Protección de Datos de Carácter Personal

Ir al contenido principal de la página
Compartir:

PRESENTACIÓN

La Universidad de Alcalá, respetuosa con el derecho fundamental a la protección de datos personales de todos y cada uno de los miembros que componen la comunidad universitaria, ha implementado las medidas legales, técnicas y organizativas que permiten un adecuado tratamiento de los datos personales por parte de la institución.

En este espacio web se pueden encontrar desde definiciones y principios que ayudan a entender la materia, hasta los ficheros de datos personales que la Universidad de Alcalá tiene declarados ante la Agencia Española de Protección de Datos, y de los que es responsable; o bien, los formularios para poder ejercer los llamados derechos ARCO por parte de los titulares de los datos.

Asimismo, se presenta en la web la Comisión de Protección de Datos de la Universidad de Alcalá, Comisión creada ad hoc para resolver las dudas y cuestiones que surjan respecto del tratamiento de la información personal por parte de estudiantes, del profesorado o del personal de administración y servicios. 

PROTECCIÓN DE DATOS

Qué es

La Protección de Datos de Carácter Personal es un derecho fundamental que tienen todas las personas físicas para garantizar su vida privada y supone el control y poder de disposición de la información relativa a su esfera tanto pública como privada. Se garantiza por el artículo 18.4 de la Constitución Española.

 

PROTECCIÓN DE DATOS

Normativa aplicable

En nuestro ordenamiento jurídico, el derecho a la protección de datos personales no se recoge de forma expresa en nuestro texto constitucional, sino que es el artículo 18.4 Constitución Española el que lo garantiza de la siguiente forma:

La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos

Desarrollando esta obligación constitucionalmente prevista, encontramos la actual Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RLOPD).

A nivel internacional, la norma de referencia en relación con la regulación del tratamiento de datos personales es el Convenio nº 108, del Consejo de Europa, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, hecho en Estrasburgo, el 28 de enero de 1981.

El derecho a la Protección de Datos se garantiza también a nivel europeo a través de la Carta de Derechos fundamentales de la Unión Europea que lo reconoce en su artículo 8:

“Protección de datos de carácter personal

  1. Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.
  2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que le conciernan y a obtener su rectificación.
  3. El respeto de estas normas estará sujeto al control de una autoridad independiente.”

A nivel comunitario el tratamiento de datos personales se encuentra regulado por el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).

La normativa española estará vigente en todo aquello que no contradiga al Reglamento General de Protección de Datos, que será de aplicación inmediata.

PROTECCIÓN DE DATOS

Definiciones

Como regla general, la Ley Orgánica15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RLOPD) se aplicarán a todo tratamiento de datos personales que se realice en territorio español.

Así las cosas, todas las personas físicas y jurídicas -ya fueran públicas o privadas- que traten o manejen datos de carácter personal tienen que cumplir con una serie de principios y obligaciones, legal y reglamentariamente establecidos, que garanticen, en último término, el derecho de las personas a controlar y disponer de sus datos personales, esto es, su derecho a la protección de datos personales.

Con el fin de ofrecer una mayor comprensión de la materia, se hace necesario ofrecer una serie de definiciones básicas sobre tratamiento de datos personales:

  • Dato de carácter personal (art. 3.a) LOPD)

    Un dato de carácter personal es toda aquélla información que se refiere a una persona física identificada o identificable, esto es, desde su nombre y apellidos, hasta cualquier otra que revele información sobre sus hábitos, preferencias o forma de vida. Tal y como recoge el RLOPD, un dato personal es cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas, identificadas o identificables (art. 5.1.f)). Así, por ejemplo, un nombre y un apellido, la voz, una fotografía o la huella dactilar son datos de carácter personal.

    Esta definición nos lleva a realizar tres matizaciones: primero, que debemos referirnos a una persona identificada o identificable. En este sentido, la propia LOPD señala que será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de cualquier tipo de tratamiento, y que será lo que nos pueda llevar a identificar a la persona (art. 2.1 LOPD). Segundo, que debe ser una persona física, quedando así excluidas del ámbito de aplicación de la LOPD las personas jurídicas. Y, tercero, que en todo caso se refiere a personas físicas vivas, quedando también excluidos de la normativa de protección de datos los datos relativos a las personas fallecidas (art. 2.4 RLOPD).

    Por otro lado, al hablar de datos personales debemos tener presente que no toda la información personal va a tener el mismo nivel de protección, va a disfrutar de las mismas medidas de seguridad, sino que se distinguen categorías de datos personales, entre los que destacan los llamados “datos especialmente protegidos” (art. 7 LOPD). La diferente naturaleza o tipología de datos personales nos llevará a tener diferentes medidas de seguridad en función de dicha naturaleza, y que se clasificarán en medidas de nivel básico, medio y alto.

