliquin a les dades de caràcter personal de l’interessat, les operacions de tractament que en cada cas corresponen.

3. Consentiment

És necessari el consentiment de la persona afectada per tractar les seves dades personals?

El consentiment és qualsevol manifestació de la voluntat lliure, inequívoca, específica i informada, mitjançant la qual l’interessat consenti el tractament de dades personals que el concerneixen. El tractament de les dades de caràcter personal requereix el consentiment inequívoc de l’afectat, llevat que la llei disposi una altra cosa.

No cal el consentiment quan:

  • les dades de caràcter personal es recullen per a l'exercici de les funcions pròpies de les administracions públiques en l'àmbit de les seves competències
  • es refereixen a les parts d'un contracte o negoci, i són necessàries per al seu manteniment o compliment
  • el tractament té com a finalitat protegir un interès vital de la persona interessada
  • les dades figuren en fonts accessibles al públic

És necessari el consentiment de la persona afectada per tractar dades de salut?

Les dades de caràcter personal que facin referència a la salut poden ser objecte de tractament quan sigui necessari per a la prevenció o per al diagnòstic mèdics, la prestació d’assistència sanitària o de tractaments mèdics o la gestió de serveis sanitaris, sempre que el tractament de dades, l’efectuï un professional sanitari subjecte al secret professional o una altra persona subjecta a una obligació equivalent de secret.

Les dades de salut només poden ser recollides, tractades i cedides quan, per raons d’interès general, així ho disposi una llei o l’afectat hi consenti expressament. 

És necessari el consentiment del titular de la pàtria potestat o tutela per tractar dades personals de menors d’edat?

Cal obtenir el consentiment del pare, mare, o, en el seu cas, del tutor/a en el cas de menors de 14 anys o de persones discapacitades (amb diversitat funcional).

El consentiment sempre ha de ser exprés o per escrit?

El consentiment sempre ha de ser exprés, amb una declaració afirmativa. Per tant, no s'admet el consentiment tàcit.

En el cas d’emplenar una sol·licitud, no es considerarà consentiment les caselles ja marcades, el silenci o la inacció.

En el cas de dades especialment protegides (relatives a l’origen racial o ètnic, a la salut i a la vida sexual), el consentiment ha de ser sempre exprés.

En el cas de dades relatives a la ideologia, l’afiliació sindical, la religió i les creences, el consentiment també ha de ser exprés.

Es pot publicar la foto d’una persona sense el seu consentiment?

Una informació gràfica o fotogràfica (una imatge) que identifica o que permet determinar la identitat d’una persona sense un esforç desproporcionat és una dada de caràcter personal. La publicació d’una foto d’una persona identificada o identificable és una cessió de dades personals que requereix el consentiment de la persona afectada.

Ara bé, si les imatges es recullen en un lloc públic i amb finalitat informativa, no cal demanar el consentiment de les persones fotografiades, sempre que la imatge s'emmarqui en el context informatiu, no sigui l'objectiu principal de la càmera i no afecti la intimitat de la persona fotografiada.

Es poden publicar dades personals en una notícia d’un diari o en una web?

El dret fonamental a la protecció de dades de caràcter personal no és un dret absolut i pot topar amb —i poden prevaler— altres drets fonamentals, com ara el dret a la llibertat d'expressió (la manifestació d'una opinió) o el dret d'informació (el dret que té qualsevol persona a donar i a rebre informació).

Si les dades es publiquen en el context informatiu, amb finalitat informativa, no cal demanar el consentiment de la persona afectada.

4. Transferència internacional de dades

Es poden transferir dades personals a qualsevol país?

Per regla general, sols es poden fer transferències internacionals de dades, és a dir, moviments que suposen una transmissió de dades fora del territori de l’Espai Econòmic Europeu, quan la Comissió hagi decidit que el tercer país, pot garantir un nivell de protecció adequat. Aquesta transferència no requerirà cap autorització específica. 

Si la Comissió no s'ha pronunciat respecte d'un tercer país, el responsable o l'encarregat del tractament sols podrà transmetre les dades personals si aquell tercer país pot oferir unes garanties adequades, i a més a més que els interessats comptin amb drets exigibles i accions legals efectives.

5. Videovigilància

Es poden posar càmeres de videovigilància a qualsevol lloc?

