Boletín Oficial de la Junta de Andalucía - Histórico del BOJA Boletín número 63 de 06/04/2021
3. Otras disposiciones
Universidades
Resolución de 30 de marzo de 2021, de la Universidad de Huelva, por la que se publica el Reglamento de Protección de Datos, aprobado en Consejo de Gobierno de 17 de marzo de 2021.
Atención: El texto que se muestra a continuación ha sido extraído de los mismos ficheros que se han utilizado para obtener el fichero PDF correspondiente del BOJA oficial y auténtico, habiéndose suprimido todas las imágenes, ciertas tablas y algunos textos de la versión oficial al existir dificultades de edición. Para consultar la versión oficial y auténtica de esta disposición puede descargarse el fichero PDF firmado de la disposición desde la sede electrónica del BOJA o utilizar el servicio de Verificación de autenticidad con CVE 00189502.
REGLAMENTO DE PROTECCIÓN DE DATOS
Universidad de Huelva
(Aprobado en Consejo de Gobierno de 17 de marzo de 2021)
PREÁMBULO.
TÍTULO PRELIMINAR.
Artículo 1. Política General de protección de datos en la Universidad de Huelva.
TITULO I. DERECHOS DE LAS PERSONAS.
Artículo 2. Deber de información.
Artículo 3. Derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad.
TÍTULO II. RÉGIMEN DE LOS TRATAMIENTOS DE DATOS.
Artículo 4. Procedimiento de creación, modificación y supresión de tratamientos.
Artículo 5. Condiciones para el tratamiento lícito de datos personales.
Artículo 6. Consentimiento.
Artículo 7. Tratamiento de categorías especiales de datos.
Artículo 8. Conservación y supresión de datos.
TÍTULO III. COMUNICACIONES Y ACCESO A DATOS POR PARTE DE TERCEROS.
Artículo 9. Tratamientos de datos y comunicaciones a terceros.
Artículo 10. Procedimiento para efectuar las comunicaciones de datos a terceros.
Artículo 11. Archivo y registro de cesiones. Identificación de datos cedidos.
Artículo 12. Peticiones de datos realizadas dentro de procedimientos judiciales o administrativos.
Artículo 13. Cesión de datos personales a la representación sindical.
Artículo 14. Transferencias internacionales de datos.
Artículo 15. Prestación de servicios por encargados de tratamiento.
TÍTULO IV. SEGURIDAD DE LAS ACTIVIDADES DE TRATAMIENTO.
Artículo 16. Medidas de seguridad, técnicas y organizativas.
Artículo 17. Registro de incidencias.
Artículo 18. Funciones y obligaciones del personal.
DISPOSICIÓN ADICIONAL ÚNICA.
DISPOSICIÓN DEROGATORIA.
DISPOSICIÓN FINAL ÚNICA.
ANEXOS.
PREÁMBULO
La rápida evolución tecnológica y la globalización han planteado nuevos retos para la protección de los datos personales. Estos avances requieren un marco más sólido y coherente para la protección de datos en la Unión Europea con el fin de generar la confianza que permita a los ciudadanos tener el control de sus propios datos personales.
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), establece que los principios y normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de sus datos de carácter personal deben, cualquiera que sea su nacionalidad o residencia, respetar sus libertades y derechos fundamentales, en particular, el derecho a la protección de los datos de carácter personal.
La aprobación del Reglamento General de Protección de Datos, destinado a fortalecer el derecho fundamental de los ciudadanos sobre sus datos personales y a armonizar la regulación europea existente, ha provocado que los Estados tengan que adecuar y sistematizar su ordenamiento interno.
Fruto de este compromiso ve la luz en España la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de Derechos Digitales, pionera, además, en reconocer derechos digitales.
El contenido esencial del derecho fundamental a la protección de datos está basado en un conjunto de normas de obligado cumplimiento para el que trata la información y que van dirigidas a proteger el dato personal considerado en sí mismo, a la vez que se limitan los tratamientos a que pueda ser sometido. Para ello se definen un conjunto de medidas preventivas, tanto jurídicas como organizativas y técnicas, que protejan a la información desde el mismo momento que se recaba y a los tratamientos que se le aplican durante todo su ciclo de vida.
La Universidad de Huelva, que es responsable del tratamiento de los datos personales que utiliza para su gestión y para el cumplimiento de sus fines, tiene entre sus objetivos garantizar ese derecho a todas aquellas personas que con ella se relacionan: estudiantes, profesores, personal de administración y servicios y, en general, cualquier otro ciudadano que en algún momento de su vida tenga relación con nuestra institución.
En virtud de esta responsabilidad, el Consejo de Gobierno, en ejercicio de las competencias derivadas del art. 19.c) y f) procede a la aprobación del presente Reglamento, al objeto de establecer los principios generales que deben regir dichos tratamientos en la Universidad de Huelva en orden a velar por el adecuado cumplimiento de este nuevo régimen de protección de datos.
TÍTULO PRELIMINAR
Artículo 1. Política General de protección de datos en la Universidad de Huelva.
La Universidad de Huelva mantiene un firme compromiso con el derecho fundamental a la protección de los datos de carácter personal. En consecuencia, tratará la información de quienes trabajan, estudian, investigan o se relacionan con ella de manera lícita, leal y transparente, actuando siempre con diligencia y responsabilidad, de acuerdo con lo previsto en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD) y disposiciones de desarrollo, así como en el Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de éstos (en adelante, el RGPD).
En este sentido, sólo recabará los datos personales que sean adecuados, pertinentes y limitados a lo necesario en relación con las finalidades para las que se obtengan y se traten, e informará a los afectados de la existencia de actividades de tratamiento en los términos previstos en los artículos 5, 13 y 14 del RGPD.
Los datos recabados en la Universidad deberán servir a fines directamente relacionados con sus competencias y funciones y en este sentido, recogerá, tratará, almacenará y utilizará sólo los datos necesarios para llevar a cabo las relaciones con estudiantes, antiguos estudiantes, profesorado, personal de administración y servicios, proveedores y otras personas físicas, así como para informarles de los servicios existentes y desarrollar los que pueda prestarles, que incluyen la realización de encuestas para la mejora de los mismos y la implantación de otros nuevos.
La Universidad de Huelva dispone de una Política de Seguridad de la Información aprobada por el Consejo de Gobierno donde se establecen los principios en que se basa la organización de la seguridad y los derechos y deberes de los miembros de la comunidad universitaria.
TÍTULO I
DERECHOS DE LAS PERSONAS
Artículo 2. Deber de información.
Cuando en los procedimientos se utilicen formularios para la recogida de datos, en soporte papel o electrónico, estos deberán incluir la información requerida en el artículo 13 del RGPD. Cuando los datos se obtengan de terceros, se proporcionará la información indicada en el artículo 14 del RGPD, o cualquier otra disposición aplicable.
