PRESENTACIÓN
LA UNIVERSIDAD DE ALCALÁ Y LA PROTECCIÓN DE DATOS PERSONALES
La Universidad de Alcalá, respetuosa con el derecho fundamental a la protección de datos personales de todos y cada uno de los miembros que componen la comunidad universitaria, implementa las medidas legales, técnicas y organizativas que permiten un adecuado tratamiento de los datos personales por parte de la institución, desde el diseño y por defecto, adecuándose también a las exigencias europeas del Reglamento General de Protección de Datos.
En este espacio web se pueden encontrar desde definiciones y principios que ayudan a entender la materia, hasta el Registro de actividades de tratamientos de datos personales de los que la Universidad de Alcalá es responsable; o bien, los formularios para poder ejercer los llamados derechos por parte de los titulares de los datos.
Asimismo, se presenta en la web a la Delegada de Protección de Datos (DPO) de la Universidad y a la Unidad de Protección de Datos, encargada de informar, asesorar y supervisar la actividad de la Universidad en este terreno.
PROTECCIÓN DE DATOS
Qué es
La Protección de Datos de Carácter Personal es un derecho fundamental que tienen todas las personas físicas para garantizar su vida privada y supone el control y poder de disposición de la información relativa a su esfera tanto pública como privada. Se garantiza por el artículo 18.4 de la Constitución Española.
El derecho a la protección de datos nos permite saber quién trata nuestros datos personales, cómo y para qué.
PROTECCIÓN DE DATOS
Normativa aplicable
En nuestro ordenamiento jurídico, el derecho a la protección de datos personales no se recoge de forma expresa en nuestro texto constitucional, sino que es el artículo 18.4 Constitución Española el que lo garantiza de la siguiente forma:
“La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”
Desarrollando esta obligación constitucionalmente prevista, y reconociendo el derecho fundamental a la protección de datos, como dejó dicho la Sentencia del Tribunal Constitucional 290/2000, encontramos la actual Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la derogada Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RLOPD).
A nivel internacional, la norma de referencia en relación con la regulación del tratamiento de datos personales es el Convenio nº 108, del Consejo de Europa, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, hecho en Estrasburgo, el 28 de enero de 1981.
El derecho a la Protección de Datos se garantiza también a nivel europeo a través de la Carta de Derechos fundamentales de la Unión Europea que lo reconoce en su artículo 8:
“Protección de datos de carácter personal
- Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.
- Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que le conciernan y a obtener su rectificación.
- El respeto de estas normas estará sujeto al control de una autoridad independiente.”
A nivel comunitario el tratamiento de datos personales se encuentra regulado en la actualidad por el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos). Esta nueva norma es de aplicación directa en nuestro ordenamiento jurídico y, además de reforzar los derechos de los titulares de los datos personales, establece un nuevo enfoque proactivo a la hora de tratar los datos personales.
Junto a esta normativa, a la hora de tratar datos personales debemos tener en cuenta la normativa sectorial del ámbito en el que se estén tratando los datos personales.
- Convenio Nº 108 del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal.
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (Texto pertinente a efectos del EEE).
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
- Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
PROTECCIÓN DE DATOS
Definiciones
Como regla general, el Reglamento (UE) 2016/679 General de Protección de Datos (RGPD), la Ley Orgánica 3/2018 de Protección de Datos de Carácter Personal y Garantía de los Derechos Digitales (LOPDGDD), y el Real Decreto 1720/2007, por el que se aprueba el Reglamento de desarrollo de la derogada Ley Orgánica 15/1999 (RLOPD) se aplicarán a todo tratamiento de datos personales que se realice en territorio español o tenga como destinatarios a los ciudadanos que se encuentren en España.
Así las cosas, todas las personas físicas y jurídicas -ya sean públicas o privadas- que traten o manejen datos de carácter personal tienen que cumplir con una serie de principios y obligaciones, legal y reglamentariamente establecidos, que garanticen, en último término, el derecho de las personas a controlar y disponer de sus datos personales, esto es, su derecho a la protección de datos personales. Así, la Universidad de Alcalá está obligada a cumplir tanto con el RGPD como con la normativa nacional vigente.
Con el fin de ofrecer una mayor comprensión de la materia, se hace necesario ofrecer una serie de definiciones básicas sobre tratamiento de datos personales:
- Datos personales (art. 4.1 RGPD y art. 5.1.f) RLOPD)
Un dato de carácter personal es toda aquella información que se refiere a una persona física identificada o identificable, esto es, desde su nombre y apellidos, hasta cualquier otra que revele información sobre sus hábitos, preferencias o forma de vida. Tal y como recoge el RLOPD, un dato personal es cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas, identificadas o identificables (art. 5.1.f)). Así, por ejemplo, un nombre y un apellido, la voz, una fotografía o la huella dactilar son datos de carácter personal.
Esta definición nos lleva a realizar tres matizaciones: primero, que debemos referirnos a una persona identificada o identificable. En este sentido, se abarca cualquier tratamiento que pueda llegar a identificar a una persona física. Se debe poder determinar la identidad, ya sea directa o indirectamente. El RLOPD indica que “una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados” (art. 5.1.o) RLOPD). Segundo, que debe ser una persona física, quedando así excluidas del ámbito de aplicación de la LOPDGDD las personas jurídicas. Y, tercero, que en todo caso se refiere a personas físicas vivas, quedando también excluidos de la normativa de protección de datos los datos relativos a las personas fallecidas (art. 2.4 RLOPD). No obstante, la nueva LOPDGDD se refiere al tratamiento de datos de las personas fallecidas (art. 3 LOPDGDD), pero con la exclusiva finalidad de que el acceso a los datos de las mismas, así como la solicitud de su rectificación o supresión, se puedan llevar a cabo por las personas vinculadas al fallecido por razones familiares o por razones de hecho, así como sus herederos.
