Universitat Rovira i Virgili. La universitat pública de Tarragona

Portada > Protecció de Dades Personals > PMF > Preguntes freqüents

Protecció de Dades Personals

Preguntes freqüents

  • És aplicable la normativa de protecció de dades de caràcter personal a la Universitat Rovira i Virgili (URV)?

Sí, el Reglament europeu de protecció de dades i la Llei orgànica de protecció de dades és aplicable a tots els organismes (públics i privats) que tracten (en paper o en suport electrònic) dades de persones físiques (treballadors, estudiants, col·laboradors,...).

  • Què és una dada personal?

Una dada personal és qualsevol informació sobre una persona física identificada o identificable (l'interessat).

S'ha de considerar persona física identificable qualsevol persona la identitat de la qual es pot determinar, directament o indirectament, en particular mitjançant un identificador.

Per exemple: un nom, un número d'identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d'aquesta persona.

  • Què és el tractament de dades personals?

El tractament és qualsevol operació o conjunt d'operacions efectuades sobre dades personals o conjunts de dades personals, ja sigui per procediments automatitzats o no.

Per exemple: la recollida, el registre, l'organització, l'estructuració, la conservació, l'adaptació o la modificació, l'extracció, la consulta, la utilització, la comunicació per transmissió, la difusió o qualsevol altra forma d'habilitació d'accés, acarament o interconnexió, limitació, supressió o destrucció.

  • L'adreça electrònica corporativa de la URV és una dada personal?

L'adreça electrònica corporativa nom.cognom@urv.cat és una dada personal com a informació alfanumèrica referent a una persona física la identitat de la qual es pot determinar, directament o indirectament.

  • És necessari el consentiment de la persona afectada per tractar les seves dades personals?

El consentiment és una de les bases jurídiques que emparen un tractament de dades personals. No obstant, abans d'iniciar un tractament de dades personals cal analitzar quina és la base jurídica que empara el tractament d'acord amb la finalitat del mateix. L'RGPD preveu que un tractament és lícit quan es basi en una de les condicions següents:

a) L'interessat ha donat el seu consentiment per un o diversos fins específics. b) El tractament és necessari per l'execució d'un contracte.

c) El tractament és necessari pel compliment d'una obligació legal.

d) El tractament és necessari per protegir interessos vitals de l'interessat o d'una altra persona física.

e) El tractament és necessari pel compliment d'una missió d'interès públic o en l'exercici de poders públics conferits al responsable del tractament (per exemple, la gestió dels expedients dels estudiants).

f) El tractament és necessari per satisfer un interès legítim perseguit pel responsable del tractament o per un tercer (en el cas de la Universitat, aquest és una condició que només es donarà amb caràcter excepcional).

  • El consentiment sempre ha de ser exprés o per escrit?

El consentiment sempre ha de ser exprés, amb una declaració afirmativa. Per tant, no s'admet el consentiment tàcit.

  • Es pot publicar una fotografia o un vídeo d'una persona sense el seu consentiment?

Una informació gràfica o fotogràfica (una imatge) que identifica o que permet determinar la identitat d'una persona sense un esforç desproporcionat és una dada de caràcter personal. La publicació d'una foto d'una persona identificada o identificable és una cessió de dades personals que requereix el consentiment de la persona afectada.

Ara bé, si les imatges es recullen en un lloc públic i amb finalitat informativa, no cal demanar el consentiment de les persones fotografiades, sempre que la imatge s'emmarqui en el context informatiu, no sigui l'objectiu principal de la càmera i no afecti la intimitat de la persona fotografiada o filmada.

  • Es poden publicar dades personals en una notícia d'un diari o en una web?

El dret fonamental a la protecció de dades de caràcter personal no és un dret absolut i pot topar amb -i poden prevaler- altres drets fonamentals, com ara el dret a la llibertat d'expressió (la manifestació d'una opinió) o el dret d'informació (el dret que té qualsevol persona a donar i a rebre informació).