La información requerida por el RGPD se incluirá en los impresos o procesos de recogida de datos salvo que al interesado ya se le haya informado previamente sobre las condiciones en que se realiza el correspondiente tratamiento. La nota informativa se incluirá siempre en los impresos que firme y cumplimente para la solicitud del servicio de que se trate o, en caso de servicios telemáticos, de forma que sea ineludible su lectura y quede registrada su aceptación o, cuando sea necesario, su consentimiento expreso. No será necesario facilitar de nuevo la información o requerir el consentimiento del interesado mientras el tratamiento se realice en las mismas condiciones.
Cuando para determinados colectivos o servicios no se utilicen formularios, sino que los datos se recojan directamente mediante toma de datos proporcionados in situ por el personal al formalizar el servicio, la información requerida se incluirá en las normas reguladoras del procedimiento o servicio de que se trate, que deberán ser de público conocimiento, y a las que se dará la máxima difusión (referencia en la web, exposición en la unidad que preste el servicio, etc.).
En todo caso, la documentación informativa completa de las actividades de tratamiento de datos personales figurará en un apartado específico de la web institucional de la Universidad de Huelva.
El Anexo I de este Reglamento establece el modelo básico tipo de la información básica e información detallada que debe insertarse en los formularios o en los procesos telemáticos de recogida de datos en los términos previstos y, en su caso, en las normas reguladoras de servicios, convocatorias y páginas web que proceda. La información detallada podrá presentarse mediante la indicación de una dirección electrónica u otro medio que permita acceder a ella de forma sencilla e inmediata.
Artículo 3. Derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad.
1. Los interesados podrán ejercitar estos derechos de acuerdo con lo dispuesto en la LOPDGDD, el RGPD y normativa concordante. La Secretaría General de la Universidad de Huelva podrá desarrollar mediante instrucciones el procedimiento para el ejercicio de estos derechos, a propuesta del Delegado o Delegada de Protección de Datos, sin perjuicio de lo previsto en el número 4 de este artículo, debiendo procederse a su publicación en el Boletín Oficial de la Universidad de Huelva.
2. Sin perjuicio de lo dispuesto en el párrafo anterior, las Instrucciones serán conocidas, junto con los procedimientos internos de gestión asociados, por todas las personas responsables de las unidades, servicios u órganos gestores de tratamientos, por el personal que tenga acceso a datos personales y por el personal de la Universidad en su conjunto para poder informar a los interesados sobre la forma de ejercitar estos derechos.
3. El ejercicio de los derechos previstos en el presente artículo será gratuito, sin perjuicio de lo previsto en el artículo 12.5 del RGPD y 13.3 de la LOPDGDD, y podrá realizarse a través de la sede electrónica de la Universidad de Huelva, mediante la presentación en el Registro Telemático de la Universidad de Huelva, a través de correo electrónico firmado digitalmente y con carácter general a través de cualquiera de los medios previstos en el artículo 16.4 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
4. Los interesados utilizarán preferentemente el modelo de solicitud establecido en la normativa indicada anteriormente, que les será facilitado en cualquier unidad administrativa de la Universidad de Huelva, y estará asimismo disponible en su página web y en su sede electrónica.
El interesado podrá seguir un procedimiento y usar modelos de solicitudes distintos del previsto en la normativa interna, siempre que utilice un medio que permita acreditar la identidad de la persona solicitante, el envío y la recepción de la solicitud y que ésta contenga los elementos requeridos en dicha normativa.
TÍTULO II
RÉGIMEN DE LOS TRATAMIENTOS DE DATOS
Artículo 4. Procedimiento de creación, modificación y supresión de tratamientos.
1. La creación, modificación o supresión de actividades de tratamiento de datos personales corresponderá al Secretario o Secretaria General, conforme al procedimiento aprobado por acuerdo del Consejo de Gobierno de 26 de mayo de 2020 e intervención del Delegado o Delegada de Protección de Datos.
Deberá garantizarse en todo caso que se contemplan y analizan todas las exigencias de las disposiciones aplicables, en particular los posibles riesgos asociados al tratamiento, la base jurídica del mismo y las medidas de seguridad necesarias. Igualmente, deberá preverse la intervención del Delegado o Delegada de Protección de Datos.
2. La Universidad de Huelva publicará en un lugar destacado de su web institucional el registro de las actividades de tratamiento de datos personales que realiza.
3. Cuando un tratamiento o una aplicación informática que realice tratamiento de datos personales vaya a modificarse para incluir nuevos datos de carácter personal o vayan a establecerse nuevas comunicaciones a terceros o supuestos de recogida de datos, el responsable gestor del tratamiento lo pondrá en conocimiento de la Secretaría General para la aplicación del procedimiento indicado en el párrafo primero, así como para establecer la documentación informativa pertinente y la actualización de las actividades de tratamiento.
4. En la creación de nuevos tratamientos y aplicaciones informáticas que puedan contener datos de carácter personal, o en su modificación, el responsable de gestionar el tratamiento velará por que el personal encargado de su diseño guarde especial cuidado en implementar las medidas de seguridad e incluir las fórmulas informativas que sean precisas en los impresos y procedimientos telemáticos de recogida de datos.
Artículo 5. Condiciones para el tratamiento lícito de datos personales.
El tratamiento de datos personales solo será lícito si concurre alguna de las condiciones establecidas en el artículo 6 del RGPD, siempre que no se trate de categorías especiales de datos. Entre las condiciones indicadas se encuentran:
a) El consentimiento del interesado.
b) Que el tratamiento sea necesario para la ejecución de un contrato en el que el interesado es parte.
c) Concurrencia de una obligación legal aplicable al responsable del tratamiento, para cuyo cumplimiento es necesario dicho tratamiento. Dicha obligación deberá ser establecida por el Derecho de la Unión Europea o derivar de una competencia atribuida por una norma con rango de ley.
d) Que el tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona física.
e) Que el tratamiento sea requerido para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Ambos supuestos deberán estar previstos por el Derecho de la Unión Europea o derivar de una competencia atribuida por una norma con rango de ley.
Artículo 6. Consentimiento.
Cuando el tratamiento para un fin determinado no derive del resto de condiciones previstas en el artículo 6 del RGPD, deberá recabarse el consentimiento del interesado en el proceso de recogida de datos. Dicho consentimiento estará recogido, en su caso, en el propio documento informativo que habrá de proporcionarse en dicho proceso, o en la forma que se determine para supuestos específicos.
El consentimiento para el tratamiento de datos de carácter personal es toda manifestación de voluntad libre, específica, informada e inequívoca por la que el afectado acepta, ya sea mediante una declaración o mediante una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
Se informará en todo caso del carácter revocable del consentimiento.
Artículo 7. Tratamiento de categorías especiales de datos.
Para el tratamiento de las categorías especiales de datos personales se estará a lo dispuesto en el artículo 9 del RGPD y el artículo 9 de la LOPDGDD.
Artículo 8. Conservación y supresión de datos.
1. Los datos de carácter personal serán suprimidos cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados, sin perjuicio de lo establecido en los números 3 y 6 de este artículo y salvo que sea aplicable alguna de las excepciones a la supresión previstas en las normas aplicables, en particular cuando el tratamiento sea necesario con fines de archivo en interés público, de investigación científica o histórica, o fines estadísticos, además de cuando concurran motivos legítimos imperiosos.
