Preguntes específiques de la UIB

  1. Àmbit d’aplicació
  2. Conceptes generals
  3. Obligacions
  4. Consentiment
  5. Cessió de dades
  6. Videovigilància
  7. Mesures de seguretat
  8. Responsabilitat activa

1. Àmbit d’aplicació

És aplicable la normativa de protecció de dades a la UIB?

La LOPDGDD és aplicable a tots els organismes (públics i privats) que tracten (en paper o en suport electrònic) dades de persones físiques (treballadors, estudiants, col·laboradors,...) per garantir el dret fonamental a la intimitat i la privacitat.

No és aplicable a les dades de la UIB com a persona jurídica, ni als registres d'activitats de tractaments que es limitin a incorporar les dades del personal d’administració i serveis o docent i investigador que hi prestin els seus serveis, consistents únicament en el nom i cognoms, les funcions o llocs exercits, així com l’adreça postal o electrònica, telèfon i número de fax professionals.

Es poden publicar/difondre a la web de la UIB el nom, cognoms i dades de contacte de tot el personal que hi treballa?

Els tractaments de dades personals que consisteixen en la publicació de dades de manera que siguin accessibles per a una pluralitat indeterminada de persones pertanyen a l’àmbit d’aplicació de la normativa de protecció de dades.

Ara bé, la normativa no és aplicable a les dades de persones jurídiques, ni als registres d'activitats de tractament que es limiten a incorporar les dades de les persones físiques que hi prestin els seus serveis, consistents únicament en el nom i cognoms, les funcions o llocs exercits, així com l’adreça postal o electrònica, telèfon i número de fax professionals.

Si les dades del PAS o PDI apareixen vinculades, exclusivament, a l’activitat en l’entorn professional i en el marc de la integració professional en la persona jurídica (UIB), i sempre que es limitin a les dades esmentades, estarien excloses del marc d’aplicació de la normativa sobre protecció de dades de caràcter personal i la UIB, per tant, les podria publicar a la web sense el consentiment dels afectats.

Es poden publicar/difondre a la web de la UIB el nom, cognoms i dades de contacte dels estudiants matriculats?

Els tractaments de dades personals que consisteixen en la publicació de dades de manera que siguin accessibles per a una pluralitat indeterminada de persones pertanyen a l’àmbit d’aplicació de la normativa de protecció de dades. La publicació de dades personals dels estudiants a la web de la UIB suposaria una cessió indiscriminada de dades a terceres persones que, llevat que una norma amb rang de llei ho autoritzi, requereix el consentiment dels estudiants. Com a titular de les dades personals publicades, l’estudiant afectat pot exercir, gratuïtament, el dret d’oposició a la difusió.

2. Conceptes generals

L’adreça electrònica corporativa @uib és una dada personal?

Com a informació alfanumèrica referent a una persona física la identitat de la qual es pot determinar, directament o indirecta, l’adreça electrònica és una dada personal. Com a dada de persona física que presta els seus serveis a una persona jurídica, l’adreça electrònica corporativa, o professional, queda exclosa de la normativa de protecció de dades de caràcter personal.

3. Obligacions

Quines obligacions té la UIB en matèria de protecció de dades de caràcter personal?

Per tal de respectar les garanties que estableix el RGPD per protegir la intimitat i altres drets fonamentals de les persones físiques, com a responsable del fitxer la UIB té les obligacions següents:

  • notificar a la DPO totes les activiatst de tractament de dades de caràcter personal que gestiona perquè quedin inscrits en el nostre registre.
  • recollir, tractar i cedir les dades de caràcter personal aplicant els principis de la protecció de dades
  • garantir el dret d'informació en la recollida de dades per tal que les persones puguin saber qui recull les seves dades, per què les recull, qui en serà el destinatari, quins drets l'assisteixen i on s'han d'adreçar per exercir-los
  • facilitar a les persones l'exercici dels seus drets d’accés, rectificació, oposició, supressió, portabilitat i limitació en el tractament amb un procediment senzill i gratuït
  • guardar secret professional sobre les dades de caràcter personal que recull i tracta i adoptar les mesures necessàries per garantir la confidencialitat de les dades
  • assegurar que tot el personal al seu servei coneix la seva obligació de guardar secret respecte de les dades personals a les que tingui accés, obligació que subsisteix fins i tot després de finalitzar el vincle que hi té
  • implantar les mesures d'índole tècnica i organitzatives necessàries que garanteixin la seguretat de les dades de caràcter personal i evitin la seva alteració, pèrdua, tractament o accés no autoritzat
  • legitimar les transferències internacionals de dades aplicant les garanties que el RGPD estableix per a aquest supòsit