Si les dades es publiquen en el context informatiu, amb finalitat informativa, no cal demanar el consentiment de la persona afectada. No obstant, com qualsevol tractament cal tenir en compte els principis generals de minimització (les dades han de ser adequades, pertinents i limitades a allò necessari en relació amb la finalitat per la qual són tractats) i exactitud de les dades.

  • Qualsevol empresa o entitat pot enviar informació a l'adreça electrònica dels estudiants o antics alumnes de la URV?

Només la URV pot adreçar-se directament als estudiants, o als antics alumnes, per mantenir-los informats sobre coses que els poden interessar, sempre que el tipus d'informació sigui compatible amb la finalitat per la qual es van recollir les dades personals.

Quan qualsevol altra entitat o empresa, vol enviar informació als estudiants, o als antics alumnes, ha de sol·licitar les adreces a la URV d'acord amb el procediment establert i, en cas d'autoritzar-ne la cessió, la URV només cedeix l'adreça d'aquells estudiants que hi han atorgat el consentiment o quan existeix una legitimació conforme el RGPD o la LOPDGDD .

  • Qui és el responsable del tractament de les dades personals a la URV?

Amb caràcter general, la URV és la responsable del tractament de les dades personals dels membres de la comunitat universitària i de terceres persones amb les que s'estableixen relacions en el desenvolupament de les seves funcions.

  • Qui és l'encarregat del tractament de les dades personals?

L'encarregat és la persona física o jurídica, autoritat pública, servei o qualsevol altre organisme que tracta dades personals per compte del responsable del tractament.

Tant si la URV encarrega a un tercer un tractament de dades personals dels quals la URV és responsable com si és la URV l'encarregada del tractament, cal que l'encarregat de tractament (la URV o el tercer) ofereixi les mesures tècniques i organitzatives apropiades que garanteixin la protecció de les dades personals. Per regular la relació entre l'encarregat de tractament i el responsable del tractament caldrà signar un contracte o document administratiu on es regulin els aspectes regulats en l'article 28 del RGPD (mesures de seguretat, confidencialitat de la informació, supressió de les dades personals, exercici dels drets d'accés, rectificació, cancel·lació, oposició o oposició). Teniu a la vostra disposició els models de l'Autoritat catalana de protecció de dades a l'enllaç següent:

https://apdcat.gencat.cat/ca/documentacio/RGPD/altres_documents_dinteres/guia_sobre_lencarregat_del_tractament_al_rgpd/

  • La URV pot cedir /comunicar dades dels estudiants a una empresa o altra entitat que ho demani?

La cessió o comunicació de dades personals és un tractament de les dades que cal emparar en algunes de les condicions que permet el RGPD (veure pregunta relativa a les bases jurídiques dels tractaments).

En el cas La URV fa servir, durant el procés de matrícula a Intranet URV, una llegenda amb clàusules de consentiment explícit, si escau, per a la cessió de dades a les empreses i entitats que ho sol·licitin amb finalitats acadèmiques o laborals, durant els estudis i/o durant els cinc anys següents, un cop acabats els estudis. En cas d'autoritzar una cessió de dades d'estudiants, la URV només cedeix les dades d'aquells que hi han atorgat el consentiment, a excepció dels casos legalment establerts.

  • Es pot penjar a un tauler d'anuncis un llistat de notes amb noms i cognoms dels estudiants?

La difusió de notes de qualificació a través dels taulons d'anuncis, constitueix un tractament de dades de caràcter personal dels estudiants amb habilitació legal en virtut de la disposició addicional vint-i-unena de la Llei Orgànica 4/2007 d'Universitats (LOU), que estableix que no cal el consentiment dels estudiants per a la publicació dels resultats de les proves relacionades amb l'avaluació dels seus coneixements i competències ni dels actes que resultin necessaris per a l'adequada realització i el seguiment de l'avaluació esmentada.

  • El pare/mare/tutor d'un estudiant té dret a conèixer-ne les qualificacions acadèmiques del seu fill/a?

La URV no pot comunicar cap informació acadèmica al pare, tutor o representant legal del seu fill/a excepte que s'obtingui el consentiment de l'estudiant o acrediti un interès legítim.

  • Puc col·locar una càmera de videovigilància?

