Introdución
La Universidad de Vigo asume la responsabilidad de cumplir con la legislación vigente en materia de protección de datos. Entre sus objetivos tiene garantizar la protección de la información y tratamiento de datos de carácter personal a estudiantes, profesores, personal de administración y servicios y en general, cualquier otro ciudadano que en algún momento tuvo relación con la Universidad de Vigo.
La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental protegido por el artículo 18.4 de la Constitución Española. El derecho fundamental a la protección de datos reconoce las personas físicas la facultad de controlar sus datos personales y a la capacidad de disponer y decidir sobre los mismos.
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en el que respeta al tratamiento de datos personales y a la libre circulación de estos datos (RXPD) establece los principios y normas que garantizan el contenido esencial del derecho fundamental a la protección, reforzando la seguridad jurídica y la transparencia.
La Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (LOPDGDD) dispone la adaptación del ordenamiento español al RXPD preservando el principio de seguridad jurídica y procurando una regulación interna complementaria para hacer plenamente efectiva la aplicación del RXPD. Responsable del Tratamiento
Responsable del Tratamento
El responsable del Tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que, so o junto con otros, determina los fines y medios del tratamiento. La Universidad de Vigo es la responsable del tratamiento.
La Universidad de Vigo aplicará medidas técnicas y organizativas apropiadas el fin de garantizar y poder demostrar que el tratamiento es conforme con la normativa de protección de datos, teniendo en cuenta la naturaleza, ámbito, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.
Universidade de Vigo
CIF: Q8650002B
Edificio Exeria
As Lagoas, Marcosende, s/n
36310 Vigo
+34 986 813 600
informacion@uvigo.es
Delegada de Protección de Datos
Lo/a Delegado/la de Protección de Datos (DPD) es una figura de obligatoria aplicación por el Reglamento Europeo General de Protección de Datos (RXPD) y la Ley orgánica 3/2018, de protección de datos personales y garantía de los derechos digitales (LOPDGDD).
Puede ser una persona física o jurídica que desempeñe sus funciones en el marco de un contrato de servicios, o podrá formar parte del personal de la Universidad de Vigo qué en este último caso no será destituido ni sancionado por lo que respeta al desempeño de sus funciones como DPD, salvo que había incurrido en dolo o descuido grave en su ejercicio.
Será designado atendiendo sus cualificaciones profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos.
Recibirá del responsable todos los recursos necesarios para el desarrollo de su actividad. En este sentido también tendrá acceso a los datos personales y procesos de tratamiento.
La DPD podrá desempeñar otras funciones y cometidos y el responsable garantizará que dichas funciones no den lugar a conflicto de intereses.
Sus datos de contacto deben ser públicos. Las personas interesadas podrán ponerse en contacto con el/con la DPD en lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del previsto en el RXPD y en la LOPDGDD.
Asimismo, el responsable garantizará que lo/la DPD no reciba ninguna instrucción por lo que dispone de total autonomía en el ejercicio de sus funciones como DPD y mantendrá una relación fluida con el Rector y con el equipo de gobierno para mejorar el servicio público encomendado.
Lo/La DPD tiene como mínimo las siguientes funciones:
- Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de los deberes que les incumben en virtud de la normativa de protección de datos.
- Supervisar el cumplimiento del dispuesto en la normativa de protección de datos y en la política del responsable y del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento y las auditorías correspondientes.
- Ofrecer el asesoramiento que se le solicite sobre la evaluación de impacto relativa a la protección de datos y supervisar su aplicación conforme la normativa de protección de datos.
- Cooperar con la Agencia Española de Protección de Datos (AEPD).
- Actuar como punto de contacto de la AEPD para cuestiones relativas al tratamiento, incluida la consulta previa la que se refiere la normativa sobre protección de datos y realizar consultas, en su caso, sobre cualquier otro asunto.
- Documentar y comunicar a los órganos de administración y dirección del responsable y del encargado de tratamiento a existencia de vulneraciones relevantes en materia de protección de datos.
Ana Garriga Domínguez
Facultade de Dereito
As Lagoas, s/n
32004 Ourense
+34 988 368 834
dpd@uvigo.gal
Encargado del Tratamiento
El Encargado de Tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta de la Universidad de Vigo.