Com compleix la UIB amb el deure d’informació en la recollida de dades

UIBdigital, l’eina que permet accedir als serveis telemàtics de la UIB, permet que l'usuari (PAS, PDI o estudiant) personalitzi el seu espai web, les dades amb què es presenta a la resta de la comunitat universitària i la gestió de les seves credencials. En compliment del que disposa el RGPD, l’apartat ‘Dades personals’ inclou una nota o llegenda que informa l’usuari de l'existència del registre de les activitats de tractament de les dades de caràcter personal, de la finalitat de la recollida de les dades, del caràcter obligatori o facultatiu de les seves respostes, de la possibilitat d'exercir els drets d'accés, rectificació, oposició, supressió, portabilitat i limitació del tractament, i de la identitat i adreça de la UIB, responsable del tractament.

Els formularis d’inscripció, en línia o en paper, que utilitzen els departaments, serveis i unitats acadèmiques i administratives de la UIB per recollir dades de caràcter personal, inclouen una nota o llegenda informativa similar.

Quin procediment té la UIB per garantir l’exercici dels drets d'accés, rectificació, oposició, supressió, portabilitat i limitació del tractament?

Per exercir els drets d’accés, rectificació, oposició, supressió, portabilitat i limitació del tractament, quant a dades facilitades a la UIB, cal adreçar-se per escrit a: Universitat de les Illes Balears, a l’atenció de la Delegada de protecció de dades, cra. de Valldemossa, km 7,5, 07122 Palma (Illes Balears). La UIB posa a disposició dels interessats formularis per exercir cada un dels drets d'accés, rectificació, oposició, supressió, portabilitat i limitació del tractament, de manera senzilla i gratuïta. Tant el procediment com els formularis són a l’abast a la Seu electrònica i a totes les consergeries i secretaries de centre.

Els drets d'accés, rectificació, oposició, supressió, portabilitat i limitació del tractament, s’exerceixen davant la delegada de protecció de dades.

Quins terminis té la UIB per respondre a l’exercici dels drets d'accés, rectificació, oposició, supressió, portabilitat i limitació del tractament?

El termini per resoldre és d'un mes. Però, es podrà prorrogar dos messos més, tenint en compte la complexitat i el nombre de sol·licituds. La DPO de dades informarà a l'interessat de qualsevol de les pròrrogues en el termini d'un mes a partir de la recepció de la sol·licitud, indicant els motius de la dilació. 

Si la DPO no dóna curs a la sol·licitud de l'interessat, transcorregut un mes de la recepció de la sol·licitud, l'informarà sense dilació, de les raons per les que no ha tramitat la sol·licitud i la possibilitat de presentar una reclamació davant l'Agència Espanyola de Protecció de Dades.

4. Consentiment

La UIB necessita el consentiment del personal (PAS i PDI) per recollir-ne i tractar-ne les dades personals?

De manera excepcional, les dades de caràcter personal només es poden tractar sense el consentiment del seu titular quan aquest no sigui exigible d'acord amb el que disposen les lleis. Un dels supòsits en què RGPD estableix que no és exigible el consentiment del titular és quan les dades siguin per dur a terme un contracte, en el qual l'interessat en forma part o bé, per l'aplicació de mesures precontractuals (article 6 RGPD).

La UIB necessita el consentiment dels estudiants per recollir-ne i tractar-ne les dades personals?