2. Los datos de carácter personal serán almacenados de forma que permita el ejercicio del derecho de acceso, salvo que sean suprimidos de acuerdo con lo previsto en la ley.
3. Los plazos de conservación dependerán de la vinculación existente entre la Universidad de Huelva y la persona interesada, siendo conservados, con carácter general, mientras subsista la relación y una vez concluida como máximo, por los plazos siguientes, salvo lo dispuesto en el número 6: cinco años para los datos de clientes, proveedores o suministradores y permanentemente para los datos de estudiantes o antiguos estudiantes, empleados o ex-empleados.
4. No obstante lo dispuesto en el apartado primero de este artículo, mediante la información que se inserte en los impresos o procesos de recogida de datos podrá especificarse un plazo de conservación para finalidades concretas, sin perjuicio del derecho de supresión u oposición que asiste a los afectados.
5. Si los datos registrados resultaran inexactos, en todo o en parte, o incompletos, serán sustituidos por los correspondientes datos rectificados o completados.
6. La supresión de los datos se realizará de oficio por el responsable de la gestión de la actividad de tratamiento previa comunicación a la Secretaría General, que deberá autorizarla, al finalizar el plazo de conservación, o a instancia del interesado en ejercicio de su derecho de supresión u oposición. No procederá, en particular, la cancelación de los datos cuando ello pudiese causar un perjuicio a intereses legítimos del interesado o de terceros, cuando existiese obligación legal de conservarlos, cuando exista una relación contractual, cuando sea preciso su mantenimiento para gestiones de pagos o cobros o para el adecuado ejercicio de las funciones propias de la Universidad de Huelva.
TÍTULO III
COMUNICACIONES Y ACCESO A DATOS POR PARTE DE TERCEROS
Artículo 9. Tratamientos de datos y comunicaciones a terceros.
1. Bases jurídicas de los tratamientos de datos realizados por la Universidad y de las comunicaciones de datos a terceros y consentimiento del interesado.
La Universidad de Huelva sólo realizará los tratamientos de datos, y las cesiones de estos a terceros, que estén previstas en su registro de actividades de tratamiento, en las leyes y otras normas de obligado cumplimiento, las derivadas del desarrollo de las relaciones jurídicas que tenga establecidas con los afectados y de la prestación de los servicios que se le soliciten, las necesarias para el cumplimiento de las finalidades, misión en interés público y obligaciones legales o ejercicio de potestades públicas que tiene encomendadas, en particular las comunicaciones necesarias a otras administraciones públicas para el ejercicio de las competencias propias de éstas sobre las mismas materias. Todas estas comunicaciones tienen su base legal en los supuestos del artículo 6.1 del RGPD, según lo previsto en el artículo 8.2 de la LOPDGDD y en la presente normativa.
Igualmente procederá el tratamiento o comunicación de datos personales cuando disposiciones específicas así lo establezcan.
En cualquier otro supuesto, solo se podrán realizar tratamientos o comunicaciones de datos personales a terceros con el consentimiento del interesado.
En el proceso de recogida de datos se informará a los interesados de cuanto establece el artículo 13 del RGPD y en especial de las bases jurídicas que legitimen el tratamiento, así como de los destinatarios o categorías de destinatarios de los datos personales, quedando en ese momento de manifiesto el consentimiento del interesado, si fuere preciso.
Los destinatarios o categorías de destinatarios de comunicaciones o transferencias de datos previstos para cada tratamiento figurarán en la información que debe facilitarse a los interesados cuando se recojan sus datos personales y en el registro de actividades de tratamiento.
2. Particularidades en las comunicaciones de datos a terceros.
Las cesiones de datos personales que se efectúen quedarán reflejadas en el registro de entrada y salida de la unidad, servicio u órgano responsable de la gestión del tratamiento, salvo las cesiones previstas en procedimientos de obligado cumplimiento establecidos en las normas aplicables (artículo 10.1.a) y 10.1.b) de la presente normativa).
Sólo se comunicarán datos de carácter personal a terceros mediante los procedimientos establecidos en la presente normativa. Cualquier cesión de datos que incumpla el procedimiento aplicable será responsabilidad, frente a la Universidad, de quien la lleve a cabo.
La cesión de datos a entidades y organismos ajenos a la Universidad de Huelva que no precise consentimiento, o bien respecto a las cuales se haya prestado, y no obedezca a procedimientos normalizados, se realizarán previa advertencia del gestor del tratamiento al cesionario de la obligación de no utilizarlos para fines distintos de los que motivan la cesión y de la obligación de cumplir las previsiones de la ley y el RGPD en cuanto a medidas técnicas y organizativas que garanticen un nivel de seguridad adecuado y demás obligaciones legales, según el modelo que figura en el Anexo II.
Ejercitado el derecho de rectificación, supresión, limitación, revocación del consentimiento u oposición, el gestor del tratamiento deberá comunicar a los destinatarios a los que se hayan comunicado los datos personales la rectificación de los datos efectuada o la obligación de cesar o limitar su tratamiento.
Artículo 10. Procedimiento para efectuar las comunicaciones de datos a terceros.
1. Tipos de comunicaciones y requisitos previos.
Las comunicaciones de datos deberán realizarse en todo caso con las medidas de seguridad adecuadas vigentes en cada momento.
a) Comunicaciones de datos que responden a procedimientos normalizados o reglados establecidos legalmente (apartados 1.c) y 1.e) del artículo 6 del RGPD):
Se trata de comunicaciones de datos que consisten en una transmisión de datos prevista legalmente mediante un procedimiento establecido en la propia ley habilitante o en reglamento que la desarrolle, que constituya una obligación legal, una misión en interés público o el ejercicio de poderes públicos, aplicables a la Universidad de Huelva como responsable del tratamiento.
Se llevarán a cabo bajo la supervisión del responsable de la gestión de cada tratamiento y se realizarán de conformidad con el procedimiento previsto en las normas aplicables, en el ejercicio de las funciones que tengan atribuidas los cesionarios y en los supuestos y condiciones establecidos en las citadas normas.
b) Comunicaciones de datos basadas en el consentimiento de los interesados (apartado 1.a) del artículo 6 del RGPD):
Estas comunicaciones de datos están incluidas en la información facilitada a los interesados en el momento de recabarse sus datos de acuerdo con lo previsto en al artículo 13 del RGPD y, por lo tanto, han dado su consentimiento a las mismas.
La comunicación se realizará por el personal responsable de la gestión del tratamiento. Antes de efectuar la comunicación se enviará un documento que debe ser devuelto firmado por la institución cesionaria en el que se le advierta de la obligación de no utilizarlos para fines distintos de los que motivan la cesión y de la obligación de cumplir las previsiones de la ley y el RGPD en cuanto a medidas técnicas y organizativas que garanticen un nivel de seguridad adecuado y demás obligaciones legales, según el modelo que figura en el Anexo II.