  • Datos especialmente protegidos (art. 7 LOPD)

    Son datos especialmente protegidos, también conocidos como datos sensibles, los que hagan referencia al origen racial o étnico, a la salud y a la vida sexual, así como los que revelen la ideología, afiliación sindical, religión, creencias

    Otros datos especialmente protegidos son los relativos a la comisión de infracciones penales o administrativas.

    Como regla general, para el tratamiento de estos datos se requerirá el consentimiento expreso y por escrito de su titular.

  • Fichero de datos personales (art. 3.b LOPD)

    Un fichero de datos personales es un conjunto organizado de datos personales conforme a un determinado criterio, independientemente de su forma de tratamiento (automatizado o manual). Por ejemplo, un fichero de recursos humanos -donde se recoge el conjunto de información relativa a los trabajadores de la entidad- se puede encontrar en soporte manual o informatizado.

  • Afectado o interesado (art. 3.e LOPD)

    Es el titular de los datos personales, esto es, el sujeto a quien se refieren los datos personales. Como hemos señalado anteriormente, debe ser una persona física, identificada o identificable.

  • Cesión de datos (art. 3.i LOPD)

    La Cesión de datos es “Toda revelación de datos realizada a una persona distinta del interesado”.

    Como regla general, los datos personales sólo pueden ser comunicados a una persona o entidad distinta del interesado con el consentimiento inequívoco de su titular.

  • Consentimiento (art. 3.h LOPD)

    El consentimiento es “Toda manifestación de voluntad libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”.

    La regla general para poder tratar datos será contar con un consentimiento informado de su titular.

  • Encargado del tratamiento (art. 3.g LOPD)

    El encargado es la persona, física o jurídica, pública o privada, que trabaja por cuenta del Responsable. Entre Encargado y Responsable debe existir un contrato de confidencialidad de uso de datos personales (previsto en el artículo 12 LOPD y denominado “acceso a los datos por cuenta de terceros”).

    La figura del Encargado recae, por excelencia, en las gestorías, asesorías o empresas informáticas, que trabajan por encargo del Responsable y que sólo harán con los datos personales que les pase el Responsable, lo que éste les indique en el citado contrato.

  • Fuentes accesibles al público (art.3.j LOPD)

    Fuentes accesibles al público las que la LOPD califica como tales, y son: el Censo promocional, los repertorios telefónicos, los listados profesionales y los Diarios, Boletines Oficiales y los medios de comunicación.

  • Procedimiento de disociación (art.3.f LOPD)

    La disociación consiste en “Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.”

    Dicho de otro modo, el dato disociado es aquel que no permite la identificación de un afectado o interesado. Cuando los datos personales no permiten la identificación de una persona concreta pierden el carácter de personales, quedando al margen de la normativa sobre protección de datos.

    Un ejemplo típico de disociación es el realizado para el desarrollo de funciones de estadística, donde no se identifica a ningún sujeto.

  • Responsable del fichero o tratamiento de datos (art.3.d LOPD)

    El responsable es la persona física o jurídica, pública o privada, que decide la finalidad para la que se recogerán y tratarán los datos personales. En el caso de la Universidad de Alcalá el responsable del fichero es el/la Secretario/a General.

  • Tratamiento de datos personales (art.3.c LOPD)

    Cualquier actividad que se lleve a cabo con un dato personal, ya sea de forma automatizada o manual. Por ejemplo, la recogida, conservación, almacenamiento, manipulación, utilización, comunicación, transferencia, cesión… En este caso, colgar un listado de alumnos o sus calificaciones en una página Web es un tratamiento de datos personales que debe cumplir con la LOPD.

  • Usuarios

    Son usuarios el personal o empleados al servicio del responsable del fichero o encargado del tratamiento, que tenga acceso a los datos de carácter personal como consecuencia del trabajo encomendado.

PROTECCIÓN DE DATOS

Principios

Los Principios de la Protección de Datos se encuentran regulados en el Título II de la LOPD. Estos principios constituyen la base mediante la cual se articula el derecho fundamental a la protección de datos personales, siendo de obligado cumplimiento desde el momento en que se produce la recogida de datos de un afectado o interesado (el titular de los datos).

Debido a su carácter obligatorio, el Responsable del fichero y, en su caso, el Encargado del tratamiento, deben adoptar las medidas necesarias para que no se produzca una vulneración de los mismos. También deben ser conocidos y respetados por los usuarios de los ficheros con datos personales, ya que éstos son los que, en la mayoría de los casos, van a proceder a la recogida y tratamiento de los datos de los afectados o interesados. En este sentido, una buena política de protección de datos en la Universidad conlleva que todos los miembros de la comunidad universitaria conozcan y respeten estos principios.

El incumplimiento de los principios de protección de datos supone una lesión del derecho fundamental a la protección de datos de los afectados o interesados, lo que conllevaría la correspondiente sanción legalmente establecida.