La instal·lació de càmeres de videovigilància comporta una recollida de dades consistents en imatges de persones que poden ésser identificades o identificables, que tenen la consideració de dades personals en la mesura que permetin la identificació efectiva d’una persona. Per això, la instal·lació d’un sistema de videovigilància i els tractaments posteriors de les imatges, o de les imatges i veus, que se’n derivin estan subjectes a la normativa sobre protecció de dades personals, sens perjudici d’altra normativa aplicable i del respecte a altres drets fonamentals, com ara el dret a la intimitat i a la pròpia imatge.

Pel que fa a la ubicació de les càmeres, cal cercar una orientació que eviti la captació incidental d’imatges de la via pública o de persones que es reuneixen en un lloc de descans i convé evitar la utilització de sistemes de videovigilància en l’àmbit acadèmic o laboral, atès que pot resultar no-adequada al principi de proporcionalitat en la mesura que no sigui necessari per a la seguretat de persones i instal·lacions.

6. Mesures de seguretat

Què és una incidència en l’àmbit de la protecció de dades personals?

S’entén per incidència qualsevol anomalia que afecti o pugui afectar la seguretat de les dades (per exemple, una caiguda súbita de tensió que apagui els sistemes, o un accés indegut de tercers aliens, o la pèrdua de suports físics com ara CD-ROM, memòries o discs portàtils USB, etc).

Alguns exemples d’incidències podrien ser:

  • Oblit de contrasenya
  • Sospita d’ús indegut de contrasenya
  • Pèrdua de suports informàtics
  • Infecció per virus d’un arxiu o d’una aplicació
  • Accessos no autoritzats a dependències que contenen sistemes d’informació amb dades protegides
  • Enviament d’informació personal a una adreça equivocada
  • Donar informació sensible a persones alienes
  • Avaria de disc dur que provoqui pèrdua de dades
  • Caiguda de la xarxa
  • Petició de recuperació de dades

 

Preguntes específiques de la UIB

  1. Àmbit d’aplicació
  2. Conceptes generals
  3. Obligacions
  4. Consentiment
  5. Cessió de dades
  6. Videovigilància
  7. Mesures de seguretat
  8. Responsabilitat activa

1. Àmbit d’aplicació

És aplicable la normativa de protecció de dades a la UIB?

La LOPDGDD és aplicable a tots els organismes (públics i privats) que tracten (en paper o en suport electrònic) dades de persones físiques (treballadors, estudiants, col·laboradors,...) per garantir el dret fonamental a la intimitat i la privacitat.

No és aplicable a les dades de la UIB com a persona jurídica, ni als registres d'activitats de tractaments que es limitin a incorporar les dades del personal d’administració i serveis o docent i investigador que hi prestin els seus serveis, consistents únicament en el nom i cognoms, les funcions o llocs exercits, així com l’adreça postal o electrònica, telèfon i número de fax professionals.

Es poden publicar/difondre a la web de la UIB el nom, cognoms i dades de contacte de tot el personal que hi treballa?

Els tractaments de dades personals que consisteixen en la publicació de dades de manera que siguin accessibles per a una pluralitat indeterminada de persones pertanyen a l’àmbit d’aplicació de la normativa de protecció de dades.

Ara bé, la normativa no és aplicable a les dades de persones jurídiques, ni als registres d'activitats de tractament que es limiten a incorporar les dades de les persones físiques que hi prestin els seus serveis, consistents únicament en el nom i cognoms, les funcions o llocs exercits, així com l’adreça postal o electrònica, telèfon i número de fax professionals.

Si les dades del PAS o PDI apareixen vinculades, exclusivament, a l’activitat en l’entorn professional i en el marc de la integració professional en la persona jurídica (UIB), i sempre que es limitin a les dades esmentades, estarien excloses del marc d’aplicació de la normativa sobre protecció de dades de caràcter personal i la UIB, per tant, les podria publicar a la web sense el consentiment dels afectats.

Es poden publicar/difondre a la web de la UIB el nom, cognoms i dades de contacte dels estudiants matriculats?

Els tractaments de dades personals que consisteixen en la publicació de dades de manera que siguin accessibles per a una pluralitat indeterminada de persones pertanyen a l’àmbit d’aplicació de la normativa de protecció de dades. La publicació de dades personals dels estudiants a la web de la UIB suposaria una cessió indiscriminada de dades a terceres persones que, llevat que una norma amb rang de llei ho autoritzi, requereix el consentiment dels estudiants. Com a titular de les dades personals publicades, l’estudiant afectat pot exercir, gratuïtament, el dret d’oposició a la difusió.

