panoramica UJI

Política de privacitat

Última modificació: 01/06/2018 | Font: SG

EXPOSICIÓ DE MOTIUS

La Universitat Jaume I té com a preocupació fonamental garantir la privacitat de les dades de caràcter personal dels membres de la seua comunitat i, en general, de tots els usuaris dels sistemes d'informació de la institució, i amb aqueixa finalitat s'han adoptat les mesures tècniques i organitzatives necessàries per a protegir-les.

L’objectiu marcat de preservar la privacitat i garantir els mecanismes que possibiliten l’exercici dels drets i llibertats dels usuaris està present ja en les normatives prèvies en matèria de protecció de dades a nivell nacional, com es veu en la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal  i el Reial Decret 1720/2007, de 21 de desembre, pel qual s’aprova el Reglament de desplegament de la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal, així com a nivell europeu amb la Directiva 95/46/CE del Parlament Europeu i del Consell, de 24 d’octubre de 1995, relativa a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’estes dades. 

Amb l’entrada en vigor del Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'estes dades i pel qual es deroga la Directiva 95/46/CE s’avança un pas més cap a la millora de les citades llibertats i drets dels usuaris i és en base a esta directiva europea, més els previsibles complements que es puguen afegir amb la normativa nacional actualitzada, amb la que es crea la següent política de privacitat per a definir i regular l’ús de les dades de caràcter personal dins de la Universit Jaume I.

Este objectiu de millora en la seguretat de les dades no es pot assolir únicament amb un conjunt de procediments i mesures tècniques i operatives al voltant dels propis tractaments sinó que ha de ser part d’una visió més ampla on a més de ser considerades les dades personals s’haurà d’afegir les mesures necessàries a nivell dels sistemes, del serveis i dels processos implicats al complet en el procés. Esta necessitat està molt alineada amb els requeriments i finalitats que presenten altres normatives en vigor com l’esquema nacional de seguretat, presenta al Reial decret 3/2010, de 8 de gener, pel qual es regula l’Esquema Nacional de Seguretat en l’àmbit de l’Administració electrònica i el Reial decret 4/2010, de 8 de gener, pel qual es regula l’Esquema Nacional d’Interoperabilitat en l’àmbit de l’Administració electrònica.

És per tot això que la política de privacitat està estretament lligada a la política de seguretat de la informació i és precís definir un conjunt de mesures que, de forma única, estiguen dirigides a assolir estes finalitats d’interés comú.
 

 

CAPÍTOL I
Disposicions generals

 

Article 1
Objecte

Aquesta política estableix les normes relatives a la protecció de les persones físiques pel que fa al tractament de les dades personals i les normes relatives a la lliure circulació d’aquestes dades. Es protegeix els drets i les llibertats fonamentals de les persones físiques i, en particular, el seu dret a la protecció de les dades personals.
Les dades personals recollides, ja siga per mitjans telemàtics o per qualsevol altre, no s'utilitzaran per a cap altra finalitat que no siga la relacionada amb les activitats que la universitat porta a terme.

 

Article 2
Àmbit d’aplicació

Aquesta política s'aplica al tractament totalment o parcialment automatitzat de dades personals, així com al tractament no automatitzat de dades personals contingudes en un fitxer o destinades a incloure-s’hi.

 

Article 3
Definicions

Als efectes d’aquest Reglament, s’entén per: 

a) Dades personals: qualsevol informació sobre una persona física identificada o identificable (l'interessat). S’ha de considerar persona física identificable qualsevol persona la identitat de la qual es pot determinar, directament o indirectament, en particular mitjançant un identificador, com per exemple un nom, un número d'identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d'aquesta persona.

b) Tractament: qualsevol operació o conjunt d'operacions realitzades sobre dades personals o conjunts de dades personals, ja sigui per procediments automatitzats o no, com la recollida, el registre, l’organització, l’estructuració, la conservació, l’adaptació o la modificació, l’extracció, la consulta, la utilització, la comunicació per transmissió, difusió o qualsevol altra forma d'habilitació d'accés, acarament o interconnexió, limitació, supressió o destrucció.

c) Limitació del tractament: el marcat de les dades de caràcter personal conservades, amb la finalitat de limitar-ne el tractament en el futur.

d) Fitxer: qualsevol conjunt estructurat de dades personals accessibles d’acord amb criteris determinats, ja sigui centralitzat, descentralitzat o repartit de forma funcional o geogràfica.