De manera excepcional, les dades de caràcter personal només es poden tractar sense el consentiment del seu titular quan aquest no sigui exigible d'acord amb el que disposen les lleis. Un dels supòsits en què RGPD estableix que no és exigible el consentiment del titular és quan les dades siguin per dur a terme un contracte, en el qual l'interessat en forma part o bé, per l'aplicació de mesures precontractuals (article 6 RGPD).

La UIB necessita el consentiment del personal per confeccionar la targeta universitària?

La UIB ofereix al seu personal (PAS, PDI, contractats,...) una targeta que permet, entre d’altres, acreditar-se com a membres de la comunitat universitària, identificar-se electrònicament (per exemple, per al control horari del PAS), portar de forma segura un certificat digital i el seu ús, opcional, com a targeta financera. La targeta universitària s'ha de sol·licitar a UIBdigital i l’emeten diferents entitats financeres, amb les quals la UIB té signats contractes per a la confecció de la targeta. En compliment del que disposa la LOPD, l’apartat ‘Targeta UIB’, a ‘Gestions i serveis’, informa l’usuari que, amb la sol·licitud, atorga el consentiment per cedir les seves dades a l’entitat financera triada, que ha d’emetre la targeta universitària sota les instruccions de la UIB.

La UIB necessita el consentiment dels estudiants per confeccionar la targeta universitària?

La UIB ofereix als estudiants una targeta que permet, entre d’altres, acreditar-se com a membres de la comunitat universitària, identificar-se electrònicament (per exemple, per imprimir a les copisteries des de les aules informàtiques), portar de forma segura un certificat digital i el seu ús, opcional, com a targeta financera. La targeta universitària s'ha de sol·licitar a UIBdigital i l’emeten diferents entitats financeres, amb les quals la UIB té signats contractes per a la confecció de la targeta. En compliment del que disposa la LOPD, l’apartat ‘Targeta UIB’, a ‘Gestions i serveis’, informa l’usuari que, amb la sol·licitud, atorga el consentiment per cedir les seves dades a l’entitat financera triada, que ha d’emetre la targeta universitària sota les instruccions de la UIB.

La UIB pot cedir/comunicar dades dels estudiants a una empresa o altra entitat que ho demani?

La regla general —la normativa estableix una sèrie d’excepcions— és que per comunicar dades personals a un tercer cal el consentiment del titular d'aquestes dades. Per això, la UIB fa servir, durant el procés de matrícula a UIBdigital, una llegenda amb clàusules de consentiment explícit, si escau, per a la cessió de dades a les empreses i entitats que ho sol·licitin amb finalitats acadèmiques o laborals, durant els estudis i/o durant els cinc anys següents, un cop acabats els estudis. En cas d’autoritzar una cessió de dades d’estudiants, la UIB només cedeix les dades d’aquells que hi han atorgat el consentiment.

Es poden enregistrar els exàmens orals?

L’enregistrament d’exàmens orals (imatge i veu) és un tractament de dades que requereix el consentiment de l’afectat, llevat que una norma legal disposi una altra cosa.

L’article 30 del Reglament acadèmic de la Universitat estipula que els exàmens o proves orals finals seran enregistrats per permetre una posterior revisió de la qualificació, llevat dels casos següents: a) que el professor ofereixi a l’estudiant la possibilitat de renunciar al dret que l’enregistrin i l’estudiant l’accepti per escrit; b) que l’examen es produeixi davant un tribunal. Les proves o intervencions orals que formin part d’un procediment d’avaluació contínua no cal que siguin enregistrades, sempre que es puguin desenvolupar en presència de la resta d’estudiants de l’assignatura.

Es poden publicar/difondre a la web de la UIB fotos i videos en què apareixen persones que no pertanyen a la comunitat universitària?

Una informació gràfica o fotogràfica (una imatge) que identifica o que permet determinar la identitat d’una persona sense un esforç desproporcionat és una dada de caràcter personal. La publicació d’una imatge d’una persona identificada o identificable és una cessió de dades personals que requereix el consentiment de la persona afectada, tant si pertany a la comunitat universitària (PAS, PDI, estudiants) com si no.