Por todo ello, si se tratan datos estadísticos o datos disociados, que no permiten la identificación de su titular, no será de aplicación la normativa de protección de datos.
Por otro lado, al hablar de datos personales debemos tener presente que no toda la información personal va a tener el mismo nivel de protección, pues no toda la información es igual de relevante (por el perjuicio que su mala utilización puede llegar a causar). Y, por ello, la normativa de protección de datos, tanto nacional como comunitaria, distingue diferentes categorías de datos personales y hace referencia a las “categorías especiales de datos”, también conocidos como “datos especialmente protegidos” o “datos sensibles” (arts. 9 RGPD y 9 LOPDGDD).
- Categorías especiales de datos o datos especialmente protegidos (arts. 9 RGPD y 9 LOPDGDD)
Conforme al RGPD, son datos especialmente protegidos los que revelen “el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física”.
Como regla general, para el tratamiento de estos datos se requerirá el consentimiento expreso y por escrito de su titular.
- Tratamiento de datos personales (art. 4.2 RGPD y art. 5.1.t) RLOPD)
Cualquier actividad que se lleve a cabo con un dato personal, ya sea de forma automatizada o manual. Por ejemplo, la recogida, registro, organización, conservación, almacenamiento, manipulación, modificación, utilización, comunicación, interconexión, transferencia, cesión, limitación, supresión o destrucción. Así, por ejemplo, colgar un listado con nombres de estudiantes o sus calificaciones en una página Web es un tratamiento de datos personales que debe cumplir con la normativa.
- Fichero de datos personales (arts. 4.6) RGPD y 5.1.k) RLOPD)
Un fichero de datos personales es un conjunto organizado de datos personales conforme a un determinado criterio, independientemente de su forma de tratamiento (automatizado o manual). Por ejemplo, un fichero de recursos humanos -donde se recoge el conjunto de información personal relativa a los trabajadores de la entidad- se puede encontrar en soporte manual o informatizado.
La nueva normativa comunitaria centra su atención no en los ficheros de datos sino en los tratamientos efectuados con los datos personales incluidos en dichos ficheros. De ahí que se centre en el tratamiento de los datos y no en el soporte en el que éstos se incluyen, sin que ello suponga negar la existencia de dichos elementos. En esta misma línea se sitúa nuestra nueva LOPDGDD, aunque aquí se produce un cambio fundamental en la normativa española. La nueva ley orgánica, como la comunitaria, se centra en lo que son los tratamientos de datos y no en su soporte o en la forma de organización de los mismos, automatizado o manual. Esto es, la nueva LOPDGDD no diferencia ficheros públicos de ficheros privados, aunque el RLOPD sigue manteniendo la definición de dichos ficheros y su distinción.
El RGPD ha suprimido la obligación de los Responsables de los tratamientos de datos de inscribir o notificar ficheros. Ahora, sobre los mismos recae la obligación de que los mismos lleven un Registro de actividades o de los tratamientos efectuados.
- Afectado o interesado (art. 4.1 RGPD y art. 5.1.a) RLOPD)
Es el titular de los datos personales, esto es, el sujeto a quien se refieren los datos personales. Como hemos señalado anteriormente, debe ser una persona física, identificada o identificable. En el caso de los menores o personas con discapacidad, el tratamiento de sus datos personales estará sometido a condiciones específicas, concretamente en relación con la prestación de su consentimiento.
- Consentimiento (art. 4.11 RGPD y 5.1.d) RLOPD)
El consentimiento es toda manifestación de voluntad libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. Debe consistir en una declaración o clara acción afirmativa, esto es, se exige en la actualidad un consentimiento expreso, no siendo válido en ningún caso el consentimiento tácito.
La regla general para poder tratar datos será contar con un consentimiento informado de su titular.
- Responsable del fichero o tratamiento de datos (art. 4.7 RGPD y art. 5.1.q) RLOPD)
El responsable es la persona física o jurídica, pública o privada, que decide la finalidad para la que se recogerán y tratarán los datos personales, así como los medios para dicho tratamiento. En el caso de la Universidad de Alcalá el responsable de los tratamientos llevados a cabos en y por la institución es la Secretaría General.
- Encargado del tratamiento (art. 4.8 RGPD y art. 5.1.i) RLOPD)
El encargado es la persona, física o jurídica, pública o privada, que trabaja por cuenta del Responsable. Entre Encargado y Responsable debe existir un contrato de confidencialidad de uso de datos personales (previsto tanto en el art. 28 RGPD como en los arts. 28 y 33 LOPDGDD).
La figura del Encargado recae, por excelencia, en las gestorías, asesorías o empresas informáticas, que trabajan por encargo del Responsable y que sólo harán con los datos personales que les pase el Responsable, lo que éste les indique en el citado contrato. Como regla general, el Encargado suele ser una persona externa a la entidad responsable del tratamiento a la que se le encarga un tratamiento de datos que el responsable no quiere o no puede hacer personalmente con sus empleados, que son considerados como meros usuarios de la información.