e) Responsable del tractament o responsable: la persona física o jurídica, autoritat pública, servei o qualsevol altre organisme que, sol o juntament amb d’altres, determina les finalitats i els mitjans del tractament; si el dret de la Unió o dels estats membres (en) determina les finalitats i els mitjans del tractament, el responsable del tractament o els criteris específics per al seu nomenament els pot establir el dret de la Unió o dels estats membres.

f) Encarregat del tractament o encarregat: la persona física o jurídica, autoritat pública, servei o qualsevol altre organisme que tracta dades personals per compte del responsable del tractament.

g) Destinatari: la persona física o jurídica, autoritat pública, servei o qualsevol altre organisme al qual es comuniquen dades personals, tant si és un tercer com si no. Això no obstant, les autoritats públiques que poden rebre dades personals en el marc d'una investigació concreta, no s’han de considerar com a destinataris, de conformitat amb el dret de la Unió o dels estats membres. El tractament d’aquestes dades efectuat per aquestes autoritats públiques és conforme a les normes en matèria de protecció de dades que són d’aplicació a les finalitats del tractament.

h) Tercer: persona física o jurídica, autoritat pública, servei o organisme diferent de l'interessat, del responsable del tractament, de l'encarregat del tractament i de les persones autoritzades per tractar les dades personals sota l'autoritat directa del responsable o de l'encarregat.

i) Consentiment de l’interessat: qualsevol manifestació de voluntat lliure, específica, informada i inequívoca per la qual l'interessat accepta, mitjançant una declaració o una acció afirmativa clara, el tractament de dades personals que l’afecten.

j) Violació de la seguretat de les dades personals: qualsevol violació de la seguretat que ocasiona la destrucció, la pèrdua o l’alteració accidental o il·lícita de dades personals transmeses, conservades o tractades d'una altra manera, o la comunicació o l’accés no autoritzats a aquestes dades.

k) Dades genètiques: dades personals relatives a les característiques genètiques heretades o adquirides d'una persona física, que proporcionen una informació única sobre la seva fisiologia o salut, obtingudes de l'anàlisi d'una mostra biològica d’aquesta persona.

l) Dades biomètriques: dades personals obtingudes a partir d'un tractament tècnic específic, relatives a les característiques físiques, fisiològiques o conductuals d'una persona física, que permeten o confirmen la identificació única d'aquesta persona, com ara imatges facials o dades dactiloscòpiques.

m) Dades relatives a la salut: dades personals relatives a la salut física o mental d'una persona física que revelen informació sobre el seu estat de salut, inclosa la prestació de serveis d'atenció sanitària.

n) Servei de la societat de la informació: qualsevol servei conforme a la definició de l'article 1, apartat 1, lletra b) de la Directiva (UE) 2015/1535 del Parlament Europeu i del Consell.

o) Organització internacional: una organització internacional i els seus ens subordinats de dret internacional públic, o qualsevol altre organisme creat mitjançant un acord entre dos o més països o en virtut d’aquest acord.

 

CAPÍTOL II
Principis de la protecció de dades

 

Article 4
Qualitat de les dades

Les dades personals que s’arrepleguen seran:

a) Tractades de manera lícita, lleial i transparent en relació amb l'interessat.

b) Recollides amb finalitats determinades, explícites i legítimes i posteriorment no es tractaran de manera incompatible amb aquestes finalitats. El tractament posterior de les dades personals amb finalitats d'arxiu en interès públic, amb finalitats de recerca científica i històrica o amb finalitats estadístiques no es considerarà incompatible amb les finalitats inicials.

c) Adequades, pertinents i limitades al que és necessari en relació amb les finalitats per a les quals es tracten. 

d) Exactes i, si cal, s’actualitzaran adoptant les mesures raonables perquè se suprimeixin o es rectifiquin sense dilació les dades personals que siguin inexactes amb les finalitats per a les quals es tracten. 

e) Conservades de manera que permetin identificar els interessats durant un període no superior al necessari per a les finalitats del tractament de dades personals. Les dades personals es poden conservar durant períodes més llargs, sempre que es tractin exclusivament amb finalitats d'arxiu en interès públic, amb finalitats de recerca científica o històrica o amb finalitats estadístiques aplicant les mesures tècniques i organitzatives adequades amb la finalitat de protegir els drets i les llibertats de l'interessat.

g) Tractades de manera que se’n garanteixi una seguretat adequada, inclosa la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental, mitjançant l’aplicació de les mesures tècniques o organitzatives adequades.