En el caso de que la cesión se efectúe en el ámbito de un convenio, dichas obligaciones estarán recogidas en el clausulado.
c) Comunicaciones de datos efectuadas a terceros y que no responden a los supuestos previstos en los apartados 6.1.a), 1.c) y 1.e) del RGPD:
Recibida por la Universidad una petición razonada y puntual de cesión de datos, y si en un examen preliminar se considera oportuna, se consultará a la Secretaría General sobre la procedencia de la misma a la vista de las circunstancias concurrentes. Ésta analizará, junto con el personal responsable de gestionar el tratamiento, los términos y procedimientos en que podría recabarse el consentimiento. El Delegado o Delegada de Protección de Datos deberá, asimismo, pronunciarse sobre la procedencia de la comunicación de datos.
Emitidos los informes indicados, se elevará el expediente a la Secretaria o Secretario General, que valorará la oportunidad de la cesión en función de las circunstancias concurrentes y del contenido de los informes. En caso de decisión favorable a la cesión, se recabará el consentimiento en los términos especificados, y con anterioridad a efectuar la cesión, se enviará documento de compromiso en el que se detallarán los términos de la misma, así como la obligación de respetar las previsiones de la LOPDGDD (modelo Anexo II). Sólo cuando se reciba firmado de conformidad dicho documento se realizará la cesión.
La comunicación de datos se realizará por el responsable de la gestión del tratamiento y comunicará la cesión realizada a la Secretaría General debiendo quedar constancia de la misma en el registro de entrada y salida de la unidad, servicio u órgano responsable de la gestión del tratamiento.
Artículo 11. Archivo y registro de cesiones. Identificación de datos cedidos.
En los casos de cesiones contempladas en los apartados b) y c) del artículo 10.1, el responsable de la unidad gestora del tratamiento deberá remitir a la Secretaría General el original de los documentos de compromiso firmados por las entidades cesionarias de datos o, en su caso, el correspondiente convenio que recoja la información necesaria.
Las unidades, servicios u órganos gestores de los tratamientos deberán recoger las cesiones efectuadas en sus registros de entrada y salida. Asimismo, se mantendrá un registro de entidades o empresas cesionarias.
Artículo 12. Peticiones de datos realizadas dentro de procedimientos judiciales o administrativos.
1. En caso de peticiones puntuales de cesión de datos concretos por parte de organismos judiciales y administrativos en procedimientos que estén tramitando, se tendrá en cuenta, con carácter general, lo siguiente:
a) La información sobre datos de carácter personal concretos obrantes en ficheros de la Universidad de Huelva será comunicada a autoridades judiciales y administrativas, con sujeción al procedimiento legalmente establecido y a lo previsto en la presente normativa.
b) Las peticiones deben ser motivadas.
c) La cesión se realizará en todo caso desde la Secretaría General, que recabará en su caso el análisis de la petición por el Delegado de Protección de Datos.
2. En los procedimientos judiciales se facilitarán los datos cuando sean solicitados mediando la intervención del juez.
Las informaciones solicitadas por órganos gubernativos en actuaciones relacionadas con procesos judiciales, serán facilitadas cuando conste claramente el órgano judicial que interviene.
3. Para la cesión de datos a los Cuerpos y Fuerzas de Seguridad del Estado debe mediar orden judicial, salvo lo previsto en el párrafo siguiente.
En la medida que dichas solicitudes se realicen con la finalidad de averiguación de delitos y detención de la persona responsable, la recogida de datos se enmarca en las previsiones específicas del artículo 6.1.e) del RGPD dado que se trataría del ejercicio del poder público que las leyes confieren a dichas Fuerzas y Cuerpos de Seguridad del Estado, que posibilita tal recogida y tratamiento sin consentimiento del interesado respecto de los datos necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, con los requisitos establecidos por la Agencia Española de Protección de Datos:
a) Que se acredite la concurrencia de una de las dos circunstancias citadas y, en caso de datos especialmente protegidos, que sean absolutamente necesarios para los fines de una investigación concreta.
b) Que se trate de una petición concreta y específica, no siendo admisibles solicitudes masivas de datos.
En todo caso, las peticiones deben ser motivadas y por escrito, basándose en la concurrencia de las circunstancias que acaban de señalarse, y se dirigirán a la Secretaría General desde la Unidad o Servicio requeridos por el personal de los Cuerpos y Fuerzas de Seguridad. La Secretaría General recabará, en su caso, la intervención del Delegado o Delegada de Protección de Datos.
Si por alguna cuestión concreta el requerimiento tuviera carácter presencial e inmediato, se contactará, si fuera posible, desde la Unidad o Servicio de la Universidad con la Secretaría General que analizará las circunstancias y recabará el informe del Delegado o Delegada de Protección de Datos y de la Asesoría Jurídica, si fuera necesario. En todo caso, se deberá utilizar el modelo establecido en el Anexo V.
4. Se facilitarán datos a organismos administrativos:
a) Cuando la solicitud haya sido presentada por órganos o entidades de la Administración tributaria o recaudatoria estatal o local, en virtud de la normativa vigente en cada momento y siempre que la información solicitada tenga trascendencia tributaria.
b) Cuando la solicitud sea presentada por el Instituto Nacional de la Seguridad Social o cualquiera de sus Agencias, en el ejercicio de las competencias que le son propias.
c) Cuando la solicitud se formule por la autoridad laboral en el uso de las competencias que legalmente le corresponden.
d) Cuando la solicitud de datos se presente basada en la legislación específica en Función Pública Estadística, en los términos del artículo 25 de la Ley Orgánica de Protección de Datos y su normativa concordante para la elaboración de estudios de ese carácter.
5. Si se trata de datos relativos a la salud, se facilitarán cuando sea necesario para proteger intereses vitales del interesado, o en los supuestos previstos en las letras h) e i) del artículo 9.2 del RGPD.
Artículo 13. Cesión de datos personales a la representación sindical.
La cesión de datos personales de empleados a los representantes sindicales se realizará en los términos en la Ley Orgánica 11/1985, de 2 de agosto, de Libertad Sindical, el Estatuto de los Trabajadores, el Estatuto Básico del Empleado Público o la normativa vigente en cada momento.
Artículo 14. Transferencias internacionales de datos.
En el caso de transferencias internacionales, entendidas éstas como todos aquellos flujos de información de datos personales a destinatarios establecidos en países fuera del Espacio Económico Europeo (Unión Europea más Liechtenstein, Islandia y Noruega) se podrán realizar:
a) Si el destinatario ofrece un nivel de protección adecuado determinado por la Comisión Europea.
b) Si la transferencia se establece mediante garantías adecuadas indicadas en el artículo 46 del RGPD.
c) Si la transferencia está amparada en normas corporativas vinculantes, artículo 47 del RGPD.
d) Si la transferencia no responde a ninguna condición anterior, únicamente se podrá realizar si se cumple alguna de las siguientes condiciones:
1.º Consentimiento explícito a los interesados a la transferencia, tras haber sido informado de los posibles riesgos de la misma.
2.º La transferencia es necesaria para la celebración o ejecución de un contrato entre el responsable del tratamiento y otra persona física o jurídica.
3.º La transferencia es necesaria por razones de interés público.
4.º La transferencia es necesaria para la formulación, el ejercicio o la defensa de reclamaciones.
5.º La transferencia es necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.