Le corresponde a la Universidad de Vigo decidir sobre la finalidad y los usos de la información, mientras que el encargado del tratamiento debe cumplir con las instrucciones que le encomienda la Universidad para uno determinado servicio respeto al correcto tratamiento de los datos personales a los que pueda tener acceso a consecuencia de la prestación de este servicio.
La Universidad de Vigo debe elegir un encargado que ofrezca garantías suficientes respeto a la implantación y mantenimiento de las medidas técnicas y organizativas apropiadas y que garantiza la protección de los derechos de las personas afectadas. La adhesión a códigos de conducta o la posesión de un certificado de protección de datos puede servir como mecanismo de prueba.
El Encargado de Tratamiento puede adoptar todas las decisiones organizativas y operaciones necesarias para la prestación del servicio contratado, pero en ningún caso puede variar las finalidades y los usos de los datos ni los puede utilizar para sus propias finalidades.
La regulación de la relación entre lo responsable y el encargado del tratamiento debe establecerse a través de un contrato o de un acto jurídico unilateral del responsable del tratamiento y debe constar por escrito, incluso en formato electrónico. El Encargado del Tratamiento puede realizar todos los tratamientos, automatizados o no, que el responsable del tratamiento le encomiende formalmente en el acuerdo que se adopte, respetando la normativa de protección de datos y los principios relativos al tratamiento señalados en el artículo 5 del RXPD.
No existe el deber de informar respeto a la contratación de un encargado de tratamiento.
El contenido mínimo de un contrato o acuerdo de encargado de tratamiento es:
- Las instrucciones del responsable del tratamiento
- Deber de confidencialidad
- Las medidas de seguridad
- Régimen de la subcontratación
- Los derechos de los interesados
- La colaboración en el cumplimiento de los deberes del responsable
- Destino de los datos al finalizar la prestación
- A colaboración con el responsable para demostrar el cumplimiento
- A identificación del encargado del tratamiento
La Universidad de Vigo no pierde la consideración de responsable del tratamiento cuando contrata con un encargado de tratamiento y continúa siendo responsable del correcto tratamiento de los datos personales y de la garantía de los derechos de los afectados.
Finalidad
La Universidad de Vigo únicamente recogerá los datos personales estrictamente necesarios en relación con los fines para los que sean tratados, de acuerdo con los principios dispuestos en el artículo 5 del RXPD y facilitará a las personas interesadas, en el momento en que se obtengan los datos personales, la información necesaria para garantizar un tratamiento leal y transparente, de acuerdo con el dispuesto en los artículos 13 y 14 del RXPD
Las finalidades del tratamiento están amparadas en el interés público y para la prestación del servicio de educación superior que tiene encomendada la Universidad de Vigo a través de la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades y restante normativa vinculada.
Los datos que recoge la Universidad de Vigo sirven a los fines directamente relacionados con sus competencias y funciones y en este sentido los recogerá, tratará, almacenará y utilizará para llevar a cabo sus relaciones con el alumnado, antiguo alumnado, personal docente e investigador, personal de administración y servicios, otras personas usuarias de los servicios que presta, así como proveedores y otras personas físicas o jurídicas. @Dito datos serán tratados de forma confidencial y quedarán incorporados a la correspondiente actividad de tratamiento titularidad de la Universidad de Vigo.
Principios de legitimación
La Universidad de Vigo está legitimada para el tratamiento de la información personal de acuerdo con el principio de licitudes señalado en el artículo 6 del RXPD y, principalmente para:
- El cumplimiento de una misión realizada en interés público o en el ejercicio de poder públicos. La mayoría de los tratamientos de datos personales de la Universidad de Vigo se realizan conforme la esta base de legitimación. La Universidad de Vigo forma parte del sector público institucional y, por lo tanto, el tratamiento de los datos personales es necesario para la prestación del servicio público de educación superior conferidos por la Ley orgánica 6/2001, de 21 de diciembre, de universidades, por sus Estatutos y por el resto de la normativa propia.
- El cumplimiento de los diferentes deberes legales. Hay un número relevante de tratamientos aplicables a la Universidad de Vigo para la realización de sus finalidades basados en la aplicación de la normativa del Derecho español o de la Unión Europea.