Estos principios se pueden agrupar en dos bloques que indican, consecutivamente, cuándo puedo tratar datos personales y, una vez que sé que puedo tratarlos, cómo debe hacerse.

  • PRINCIPIO DE CALIDAD Y FINALIDAD DE LOS DATOS

    a) Principio de calidad (art. 4 LOPD)

    Conforme al Principio de Calidad los datos personales sólo podrán ser tratados si son adecuados, pertinentes y no excesivos (art. 4.1.LOPD). En este sentido, los datos personales recogidos deben adecuarse a la finalidad para la que van a ser tratados y no deben ser más de los necesarios para cumplir con la misma.

    Esto nos lleva también a la necesidad, legalmente establecida (art. 4.3 LOPD) de que los datos sean exactos y puestos al día. De esta forma, por ejemplo, no cumpliría con el requisito de calidad el hecho de tener una base de datos con direcciones o fechas de nacimiento erróneas.

     

    b) Principio de finalidad (art. 4 LOPD)

    La adecuación, pertinencia y excesividad sólo podrá medirse si se pone en relación con la finalidad para la que son recogidos los datos personales.

    En este sentido, Los datos personales deben recogerse con una finalidad determinada, explícita y legítima (art. 4.1 LOPD). Esto provoca que los datos personales no sean tratados con objetivos indeterminados o no explícitos; y, por otro lado, que no puedan ser utilizados para finalidades “incompatibles” con aquéllas para las que originariamente fueron recogidos. Por ejemplo, si se recogieran datos bancarios para el pago de una matrícula en un Curso de Postgrado, no se podrían utilizar dichos datos bancarios para hacer frente al pago de cualquier otra deuda que pudiera contraerse con la Universidad. Los datos personales deben ser cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la que fueron recogidos (art. 4.5 LOPD). Esta será la regla general salvo que alguna previsión legal disponga un periodo de conservación determinado.

    Los datos personales deben ser tratados de manera leal y lícita. A lo que la LOPD establece (artículo 4.7) que “se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos”. Esto enlaza con el principio de legitimidad del tratamiento de datos personales y el requisito para que dicho tratamiento se produzca: el consentimiento.

  • PRINCIPIOS DE CONSENTIMIENTO E INFORMACIÓN

    Para que un tratamiento de datos sea legítimo, la regla general, tal y como exige la LOPD es que cuente con el consentimiento del titular de los datos, salvo que la ley disponga otra cosa (art. 6 LOPD). Y debe ser un consentimiento informado. De ahí que la información, a pesar de ser también un derecho del titular de los datos, se convierta en un principio legitimador de todo tratamiento y en una obligación del Responsable o Encargado.

    a) Principio de consentimiento (art. 6 LOPD)

    El consentimiento es la manifestación de voluntad libre, inequívoca, específica e informada, mediante la que el interesado autoriza el tratamiento de datos personales que le conciernen (art. 3.h) LOPD). De esta forma, para que se pueda dar este consentimiento, el sujeto debe estar previamente informado del tratamiento de datos personales que se va a efectuar.

    Además de las características previamente indicadas (libre, inequívoco, específico e informado), la LOPD atribuye al consentimiento el carácter de revocable (art. 6.3). No podemos olvidar que el derecho a la protección de datos personales consiste en el poder de disposición de los mismos, y el consentimiento será la “llave” que ponga en marcha este poder.

    Para el caso de que el consentimiento sea prestado por un menor de edad, se requerirá siempre el consentimiento de sus padres o tutores, excepto para el caso del tratamiento de datos personales de mayores de 14 años (art. 13 RLOPD), donde el consentimiento del menor será el único necesario para tratar sus datos personales.

    La LOPD, con carácter general, no establece nada respecto a la forma en la que prestar el consentimiento, admitiéndose tanto el consentimiento expreso como el tácito. Sólo en el caso de tratamiento de datos especialmente protegidos (leer definición) se hace referencia a este tema: para el tratamiento de datos relativos al origen racial, a la salud y a la vida sexual se dice que el consentimiento deberá ser expreso; y para el caso de los datos relativos a ideología, afiliación sindical, religión y creencias se dice que el consentimiento además de ser expreso deberá constar por escrito. No obstante, a partir de mayo de 2018 y como consecuencia de la puesta en aplicación del Reglamento General de Protección de Datos comunitario, sólo será válido el consentimiento expreso.

    Fuera de los supuestos legalmente previstos (arts. 6.2 y 11.2 LOPD) no se podrán tratar datos personales sin el consentimiento de su titular. Ningún sujeto, público o privado, podrá recoger datos de otro, o comunicarlos, sin su consentimiento.

    b) Principio de información (art. 5 LOPD)

    La propia LOPD exige que a los interesados a los que se les soliciten o de los que se les recojan datos sean previamente informados (art. 5.1.). De esta forma, se cumple y completa el requisito del consentimiento informado.