 

Article 5
Categories especials de dades personals

En el cas de tractaments de dades personals d’una categoria especial, com són les dades personals que revelin l'origen ètnic o racial, les opinions polítiques, les conviccions religioses o filosòfiques o l'afiliació sindical, i el tractament de dades genètiques, dades biomètriques destinades a identificar de manera unívoca una persona física, dades relatives a la salut o dades relatives a la vida sexual o les orientacions sexuals d'una persona física, es garanteix que concorre una de les circumstàncies següents:

a) L'interessat ha donat el seu consentiment explícit per al tractament d'aquestes dades personals per a una o més de les finalitats especificades, tret que el dret de la Unió o dels estats membres estableixi que l'interessat no pot aixecar la prohibició esmentada anteriorment.

b) El tractament és necessari per complir obligacions i per exercir els drets específics del responsable del tractament o de l'interessat, en l'àmbit del dret laboral i de la seguretat i la protecció social, si ho autoritza el dret de la Unió dels estats membres o un conveni col·lectiu conforme al dret dels estats membres que estableixi garanties adequades del respecte dels drets fonamentals i dels interessos de l'interessat.

c) El tractament és necessari per protegir interessos vitals de l'interessat o d'una altra persona física, en el supòsit que l'interessat no estigui capacitat físicament o jurídicament per donar el consentiment.

d) El tractament l’efectua, en l'àmbit de les seves activitats legítimes i amb les garanties adequades, una fundació, una associació o qualsevol altre organisme sense ànim de lucre que tingui una finalitat política, filosòfica, religiosa o sindical. Això, sempre que el tractament es refereixi exclusivament als membres actuals o antics d’aquests organismes o a persones que hi mantenen contactes regulars en relació amb les seves finalitats, i si les dades personals no es comuniquen fora d’aquests organismes sense el consentiment dels interessats.

e) El tractament es refereix a dades personals que l'interessat ha fet manifestament públiques.

f) El tractament és necessari per formular, exercir o defensar reclamacions o quan els tribunals actuen en exercici de la seva funció judicial. 

g) El tractament és necessari per raons d'un interès públic essencial, d’acord amb el dret de la Unió o dels estats membres, que ha de ser proporcional a l'objectiu perseguit, respectar el dret a la protecció de dades en l'essencial i establir mesures adequades i específiques per protegir els interessos i els drets fonamentals de l'interessat.

h) El tractament és necessari per a finalitats de medicina preventiva o laboral,  d’avaluació de la capacitat laboral del treballador, de diagnòstic mèdic, de prestació d'assistència o de tractament de tipus sanitari o social, o de gestió dels sistemes i els serveis d'assistència sanitària i social, sobre la base del dret de la Unió o dels estats membres o en virtut d'un contracte amb un professional sanitari. Les dades personals es poden tractar si les tracta un professional subjecte a l'obligació de secret professional o sota la seva responsabilitat, d'acord amb el dret de la Unió o dels estats membres o d’acord amb les normes establertes pels organismes nacionals competents, o per qualsevol altra persona subjecta també a l'obligació de secret, d'acord amb el dret de la Unió o dels estats membres o de les normes establertes pels organismes nacionals competents.

i) El tractament és necessari per raons d'interès públic en l'àmbit de la salut pública, com la protecció davant d'amenaces transfrontereres greus per a la salut, o per garantir nivells elevats de qualitat i de seguretat de l'assistència sanitària i dels medicaments o productes sanitaris, sobre la base del dret de la Unió o dels estats membres que estableixi mesures adequades i específiques per protegir els drets i les llibertats de l'interessat, en particular el secret professional.

j) El tractament és necessari amb finalitats d'arxiu en interès públic, amb finalitats de recerca científica o històrica o amb finalitats estadístiques, que ha de ser proporcional a l'objectiu perseguit, respectar el dret a la protecció de dades en  l'essencial i establir mesures adequades i específiques per protegir els interessos i els drets fonamentals de l'interessat.