- Usuarios (art. 5.2.p) RLOPD)
Son usuarios el personal o empleados al servicio del responsable del fichero o encargado del tratamiento, que tienen acceso a los datos de carácter personal como consecuencia del trabajo encomendado.
- Autoridades de control (art. 4.21 RGPD)
Son las autoridades públicas independientes encargadas de tutelar el derecho a la protección de datos personales. Se las denomina también Autoridades de protección de datos.
En España, el derecho fundamental a la protección de datos personales goza, como cualquier otro derecho fundamental, de las garantías específicas de los mismos, pero además tiene una protección específica, como es este tipo de Autoridades de control, que en España es la Agencia Española de Protección de Datos (AEPD) y sus homólogas autonómicas, que a día de hoy sólo son las Agencias creadas en las Comunidades Autónomas de Cataluña y País Vasco.
Los titulares del derecho a la protección de datos personales podrán acudir a las Agencias de Protección de Datos Personales o Autoridades de Control cuando consideren que se ha lesionado su derecho o alguna de las facultades que lo integran.
PROTECCIÓN DE DATOS
Principios
El derecho a la protección de datos personales descansa sobre una serie de principios esenciales y necesarios para que el tratamiento de dichos datos pueda llegar a producirse. La nueva LOPDGDD recoge en su Título II (arts. 4 a 10) los Principios de protección de datos sin hacer distinción alguna entre los principios a cumplir, pero el RGPD distingue entre los Principios relativos a todo tratamiento y los Principios que legitiman dicho tratamiento (arts. 5 y 6 RGPD, respectivamente).
Debido a su carácter obligatorio, el Responsable del fichero y, en su caso, el Encargado del tratamiento, deben adoptar las medidas necesarias para que no se produzca una vulneración de los mismos. También deben ser conocidos y respetados por los usuarios de los ficheros con datos personales, ya que éstos son los que, en la mayoría de los casos, van a proceder a la recogida y tratamiento de los datos de los afectados o interesados. En este sentido, una buena política de protección de datos en la Universidad conlleva que todos los miembros de la comunidad universitaria conozcan y respeten estos principios.
El incumplimiento de los principios de protección de datos supone una lesión del derecho fundamental a la protección de datos de los afectados o interesados, lo que conllevaría la correspondiente sanción legalmente establecida.
Estos principios se pueden agrupar, como se ha dicho, en dos bloques que indican, consecutivamente, cuándo puedo tratar datos personales y, una vez que sé que puedo tratarlos, cómo debe hacerse.
- PRINCIPIOS RELATIVOS AL TRATAMIENTO DE DATOS PERSONALES
Para que los datos puedan ser tratados, la nueva normativa comunitaria, como la española, recoge una serie de principios que hacen referencia, en su conjunto, a las condiciones básicas para que los datos personales puedan ser tratados.
a) Principio de licitud, lealtad y transparencia del tratamiento
Para que un tratamiento de datos personales pueda considerarse lícito, el mismo deberá tener unas bases legítimas. Los datos se tratarán de forma leal y transparente respecto del titular de los datos. En este sentido, por un lado, no se pueden recoger datos de forma fraudulenta o ilícita; y, por otro lado, esa obligación de transparencia también se reconoce como la obligación de informar al titular de los datos de su tratamiento.
b) Principio de limitación de la finalidad
Los datos personales deben recogerse con una finalidad determinada, explícita y legítima, que permita a su titular controlar el uso que se hará de los mismos. Se considera que siempre es compatible con la finalidad para la que son recogidos los datos personales, todo tratamiento que tenga como objetivo fines históricos, estadísticos o científicos, y, en todo caso con fines de archivo en interés público, aunque en estos casos se debe observar el principio de minimización de los datos o bien, emplear una técnica de pseudonimización.
c) Principio de minimización
En este sentido, se deben tratar los datos estrictamente necesarios para la finalidad que se persigue. Los datos deben ser adecuados, pertinentes y no excesivos en relación con la finalidad para la que son tratados.
d) Principio de exactitud
Es necesario que los datos sean exactos y estén puestos al día. De esta forma, por ejemplo, no cumpliría con el requisito de exactitud el hecho de tener una base de datos con direcciones o fechas de nacimiento erróneas.
e) Principio de conservación de los datos
Los datos personales deben ser cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la que fueron recogidos. Se podrán conservar por más tiempo, con las correspondientes medidas de seguridad, si se prevé conservar exclusivamente para fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.
f) Principio de integridad y confidencialidad
Los tratamientos de datos deben garantizar su seguridad evitando un tratamiento no autorizado o ilícito aplicando las medidas técnicas u organizativas adecuadas. Y, además, todo sujeto que trate datos personales se encuentra sometido a un deber de confidencialidad de la información tratada.
g) Principio de responsabilidad proactiva
Es la novedad introducida por el RGPD: El Responsable del tratamiento debe cumplir con todos los principios del tratamiento de datos personales y, lo que es más importante, debe ser “capaz de demostrarlo".
- PRINCIPIOS RELATIVOS A LA LEGITIMIDAD O LICITUD DEL TRATAMIENTO
Se hace referencia a todas aquellas circunstancias que legitiman el tratamiento de datos personales, como el consentimiento. Es obligatorio que todo tratamiento descanse, al menos, en una de estas bases.
a) El consentimiento
Para que un tratamiento de datos sea legítimo, la regla general, es que cuente con el consentimiento del titular de los datos. Y debe ser un consentimiento libre, inequívoco, específico e informado. Además, se le reconoce un carácter revocable.