    La información, como ocurría con el consentimiento, debe cumplir con una serie de características: previa, expresa, precisa e inequívoca (art. 5.1 LOPD).

    La LOPD, además de reconocer la existencia y obligatoriedad del derecho, establece el momento en el que se debe informar al interesado y el tipo de información que se tiene que dar al mismo (art. 5.1). Así, el Responsable del tratamiento debe informar al interesado de: 

    • La existencia del fichero o tratamiento de datos de carácter personal, la finalidad de la recogida de los datos, y de los destinatarios de la información.

    • El carácter obligatorio o facultativo de la respuesta a las preguntas que se le plantean.

    • Las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

    • La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

    • La identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

    Por último, debemos señalar aquí que en relación con este principio, el Reglamento general de Protección de Datos recoge el cumplimiento del principio de transparencia, exigiendo “transparencia en la información” a suministrar al titular de los datos (artículo 12).

PROTECCIÓN DE DATOS

Derechos

Los derechos de los titulares de los datos personales son las facultades que integran el derecho a la protección de datos personales, los conocidos como derechos ARCO (acceso, rectificación, cancelación y oposición).

Estos derechos son de carácter personalísimo, esto es, se ejercen por su titular o por su representante legal o voluntario. Se ejercen de forma libre y gratuita, aunque su planteamiento debe hacerse conforme al procedimiento reglamentariamente establecido (arts. 24 y 25 RLOPD). Y así, por ejemplo, los afectados deberán presentar su solicitud, primero, frente al responsable del tratamiento (en el caso de la Universidad de Alcalá dirigiéndose al correo secre.gene@uah.es), identificándose (adjuntando copia del DNI o pasaporte) y detallando la petición en la que se concreta su solicitud (art. 17 LOPD).

La ausencia o demora de respuesta, por parte del responsable, en los plazos legal y reglamentariamente establecidos, provoca inmediatamente que el titular de los datos pueda solicitar la tutela por vulneración de sus derechos ante la Agencia Española de Protección de Datos.

  • Derecho de acceso (art.15 LOPD)

    El titular de los datos puede solicitar información sobre el tratamiento de sus datos personales, sobre quién los trata, cómo y si se han comunicado o se van a comunicar a un tercero.

    Este derecho es gratuito, pero no se podrá ejercer en un intervalo menor a doce meses, salvo que se justifique un interés legítimo para ejercitarlo antes (art. 15.3 LOPD y arts. 28-30 RLOPD).

    Por su parte, el Responsable, o el Encargado, deberán responder al ejercicio de este derecho en el plazo de un mes desde que se recibe la petición (art. 29 RLOPD), incluso aunque no se tenga información del solicitante, al que así deberá hacérselo saber.

  • Derechos de rectificación, cancelación y oposición (art. 16 LOPD)

    El titular de los datos podrá solicitar que los mismos sean rectificados o cancelados cuando los datos no cumplan con los principios de la protección de datos personales, o bien, sean inexactos o incompletos.

    El derecho de oposición, se reconoce al interesado “previa petición y sin gastos”, y está destinado, básicamente, a la oposición del titular de los datos a que sus datos sean tratados con fines de publicidad y prospección comercial (arts. 30 y 31 LOPD y arts. 34-35 RLOPD).

    En estos casos, el Responsable del tratamiento, o Encargado en su caso, tiene que cumplir en un plazo de diez días, tras recibir la solicitud del afectado.

    La petición de rectificación y cancelación debe ser atendida con la modificación pertinente ya efectuada, en el citado plazo de diez días (art. 16 y 2 LOPD y arts. 32 y 33 RLOPD).

    Cuando exista una imposibilidad técnica de destruir la información en los casos en los que legalmente proceda y se haya solicitado su cancelación, se procederá al llamado derecho de “bloqueo” de los datos (art. 16.3 LOPD).

    En íntima relación con los derechos de cancelación y oposición, el nuevo Reglamento General de Protección de Datos europeo va a reconocer el llamado “derecho al olvido” (art. 17) al que también denomina “derecho de supresión”. En líneas generales, este derecho permite que los titulares de los datos puedan solicitar su supresión aunque inicialmente se hubieran tratado de forma lícita (con su consentimiento o al amparo de alguna norma). Permite que los datos se supriman, especialmente, si los mismos se encuentran en Internet.

  • Derecho de consulta al Registro General de Protección de Datos (art. 14 LOPD)

    La propia LOPD reconoce igualmente la posibilidad de este derecho.

    Aquí no es necesario que se ejercite por su titular, sino que puede ser ejercitado por parte de cualquier persona, y permite el acceso al Registro General de Protección de Datos, que es de consulta pública y gratuita, con el fin de conocer los ficheros de datos existentes, así como sus finalidades y los responsables de su tratamiento.