 

Article 6
Comunicació de dades

La Universitat Jaume I únicament comunicarà dades quan estiga exercint les seues competències marcades per les lleis vigents, així com en les circunstàncies que s’arrepleguen en el reglament general de protecció de dades, tal i com s’informa als interessats quan s’arrepleguen les seues dades. Qualsevol altra comunicació s’haurà de comunicar i disposar del consentiment explícit de l’interessat abans de realitzar-la.

 

Article 7
Transferències internacionals

Es pot fer una transferència de dades personals a un tercer país o a una organització internacional garantint un nivell de protecció adequat tenint en compte, en particular, els elements següents: 

a) L'estat de dret, el respecte dels drets humans i les llibertats fonamentals, la legislació pertinent, tant general com sectorial, inclosa la relativa a la seguretat pública, la defensa, la seguretat nacional i la legislació penal; l'accés de les autoritats públiques a les dades personals, així com l'aplicació d'aquesta legislació, les normes de protecció de dades, les normes professionals i les mesures de seguretat, incloses les normes sobre transferències posteriors de dades personals a un altre tercer país o organització internacional que es compleixen en aquest país o organització internacional, la jurisprudència, així com el reconeixement als interessats dels quals es transfereixen les dades personals, de drets efectius i exigibles i de recursos administratius i accions judicials que siguin efectius.

b) L'existència i el funcionament efectiu d'una o diverses autoritats de control independents al tercer país o a les quals està subjecta una organització internacional, amb la responsabilitat de garantir i fer complir les normes en matèria de protecció de dades, inclosos els poders d'execució adequats, d'assistir i assessorar els interessats en l'exercici dels seus drets i de cooperar amb les autoritats de control de la Unió i dels estats membres, i

c) Els compromisos internacionals assumits pel tercer país o organització internacional de què es tracti, o altres obligacions derivades d'acords o instruments jurídicament vinculants, així com de la seva participació en sistemes multilaterals o regionals, en especial en relació amb la protecció de les dades personals. 

 

CAPÍTOL III
Drets dels interessats

 

Article 8
Informació en la recollida de dades

Quan les dades personals que fan referència a l’interessat, s’obtenen del mateix interessat, en el moment de recollir-les es facilitarà la informació del tractament, de forma clara i intel·ligible: primer amb un nivell bàsic i donant accés posteriorment a un segon nivell amb major detall.
Si es preveu tractar posteriorment les dades personals per a una finalitat diferent de la que va motivar la recollida, abans del tractament posterior s’informarà a l'interessat sobre aquesta altra finalitat i qualsevol informació addicional pertinent, sempre que l'interessat no dispose ja d’aquesta informació

 

Article 9
Consentiments dels afectats

En qualsevol tractament basat en el consentiment de l'interessat existeix la possibilitat de retirar-ho en qualsevol moment. La retirada del consentiment no afecta la licitud del tractament basada en el consentiment previ a la retirada.

 

Article 10
Dret d’accés

L'interessat té dret a obtenir del responsable del tractament confirmació de si s'estan tractant dades personals que l’afecten, i si és així, té dret a accedir a aquestes dades i a la informació relativa a les finalitats, destinataris, categories de dades tractades, el seu origen i període de conservació, reclamacions, existència de decissions automatitzades amb les seues conseqüències i a tots els drets addicionals de rectificació, supressió, limitació, oposició i portabilitat.
Quan es transfereixen dades personals a un tercer país o a una organització internacional, l'interessat té dret a ser informat de les garanties adequades relatives a la transferència.
El responsable del tractament ha de facilitar una còpia de les dades personals objecte de tractament. Per qualsevol altra còpia que sol·liciti l'interessat, el responsable té dret a percebre un cànon raonable basat en els costos administratius. Quan l'interessat presenti la sol·licitud per mitjans electrònics, i tret que aquest sol·liciti que es faci d'una altra manera, la informació s’ha de facilitar en un format electrònic d'ús comú.