2. Conceptes generals

L’adreça electrònica corporativa @uib és una dada personal?

Com a informació alfanumèrica referent a una persona física la identitat de la qual es pot determinar, directament o indirecta, l’adreça electrònica és una dada personal. Com a dada de persona física que presta els seus serveis a una persona jurídica, l’adreça electrònica corporativa, o professional, queda exclosa de la normativa de protecció de dades de caràcter personal.

3. Obligacions

Quines obligacions té la UIB en matèria de protecció de dades de caràcter personal?

Per tal de respectar les garanties que estableix el RGPD per protegir la intimitat i altres drets fonamentals de les persones físiques, com a responsable del fitxer la UIB té les obligacions següents:

  • notificar a la DPO totes les activiatst de tractament de dades de caràcter personal que gestiona perquè quedin inscrits en el nostre registre.
  • recollir, tractar i cedir les dades de caràcter personal aplicant els principis de la protecció de dades
  • garantir el dret d'informació en la recollida de dades per tal que les persones puguin saber qui recull les seves dades, per què les recull, qui en serà el destinatari, quins drets l'assisteixen i on s'han d'adreçar per exercir-los
  • facilitar a les persones l'exercici dels seus drets d’accés, rectificació, oposició, supressió, portabilitat i limitació en el tractament amb un procediment senzill i gratuït
  • guardar secret professional sobre les dades de caràcter personal que recull i tracta i adoptar les mesures necessàries per garantir la confidencialitat de les dades
  • assegurar que tot el personal al seu servei coneix la seva obligació de guardar secret respecte de les dades personals a les que tingui accés, obligació que subsisteix fins i tot després de finalitzar el vincle que hi té
  • implantar les mesures d'índole tècnica i organitzatives necessàries que garanteixin la seguretat de les dades de caràcter personal i evitin la seva alteració, pèrdua, tractament o accés no autoritzat
  • legitimar les transferències internacionals de dades aplicant les garanties que el RGPD estableix per a aquest supòsit

Com compleix la UIB amb el deure d’informació en la recollida de dades

UIBdigital, l’eina que permet accedir als serveis telemàtics de la UIB, permet que l'usuari (PAS, PDI o estudiant) personalitzi el seu espai web, les dades amb què es presenta a la resta de la comunitat universitària i la gestió de les seves credencials. En compliment del que disposa el RGPD, l’apartat ‘Dades personals’ inclou una nota o llegenda que informa l’usuari de l'existència del registre de les activitats de tractament de les dades de caràcter personal, de la finalitat de la recollida de les dades, del caràcter obligatori o facultatiu de les seves respostes, de la possibilitat d'exercir els drets d'accés, rectificació, oposició, supressió, portabilitat i limitació del tractament, i de la identitat i adreça de la UIB, responsable del tractament.

Els formularis d’inscripció, en línia o en paper, que utilitzen els departaments, serveis i unitats acadèmiques i administratives de la UIB per recollir dades de caràcter personal, inclouen una nota o llegenda informativa similar.

Quin procediment té la UIB per garantir l’exercici dels drets d'accés, rectificació, oposició, supressió, portabilitat i limitació del tractament?

Per exercir els drets d’accés, rectificació, oposició, supressió, portabilitat i limitació del tractament, quant a dades facilitades a la UIB, cal adreçar-se per escrit a: Universitat de les Illes Balears, a l’atenció de la Delegada de protecció de dades, cra. de Valldemossa, km 7,5, 07122 Palma (Illes Balears). La UIB posa a disposició dels interessats formularis per exercir cada un dels drets d'accés, rectificació, oposició, supressió, portabilitat i limitació del tractament, de manera senzilla i gratuïta. Tant el procediment com els formularis són a l’abast a la Seu electrònica i a totes les consergeries i secretaries de centre.

Els drets d'accés, rectificació, oposició, supressió, portabilitat i limitació del tractament, s’exerceixen davant la delegada de protecció de dades.

Quins terminis té la UIB per respondre a l’exercici dels drets d'accés, rectificació, oposició, supressió, portabilitat i limitació del tractament?