  • Derecho a impugnación de valoraciones (art. 13 LOPD)

    El titular de los datos podrá impugnar aquéllas valoraciones que tengan una consecuencia jurídica y que se hayan realizado por un tratamiento de sus datos personales destinado a valorar determinados aspectos de su personalidad.

  • Derecho a indemnización (art. 19 LOPD)

    La propia LOPD reconoce igualmente la posibilidad de este derecho para el caso de que el interesado vea lesionado su derecho a la protección de datos.

    Para solicitar la indemnización, el procedimiento a seguir será diferente si estamos ante ficheros de titularidad pública o ficheros de titularidad privada: Si son ficheros de titularidad pública, la indemnización se pedirá conforme a la legislación sobre responsabilidad de las Administraciones Públicas. Y, si son ficheros de titularidad privada, la indemnización se reclamará por la jurisdicción ordinaria.

PROTECCIÓN DE DATOS

Obligaciones

El derecho a la protección de datos personales será de obligado cumplimiento y respeto tanto por poderes públicos como por terceros privados, estando especialmente obligados todo aquél que trate datos personales.

Como regla general, serán obligados el Responsable del tratamiento de datos, y, en su caso, respecto de algunas obligaciones concretas, el Encargado que actúa en su nombre. Pero los usuarios de los datos personales, las personas que trabajan o las que tratan con los datos personales, también tienen una serie de obligaciones.

Entre las obligaciones a cumplir por parte del Responsable podríamos agruparlas en tres grandes bloques: las relacionadas con el trámite administrativo consistente en la notificación del tratamiento de datos efectuado a la AEPD; las relacionadas con el cumplimiento de los principios y derechos de la normativa de protección de datos; y, las últimas, pero las más importantes, las relacionadas con las medidas de seguridad respecto de los tratamientos de datos efectuados.

En esta página web se podrán encontrar, además de las Circulares sobre “Funciones y Obligaciones” de los distintos tipos de ficheros, los Procedimientos a seguir en materia de seguridad del tratamiento de los datos personales, entre los que destaca el “Procedimiento de Gestión de Incidencias” que puede utilizar toda la Comunidad universitaria ante cualquier incidente que se produzca y del que tengan conocimiento a la hora de tratar datos personales.

  • OBLIGACIONES DE LOS USUARIOS DE LOS DATOS

    Los usuarios de los datos personales deberán, en primer lugar, cumplir con el conocido Deber de secreto (art. 10 LOPD) respecto de la información tratada.

    Y, en segundo lugar, los sujetos que traten datos personales deberán cumplir con las medidas de seguridad (art. 9 LOPD) establecidas por el Responsable, o por el Encargado. Las medidas de seguridad serán las apropiadas en función del tipo de dato manejado. Dichas medidas para el caso de la Universidad de Alcalá se encuentran recogidas en las Circulares sobre “Funciones y Obligaciones” de los distintos tipos de ficheros, que también se encuentran en esta página web.

  • OBLIGACIONES DEL RESPONSABLE

    a) Deber de secreto (art. 10 LOPD)

    El Responsable debe ser el primero en cumplir con el deber de secreto o confidencialidad respecto de la información que esté tratando.

    b) Inscripción de ficheros o notificación de los tratamientos de datos efectuados (art. 4 LOPD)

    Hasta que no sea de aplicación el nuevo Reglamento europeo de Protección de datos (mayo de 2018), el Responsable deberá inscribir los ficheros de datos personales que maneje en el Registro de la Autoridad de protección de datos correspondiente.

    Para la creación de ficheros de titularidad pública, como son los de la Universidad de Alcalá, la LOPD exige, entre otros requisitos, su aprobación por disposición general y su publicación en el BOE (arts. 20-24 LOPD).

    La solicitud de inscripción debe contener necesariamente los siguientes datos o campos: responsable del fichero, finalidad del fichero, ubicación, tipo de datos de carácter personal que contiene, medidas de seguridad (con indicación del nivel básico, medio o alto exigible) y las cesiones o trasferencias de datos de carácter personal que se prevean realizar (arts. 20.2 y 26.2 LOPD).

    c) Cumplimiento de los principios de tratamiento de datos personales

    El Responsable del tratamiento de datos personales debe cumplir con los principios que aseguren un tratamiento de datos lícito y, por lo tanto, podrá tratar datos sólo cuando sean adecuados, pertinentes y no excesivos en relación con una finalidad determinada explícita y legítima, y contar con el correspondiente consentimiento del titular de los datos. Todo ello, claro está, con las correspondientes excepciones legales ya analizadas.

    d) Dar respuesta a las solicitudes de ejercicio de los derechos ARCO

    Es obligación del Responsable -aunque esta obligación también se puede hacer recaer en el Encargado del tratamiento, informando de ello al titular de los datos- el responder a las solicitudes de ejercicio de las facultades propias del derecho a la protección de datos, esto es, de los derechos ARCO.

    e) Medidas de seguridad (art. 9 LOPD)

    La normativa de protección de datos establece que los tratamientos de datos personales, ya sean manuales o automatizados, deben cumplir con las medidas de seguridad necesarias que garanticen su integridad y eviten su alteración, pérdida y tratamiento o acceso no autorizado.