Ara bé, si les imatges es recullen en un acte públic, com ara la inauguració de l’any acadèmic, i amb finalitat informativa, no cal demanar el consentiment de les persones fotografiades o filmades, sempre que la imatge s'emmarqui en el context informatiu, no sigui l'objectiu principal de la càmera i no afecti la intimitat de la persona fotografiada o filmada.

5. Cessió de dades

Es pot penjar a un tauler d’anuncis un llistat de notes amb nom i cognoms dels estudiants?

La difusió de notes de qualificació a través dels taulons d’anuncis, constitueix un tractament de dades de caràcter personal dels estudiants amb habilitació legal, en virtud de la disposició addicional vint-i-unena de la Llei Orgànica 4/2007 d’Universitats (LOU), que estableix que no cal el consentiment dels estudiants per a la publicació dels resultats de les proves relacionades amb l’avaluació dels seus coneixements i competències ni dels actes que resultin necessaris per a l’adequada realització i el seguiment de l’avaluació esmentada.

Ara bé, la UIB ha establert que les qualificacions de les assignatures es publicaran a través de la plataforma UIBdigital en una llista amb noms i cognoms, sense DNI, i amb possibilitat de consulta només per als estudiants matriculats en cada grup assignatura, i que el termini d’exposició serà de fins a una setmana després de la data de revisió de les qualificacions fixada.

La publicació de qualsevol tipus de qualificació s’ha de realitzar amb nom i cognoms, amb la finalitat de garantir el control sobre possibles errors o arbitrarietats per part dels interessats.

Per què es publiquen les qualificacions acadèmiques a UIBdigital?

La UIB considera que seria manifestament contrari a la legislació de protecció de dades publicar les qualificacions acadèmiques de forma oberta, és a dir, permetre-hi el lliure accés a qualsevol persona. Per això ha establert que les qualificacions de les assignatures es publicaran a través de la plataforma UIBdigital amb possibilitat de consulta només per als estudiants matriculats en cada grup assignatura, i que el termini d’exposició serà de fins a una setmana després de la data de revisió de les qualificacions fixada.

En cas que per raons tècniques els professors no puguin utilitzar la plataforma UIBdigital, poden penjar la llista a l’eina de Campus Extens, en format PDF o similar, amb les mateixes condicions exposades.

La publicació de qualsevol tipus de qualificació s’ha de realitzar amb nom i cognoms, amb la finalitat de garantir el control sobre possibles errors o arbitrarietats per part dels interessats.

El pare o tutor d’un estudiant té dret a conèixer-ne les qualificacions acadèmiques?

En el cas d’un estudiant major d’edat, la UIB no pot comunicar-ne cap informació acadèmica al pare, tutor o representant legal atès que, sense el consentiment de l’estudiant, constituiria una cessió de dades personals no coberta per cap de les excepcions que contempla la normativa vigent en matèria de protecció de dades. Només si l’estudiant és menor d’edat (menor de 14 anys), el pare, tutor o representant legal té dret a sol·licitar a la Universitat les qualificacions del fill.

Els candidats a un òrgan de representació de la Universitat, tenen dret a utilitzar les dades personals del cens electoral per enviar informació de la seva candidatura?

En principi, aquesta possibilitat s’ha de preveure a la normativa electoral de la Universitat. Tant els Estatuts com la normativa electoral han d’establir la regulació del cens electoral i han de preveure quines dades ha de contenir el cens i l’ús que en pot fer cada candidatura en un procés electoral.

En cas contrari, cal aplicar el que preveu l’article 41.5 de la Llei orgànica 5/1985 reguladora del règim electoral general, que estableix que les candidatures poden obtenir, dins els dos dies següents a la proclamació, còpia del cens electoral corresponent, ordenat per meses.

La UIB s’inclina per alternatives tecnològiques que permeten satisfer les obligacions del règim electoral general sense comunicar dades de caràcter personal als candidats. Així, té implantat un sistema de llistes de distribució que permet enviar missatges amb informació electoral de manera que els candidats només coneixen una adreça genèrica i no assumeixen cap responsabilitat pel que fa al tractament de les dades de caràcter personal.