Para que sea libre, se entiende que no debe existir un desequilibro claro entre el interesado y el responsable del tratamiento.
Para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales.
El RGPD elimina la posibilidad de un consentimiento tácito, siendo válido sólo el consentimiento expreso. A partir de la entrada en vigor del RGPD en el ordenamiento jurídico español ya no será válido el consentimiento tácito. En este sentido, en la Guía de la AEPD del RGPD para Responsables del Tratamiento se recuerda que “Los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio RGPD, es decir, mediante una manifestación o acción afirmativa”.
Para el caso de que el consentimiento sea prestado por un menor de edad, se requerirá siempre el consentimiento de los titulares de la patria potestad o tutela, excepto si el menor es mayor de 14 años, donde el consentimiento del menor será el único necesario para tratar sus datos personales.
En relación con los datos sensibles o “categorías especiales de datos”, el consentimiento explícito de su titular no será suficiente para su tratamiento, con el fin de evitar situaciones discriminatorias y se deberá contar con otra de las bases de legitimación previstas. Así pues, el tratamiento de dichos datos estará prohibido salvo que exista alguna de las causas de legitimación previstas.
b) El contrato
Un tratamiento de datos es lícito no sólo en el contexto del contrato en el que el interesado es parte, o para la aplicación (a petición de éste) de medidas precontractuales, sino en el de la intención de concluirlo.
c) Obligación legal
Las referencias a la legitimación atribuida por una norma, o por una obligación legal, que debe ser aplicable al responsable del tratamiento, debe entenderse hecha no sólo a la normativa general y horizontal sobre protección de datos, sino también a las normas sectoriales específicas en ámbitos que precisan disposiciones más específicas. Así, por ejemplo, en el ámbito universitario la LO 6/2000, de Universidades (LOU) permite publicar las notas de los estudiantes sin que sea necesario el consentimiento de los mismos.
d) El interés vital
UEl interés vital debe entenderse como el interés esencial para la vida del interesado o la de otra persona física. La finalidad será proteger la integridad física o la vida, si el interesado no está en condiciones de dar su consentimiento.
e) La concurrencia de un interés público
Debemos entender que el concepto de interés público, o de misión realizada en interés público, hace referencia al bien común de la sociedad entera. Los ejemplos más típicos son los ámbitos educativos y sanitarios.
f) El ejercicio de poderes públicos: las Administraciones Públicas
La actividad de las Administraciones Públicas tendrá, por regla general, la legitimación de realizar el tratamiento de datos amparada en una tarea en interés público o en el ejercicio de poderes públicos, pero que dicho interés o competencia deberán estar establecidos en una norma.
g) Interés legítimo
Se podrá alegar un interés legítimo en tratar datos personales siempre que no prevalezcan los intereses o los derechos y libertades del interesado. Como ejemplos frecuentes de este interés legítimo podemos citar cuando el interesado es cliente o está al servicio del responsable, o los fines de mercadotecnia directa. Asimismo, se recuerda que las Administraciones públicas no podrán alegar un interés legítimo en el ejercicio de sus competencias. Las Administraciones públicas, sometidas al principio de legalidad no podrán hacer nada más allá de lo que le indiquen las leyes (art. 103 CE).
PROTECCIÓN DE DATOS
Derechos
Los derechos de los titulares de los datos personales son las facultades que integran el derecho a la protección de datos personales. Con la aprobación del RGPD y de la LOPDGDD se han ampliado los derechos, más allá de entender que deben realizarse en el marco del principio de transparencia e información (art. 11 LOPDGDD).
Estos derechos son de carácter personalísimo, esto es, se ejercen por su titular o por su representante legal o voluntario. Su ejercicio es gratuito, pero si las peticiones fueran manifiestamente infundadas o excesivas, se podrá llegar a solicitar un canon o cuota en función de los costes administrativos generados. Se ejercen de forma libre, aunque su planteamiento debe hacerse conforme al procedimiento reglamentariamente establecido (arts. 24 y 25 RLOPD), por regla general, ante el Responsable del tratamiento, detallando su solicitud (art. 12 LOPDGDD). En el caso del acceso, rectificación o supresión de los datos de personas fallecidas, podrán dirigirse al Responsable, los herederos o personas vinculadas por una relación de hecho (art. 3 LOPDGDD).
El Responsable deberá dar respuesta a las peticiones recibidas (en un plazo que va de uno a tres meses), aunque no tenga datos personales. No obstante, el ejercicio de los derechos podrá limitarse si así lo prevén otras leyes o normas aplicables o existen intereses o derechos de terceros en juego.
En el caso de la Universidad de Alcalá, los interesados deberán presentar su solicitud frente a la Secretaría General, concretamente dirigiendo su petición mediante escrito a la Delegada de Protección de Datos (Colegio de San Ildefonso, Plaza de San Diego, s/n, 28801. Alcalá de Henares (Madrid)), o por mail (protecciondedatos@uah.es), adjuntando copia del DNI o equivalente. La ausencia de respuesta por parte del Responsable provoca que el titular de los datos pueda solicitar la tutela por vulneración de sus derechos ante la Agencia Española de Protección de Datos.