6.º La transferencia se realice desde un registro público que tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.
Estas transferencias de datos figurarán en la información facilitada a los interesados de acuerdo con el artículo 13 y 14 del RGPD.
En el caso que se requiera el consentimiento explícito, el responsable de realizar la transferencia consultará a la Secretaría General con el fin de establecer el modelo de impreso adecuado para la transferencia.
Artículo 15. Prestación de servicios por encargados de tratamiento.
1. Cuando la Universidad de Huelva recurra a terceros para la prestación de servicios que puedan aparejar el tratamiento de datos personales por parte de dichos terceros -aun cuando el objeto concreto de la prestación no sea específicamente dicho tratamiento-, deberá suscribir con ellos un documento contractual en los términos establecidos en las disposiciones aplicables, que en todo caso deberá contener garantías suficientes para la protección de los derechos de los interesados.
En caso de que la persona encargada de tratamiento recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta de la Universidad, siempre que cuente con autorización para ello, el encargado deberá suscribir a su vez un documento contractual con el sub encargado, mediante el que se le impongan a éste las mismas obligaciones que al encargado.
2. El modelo de contrato de encargado de tratamiento será establecido por la Secretaría General conforme al artículo 28 del RGPD y al 33 de la LOPDGDD, o a las disposiciones que sean aplicables en cada momento.
La Secretaría General establecerá igualmente los procedimientos que sean necesarios para la tramitación de los contratos con los encargados, así como las disposiciones que sea preciso incorporar a los documentos que integren los procesos de licitación cuando el contrato a adjudicar pueda conllevar el tratamiento de datos personales por el contratista.
Asimismo, la Secretaría General revisará el clausulado del Convenio que contengan contratos de encargado de tratamiento.
Los pliegos de contratos administrativos deberán incluir los textos modelos que establezca la Secretaría General, tomando como base los recogidos en los Anexos III y IV adecuándolos a los requerimientos necesarios en cada momento.
3. Los contratos de prestación de servicios que no impliquen el tratamiento o acceso a datos personales recogerán expresamente la prohibición de acceder a datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer, a pesar de ello, con motivo de la prestación del servicio. La Secretaría General establecerá las especificaciones necesarias en los documentos propios de la licitación en estos casos, tomando como base el modelo recogido en el Anexo III.
4. La realización de tratamientos de datos por terceros en los términos regulados en el presente artículo deberá reflejarse en el registro de actividades de tratamiento previsto en los artículos 30 del RGPD y 31 de la LOPDGDD.
A los interesados se les facilitará información sobre las categorías de encargados de tratamiento de los datos en la información prevista en el artículo 13 del RGPD.
TITULO IV
SEGURIDAD DE LAS ACTIVIDADES DE TRATAMIENTO
Artículo 16. Medidas de seguridad, técnicas y organizativas.
Tanto la organización como las medidas de seguridad que se implanten se corresponderán con las previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y que se encuentran descritas en los documentos que conforman las políticas de protección de datos y la de seguridad de la información de la Universidad de Huelva.
Artículo 17. Registro de incidencias.
El Delegado o Delegada de Protección de Datos habilitará un registro de incidencias y de brechas de seguridad con el fin de que se registre en él cualquier incidencia o brecha que afecte o pudiera afectar a la seguridad de las actividades de tratamiento que contengan datos personales, en los términos previstos por la normativa aplicable.
Cualquier usuario que conozca hechos o circunstancias que pudieran constituir una incidencia o brecha, especialmente si implica un riesgo respecto a la seguridad de los datos de carácter personal o a los derechos de los afectados, lo pondrá en conocimiento del responsable de gestionar el tratamiento y éste lo comunicará a la Secretaría General en el plazo máximo de 24 horas. El procedimiento para notificar las incidencias se establecerá por la Secretaría General, mediante Instrucción de su titular.
La no notificación o registro de una incidencia o brecha por parte de un usuario que tenga conocimiento de la misma será considerado como una falta contra la seguridad de la información y dará lugar, en su caso, al inicio del procedimiento disciplinario o sancionador correspondiente.
Artículo 18. Funciones y obligaciones del personal.
1. Todo el personal de la Universidad de Huelva que intervenga en alguna fase de la recogida y del tratamiento de datos personales o que de cualquier modo pueda tener acceso a ellos, está obligado al secreto profesional respecto de dichos datos y al cumplimiento de las obligaciones legales establecidas, obligaciones que subsistirán aun después de finalizar su relación con la Universidad de Huelva. En este sentido, todo el personal de nuevo ingreso de la Universidad, deberá firmar un compromiso de confidencialidad. Igualmente deberán suscribir dicho compromiso aquellos otros colectivos o personas no incluidos en la categoría anterior pero que puedan tener acceso a datos personales.
El deber de secreto vincula a todos los colectivos anteriormente expresados, con independencia de haber cumplido o no con la obligación formal de suscribir el compromiso de confidencialidad referido en el párrafo anterior.
2. Todo el personal de la Universidad de Huelva tiene el deber de conocer y cumplir sus funciones y obligaciones en relación con el tratamiento y la protección de los datos de carácter personal que tengan encomendados para su tratamiento.
3. El incumplimiento del presente Reglamento y de las obligaciones recogidas en otras normas relacionadas con la materia podrá ser sancionado de acuerdo con la legislación laboral o el régimen disciplinario del personal funcionario.
En su caso, también se podrán aplicar las sanciones previstas en los contratos de profesionales vinculados a la Universidad de Huelva mediante una relación de prestación de servicios no laboral. A tal efecto, dichos contratos deberán contener fórmulas de confidencialidad y obligaciones relativas a la protección de datos personales cuando, por razón de los servicios contratados, los profesionales citados puedan tener acceso a ficheros que contengan datos personales, que serán recogidas en el correspondiente contrato de encargado de tratamiento.
4. Todo el personal de la Universidad de Huelva tiene la obligación de conocer la normativa interna de ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad, junto con los procedimientos internos de gestión asociados, para su adecuado cumplimiento y para poder informar a los interesados sobre la forma de ejercitar estos derechos.
Disposición adicional única. Se faculta a la Secretaría General para que, a través de su titular, proceda a actualizar los modelos establecidos en los anexos de esta normativa.
Disposición derogatoria. Quedan derogadas las normas de igual o inferior rango que contradigan lo dispuesto en este reglamento.
Disposición final única. Entrada en vigor. El presente reglamento entrará en vigor al día siguiente de su publicación en el Boletín Oficial de la Junta de Andalucía.
Huelva, 30 de marzo de 2021.- La Rectora, M.ª Antonia Peña Guerrero.