La Universitat pot cedir dades personals de PAS, PDI o estudiants al Síndic de Greuges?

La Llei orgànica 6/2001, d’Universitats (LOU) preveu la figura del defensor universitari per vetllar pel respecte als drets i les llibertats dels professors, estudiants i personal d'administració i serveis, davant les actuacions dels diferents òrgans i serveis universitaris.

El Síndic de Greuges, nom que reb el defensor universitari a la UIB, és l'òrgan encarregat de defensar i protegir els drets i les llibertats de tots els membres de la comunitat universitària davant les actuacions dels diferents òrgans i serveis universitaris. Les seves actuacions han d’anar sempre adreçades a la millora de la qualitat universitària en tots els àmbits. A aquests efectes, pot supervisar les activitats universitàries, tot respectant els drets i les llibertats individuals.

En la mesura que les dades a cedir per la UIB tinguin com a finalitat complir amb les funcions pròpies del Síndic de Greuges, la cessió estaria autoritzada per una llei i exempta, per tant, del consentiment de l’afectat. Altrament, el consentiment és imprescindible.

Els representants sindicals tenen dret a utilitzar l’adreça electrònica corporativa dels treballadors de la UIB per enviar-los informació sindical?

Com a informació alfanumèrica referent a una persona física la identitat de la qual es pot determinar, directament o indirecta, l’adreça electrònica corporativa és una dada personal. La comunicació de les adreces dels treballadors als representants sindicals és una cessió de dades habilitada legalment per una de les excepcions al consentiment previstes per la normativa de protecció de dades personals.

L’article 8 de la Llei orgànica 11/1985, de llibertat sindical habilita que es comuniquin les adreces electròniques, tant dels afiliats a un sindicat com dels treballadors en general, a les seccions sindicals dels sindicats més representatius i d’aquells que tinguin representació en els òrgans de representació establerts, amb la finalitat de facilitar la difusió dels avisos que els puguin interessar.

La UIB garanteix la representació dels diferents sectors de la comunitat universitària però s’inclina per alternatives tecnològiques que permeten satisfer les obligacions de la llibertat sindical sense comunicar dades de caràcter personal als representants sindicals. Per una banda, la web institucional conté un espai per als òrgans de representació on, tant la Comissió de Representants del personal (juntes de personal i comitès d’empresa) com els treballadors, poden compartir qualsevol qüestió d’interès i/o enllaçar amb les webs pròpies o les xarxes socials on tenen perfil. Per altra banda, la UIB té implantat un sistema de llistes de distribució que permet enviar missatges amb informació sindical de manera que els òrgans de representació sindical només coneixen una adreça genèrica i no assumeixen cap responsabilitat pel que fa al tractament de les dades de caràcter personal.

Els sindicats tenen dret a utilitzar l’adreça electrònica corporativa dels treballadors de la UIB per enviar-los informació sindical?

Com a informació alfanumèrica referent a una persona física la identitat de la qual es pot determinar, directament o indirecta, l’adreça electrònica corporativa és una dada personal. La comunicació entre el sindicat i els treballadors, afiliats o no, és un element essencial del dret fonamental a la llibertat sindical, atès que la transmissió d’informació d’interès sindical és el fonament de la participació, permet l’exercici de l’acció sindical i promou el desenvolupament de la democràcia i del pluralisme sindical.

Com diu la sentència 281/2005 del Tribunal Constitucional, «sobre el empresario pesa el deber de mantener al sindicato en el goce pacífico de los instrumentos aptos para su acción sindical siempre que tales medios existan, su utilización no perjudique la finalidad para la que fueron creados por la empresa y se respeten los límites y reglas de uso».

La UIB s’inclina per alternatives tecnològiques que permeten satisfer les obligacions de la llibertat sindical sense comunicar dades de caràcter personal als sindicats. Així, la web institucional conté un espai per als òrgans de representació on els sindicats amb representació poden compartir informació sindical i/o enllaçar amb les webs pròpies.