- Derecho de acceso (art. 15 RGPD, art. 13 LOPDGDD y arts. 28-30 RLOPD)
El titular de los datos puede solicitar información sobre el tratamiento de sus datos personales, sobre quién los trata, cómo y si se han comunicado o se van a comunicar a un tercero.
Este derecho no se podrá ejercer en un intervalo menor a seis meses, salvo que se justifique un interés legítimo para ejercitarlo antes.
- Derechos de rectificación, supresión (u olvido) y oposición (arts. 16-17 y-21-22 RGPD, arts. 14, 15 y 18 LOPDGDD, y arts. 32-33 RLOPD)
El titular de los datos podrá solicitar que los mismos sean rectificados o suprimidos cuando los datos no cumplan con los principios de la protección de datos personales, o bien, sean inexactos o incompletos. En líneas generales, el derecho al olvido permite que los titulares de los datos puedan solicitar su supresión aunque inicialmente se hubieran tratado de forma lícita (con su consentimiento o al amparo de alguna norma), y permite que los datos se supriman, especialmente, si los mismos se encuentran en Internet.
El derecho de oposición, se reconoce al interesado “previa petición y sin gastos”, y está destinado, básicamente, a la oposición del titular de los datos a que sus datos sean tratados con fines de publicidad y prospección comercial.
Cuando exista una imposibilidad técnica de destruir la información en los casos en los que legalmente proceda y se haya solicitado su cancelación, se procederá al llamado derecho de “bloqueo” de los datos. En estos casos, se procederá a la conservación de los mismos para la disposición por parte de Administraciones Públicas, Jueces y Tribunales durante el tiempo necesario para atender a las posibles responsabilidades que hubieran surgido del tratamiento de datos (art. 32 LOPDGDD).
- Derechos a la limitación del tratamiento (art. 18 RGPD y art. 16 LOPDGDD)
Conforme a este derecho, el interesado tendrá derecho a que se limite el tratamiento de sus datos personales en varios supuestos, como cuando se hayan ejercido otros derechos como el de rectificación o el de oposición, el responsable pueda cancelarlos, pero el interesado los necesite para ejercer una reclamación, o cuando el tratamiento sea ilícito, pero el interesado se oponga a su supresión.
- Derecho a la portabilidad (art. 20 RGPD y art. 17 LOPDGDD)
Este derecho no es más que el derecho a obtener del responsable del tratamiento de los datos, una copia de los mismos en un formato electrónico que permita que cualquier otro operador pueda utilizarlos.
- Derecho a la impugnación de valoraciones (arts. 21-22 RGPD, art. 18 LOPDGDD y art. 36 RLOPD)
El titular de los datos podrá impugnar aquéllas valoraciones que tengan una consecuencia jurídica y que se hayan realizado por un tratamiento de sus datos personales destinado a valorar determinados aspectos de su personalidad.
Nuestra LOPDGDD reconoce junto al derecho de oposición (y en el mismo artículo), la posibilidad de ejercitar igualmente el derecho de oposición a las decisiones individuales automatizadas, así como la posibilidad de oposición a la realización de perfiles.
- Derecho a indemnización (art. 82 RGPD y art. 30.2 LOPDGDD)
ESe reconoce la posibilidad de este derecho para el caso de que el interesado vea lesionado su derecho a la protección de datos o por un tratamiento contrario a la normativa vigente.
PROTECCIÓN DE DATOS
Obligaciones
El derecho a la protección de datos personales será de obligado cumplimiento y respeto tanto por poderes públicos como por terceros privados, estando especialmente obligados todo aquél que trate datos personales.
Como regla general, serán obligados el Responsable del tratamiento de datos, y, en su caso, respecto de algunas obligaciones concretas, el Encargado que actúa en su nombre. Pero los usuarios de los datos personales, las personas que trabajan o las que tratan con los datos personales, también tienen una serie de obligaciones.
En esta página web se podrán encontrar, además de las Circulares sobre “Funciones y Obligaciones” de los distintos tipos de ficheros, los Procedimientos a seguir en materia de seguridad del tratamiento de los datos personales, entre los que destaca el “Procedimiento de Gestión de Incidencias” que puede utilizar toda la Comunidad universitaria ante cualquier incidente que se produzca y del que tengan conocimiento a la hora de tratar datos personales.
- OBLIGACIONES DE LOS USUARIOS DE LOS DATOS
Los usuarios de los datos personales deberán, en primer lugar, cumplir con el conocido Deber de confidencialidad (art. 5 RGPD y 5 LOPDGDD) respecto de la información tratada.
Y, en segundo lugar, los sujetos que traten datos personales deberán cumplir con las medidas de seguridad establecidas por el Responsable, o por el Encargado. Las medidas de seguridad serán las apropiadas en función del tipo de dato manejado y deberán ajustarse al Esquema Nacional de Seguridad. Dichas medidas para el caso de la Universidad de Alcalá se encuentran recogidas en las Circulares sobre “Funciones y Obligaciones” de los distintos tipos de ficheros, que también se encuentran en esta página web.