ANEXO I
MODELO TIPO DE INFORMACIÓN BÁSICA Y ADICIONAL A FACILITAR
A LOS INTERESADOS EN LOS PROCESOS DE RECOGIDA DE DATOS
| INFORMACIÓN BÁSICA | INFORMACIÓN ADICIONAL | |
| Responsable del tratamiento | Identidad del responsable del tratamiento | Datos de contacto del responsable |
| Datos de contacto del DPD | ||
| Finalidad del tratamiento | Descripción sencilla de los fines del tratamiento, incluso la elaboración de perfiles | Descripción ampliada de los fines del tratamiento |
| Plazos o criterios de conservación de los datos | ||
| Decisiones automatizadas, perfiles y lógica aplicada | ||
| Legitimación del tratamiento | Base jurídica del tratamiento | Detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés público o interés legítimo |
| Obligación o no de facilitar datos y consecuencias de no hacerlo | ||
| Destinatarios de cesiones o transferencias | Previsión o no de cesiones | Destinatarios o categorías de destinatarios |
| Previsión de transferencias, o no, a terceros países | Decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables | |
| Derechos de las personas interesadas | Referencia al ejercicio de Derechos | Cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de sus datos, y la limitación u oposición a su tratamiento |
| Derecho a retirar el consentimiento prestado | ||
| Derecho a reclamar ante la Autoridad de Control | ||
| Procedencia de los datos | Fuente de los datos (cuando no proceden del interesado) | Información detallada del origen de los datos, incluso si proceden de fuentes de acceso público |
| Categorías de datos que se traten |
ANEXO II
MODELO DE DOCUMENTO DE COMPROMISO EN CESIONES DE DATOS REGULADAS EN EL ART. 9 DE ESTA NORMATIVA
Datos personales solicitados: .....................................................................................................
Actividad de tratamiento afectada: ................................................. Fecha: ..............................
La cesionaria [introducir organismo público o denominación social] (en adelante la cesionaria;) de datos de carácter personal incluidos en la actividad de tratamiento arriba referenciado asume los siguientes compromisos en virtud del presente documento:
1. Cumplir con la normativa vigente en materia de protección de datos de carácter personal.
2. Tratar los datos que me comunique la Universidad única y exclusivamente con la finalidad expuesta.
3. Tratar los datos para un único uso o envío.
4. No utilizarlos, en ningún caso, para tomar decisiones individuales automatizadas, incluida la elaboración de perfiles de los interesados.
5. No ceder ni comunicar estos datos a terceros (salvo que en la finalidad de su petición haya expuesto y justificado una determinada obligación legal).
6. Suprimirlos, procediendo a su destrucción o borrado, una vez cumplida la finalidad para la que han sido solicitados y, en cualquier caso, siempre que lo solicite algún interesado o cuando la Universidad lo estime oportuno y así se lo haga saber.
7. Guardar la debida confidencialidad de los datos y a que mi personal la guarde, en su caso.
8. Tratarlos aplicando las medidas de seguridad adecuadas conforme a la naturaleza de los datos y a las exigencias del Reglamento General de Protección de Datos (Reglamento UE 2016/679-RGPD) y normativa de desarrollo.
9. Informar al interesado conforme al art. 14 del Reglamento UE 2016/679-RGPD.
Cualquier tratamiento de los datos facilitados que no se ajuste a la finalidad para la que son cedidos o al que no se apliquen las debidas medidas de seguridad, será responsabilidad exclusiva de la persona o entidad a la que se comuniquen los datos solicitados, que será quien responderá frente a los afectados, frente a terceros y frente a la propia Universidad, incluyendo los daños y perjuicios que pudieran generarse.
Recibí y conforme.
Fdo: ............................................................
Representante de la entidad receptora.
ANEXO III
MODELOS DE TEXTO-TIPO PARA CONTRATACIÓN ADMINISTRATIVA
A. TEXTO TIPO PARA CONTRATOS ADMINISTRATIVOS QUE NO IMPLIQUEN TRATAMIENTO DE DATOS PERSONALES
(A incluir en el contrato con el adjudicatario)
Cláusula...
Acceso accidental a datos personales.
Si el contratista o su personal accediera de modo fortuito a información de carácter personal de la que es responsable la Universidad de Huelva, que no sea precisa para la ejecución del contrato, tiene obligación de guardar estricta confidencialidad sobre la misma e informar al órgano de contratación del acceso producido a dicha información.
El contratista debe informar de modo fehaciente sobre esta obligación a su personal.
(Documento para firmar de manera independiente)
SECRETO PROFESIONAL Y PROHIBICIÓN DE ACCESO A DATOS
[Incluir la denominación social, o, en su caso, nombre y apellidos] (En adelante, el prestador de servicios) quien presta los servicios de [especificar el servicio] a la Universidad de Huelva, se compromete a que el personal designado para la prestación del/los citado/s servicio/s cumpla con las siguientes:
OBLIGACIONES
Primera. Prohibición de acceder a los datos de carácter personal. El personal del prestador de servicios, tiene prohibido, terminantemente, el acceso a los datos personales, contenidos en los diferentes soportes, informáticos o en papel, así como en los recursos del sistema de información, para la realización del trabajo encomendado.
Segunda. Deber de secreto profesional. Si por motivo de la realización del trabajo, el personal del prestador de servicios, hubiere tenido acceso o conocimiento, directo o indirecto, de datos de carácter personal tratados en la Universidad de Huelva, tendrá la obligación de guardar secreto profesional respecto a la información accedida, aun después de haber cesado su relación laboral con la universidad de Huelva.
Es obligación de prestador de servicios, comunicar este deber a su personal, así como cuidar de su cumplimiento.
Tercera. Responsabilidad. En el caso de que el prestador de servicios, incumpla con el deber de secreto, efectuare una cesión o comunicación de los datos personales a terceros [entendiendo ésta como la revelación de datos personales a persona distinta del titular de los datos] o los utilizare para cualquier menester, será considerado como Responsable de Tratamiento. Así, responderá personalmente por las infracciones cometidas.
B. TEXTO TIPO PARA PLIEGO DE CLÁUSULAS ADMINISTRATIVAS PARTICULARES
Cláusula. Disposiciones en materia de protección de datos.
1. Del tratamiento de datos de carácter personal de los Terceros por parte de la Universidad.
Los datos personales facilitados, para los casos en que se trate de persona/s física/s, o en el caso de ser representante/s de una persona jurídica, así como la curricular y otras de índole laboral, del/la los/las trabajador/a/es/as que realizarán el suministro, servicio u obra, serán tratados por la Universidad de Huelva, en calidad de Responsable de Tratamiento.
La base jurídica que legitima el tratamiento de los datos personales es la gestión del proceso de licitación y, en su caso, la adjudicación del servicio, a efectos de la formalización y ejecución del contrato.
La finalidad de la recogida y tratamiento de la información es la valoración de su idoneidad en el proceso de selección o adjudicación del suministro/s, servicio/s y/u obra/s de que se trate, así como, en el caso de que resulte adjudicatario, su utilización para mantener la relación contractual con la Administración Pública, en los aspectos económicos y técnicos derivados, así como el control de la/s obra/s, bien/es y/o servicio/s contratado/s y, en su caso, remisión de información sobre las incidencias relacionadas con aquéllos. Se informa que los datos personales podrán ser cedidos o comunicados a las entidades públicas competentes (Tribunal de Cuentas u homólogo autonómico; Juzgados o Tribunales) y en los supuestos previstos, según ley.
Asimismo, podrán ser publicados en los tablones y diarios o boletines oficiales de la Administración Pública correspondientes, en el espacio Perfil de Contratante u otros espacios oficiales.