La instal·lació de càmeres de videovigilància comporta una recollida de dades personals Per això, la instal·lació d'un sistema de videovigilància i els tractaments posteriors de les imatges, o de les imatges i veus que se'n derivin, estan subjectes a la normativa sobre protecció de dades personals, sens perjudici d'altra normativa aplicable i del respecte a altres drets fonamentals, com ara el dret a la intimitat i a la pròpia imatge.

  • Què és una incidència en l'àmbit de la protecció de dades personals?

S'entén per incidència qualsevol anomalia que afecti o pugui afectar la seguretat de les dades (per exemple, una baixada de tensió que apagui els sistemes, o un accés indegut de tercers aliens, o la pèrdua de suports físics com ara CD-ROM, memòries o discs portàtils USB, etc.).

Alguns exemples d'incidències podrien ser:

  • Sospita d'ús indegut de contrasenya
  • Pèrdua de suports informàtics
  • Infecció per virus d'un arxiu o d'una aplicació
  • Accessos no autoritzats a dependències que contenen sistemes d'informació amb dades protegides
  • Enviament d'informació personal a una adreça equivocada
  • Donar informació sensible a persones alienes
  • Avaria de disc dur que provoqui pèrdua de dades
  • Caiguda de la xarxa
  • Petició de recuperació de dades

Qualsevol persona que formi part de la plantilla de la URV, o s'hi trobi prestant els seus serveis temporalment, ha de notificar immediatament al CAU o al delegat de protecció de dades (dpd(ELIMINAR)@urv.cat) qualsevol incidència de seguretat de les dades.

  • Com pot complir la URV amb el deure d'informació en la recollida de dades?

Podeu sol·licitar la guia per al compliment del deure d'informació en el tractament de dades personals així com uns models que podeu adaptar-los a les circumstàncies i finalitats concretes de cada tractament.

  • Quins drets tenen les persones en relació al tractament de les seves dades personals?

Tal com preveu el Reglament General de Protecció de Dades, les persones tenen els següents drets:

  • Quins drets tenen les persones en relació al tractament de les seves dades personals?

Tal com preveu el Reglament General de Protecció de Dades, les persones tenen els següents drets:

Dret d'accés: l'interessat té dret a saber si el responsable del tractament tracta dades personals seves i, si és així, té dret a accedir-hi i a obtenir informació sobre el tractament.

Dret de rectificació: l'interessat té dret a rectificar les seves dades personals inexactes i que es completin les seves dades personals incompletes.

Dret de supressió o dret a l'oblit: l'interessat té dret a obtenir la supressió de les dades ("dret a l'oblit").

Dret a la limitació del tractament: la limitació de tractament suposa que, a petició de la persona interessada, no s'aplicaran a les seves dades personals les operacions de tractament que en cada cas correspondrien.

Dret de portabilitat: l'exercici d'aquest dret té com a finalitat transmetre les dades personals d'un responsable del tractament a un altre, o bé sol·licitar l'entrega de les dades en un format estructurat, d'ús comú i lectura mecànica.

Dret d'oposició: l'interessat té dret a oposar-se al tractament de les seves dades personals en els casos previstos en l'RGPD.

En la web de la URV trobareu la informació per poder exercir els drets de les persones regulats per la normativa de protecció de dades personals. 

https://seuelectronica.urv.cat/rgpd/drets/

  • Quins terminis té la URV per respondre a l'exercici dels drets d'accés, rectificació, oposició, supressió, portabilitat i limitació del tractament?

El termini per resoldre és d'un mes. Però, es podrà prorrogar dos mesos més, tenint en compte la complexitat i el nombre de sol·licituds. El Responsable del tractament  de protecció de dades informarà a l'interessat de qualsevol de les pròrrogues en el termini d'un mes a partir de la recepció de la sol·licitud, indicant els motius de la dilació.

Si la URV no dóna curs a la sol·licitud de l'interessat, transcorregut un mes de la recepció de la sol·licitud, l'informarà sense dilació, de les raons per les que no ha tramitat la sol·licitud i la possibilitat de presentar una reclamació davant l'Autoritat Catalana de Protecció de Dades (www.apd.cat).

Informació