- La ejecución de un contrato en el que la persona interesada sea parte o para la aplicación a petición de esta de medidas precontractuales.
- Excepcionalmente, puede tener que realizar tratamientos para proteger intereses vitales de las personas interesadas o de otras personas físicas.
- El cumplimiento de un interés legítimo perseguido por el responsable o por un tercero: por ejemplo, para el correcto mantenimiento de las relaciones de los miembros de la comunidad universitaria con la Universidad de Vigo.
- Por último, si no se compren los requisitos de legitimación anteriores, la Universidad de Vigo tratará datos personales para un o varios fines específicos cuando las personas interesadas otorguen su consentimiento.
Conservación de datos
Los datos personales proporcionados se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recogen y para determinar las posibles responsabilidades que se habían podido derivar de la misma finalidad, además de los períodos establecidos en la normativa de archivos y documentación.
Comunicación de datos
Según el tipo de actividades de tratamiento de datos que se realicen, la Universidad de Vigo podrá estar obligada a comunicar información relativa a las personas interesadas a las distintas Instituciones, Organismos o #Entidad públicas o privadas, incluyendo destinatarios en terceros países u organizaciones internacionales.
En el Registro de Actividades de Tratamiento se identifican las comunicaciones previstas.
Igualmente, los datos personales podrán ser comunicados a Empresas o Entidades Colaboradoras, por ejemplo, para la realización de prácticas externas, de manera que se no hay autorización a comunicación de los datos en estos supuestos, no se podrá prestar el servicio.
Transferencias internacionales de datos
La información personal que recoge la Universidad de Vigo reside en España, pero es posible que pueda ser transferida a países no pertenecientes a la Unión Europea, por ejemplo, en el caso de algunos programas de intercambio. De ser así, la Universidad de Vigo se compromete a cumplir con los requisitos legales establecidos por la normativa española y de la Unión Europea.
En concreto, los datos podrán ser comunicados había sido del Espacio Económico Europeo, en los términos señalados en los artículos 45 al 50 del RXPD:
- Transferencias basadas en una decisión de adecuación. La un tercero país u organización territorial cuando la Comisión había decidido que el tercero país, un territorio o uno o varios sectores específicos de ese tercero país, o la organización internacional de que se trate, garantizadora un nivel de protección adecuado. @Dito transferencia no requerirá ninguna autorización específica.
- Transferencias mediante garantías adecuadas. La falta de decisión adecuada, la Universidad de Vigo o el Encargado de Tratamiento so podrá transmitir datos personales a uno tercero país u organización internacional se ofrece las garantías adecuadas que podrán ser aportadas por un instrumento jurídicamente vinculante, por normas corporativas vinculantes, por cláusulas tipo de protección de datos adoptadas por la Comisión o por una autoridad de control, por un código de conducta o por un mecanismo de certificación.
- La falta de decisión de adecuación y de garantías: únicamente podrán realizarse se cumple alguna de las siguientes condiciones: El interesado dio explícitamente su consentimiento, la transferencia sea necesaria para la ejecución de un contrato entre lo interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas la solicitud del interesado, la transferencia sea necesaria por razones importantes de interés público, la transferencia sea necesaria para el planteamiento, el ejercicio o la defensa de reclamaciones, la transferencia sea necesaria para proteger los intereses vitales del interesado u de otras personas cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento o la transferencia se realice desde un registro público que tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquiera persona que pueda acreditar un interés legítimo, pero so en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.
Fuera de estos supuestos se deberá obtener autorización previa de la AEPD.
Seguridad de la información
La Universidad de Vigo se compromete a proteger los datos personales aplicando las medidas de seguridad necesarias de acuerdo con su Política de Seguridad de la Información. Tendrá en cuenta el estado de la técnica, los cuestes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas interesadas. Tanto la Universidad de Vigo como los diferentes encargados del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo y conforme al recogido en el artículo 32 del RXPD.
La Vicerrectoría de Planificación y Sostenibilidad es la responsable del diseño de la política de seguridad en la Universidad de Vigo y de la implantación del Esquema Nacional de Seguridad.