El termini per resoldre és d'un mes. Però, es podrà prorrogar dos messos més, tenint en compte la complexitat i el nombre de sol·licituds. La DPO de dades informarà a l'interessat de qualsevol de les pròrrogues en el termini d'un mes a partir de la recepció de la sol·licitud, indicant els motius de la dilació. 

Si la DPO no dóna curs a la sol·licitud de l'interessat, transcorregut un mes de la recepció de la sol·licitud, l'informarà sense dilació, de les raons per les que no ha tramitat la sol·licitud i la possibilitat de presentar una reclamació davant l'Agència Espanyola de Protecció de Dades.

4. Consentiment

La UIB necessita el consentiment del personal (PAS i PDI) per recollir-ne i tractar-ne les dades personals?

De manera excepcional, les dades de caràcter personal només es poden tractar sense el consentiment del seu titular quan aquest no sigui exigible d'acord amb el que disposen les lleis. Un dels supòsits en què RGPD estableix que no és exigible el consentiment del titular és quan les dades siguin per dur a terme un contracte, en el qual l'interessat en forma part o bé, per l'aplicació de mesures precontractuals (article 6 RGPD).

La UIB necessita el consentiment dels estudiants per recollir-ne i tractar-ne les dades personals?

De manera excepcional, les dades de caràcter personal només es poden tractar sense el consentiment del seu titular quan aquest no sigui exigible d'acord amb el que disposen les lleis. Un dels supòsits en què RGPD estableix que no és exigible el consentiment del titular és quan les dades siguin per dur a terme un contracte, en el qual l'interessat en forma part o bé, per l'aplicació de mesures precontractuals (article 6 RGPD).

La UIB necessita el consentiment del personal per confeccionar la targeta universitària?

La UIB ofereix al seu personal (PAS, PDI, contractats,...) una targeta que permet, entre d’altres, acreditar-se com a membres de la comunitat universitària, identificar-se electrònicament (per exemple, per al control horari del PAS), portar de forma segura un certificat digital i el seu ús, opcional, com a targeta financera. La targeta universitària s'ha de sol·licitar a UIBdigital i l’emeten diferents entitats financeres, amb les quals la UIB té signats contractes per a la confecció de la targeta. En compliment del que disposa la LOPD, l’apartat ‘Targeta UIB’, a ‘Gestions i serveis’, informa l’usuari que, amb la sol·licitud, atorga el consentiment per cedir les seves dades a l’entitat financera triada, que ha d’emetre la targeta universitària sota les instruccions de la UIB.

La UIB necessita el consentiment dels estudiants per confeccionar la targeta universitària?

La UIB ofereix als estudiants una targeta que permet, entre d’altres, acreditar-se com a membres de la comunitat universitària, identificar-se electrònicament (per exemple, per imprimir a les copisteries des de les aules informàtiques), portar de forma segura un certificat digital i el seu ús, opcional, com a targeta financera. La targeta universitària s'ha de sol·licitar a UIBdigital i l’emeten diferents entitats financeres, amb les quals la UIB té signats contractes per a la confecció de la targeta. En compliment del que disposa la LOPD, l’apartat ‘Targeta UIB’, a ‘Gestions i serveis’, informa l’usuari que, amb la sol·licitud, atorga el consentiment per cedir les seves dades a l’entitat financera triada, que ha d’emetre la targeta universitària sota les instruccions de la UIB.

La UIB pot cedir/comunicar dades dels estudiants a una empresa o altra entitat que ho demani?

La regla general —la normativa estableix una sèrie d’excepcions— és que per comunicar dades personals a un tercer cal el consentiment del titular d'aquestes dades. Per això, la UIB fa servir, durant el procés de matrícula a UIBdigital, una llegenda amb clàusules de consentiment explícit, si escau, per a la cessió de dades a les empreses i entitats que ho sol·licitin amb finalitats acadèmiques o laborals, durant els estudis i/o durant els cinc anys següents, un cop acabats els estudis. En cas d’autoritzar una cessió de dades d’estudiants, la UIB només cedeix les dades d’aquells que hi han atorgat el consentiment.

Es poden enregistrar els exàmens orals?

L’enregistrament d’exàmens orals (imatge i veu) és un tractament de dades que requereix el consentiment de l’afectat, llevat que una norma legal disposi una altra cosa.