De conformidad con la legislación, europea y española, en protección de datos de carácter personal, los citados al inicio podrán ejercitar los derechos de acceso, rectificación, supresión, limitación, portabilidad y, en su caso, oposición, presentando un escrito, acompañado de su DNI, Pasaporte o documento equivalente, dirigido al Registro General de la Universidad de Huelva, calle Dr. Cantero Cuadrado, 6, 21004 Huelva. Asimismo, en caso de considerar vulnerado su derecho a la protección de datos personales, podrá interponer una reclamación ante la Agencia Española de Protección de Datos (www.agpd.es).
2. Del tratamiento de datos de carácter personal, responsabilidad de la Universidad, por parte de los Terceros adjudicatarios.
En el caso de que el tipo de suministro, obra o servicio objeto de adjudicación no comportase un tratamiento de datos de carácter personal, la entidad adjudicataria y, en particular, los trabajadores que participen en la ejecución, tienen la prohibición de acceder a los tratamientos, informáticos y en papel, propiedad de la Universidad de Huelva.
Asimismo, tendrán la obligación de guardar estricta confidencialidad y, en su caso, secreto profesional. Esta obligación subsistirá aun después de finalizar sus relaciones con la entidad adjudicataria o, en su caso, con la Universidad.
En el supuesto de resultar adjudicataria de un servicio para esta Administración pública y éste comportara un acceso o tratamiento de datos de carácter personal, a nivel informático y/o en papel, ostentara la condición de Encargado del Tratamiento, obligándose, especialmente, a cumplir con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) y con la normativa que se cree para su desarrollo, así como de las disposiciones que en materia de protección de datos nacionales se encuentren en vigor a la adjudicación del contrato o que puedan estarlo durante su vigencia.
De forma enunciativa y no limitativa, la entidad adjudicataria, asumirá las siguientes obligaciones y responsabilidades en el tratamiento de datos de carácter personal por cuenta de la Universidad:
i. Confidencialidad y deber de secreto profesional. El personal de la entidad adjudicataria deberá guardar la debida confidencialidad –y, en su caso, secreto profesional que rija su actividad profesional– sobre los hechos, informaciones, conocimientos, documentos y otros elementos a los que tenga acceso con motivo de la prestación del servicio. Es obligación de la entidad adjudicataria comunicar este deber a su personal, así como cuidar de su cumplimiento.
ii. Limitación en el uso y cesión de los datos. No aplicará o utilizará los datos de carácter personal con un fin distinto al previsto en el presente Pliego, así como no los cederá o comunicará a terceros, ni siquiera para su conservación.
iii. Seguridad de los datos. Atenderá a cuantas instrucciones en seguridad pueda transmitir el Responsable del tratamiento, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad variables para los derechos y las libertades de las personas físicas. La entidad adjudicataria establecerá las medidas técnicas y organizativas, necesarias para garantizar el nivel de seguridad adecuado al riesgo existente que, en su caso, incluyan, entre otros: a) La seudoanimización y el cifrado de datos personales; b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico; d) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. Las medidas de seguridad a las que estará sujeto o, en su caso, deberá adoptar el Encargado de Tratamiento, sin perjuicio de adoptar estándares y buenas prácticas de la industria de la seguridad de la información [de forma enunciativa y no limitativa, estándares de la serie de normas ISO/IEC 2700; el código de Buenas Prácticas de Seguridad de la Información del Information Security Forum (ISF)] serán conforme a las exigidas a la Administración pública, en virtud del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS). En concreto, serán las medidas de carácter organizativo, operacional y de protección recogidas en el Anexo II del citado Real Decreto.
iv. Colaboración. La entidad adjudicataria pondrá a disposición del Responsable de Tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente contrato, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del Responsable de Tratamiento o de otro auditor autorizado por el Responsable de Tratamiento. En su caso, la entidad adjudicataria colaborará en el supuesto de tener que efectuar una notificación de violaciones de datos a las Autoridades de Protección de Datos y, en su caso, la comunicación a los interesados. La comunicación se efectuará sin dilación indebida, y en cualquier caso antes del plazo máximo de 48 horas, y a través de correo electrónico, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. Si se dispone de ella se facilitará, como mínimo, la información siguiente: a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados. b) El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información. c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales. d) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida. La entidad adjudicataria también colaborará en la realización de las evaluaciones de impacto relativa la protección de datos y, en su caso, la realización de consultas previas. En todo caso, la entidad adjudicataria colaborará con el Responsable del Tratamiento ante cualquier requerimiento hecho por la autoridad competente en relación al tratamiento de datos personales encomendado. Si la entidad adjudicataria considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, la adjudicataria informará inmediatamente al Responsable.
v. Ejercicio de derechos por los interesados. Los derechos de acceso, rectificación, supresión y, en su caso, limitación, portabilidad u oposición se ejercerán por los interesados ante el Responsable del Tratamiento. Si la entidad adjudicataria recibiese una petición de ejercicio de derechos deberá informar inmediatamente al interesado o afectado de la identidad del Responsable del Tratamiento, para que aquél se dirija al mismo. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.
vi. Deber de devolución y no conservación. A elección del Responsable de Tratamiento, la entidad adjudicataria suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud de disposición legal. Aquellos datos que no se devuelvan, deberán destruirse adoptando las medidas de seguridad pertinentes para evitar el acceso, recuperación o restauración por parte de terceros.
Subcontratación. La entidad adjudicataria no podrá subcontratar, ni total ni parcialmente, ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales sin autorización previa y por escrito del Responsable. Si fuera necesario subcontratar, total o parcialmente, algún tratamiento de datos, este hecho se deberá comunicar previamente y por escrito al Responsable, con antelación suficiente, indicando los aspectos que se pretenden subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación deberá ser autorizada por escrito por el Responsable, siempre antes de su inicio. No obstante, en el supuesto de acceder el Responsable a la subcontratación propuesta por la entidad adjudicataria, hemos de tener en consideración que el subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el Responsable. Corresponde a la entidad adjudicataria, como Encargado inicial, regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad, etc.) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del Subencargado, la entidad adjudicataria, como Encargado inicial, seguirá siendo plenamente responsable ante el Responsable en lo referente al cumplimiento de las obligaciones.
ANEXO IV
MODELO DE CONTRATO-TIPO DE ENCARGADO DE TRATAMIENTO
En Huelva, a [fecha].
REUNIDOS
De una parte, D./D.ª [Representante de la Universidad de Huelva, capacidad jurídica con que actúa y competencia en la que se fundamenta su actuación] en nombre y representación de la citada Institución. (En adelante, Responsable del Tratamiento).
Y de otra, D./D.ª [representante de la empresa y competencia con la que actúa] en nombre y representación de [nombre de la empresa], con sede en [domicilio], y CIF [número] (En adelante, Encargado del Tratamiento).
MANIFIESTAN
I. Que [nombre de la empresa] (Encargado del Tratamiento) se dedica a la prestación de servicios de [actividad principal de la empresa].