- OBLIGACIONES DEL RESPONSABLE
El RGPD introduce un principio de responsabilidad proactiva, que la LOPDGDD atribuye a las “medidas de responsabilidad activa” exigidas tanto al Responsable como al Encargado del tratamiento (Cap. I del Tít. V, art. 28 LOPDGDD, esencialmente). Con carácter general se indica que es el Responsable el que tiene que aplicar “las medidas técnicas y organizativas apropiadas” a fin de garantizar y poder demostrar que el tratamiento cumple con la normativa de protección de datos y que se tratan los datos personales de un modo lícito y seguro (art. 24.1 RGPD). Entre esas “medidas técnicas y organizativas apropiadas”, es el RGPD el que indica cuáles son, pero será el Responsable (o Encargado, o ambos) el que tenga que aplicarlas en función del tratamiento de datos realizado. Entre ellas:
a) La protección de datos desde el diseño y por defecto
El principio de “privacidad por defecto” (privacy by default, también conocido como minimización de datos) consistente en que por defecto se minimice el número de datos personales tratados, así como que su conservación se realice estrictamente, en función de la finalidad del tratamiento. Por otro lado, se exige cumplir con el principio de “privacidad desde el diseño” (privacy by design), que supone la obligación del Responsable de desarrollar las medidas de protección de dichos datos (tanto técnicas como organizativas), con carácter previo al tratamiento de datos personales que se quiere realizar.
b) El Registro de Actividades de Tratamiento
El Registro de Actividades de Tratamiento es otra de las grandes novedades del RGPD y, por lo tanto, de la LOPDGDD respecto de la normativa anterior (arts. 30 RGPD y 31 LOPDGDD). Esta obligación hace desaparecer la obligación de inscribir o notificar los ficheros de datos personales ante la AEPD o Agencia autonómica correspondiente. Debe describir los tratamientos de datos que realiza el Responsable.
c) La colaboración con la Autoridad de Control
Existe la obligación de colaborar o cooperación con la Autoridad de control cuando ésta lo solicite en el ejercicio de sus funciones.
d) Las notificación de las brechas de seguridad
Se impone la obligación de informar de cualquier infracción que se produzca como consecuencia de una brecha de seguridad y que afecte a datos personales, tanto a la Autoridad de control como al propio titular de los datos.
e) Las evaluaciones de impacto
Se establecen las denominadas “Evaluaciones de impacto” sobre la privacidad (conocidas como PIAs, Privacy Impact Assessment) con el fin de comprobar cuál será el impacto que sobre la privacidad tendrá el tratamiento de datos personales que se pretende llevar a cabo.
f) La consulta previa
En relación con la obligación anterior, en todo caso, se establece la obligación del Responsable de consultar previamente a la Autoridad de protección de datos correspondiente antes de realizar cualquier tratamiento si después de realizar la citada evaluación de impacto, existiera un riesgo alto.
g) El nombramiento de un Delegado de Protección de Datos
Se implanta la obligatoriedad de crear la figura del “Delegado de Protección de Datos”, especialmente en el sector público (Data Protection Officer, DPO).
Esta figura surge para ayudar al Responsable del tratamiento a la hora de controlar el cumplimiento de la normativa de protección de datos. Es de destacar que el DPO se convierte en una forma de resolución amistosa de las reclamaciones en este terreno, al permitir que el interesado pueda reproducir ante él la reclamación que no sea atendida por el responsable o encargado antes de acudir a la correspondiente Autoridad de control.
h) La elaboración de códigos de conducta y certificaciones
Desde hace tiempo en Europa se viene apostando por modelos de autorregulación en el terreno de la protección de datos. Por este motivo, tanto el RGPD como la LOPDGDD potencian tanto la elaboración de códigos de conducta como de mecanismos de certificación de cumplimiento en relación con el tratamiento de datos personales.
i) Las medidas de seguridad de los datos
El RGPD no impone un sistema de medidas de seguridad como hasta ahora se venía haciendo en función de los datos tratados (esto es, no existe una relación de datos o niveles de datos y un equivalente de las medidas de seguridad o listado de medidas a implementar), sino que ahora será el propio Responsable el que decida qué medidas de seguridad tiene que cumplir para proteger los datos personales que maneja.
En todo caso, no podemos olvidar que las medidas de seguridad se aplicarán tanto a tratamientos de datos manuales como automatizados, e independientemente de que el Responsable que los trate sea un sujeto público o privado. Lo que se debe garantizar ahora es un nivel de seguridad adecuado en función del riesgo y debe poder demostrarse, “teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. En las Administraciones públicas, como es el caso de las Universidades, como un referente sobre las medidas de seguridad concretas a implementar, podemos dirigirnos a las medidas recogidas en el Esquema Nacional de Seguridad (aprobado por RD 3/2010).
DELEGADA DE PROTECCIÓN DE DATOS - DPD
Delegada de protección de datos
La Universidad de Alcalá ha procedido a designar a la Profesora Dª Remedios Menéndez Calvo como Delegada de Protección de Datos (DPD) de la Universidad, con fecha 19 de mayo de 2022, en cumplimiento de lo dispuesto en el art. 37 del Reglamento General de Protección de Datos (Reglamento (UE) 2016/679, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos).
Asimismo, el nombramiento como DPD fue comunicado a la Agencia Española de Protección de Datos con fecha 31 de mayo de 2022.
La figura del DPD tiene como funciones esenciales asesorar e informar a la Universidad de Alcalá en materia de tratamiento de datos personales, así como ser punto de referencia para toda la comunidad universitaria y colaborar con la Agencia Española de Protección de Datos.