    Estas medidas de seguridad, tanto de índole técnica como organizativa se recogen en un documento interno del sujeto Responsable del tratamiento denominado “Documento de seguridad” (art. 88 RLOPD). Este Documento es de obligada tenencia y su no disposición supone una infracción en materia de protección de datos.

    El citado Documento será de obligado cumplimiento para el personal que trabaje para el Responsable y que tenga acceso a datos de carácter personal, esto es, los usuarios (Véanse las Circulares sobre “Funciones y Obligaciones” de los usuarios).

    Este Documento deberá contener, como mínimo (art. 88.3 RLOPD):

    • Ámbito de aplicación, con especificación detallada de los recursos protegidos.
    • Medidas, normas, procedimientos, reglas y estándares que garanticen los niveles de seguridad.
    • Funciones y obligaciones del personal.
    • Estructura de los ficheros y descripción de los sistemas que los tratan.
    • Procedimientos de notificación, gestión y respuesta ante incidencias.
    • Procedimientos de realización de copias de respaldo y recuperación de datos.

    El Documento de seguridad, al ser un documento de uso interno de la Universidad, sólo está disponible para los Responsables de seguridad nombrados por el Secretario/a General a tal efecto.

    El RLOPD establece las medidas de seguridad a adoptar en función del tipo de datos personales que estemos tratando y las graduará en tres niveles: básico, medio y alto. Estas medidas son acumulativas, esto es, todos los ficheros gozan de las medidas de nivel básico, y las de nivel alto a su vez tendrán que aplicar las de nivel medio (art. 81 RLOPD):

    • Nivel básico: se aplica a todos los ficheros que contengan datos de carácter personal. Serán medidas como, por ejemplo, el cambio de contraseñas en periodos no superiores a un año o la realización de copias de respaldo semanales (arts. 89-94 y 105-108 RLOPD).
    • Nivel Medio: afecta a todos los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, Servicios financieros, solvencia patrimonial y crédito, así como los que ofrezcan un perfil del titular de los datos (como, por ejemplo, un curriculum). Serán medidas, como por ejemplo, la designación de un Responsable de seguridad o la realización de una Auditoría, interna o externa, bienal (arts. 95-100 y 109-110 RLOPD).
    • Nivel Alto: aplicable a ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual, así como los que contengan datos recabados para fines policiales, sin consentimiento de los afectados o los relativos a las medidas de violencia doméstica. Serán medidas, como por ejemplo, la existencia de un Registro de accesos a la información o el cifrado de los datos en las transmisiones que se realicen de los mismos (arts. 101-104 y 111-114 RLOPD).

DELEGADA DE PROTECCIÓN DE DATOS - DPO

DPO

La Universidad de Alcalá ha procedido a designar a la Profesora Dª Mónica Arenas Ramiro como Delegada de Protección de Datos (DPO) de la Universidad, con fecha 23 de abril de 2018, en cumplimiento de lo dispuesto en el art. 37 del Reglamento General de Protección de Datos (Reglamento (UE) 2016/679, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos). 

Asimismo, el nombramiento como DPO fue comunicado a la Agencia Española de Protección de Datos con fecha 21 de mayo de 2018.

La figura del DPO tiene como funciones esenciales asesorar e informar a la Universidad de Alcalá en materia de tratamiento de datos personales, así como ser punto de referencia para toda la comunidad universitaria y colaborar con la Agencia Española de Protección de Datos.

Los datos de contacto son: 

COMISIÓN PD UAH

Composición

La Comisión de Protección de Datos de la Universidad de Alcalá fue creada en mayo del año 2012.

Su creación fue aprobada por Consejo de Gobierno, como queda recogida en el acta del 30 de mayo de 2012.

La composición actual de la Comisión de Protección de Datos de la Universidad de Alcalá fue aprobada por el Consejo de Gobierno del 5 de mayo de 2016, siendo la siguiente:

  • Presidenta: Delegada del Rector para la dirección y supervisión de la política de protección de datos: Dª Carmen Figueroa Navarro.
  • Vocales:
    • Secretario General: D. Miguel Rodríguez Blanco.
    • 1 miembro del Profesorado de la UAH experto en la materia: Dª Mónica Arenas Ramiro.
    • 1 miembro del PAS perteneciente a los Servicios Informáticos: Dª Mª Luisa Fuentes Pedroche.
    • 1 miembro designado por la Delegada del Rector para la dirección y supervisión de la política de protección de datos, que ejercerá como Secretaria de la Comisión: Dª Alicia Díaz Encabo.