L’article 30 del Reglament acadèmic de la Universitat estipula que els exàmens o proves orals finals seran enregistrats per permetre una posterior revisió de la qualificació, llevat dels casos següents: a) que el professor ofereixi a l’estudiant la possibilitat de renunciar al dret que l’enregistrin i l’estudiant l’accepti per escrit; b) que l’examen es produeixi davant un tribunal. Les proves o intervencions orals que formin part d’un procediment d’avaluació contínua no cal que siguin enregistrades, sempre que es puguin desenvolupar en presència de la resta d’estudiants de l’assignatura.

Es poden publicar/difondre a la web de la UIB fotos i videos en què apareixen persones que no pertanyen a la comunitat universitària?

Una informació gràfica o fotogràfica (una imatge) que identifica o que permet determinar la identitat d’una persona sense un esforç desproporcionat és una dada de caràcter personal. La publicació d’una imatge d’una persona identificada o identificable és una cessió de dades personals que requereix el consentiment de la persona afectada, tant si pertany a la comunitat universitària (PAS, PDI, estudiants) com si no.

Ara bé, si les imatges es recullen en un acte públic, com ara la inauguració de l’any acadèmic, i amb finalitat informativa, no cal demanar el consentiment de les persones fotografiades o filmades, sempre que la imatge s'emmarqui en el context informatiu, no sigui l'objectiu principal de la càmera i no afecti la intimitat de la persona fotografiada o filmada.

5. Cessió de dades

Es pot penjar a un tauler d’anuncis un llistat de notes amb nom i cognoms dels estudiants?

La difusió de notes de qualificació a través dels taulons d’anuncis, constitueix un tractament de dades de caràcter personal dels estudiants amb habilitació legal, en virtud de la disposició addicional vint-i-unena de la Llei Orgànica 4/2007 d’Universitats (LOU), que estableix que no cal el consentiment dels estudiants per a la publicació dels resultats de les proves relacionades amb l’avaluació dels seus coneixements i competències ni dels actes que resultin necessaris per a l’adequada realització i el seguiment de l’avaluació esmentada.

Ara bé, la UIB ha establert que les qualificacions de les assignatures es publicaran a través de la plataforma UIBdigital en una llista amb noms i cognoms, sense DNI, i amb possibilitat de consulta només per als estudiants matriculats en cada grup assignatura, i que el termini d’exposició serà de fins a una setmana després de la data de revisió de les qualificacions fixada.

La publicació de qualsevol tipus de qualificació s’ha de realitzar amb nom i cognoms, amb la finalitat de garantir el control sobre possibles errors o arbitrarietats per part dels interessats.

Per què es publiquen les qualificacions acadèmiques a UIBdigital?

La UIB considera que seria manifestament contrari a la legislació de protecció de dades publicar les qualificacions acadèmiques de forma oberta, és a dir, permetre-hi el lliure accés a qualsevol persona. Per això ha establert que les qualificacions de les assignatures es publicaran a través de la plataforma UIBdigital amb possibilitat de consulta només per als estudiants matriculats en cada grup assignatura, i que el termini d’exposició serà de fins a una setmana després de la data de revisió de les qualificacions fixada.

En cas que per raons tècniques els professors no puguin utilitzar la plataforma UIBdigital, poden penjar la llista a l’eina de Campus Extens, en format PDF o similar, amb les mateixes condicions exposades.

La publicació de qualsevol tipus de qualificació s’ha de realitzar amb nom i cognoms, amb la finalitat de garantir el control sobre possibles errors o arbitrarietats per part dels interessats.

El pare o tutor d’un estudiant té dret a conèixer-ne les qualificacions acadèmiques?

En el cas d’un estudiant major d’edat, la UIB no pot comunicar-ne cap informació acadèmica al pare, tutor o representant legal atès que, sense el consentiment de l’estudiant, constituiria una cessió de dades personals no coberta per cap de les excepcions que contempla la normativa vigent en matèria de protecció de dades. Només si l’estudiant és menor d’edat (menor de 14 anys), el pare, tutor o representant legal té dret a sol·licitar a la Universitat les qualificacions del fill.

Els candidats a un òrgan de representació de la Universitat, tenen dret a utilitzar les dades personals del cens electoral per enviar informació de la seva candidatura?

En principi, aquesta possibilitat s’ha de preveure a la normativa electoral de la Universitat. Tant els Estatuts com la normativa electoral han d’establir la regulació del cens electoral i han de preveure quines dades ha de contenir el cens i l’ús que en pot fer cada candidatura en un procés electoral.