DELEGADA DE PROTECCIÓN DE DATOS - DPD
Unidad de Protección de Datos - Contacto
Dirección:
Colegio de Sto. Tomás
Plaza de Cervantes, 10
28801 Alcalá de Henares – Madrid
Horario: de Lunes a Viernes, de 9:00 a 14:00
Teléfono: 91 885 6473 - 6476 - 6453
Correo electrónico: protecciondedatos@uah.es
DELEGADA DE PROTECCIÓN DE DATOS - DPD
Memorias de Actividades
A continuación se presentan las Memorias de Actividades anuales de la Delegada de Protección de Datos y la Unidad de Protección de Datos de la Universidad de Alcalá, que se incluyen en la Memoria anual de la Secretaría General:
- Memoria de Protección de Datos 2022-23
- Memoria de Protección de Datos 2021-22
- Memoria de Protección de Datos 2020-21
- Memoria de Protección de Datos 2019-20
- Memoria de Protección de Datos 2018-19
- Memoria de Protección de Datos 2017-18
Memorias de Acividades anuales de la Comisión de Protección de Datos de la Universidad de Alcalá, que se incluyen en la Memoria anual de la Secretaría General:
SOLICITUDES EJERCITA TUS DERECHOS
Los titulares de los datos podrán ejercitar los derechos reconocidos en la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, en sus artículos 12 y siguientes.
Estos derechos se ejercen de forma personal mediante una solicitud al Responsable del fichero.
- Procedimiento para ejercitar los derechos a la Protección de Datos
- Solicitud del Derecho de Acceso
- Solicitud del Derecho de Rectificación
- Solicitud del Derecho de Supresión ("El derecho al Olvido")
- Solicitud del Derecho a la Limitación del Tratamiento
- Solicitud del Derecho a la Portabilidad de los Datos
- Solicitud del Derecho de Oposición
- Solicitud del Derecho a no ser objeto de Decisiones individuales automatizadas
Para ejercer sus derechos debe dirigir el modelo correspondiente de los arriba listados, con toda la información pertinente, previa identificación personal, a cualquiera de los Registros de la Universidad.
DOCUMENTACIÓN UAH
Actividades de tratamiento
Los datos del Responsable del tratamiento y de la Delegada de Protección de Datos son los mismos para todas las actividades de tratamiento registradas
Responsable del tratamiento
Universidad de Alcalá
Secretaría General
CIF: Q2818018J
Dirección: Plaza de San Diego s/n. 28801. Alcalá de Henares (Madrid).
Correo electrónico: secre.gene@uah.es
Teléfono: 91 885 4053
Delegada de Protección de Datos
Dña. Remedios Menéndez Calvo
Dirección: Universidad de Alcalá. Colegio de Santo Tomás. Plaza de Cervantes, 10. 28801. Alcalá de Henares (Madrid)
Correo electrónico: protecciondedatos@uah.es
Teléfono: 91 885 6453
ACTIVIDADES DE TRATAMIENTO DE LA UNIVERSIDAD DE ALCALÁ
(Actividades actualizadas a fecha 10 de junio de 2024)
- Agenda de la Universidad de Alcalá
- Archivo Universitario
- Asesoría Jurídica
- Asistencia Médica
- Atención a los derechos de las personas recogidos por el RGPD y la LOPDGDD
- Ayudas de Acción Social
- Becas y Ayudas
- Biobanco REDINREN
- Buzón de consultas
- Buzón de quejas y sugerencias
- Censo Electoral
- Certificación negativa de Delitos sexuales
- Comunicación y Promoción Institucional
- Convenios de Colaboración o Cooperación
- Defensoría Universitaria
- Deportes
- Directorio Electrónico
- Diversidad funcional
- Encuestas
- Enseñanza Virtual
- Escuelas de Verano
- Eventos
- Expedientes disciplinarios
- Formación del Personal de la Universidad
- Gabinete Psicológico
- Gestión Académica
- Gestión Bibliotecaria
- Gestión de Espacios
- Gestión de la Contratación
- Gestión de la Cooperación al desarrollo y el Voluntariado
- Gestión de la Docencia
- Gestión de la Evaluación Docente
- Gestión de la Investigación
- Gestión de las Prácticas de los estudiantes
- Gestión de los Procedimientos de Violencia de Género
- Gestión de Recursos Humanos
- Gestión del Alojamiento Universitario
- Gestión del Control del funcionamiento de los Servicios
- Gestión del Emprendimiento, Orientación y Empleo
- Gestión Económica y Financiera
- Gestión Informática
- Inventario
- Mecenazgo
- Préstamo Bibliotecario
- Préstamo de Equipamiento informático y audiovisual
- Prevención de Riesgos laborales
- Procesos selectivos del Personal
- Proyectos de Investigación
- Pruebas de Acceso
- Registro Universitario
- Relaciones Internacionales
- Servicio de Publicaciones y Gestión Editorial
- Canal Interno de Información
- Tarjeta Universitaria Inteligente
- Transparencia
- Videovigilancia
- Visitas Guiadas
DOCUMENTACIÓN UAH
Modelos
En este apartado encontrará algunos modelos elaborados por el equipo de Protección de Datos de la UAH para distintos tipos de utilidades:
Para adjuntar junto a los Contratos y Convenios que realice la UAH con Terceros para garantizar la protección de datos personales:
- Modelo de Acuerdo de Confidencialidad para Contratos
- Modelo de Acuerdo de Confidencialidad para Contratos
- Modelo de Acuerdo de Confidencialidad para Convenios
- Modelo de Acuerdo de Confidencialidad para Convenios
- Modelo de Acuerdo de Confidencialidad Corresponsabilidad
- Modelo de Acuerdo de Confidencialidad Corresponsabilidad
Para solicitar la Autorización del uso de la Imagen Personal para una determinada actividad organizada por la UAH:
DOCUMENTACIÓN UAH
Circulares y Recomendaciones
En este apartado encontrará las Circulares elaboradas por la Unidad de Protección de Datos de la UAH, y que han sido distribuidas al personal de la Universidad:
CUESTIONES GENERALES DEL TRATAMIENTO DE DATOS PERSONALES
- Hoja Informativa sobre la Protección de Datos Personales para el ALUMNADO de la UAH ¡¡Nueva!!