La FUEIB pot utilitzar l’adreça electrònica dels estudiants, o dels antics alumnes, de la UIB per enviar-los informació sobre cursos de postgrau i d’altres?

La Fundació Universitat-Empresa de les Illes Balears (FUEIB) és una fundació cultural privada de caràcter permanent, amb caràcter de mitjà propi de la UIB. La utilització de l’adreça electrònica d’estudiants, o d’antics alumnes, de la UIB per part de la FUEIB implica una cessió de dades realitzada per una Administració Pública a una persona jurídica privada, supòsit que no està cobert per cap de les excepcions al consentiment previstes en el RGPD.

Només la UIB pot adreçar-se directament als estudiants, o als antics alumnes, per mantenir-los informats sobre coses que els poden interessar, sempre que el tipus d’informació sigui compatible amb la finalitat dels fitxers d’estudiants que gestiona.

Quan la FUEIB, o qualsevol altra entitat o empresa, vol enviar informació als estudiants, o als antics alumnes, ha de sol·licitar les adreces a la UIB d’acord amb el procediment establert i, en cas d’autoritzar-ne la cessió, la UIB només cedeix l’adreça d’aquells estudiants que hi han atorgat el consentiment durant el procés de matrícula.

6. Videovigilància

Es poden posar càmeres de videovigilància a les aules?

La instal·lació de càmeres de videovigilància i els tractaments posteriors de les imatges, o de les imatges i veus, que se’n derivin estan subjectes a la normativa sobre protecció de dades personals, sens perjudici d’altra normativa aplicable i del respecte a altres drets fonamentals, com ara el dret a la intimitat i a la pròpia imatge.

Cal tenir present que la instal·lació de càmeres a l’interior de les aules comporta una intromissió en els drets dels alumnes que pot afectar el seu lliure desenvolupament.

Es poden posar càmeres de videovigilància als despatxos?

La instal·lació de càmeres de videovigilància i els tractaments posteriors de les imatges, o de les imatges i veus, que se’n derivin estan subjectes a la normativa sobre protecció de dades personals, sens perjudici d’altra normativa aplicable i del respecte a altres drets fonamentals, com ara el dret a la intimitat i a la pròpia imatge.

Cal tenir present que pot resultar no-adequada al principi de proporcionalitat la utilització de sistemes de videovigilància en l’àmbit laboral amb la finalitat exclusiva de controlar el rendiment dels treballadors. En la mesura que no sigui necessari per a la seguretat de persones i instal·lacions, convé evitar la captació de forma continuada d’imatges de les persones en el seu lloc de treball.

7. Mesures de seguretat

Quin és el procediment a seguir en cas d’una incidència de seguretat a la UIB?

Qualsevol persona que formi part de la plantilla de la UIB, o s’hi trobi prestant els seus serveis temporalment, ha de notificar immediatament a l‘administrador del sistema i a la delegada de protecció de dades, qualsevol incidència o anomalia que detecti i que afecti o pugui afectar la seguretat, la integritat i/o la disponibilitat de les dades.

La notificació d’una incidència es pot realitzar per telefòn o per UIBdigital, amb el formulari corresponent.

El notificador ha de comunicar la incidència especificant, al menys, les dades següents:

  • Data i hora
  • Descripció de la incidència
  • Persona que notifica
  • Destinataris de la comunicació (amb còpia per al responsable de seguretat

Per la seva banda, l’administrador informàtic ha de completar el registre amb les dades següents:

  • Número de registre de la incidència
  • Tipus d’incidència
  • Impacte de la incidència
  • Referència (número de registre d’incidència associat, si està relacionada amb una incidència anterior)

8. Responsabilitat activa

Què és la responsabilitat activa?

La responsabilitat activa implica que tots els responsables de tractament de dades, han d'adoptar les mesures necessàries per a garantir que els tractaments que realitzen són conformes amb el RGPD i estan en condicions de demostrar-ho.