En cas contrari, cal aplicar el que preveu l’article 41.5 de la Llei orgànica 5/1985 reguladora del règim electoral general, que estableix que les candidatures poden obtenir, dins els dos dies següents a la proclamació, còpia del cens electoral corresponent, ordenat per meses.

La UIB s’inclina per alternatives tecnològiques que permeten satisfer les obligacions del règim electoral general sense comunicar dades de caràcter personal als candidats. Així, té implantat un sistema de llistes de distribució que permet enviar missatges amb informació electoral de manera que els candidats només coneixen una adreça genèrica i no assumeixen cap responsabilitat pel que fa al tractament de les dades de caràcter personal.

La Universitat pot cedir dades personals de PAS, PDI o estudiants al Síndic de Greuges?

La Llei orgànica 6/2001, d’Universitats (LOU) preveu la figura del defensor universitari per vetllar pel respecte als drets i les llibertats dels professors, estudiants i personal d'administració i serveis, davant les actuacions dels diferents òrgans i serveis universitaris.

El Síndic de Greuges, nom que reb el defensor universitari a la UIB, és l'òrgan encarregat de defensar i protegir els drets i les llibertats de tots els membres de la comunitat universitària davant les actuacions dels diferents òrgans i serveis universitaris. Les seves actuacions han d’anar sempre adreçades a la millora de la qualitat universitària en tots els àmbits. A aquests efectes, pot supervisar les activitats universitàries, tot respectant els drets i les llibertats individuals.

En la mesura que les dades a cedir per la UIB tinguin com a finalitat complir amb les funcions pròpies del Síndic de Greuges, la cessió estaria autoritzada per una llei i exempta, per tant, del consentiment de l’afectat. Altrament, el consentiment és imprescindible.

Els representants sindicals tenen dret a utilitzar l’adreça electrònica corporativa dels treballadors de la UIB per enviar-los informació sindical?

Com a informació alfanumèrica referent a una persona física la identitat de la qual es pot determinar, directament o indirecta, l’adreça electrònica corporativa és una dada personal. La comunicació de les adreces dels treballadors als representants sindicals és una cessió de dades habilitada legalment per una de les excepcions al consentiment previstes per la normativa de protecció de dades personals.

L’article 8 de la Llei orgànica 11/1985, de llibertat sindical habilita que es comuniquin les adreces electròniques, tant dels afiliats a un sindicat com dels treballadors en general, a les seccions sindicals dels sindicats més representatius i d’aquells que tinguin representació en els òrgans de representació establerts, amb la finalitat de facilitar la difusió dels avisos que els puguin interessar.

La UIB garanteix la representació dels diferents sectors de la comunitat universitària però s’inclina per alternatives tecnològiques que permeten satisfer les obligacions de la llibertat sindical sense comunicar dades de caràcter personal als representants sindicals. Per una banda, la web institucional conté un espai per als òrgans de representació on, tant la Comissió de Representants del personal (juntes de personal i comitès d’empresa) com els treballadors, poden compartir qualsevol qüestió d’interès i/o enllaçar amb les webs pròpies o les xarxes socials on tenen perfil. Per altra banda, la UIB té implantat un sistema de llistes de distribució que permet enviar missatges amb informació sindical de manera que els òrgans de representació sindical només coneixen una adreça genèrica i no assumeixen cap responsabilitat pel que fa al tractament de les dades de caràcter personal.

Els sindicats tenen dret a utilitzar l’adreça electrònica corporativa dels treballadors de la UIB per enviar-los informació sindical?

Com a informació alfanumèrica referent a una persona física la identitat de la qual es pot determinar, directament o indirecta, l’adreça electrònica corporativa és una dada personal. La comunicació entre el sindicat i els treballadors, afiliats o no, és un element essencial del dret fonamental a la llibertat sindical, atès que la transmissió d’informació d’interès sindical és el fonament de la participació, permet l’exercici de l’acció sindical i promou el desenvolupament de la democràcia i del pluralisme sindical.

Com diu la sentència 281/2005 del Tribunal Constitucional, «sobre el empresario pesa el deber de mantener al sindicato en el goce pacífico de los instrumentos aptos para su acción sindical siempre que tales medios existan, su utilización no perjudique la finalidad para la que fueron creados por la empresa y se respeten los límites y reglas de uso».