- Circular sobre la gestión de datos especialmente protegidos (sensibles) que trata la Universidad ¡¡Nueva!!
- Recomendaciones para ocultar el NIF al firmar un documento PDF mediante Adobe Reader, Adobe Pro y Autofirma
- Circular sobre Autenticación por Múltiple Factor (MFA) para asegurar los sistemas, servicios e información que maneja la UAH
- Hoja Informativa sobre la Protección de Datos Personales en la UAH
- Declaración de compromiso de prevención y erradicación de la violencia digital
- Circular informativa sobre el uso de los Datos Personales
- Circular sobre la leyenda informativa a incluir en la firma de los correos electrónicos de la Universidad de Alcalá
- Circular sobre la publicación de información en la Web de la Universidad de Alcalá
- Circular sobre la publicación del DNI, NIE, Pasaporte o documento equivalente
DOCENCIA Y EVALUACIÓN
- Recomendación del tratamiento datos personales en la docencia y evaluación no presencial
- Informe sobre el impacto normativo de los procedimientos de evaluación online: protección de datos y garantía de los derechos de las y los estudiantes (CRUE)
- Circular sobre la publicación de calificaciones en la Universidad de Alcalá
- Decálogo para el correcto tratamiento de los datos personales por parte de las Delegaciones de estudiantes
SEGURIDAD DE LOS DATOS PERSONALES
- Recomendaciones sobre el uso de Contraseñas
- Recomendaciones sobre la salida de soportes informáticos de la Universidad de Alcalá
- Procedimiento para la Gestión de Incidencias
- Funciones y obligaciones del personal respecto de los ficheros de datos personales de Nivel MEDIO
- Funciones y obligaciones del personal respecto de los ficheros de datos personales de Nivel ALTO
COVID-19
- Recomendación del tratamiento datos personales en la docencia y evaluación no presencial
- Guía sobre la protección de datos personales en el ámbito universitario en tiempos del COVID-19 (CRUE)
- Recomendaciones sobre el correcto tratamiento de los datos personales en actividades no presenciales con motivo del COVID-19
- Informe sobre el impacto normativo de los procedimientos de evaluación online: protección de datos y garantía de los derechos de las y los estudiantes (CRUE)
- Circular informativa sobre prevención ante el uso de Apps y Webs de Autoevaluación del COVID-19
- Circular informativa sobre los tratamientos de datos personales producidos en relación con las medidas adoptadas contra el COVID-19
DOCUMENTACIÓN UAH
Política de Privacidad UAH
En este apartado encontrará la Política de Privacidad elaborada por la Delegada de Protección de Datos de la Universidad:
DOCUMENTACIÓN UAH
Protección de Datos en Investigación
En este apartado se recogen aquellos documentos necesarios para cumplir con la normativa de protección de datos en los proyectos, contratos y trabajos de investigación:
- Guía de Protección de datos en Investigación de la Universidad de Alcalá ¡¡Nueva!!
- Cuestionario sobre el tratamiento de datos personales en Investigación
- Cuestionario sobre el tratamiento de datos personales en Investigación
- Cuestionario en inglés sobre el tratamiento de datos personales en Investigación
- Cuestionario en inglés sobre el tratamiento de datos personales en Investigación
- Circular consentimiento y tratamiento datos menores
- Guía básica de Anonimización ¡¡Nueva!!
- 10 Malentendidos relacionados con la anonimización ¡¡Nueva!!
- Guía de Gestión del Riesgo y Evaluación de Impacto en los tratamientos de datos personales (AEPD)
- Lista orientativa de tipos de tratamientos que NO requieren una evaluación de impacto relativa a la protección de datos (según el artículo 35.5 RGPD) (AEPD)
- Listas de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos (según el art 35.4 RGPD) (AEPD)
DIFUSIÓN DE LA LABOR DE LA AEPD
Con el deseo de colaborar con la Agencia Española de Protección de Datos (AEPD) en su labor por fomentar el uso seguro y responsable de Internet y de los avances tecnológicos, y proteger los derechos, especialmente, de los más vulnerables, desde la Unidad de Protección de Datos queremos compartir con la comunidad universitaria los enlaces a las siguientes campañas de sensibilización impulsadas por la AEPD.
USO SEGURO Y RESPONSABLE DE INTERNET
- CANAL PRIORITARIO para combatir la difusión de imágenes de contenido sexual o violento sin consentimiento de los afectados y que supongan un alto riesgo para sus derechos y libertades, como en casos de ciberacoso, sexting o grooming, y graves daños y perjuicios tanto materiales como inmateriales para los interesados
- Las redes sociales no son un juego
- Lo paras o lo pasas
- Un solo clic puede arruinarte la vida