 

Article 11
Dret de rectificació i supressió

L'interessat té dret a obtenir del responsable del tractament la rectificació de les dades personals inexactes que l’afecten, sense dilació indeguda. Tenint en compte les finalitats del tractament, l'interessat té dret que es completin les dades personals incompletes, fins i tot mitjançant una declaració addicional. 
L'interessat té dret a obtenir del responsable del tractament, sense dilació indeguda, la supressió de les dades personals que l’afecten. El responsable les ha de suprimir sense dilació indeguda, quan les dades ja no són necessàries o s’han tractat de forma il·lícita, quan l’interessat retira el consentiment o s’oposa al tractament i no queda base jurídica que ho ampare, quan s’ha de complir una obligació legal o les dades s’obtenen  en relació amb l'oferta de serveis de la societat de la informació.
Si el responsable del tractament ha fet públiques les dades personals i està obligat a suprimir-les, s’adoptaran mesures raonables per a informar als responsables que estan tractant aquestes dades de la sol·licitud de supressió de l'interessat.
Les excepcions contemplades a la legislació vigent seran d’obligat compliment com els casos, entre d’altres, quan el tractament és necessari per a complir una obligació legal, per raons d’interés públic o am finalitat d’arxiu, recerca o d’estadístiques.

 

Article 12
Dret de limitació

L'interessat té dret a obtenir del responsable del tractament la limitació del tractament de les dades, en casos d’impuganció de l’exactitud de les dades, quan el tractament és il·lícit i l’interessat s’oposa a la supressió, quan l’interessat necessita mantindre les dades per a formular o exercir reclamacions o mentre es verifica si els motius legítims del responsable prevalen sobre els de l'interessat en cas de que l’interessat s’opose al tractament.
En estes situacions, amb excepció de la seva conservació, aquestes dades només es poden tractar amb el consentiment de l'interessat, o per formular, exercir o defensar reclamacions, o per tal de protegir els drets d'una altra persona física o jurídica, o per raons d'interès públic important de la Unió o d'un determinat estat membre. Abans d’eliminar la limitació l’interessat serà informat d’aquesta situació pel responsable.

 

Article 13
Dret de portabilitat

L'interessat té dret a rebre, en un format estructurat, d'ús comú i de lectura mecànica, les dades personals que l’afecten i que ha facilitat a un responsable del tractament. Té dret a transmetre'ls a un altre responsable, sense que ho impedeixi el responsable al qual les havia facilitat, quan el tractament està basat en el consentiment o en un contracte i el tractament s'efectua per mitjans automatitzats. Les dades personals es transmetran directament de responsable a responsable, quan sigui tècnicament possible. 
Aquest dret no s'aplica al tractament necessari per complir una missió realitzada en interès públic o en l'exercici de poders públics conferits al responsable del tractament.

 

Article 14
Dret d’oposició

L'interessat té dret a oposar-se a que les dades personals que l’afecten siguin objecte d'un tractament. El responsable del tractament ha de deixar de tractar aquestes dades personals, tret que acrediti motius legítims imperiosos per al tractament que prevalguin sobre els interessos, els drets i les llibertats de l'interessat, o per a la formulació, l’exercici o la defensa de reclamacions.
Si les dades personals es tracten amb finalitats de recerca científica o històrica o amb finalitats estadístiques, per motius relacionats amb la seva situació particular l'interessat té dret a oposar-se al tractament de dades personals que l’afecten, tret que sigui necessari per complir una missió realitzada per raons d'interès públic.

 

Article 15
Procediments per a exercir els drets

El drets d'accés, rectificació o suppressió, limitació, portabilitat i si escau d'oposició tenen caràcter personal, pel la qual cosa només pot exercir-los la persona afectada. Podrà, no obstant això, actuar el seu representant legal en els casos previstos per la legislació vigent.
Pot exercir els seus drets adreçant-se a la Secretaria General de l’UJI mitjançant el Registre Electrònic (https://ujiapps.uji.es/reg/rest/publicacion/solicitud_generica)
Pot obtenir informació addicional sobre els seus drets o presentar una reclamació, si ho considera oportú, davant l'Agència Espanyola de Protecció de Dades (https://www.agpd.es).
Posteriorment a la recepció al registre d'entrada, o a qualsevol altre mitjà vàlid, de l'escrit de l'interessat i la posterior remissió a l'òrgan a què vaja adreçada, els responsables propietaris interns dels tractaments afectats, una vegada comprovada la  pertinència de la sol·licitud, han d'adoptar les mesures conduents a satisfer la petició i han de notificar els resultats a la persona interessada.
El responsable del tractament ha de comunicar a cadascun dels destinataris als quals s'han comunicat les dades personals qualsevol rectificació o supressió de dades personals o limitació del tractament, tret que sigui impossible o exigeixi un esforç desproporcionat. Si l’interessat ho sol·licita, el responsable l’ha d’informar sobre aquests destinataris. 