 

A lo largo de los años ha habido variaciones en la composición de la misma, como puede verse en el acta del 10 de diciembre de 2015 del Consejo de Gobierno:

  • Presidente: Secretario/a General en función de su cargo y como responsable último de la protección de datos de la UAH.
  • Vocales:
    • 2 miembros del Profesorado de la UAH expertos en la materia.
    • 1 miembro del PAS perteneciente a los Servicios Informáticos.
    • 1 miembro de la Secretaría General, que ejercerá como Secretario/a de la Comisión.

 

La composición inicial de la Comisión de Protección de Datos fue:

  • Presidente: Secretario/a General en función de su cargo y como responsable último de la protección de datos de la UAH.
  • Vocales:
    • 1 miembro del Profesorado de la UAH experto en la materia.
    • 1 miembro del PAS perteneciente a los Servicios Informáticos.
    • 1 miembro de la Asesoría Jurídica de la UAH.
    • 1 miembro de la Gerencia.

 

COMISIÓN PD UAH

Memorias

A continuación se presentan las Memorias anuales de la Comisión de Protección de Datos de la Universidad de Alcalá, que se incluyen en la Memoria anual de la Secretaría General:

EJERCITAR LOS DERECHOS ARCO

Los titulares de los datos podrán ejercitar los derechos reconocidos en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, en sus artículos 15 y siguientes.

Estos derechos se ejercen de forma personal mediante una solicitud al Responsable del fichero.

 

Para ejercer sus derechos debe dirigir el modelo correspondiente de los arriba listados, con toda la información pertinente, previa identificación personal, a cualquiera de los Registros de la Universidad.

DOCUMENTACIÓN UAH

Ficheros

A continuación, se presenta el listado de los ficheros declarados por la UAH junto a su descripción detallada y sus usos previstos (B.O.C.M. nº 235 de 3 de octubre de 2015 y B.O.C.M. nº 44 de 8 de febrero de 2016) y registrados en la Agencia Espñaola de Protección de Datos. Si desea ver la incripción completa de cada uno de ellos, sólo tiene que acceder al Registro de la Agencia Española de Protección de Datos.

 

  • ARCHIVO UNIVERSITARIO

Fichero de datos empleado para la gestión del sistema de archivos de la Universidad de Alcalá (Archivos de gestión, intermedio e histórico), así como para la gestión de las transferencias y traslados de los documentos y su integración en el archivo correspondiente y su posible uso para fines históricos, científicos o estadísticos.

  • ASESORÍA JURÍDICA

Procedimientos judiciales, administrativos y documentación correspondiente a los mismos.

  • BECAS Y AYUDAS

Fichero de datos empleado para la gestión académica, administrativa y económica de becas y ayudas ofertadas por la propia Universidad de Alcalá y otros organismos e instituciones.

  • BIOBANCO REDINREN

Fichero de datos empleado para el estudio analítico epidemiológico sobre pacientes con insuficiencia renal.

  • BOLSA DE ALQUILER

Fichero de datos empleado para ofrecer información sobre distintos tipos de alojamiento a los miembros de la comunidad universitaria.

  • BUZÓN CONSULTAS, QUEJAS Y SUGERENCIAS

Fichero de datos empleado para la gestión de las consultas, quejas y/o sugerencias planteadas a la Universidad de Alcalá.

  • CENSO ELECTORAL

Fichero de datos empleado para la gestión del censo electoral de la UAH en los procesos de elección de los representantes en los distintos órganos de la Universidad de Alcalá.

  • COMUNICACIÓN, PROMOCIÓN Y EVENTOS

Fichero de datos empleado para la gestión de la promoción y difusión de la imagen de la Universidad de Alcalá, así como para la información y gestión de los eventos, noticias, avisos, servicios académicos y actividades culturales ofrecidos por la Universidad.

  • DEFENSORÍA UNIVERSITARIA

Fichero de datos empleado para gestionar y tramitar las quejas presentadas ante el Defensor Universitario de la Universidad de Alcalá.

  • DEPORTES

Fichero de datos empleado para la organización y la gestión administrativa y económica de las actividades deportivas realizadas por la Universidad de Alcalá.

  • DIVERSIDAD FUNCIONAL

Fichero de datos empleado para mejorar los servicios de integración y adaptación, normalización, independencia y atención personalizada a los diferentes destinatarios de la comunidad universitaria que tengan algún grado de discapacidad.

  • ENSEÑANZA VIRTUAL

Fichero de datos empleado para la gestión de la enseñanza virtual a través de la plataforma de teleformación de la Universidad de Alcalá.