La UIB s’inclina per alternatives tecnològiques que permeten satisfer les obligacions de la llibertat sindical sense comunicar dades de caràcter personal als sindicats. Així, la web institucional conté un espai per als òrgans de representació on els sindicats amb representació poden compartir informació sindical i/o enllaçar amb les webs pròpies.

La FUEIB pot utilitzar l’adreça electrònica dels estudiants, o dels antics alumnes, de la UIB per enviar-los informació sobre cursos de postgrau i d’altres?

La Fundació Universitat-Empresa de les Illes Balears (FUEIB) és una fundació cultural privada de caràcter permanent, amb caràcter de mitjà propi de la UIB. La utilització de l’adreça electrònica d’estudiants, o d’antics alumnes, de la UIB per part de la FUEIB implica una cessió de dades realitzada per una Administració Pública a una persona jurídica privada, supòsit que no està cobert per cap de les excepcions al consentiment previstes en el RGPD.

Només la UIB pot adreçar-se directament als estudiants, o als antics alumnes, per mantenir-los informats sobre coses que els poden interessar, sempre que el tipus d’informació sigui compatible amb la finalitat dels fitxers d’estudiants que gestiona.

Quan la FUEIB, o qualsevol altra entitat o empresa, vol enviar informació als estudiants, o als antics alumnes, ha de sol·licitar les adreces a la UIB d’acord amb el procediment establert i, en cas d’autoritzar-ne la cessió, la UIB només cedeix l’adreça d’aquells estudiants que hi han atorgat el consentiment durant el procés de matrícula.

6. Videovigilància

Es poden posar càmeres de videovigilància a les aules?

La instal·lació de càmeres de videovigilància i els tractaments posteriors de les imatges, o de les imatges i veus, que se’n derivin estan subjectes a la normativa sobre protecció de dades personals, sens perjudici d’altra normativa aplicable i del respecte a altres drets fonamentals, com ara el dret a la intimitat i a la pròpia imatge.

Cal tenir present que la instal·lació de càmeres a l’interior de les aules comporta una intromissió en els drets dels alumnes que pot afectar el seu lliure desenvolupament.

Es poden posar càmeres de videovigilància als despatxos?

La instal·lació de càmeres de videovigilància i els tractaments posteriors de les imatges, o de les imatges i veus, que se’n derivin estan subjectes a la normativa sobre protecció de dades personals, sens perjudici d’altra normativa aplicable i del respecte a altres drets fonamentals, com ara el dret a la intimitat i a la pròpia imatge.

Cal tenir present que pot resultar no-adequada al principi de proporcionalitat la utilització de sistemes de videovigilància en l’àmbit laboral amb la finalitat exclusiva de controlar el rendiment dels treballadors. En la mesura que no sigui necessari per a la seguretat de persones i instal·lacions, convé evitar la captació de forma continuada d’imatges de les persones en el seu lloc de treball.

7. Mesures de seguretat

Quin és el procediment a seguir en cas d’una incidència de seguretat a la UIB?

Qualsevol persona que formi part de la plantilla de la UIB, o s’hi trobi prestant els seus serveis temporalment, ha de notificar immediatament a l‘administrador del sistema i a la delegada de protecció de dades, qualsevol incidència o anomalia que detecti i que afecti o pugui afectar la seguretat, la integritat i/o la disponibilitat de les dades.

La notificació d’una incidència es pot realitzar per telefòn o per UIBdigital, amb el formulari corresponent.

El notificador ha de comunicar la incidència especificant, al menys, les dades següents:

  • Data i hora
  • Descripció de la incidència
  • Persona que notifica
  • Destinataris de la comunicació (amb còpia per al responsable de seguretat

Per la seva banda, l’administrador informàtic ha de completar el registre amb les dades següents:

  • Número de registre de la incidència
  • Tipus d’incidència
  • Impacte de la incidència
  • Referència (número de registre d’incidència associat, si està relacionada amb una incidència anterior)

8. Responsabilitat activa

Què és la responsabilitat activa?

La responsabilitat activa implica que tots els responsables de tractament de dades, han d'adoptar les mesures necessàries per a garantir que els tractaments que realitzen són conformes amb el RGPD i estan en condicions de demostrar-ho.

Consultes més freqüents a l'Agència Espanyola de Protecció de Dades

Podeu consultar les respostes a les consultes més freqüents referides a les competències de l'Agència Espanyola de Protecció de Dades: accés a les FAQ de l'AEPD.