 

CAPÍTOL IV
Responsables i encarregats de tractaments

 

Article 16
Els responsables dins de la Universitat Jaume I

El responsable dels tractaments amb dades de caràcter personal és la Universitat Jaume I i, per resolució del Rector de 30 de gener de 2014, eixa responsabilitat l'exercirà la Secretaria General de la Universitat.
Els caps de cada servei o unitat que, per al compliment de les seues tasques administratives, necessiten tractar dades de caràcter personal, seran responsables interns dels tractaments en l'àmbit de la seua funció i hauran de vetllar perquè el tractament s'ajuste en tot moment a allò previst en la llei així com assegurar-se de l'establiment i compliment de les disposicions de seguretat adients.
En el cas dels tractaments sota la responsabilitat de grups d'investigació, la responsabilitat interna l'exercirà l'investigador principal o persona a qui es designe en la resolució de creació del mateix.
Els responsables interns retran comptes a la Secretaria General, com a responsable dels tractaments de la Universitat, i seran els òrgans als quals hauran d'adreçar-se les persones interessades per exercir els drets d'accés, rectificació, supressió, limitació, oposició o portabilitat. Els responsables interns dels tractaments són determinats pel Rector en les disposicions de creació o modificació de cadascun d'ells.

 

Article 17
La Universitat Jaume I com a responsable de tractaments

Els tractaments en els que la Universitat Jaume I siga responsable es podran consultar de forma telemàtica a l’adreça web:

La creació o modificació de tractaments on la Universitat Jaume I siga responsable del mateix es farà per resolució del Rector.

 

Article 18
La Universitat Jaume I com a encarregada del tractament

Els tractaments en els que la Universitat Jaume I siga encarregada es podran consultar de forma telemàtica a l’adreça web:

 

Article 19
Tractaments realitzats pels grups d’investigació

Els tractaments en els que un grup d’investigació de la Universitat Jaume I siga responsable es podran consultar de forma telemàtica a l’adreça web:

La creació o modificació de tractaments on un grup d’investigació de la Universitat Jaume I siga responsable del mateix es farà per resolució del Rector.

 

Article 20
Protecció de dades des del disseny i per defecte

El responsable implantarà les mesures tècniques i organitzatives adequades concebudes per aplicar de manera efectiva els principis de protecció de dades, tant en el moment de determinar els mitjans de tractament com en el moment del tractament mateix.
També harurà de garantir que, per defecte, únicament es tracten les dades personals necessàries per a cadascuna de les finalitats específiques del tractament. Aquesta obligació s'aplica a la quantitat de dades personals recollides, a l’abast del tractament, al termini de conservació i a l’accessibilitat de les dades. Aquestes mesures han de garantir en particular que, per defecte, les dades personals no siguin accessibles, sense la intervenció de la persona, a un nombre indeterminat de persones físiques.
 

 

CAPÍTOL V
Seguretat dels tractaments

 

Article 21
Mesures de seguretat aplicables 

Els responsables fan una valoració del risc dels tractaments que facen per a establir les mesures que han d’aplicar i com ho han de fer. El tipus d’anàlisi pot canviar en funció dels tipus de tractaments, de les categories de les dades, el número d’interessats afectats i la cantitat i varietat de tractaments que l’organització realitze.
Els responsables i encarregats de tractaments estableixen les mesures tècniques i organitzatives necessàries per a garantir un nivell de seguretat adequat en funció dels riscos detectats a l’anàlisi previ. Estes mesures tindran en consideració el cost de la tècnica i de l’aplicació, el contexte, abast i finalitats dels tractaments i els riscos per als drets i llibertats.
Els responsables de tractaments faran una Avaluació de l’Impacte sobre la Protecció de Dades amb caràcter previ a l’inici del tractament que siga probable que comporten un risc alt per als drets i llibertats dels interessats.