  • GESTIÓN ACADÉMICA

Fichero de datos empleado para la gestión académica, económica y administrativa del expediente académico de los estudiantes de la Universidad de Alcalá, así como su utilización para fines estadísticos.

  • GESTIÓN BIBLIOTECARIA

Fichero de datos empleado para la gestión administrativa y económica de la Biblioteca de la Universidad de Alcalá, así como para la gestión de sus servicios de préstamos y de formación a la comunidad universitaria.

  • GESTIÓN DE LA INVESTIGACIÓN

Fichero de datos empleado para la gestión de todas las actividades administrativas, académicas y económicas derivadas de las acciones de investigación y su relación con las entidades (públicas y privadas) y el personal investigador.

  • GESTIÓN DE RECURSOS HUMANOS

Fichero de datos empleado para la gestión administrativa, laboral y económica del personal de la Universidad de Alcalá, así como para el control del personal, formación y procesos de selección del mismo, junto con su utilización para fines estadísticos.

  • GESTIÓN DOCENTE

Fichero de datos empleado para el desarrollo de actividades relacionadas con los procesos de evaluación de la docencia universitaria y de la actividad docente del profesorado.

  • GESTIÓN ECONÓMICA Y FINANCIERA

Fichero de datos empleado para la gestión contable, fiscal, administrativa y de tesorería de los servicios realizados en y/o para la Universidad de Alcalá.

  • GESTIÓN INFORMÁTICA

Fichero de datos empleado para la gestión y administración de recursos informáticos y de comunicaciones electrónicas de la Universidad de Alcalá.

  • INSPECCIÓN DE SERVICIO

Fichero de datos empleado para el correcto funcionamiento de los servicios, la colaboración en la instrucción de los expedientes disciplinarios y el seguimiento y control de las actividades universitarias de la Universidad de Alcalá en sus aspectos estructural, funcional y administrativo.

  • ORIENTACIÓN Y EMPLEO

Fichero de datos empleado para la gestión de las prácticas (internas y externas) y de la bolsa de empleo de los estudiantes de la Universidad de Alcalá, así como la gestión de las actividades derivadas de su orientación académica, laboral y del emprendimiento.

  • PREVENCIÓN Y ASISTENCIA MÉDICA

Fichero de datos empleado para el control y asistencia sanitaria de la comunidad universitaria y su gestión administrativa, así como para la prevención de riesgos laborales de la Universidad de Alcalá.

  • PRUEBAS DE ACCESO

Fichero de datos empleado para la gestión y la realización de las distintas pruebas de acceso a la universidad, así como su utilización para fines estadísticos.

  • PUBLICACIONES

Fichero de datos empleado para la gestión administrativa y económica del Servicio de Publicaciones de la Universidad de Alcalá.

  • REGISTRO GENERAL

Fichero de datos empleado para la gestión administrativa del registro de entrada y salida de documentos de la Universidad de Alcalá.

  • RELACIONES INTERNACIONALES

Fichero de datos empleado para la gestión administrativa y académica de las estancias y contratos de estudios de los miembros de la comunidad universitaria, así como de las actividades necesarias para la firma de convenios internacionales y su utilización con fines estadísticos.

  • TARJETA UNIVERSITARIA INTELIGENTE

Fichero de datos empleado para la correcta creación, gestión y emisión de la tarjeta universitaria inteligente (TUI) de la Universidad de Alcalá.

  • VIDEOVIGILANCIA

Grabaciones de las cámaras de seguridad de la Universidad de Alcalá para la seguridad y protección de personas e instalaciones y seguridad de los accesos.

DOCUMENTACIÓN UAH

Modelos

En este apartado encontrará los modelos que ha elaborado la Comisión de Protección de Datos de la UAH para adjuntar junto a los Contratos y Convenios que realice la UAH con Terceros para garantizar la protección de datos personales:

DOCUMENTACIÓN UAH

Procedimientos

En este apartado encontrará el Procedimiento elaborado por la Comisión de Protección de Datos de la UAH, y que ha sido distribuido a todo el personal de la Universidad:

Material de PD para las Convocatorias de las pruebas selectivas para el ingreso en la Escala de Gestión Grupo A, subgrupo A2, y en la Escala Administrativa, grupo C, subgrupo C1 de la UAH

En este apartado encontrará la Normativa Interna de la Universidad elaborada por la Comisión de Protección de Datos de la UAH, que servirán de Material de Protección de Datos para las Convocatorias de las pruebas selectivas para el ingreso a la Escala de Gestión Grupo A, subgrupo A2, de la UAH:


Enlaces de interés

Protección de Datos de Carácter Personal

Pza. San Diego, s/n - 28801 Alcalá de Henares (Madrid).

Teléfono:34 91 885 40 00

Correo electrónico:  protecciondedatos@uah.es;