 

CAPÍTOL VI
El delegat de protecció de dades

 

Article 22
Designació del delegat de protecció de dades

El Reglament General de Protecció de Dades (RGPD) de la Unió Europea disposa que els responsables i encarregats de tractament hauran de designar un delegat de protecció de dades (DPD) en els supòsits que el propi RGPD estableix, així com en altres casos en què la legislació dels Estats Membre ho considere també obligatori.
Entre els supòsits en què haurà de designar-se un DPD es troba el que “el tractament ho duga a terme una autoritat o organisme públic”, tant en qualitat de responsable com en funcions d'encarregat de tractament (art. 37.1.a RGPD).
La posició del Delegat de Protecció de Dades ha de comportar:

a) La participació de forma adequada i en temps oportú en totes les qüestions relatives a la protecció de dades personals.

b) Rebre el suport del responsable o encarregat, que hauran de facilitar-li els recursos necessaris per a l'acompliment de les seues funcions.

c) No rebre cap instrucció pel que fa a l'acompliment d'aquestes funcions i no ser destituït ni sancionat pel responsable o l'encarregat per causes relacionades amb aqueix acompliment de funcions

d) Rendir comptes directament al més alt nivell jeràrquic del responsable o encarregat. Aquesta característica ha d'interpretar-se en el sentit que el DPD ha de poder relacionar-se amb nivells jeràrquics que tinguen la capacitat d'adoptar o promoure decisions basades en les recomanacions, propostes o avaluacions que realitze el DPD.

 

Article 23
Funcions del delegat de protecció de dades

El RGPD assenyala entre les funcions del DPD les de:

a) Informar i assessorar al responsable o a l'encarregat del tractament i als empleats que s'ocupen del tractament de les obligacions que els incumbeixen en virtut del RGPD i d'altres disposicions de protecció de dades de la Unió o dels Estats membres. 

b) Supervisar el compliment del que es disposa en el present Reglament, d'altres disposicions de protecció de dades de la Unió o dels Estats membres i de les polítiques del responsable o de l'encarregat del tractament en matèria de protecció de dades personals.

Aquestes funcions genèriques del DPD es poden concretar en tasques d'assessorament i supervisió en, entre unes altres, les següents àrees: 

a) Compliment de principis relatius al tractament, com els de limitació de finalitat, minimització o exactitud de les dades

b) Identificació de les bases jurídiques dels tractaments

c) Valoració de compatibilitat de finalitats diferents de les quals van originar la recollida inicial de les dades

d) Existència de normativa sectorial que puga determinar condicions de tractament específiques diferents de les establides per la normativa general de protecció de dades

e) Disseny i implantació de mesures d'informació als afectats pels tractaments de dades

f) Establiment de mecanismes de recepció i gestió de les sol·licituds d'exercici de drets per part dels interessats

g) Valoració de les sol·licituds d'exercici de drets per part dels interessats

h) Contractació d'encarregats de tractament, inclòs el contingut dels contractes o actes jurídics que regulen la relació responsable-encarregat

g) Identificació dels instruments de transferència internacional de dades adequades a les necessitats i característiques de l'organització i de les raons que justifiquen la transferència

h) Disseny i implantació de polítiques de protecció de dades

i) Auditoria de protecció de dades

j) Establiment i gestió dels registres d'activitats de tractament

k) Anàlisi de risc dels tractaments realitzats

l) Implantació de les mesures de protecció de dades des del disseny i protecció de dades per defecte adequades als riscos i naturalesa dels tractaments

m) Implantació de les mesures de seguretat adequades als riscos i naturalesa dels tractaments

n) Establiment de procediments de gestió de violacions de seguretat de les dades, inclosa l'avaluació del risc per als drets i llibertats dels afectats i els procediments de notificació a les autoritats de supervisió i als afectats

o) Determinació de la necessitat de realització d'avaluacions d'impacte sobre la protecció de dades

p) Realització d'avaluacions d'impacte sobre la protecció de dades

q) Relacions amb les autoritats de supervisió

r) Implantació de programes de formació i sensibilització del personal en matèria de protecció de dades

 

Article 24
Nomenament del delegat de protecció de dades

El nomenament del delegat de protecció de dades es fa mitjançant Resolució del Rector.
La forma de contactar oficialment amb el delegat de protecció de dades es mitjançant el correu electrònic: protecciondatos@uji.es 

Informació proporcionada per: Oficina d’Innovació i Auditoria TI
Informació i consultes: Bústia UJI | Centre de seguretat i privacitat
Universitat Jaume I CIF: Q-6250003-H Av. de Vicent Sos Baynat, s/n 12071 Castelló de la Plana, Espanya
Tel.: +34 964 72 80 00 Fax: +34 964 72 90 16