II. Que la Universidad de Huelva ha contratado con [nombre de la empresa] (Encargado Tratamiento) los servicios de [servicio/s específico/s que se han contratado].
El tratamiento de datos personales en la prestación de servicios encargada consistirá en [describir detalladamente el servicio concretando el tratamiento a realizar: en todo caso especificar naturaleza, finalidad y objeto del tratamiento].
III. Que para la ejecución de la prestación del servicio encargado, la Universidad de Huelva pone a disposición del Encargado del Tratamiento la siguiente información: [describir detalladamente los colectivos de interesados y datos personales tratados a los que se acceda].
IV. Que ambas partes, respecto a la citada prestación de servicios y en cumplimiento de lo dispuesto por la normativa nacional vigente en materia de protección de datos personales y por el Reglamento UE 2016/679, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (Reglamento General de Protección de Datos, RGPD), acuerdan regular el acceso y tratamiento por parte de [nombre de la empresa] (Encargado del Tratamiento) a los datos de carácter personal cuyo responsable en último término es la Universidad de Huelva (Responsable del Tratamiento).
A tal fin, se reconocen capacidad legal suficiente para contratar, y formalizan el presente CONTRATO DE ENGARGO DE TRATAMIENTO DE DATOS PERSONALES, que se regirá con sujeción a las siguientes:
ESTIPULACIONES
Primera. El Encargado del Tratamiento se compromete a guardar la máxima reserva y secreto sobre la información clasificada como confidencial y facilitada por la Universidad de Huelva, sin revelarla de ninguna forma, en todo o en parte, a ninguna persona física o jurídica sin la previa autorización de la Universidad. Se considerará información confidencial cualquier dato de carácter personal al que el Encargado del Tratamiento acceda en virtud de la referida prestación de servicios.
Las obligaciones de secreto y confidencialidad establecidas en el presente documento tendrán una duración indefinida, manteniéndose en vigor con posterioridad a la finalización, por cualquier causa, de la relación entre el Encargado del Tratamiento y el Responsable del Tratamiento.
El Encargado del Tratamiento deberá garantizar que las personas autorizadas para tratar datos personales se comprometen, de forma expresa y por escrito, a respetar la confidencialidad. En este sentido, el Encargado deberá mantener a disposición del Responsable la documentación que acredite tal extremo.
Segunda. El Encargado del Tratamiento reconoce que la legislación nacional y comunitaria sobre protección de datos personales establecen una serie de obligaciones en el tratamiento de datos de carácter personal por cuenta de terceros, para cuyo cumplimiento asume los siguientes compromisos con carácter general:
a) Acceder a los datos de carácter personal, cuyo Responsable es la citada Universidad, únicamente si tal acceso es necesario para la prestación del servicio contratado, y no utilizará o aplicará dichos datos para fin distinto de la prestación del servicio. En ningún caso podrá utilizar los datos para fines propios.
b) Tratar los datos cumpliendo con las mismas obligaciones que el Responsable o de acuerdo con sus instrucciones, prestando especial atención a las obligaciones relacionadas con el principio de información y el ejercicio de los derechos de los interesados. Si el Encargado del Tratamiento considera que alguna de las instrucciones infringe la normativa vigente en materia de protección de datos deberá informar inmediatamente al Responsable.
c) Adoptar, como se recoge a continuación, las medidas técnicas y organizativas pertinentes para garantizar la seguridad e integridad de los datos de carácter personal a los que tenga acceso, evitando su alteración, pérdida, tratamiento o acceso no autorizado.
d) No comunicar en ningún caso a terceras personas los datos de carácter personal a los que tenga acceso, ni tan siquiera a efectos de su conservación, sin la previa autorización del Responsable. El Encargado podrá comunicar datos a otros Encargados del mismo Responsable de acuerdo con sus instrucciones. En este caso, la Universidad de Huelva identificará previamente la entidad a la que se podrán o deberán comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.
e) Devolver o destruir, según se acuerde, los datos comunicados por el Responsable una vez finalizada la vigencia de este contrato.
f) Para el caso de que el Encargado tenga más de 250 trabajadores o el tratamiento de datos implique un riesgo para los derechos de los interesados o incluya categorías especiales de datos, deberá llevar a cabo, por escrito, un registro de todas las categorías de tratamiento que efectúe por cuenta del Responsable, donde deberán constar los datos del Encargado; las categorías y los tratamientos de datos efectuados; los datos del Delegado de Protección de Datos; en su caso, las transferencias de datos personales que se hubieran realizado o previsto realizar; y las medidas de seguridad adoptadas.
Tercera. Tanto el Responsable como el Encargado del Tratamiento se comprometen –teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y las libertades de las personas físicas– a establecer las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo existente. Todo ello, con el fin de garantizar su confidencialidad e integridad, y evitar su alteración, pérdida, tratamiento o acceso no autorizado.
El Encargado del Tratamiento informará a su personal, colaboradores y/o subcontratistas de las obligaciones establecidas en el presente documento, así como de las obligaciones relativas al tratamiento automatizado de datos de carácter personal que les incumbe, y garantizará la formación necesaria en protección de datos. El Encargado del Tratamiento realizará cuantas advertencias y suscribirá cuantos documentos sean necesarios con su personal y colaboradores, con el fin de asegurar el cumplimiento de tales obligaciones. En este sentido, el Encargado deberá mantener a disposición del Responsable la documentación o información que acredite dicho extremo.
En todo caso, el Encargado del Tratamiento deberá implantar las siguientes medidas de seguridad necesarias para:
a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
d) Seudonimizar y cifrar los datos personales, en su caso.
Las obligaciones establecidas para el Encargado del Tratamiento en la presente estipulación serán también de obligado cumplimiento para sus empleados, colaboradores, tanto externos como internos, y subcontratistas, por lo que el Encargado del Tratamiento responderá frente al Responsable del Tratamiento si tales obligaciones son incumplidas por tales empleados, colaboradores o subcontratistas.
Cuarta. Si el Encargado del Tratamiento pretendiera realizar una subcontratación del servicio o parte del mismo, conforme a lo dispuesto en la normativa nacional y comunitaria, la Universidad de Huelva deberá autorizar previamente y por escrito, en el plazo de [establecer plazo] desde que se comunique dicha intención, la subcontratación de los servicios o parte de los servicios encomendados al Encargado del Tratamiento. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. Dicha subcontratación deberá quedar debida y documentalmente acreditada.
En todo caso, el subcontratista del tratamiento debe estar sujeto a las mismas condiciones y en la misma forma que el Encargado del tratamiento en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En caso de incumplimiento por el subcontratista, el Encargado inicial seguirá siendo plenamente responsable ante la Universidad de Huelva en lo referente al cumplimiento de las obligaciones del subcontratista.
En el caso de que el Encargado del Tratamiento, o la entidad subcontratada se encontraran ubicados en un tercer país que no fuera España, se tendrán en cuenta las posibles repercusiones que dicha circunstancia provoca en relación con el tratamiento de datos personales del que es responsable la Universidad de Huelva. Aunque la legislación española será la aplicable a la Universidad de Huelva, como responsable del tratamiento con sede en España, en cualquier caso -especialmente en lo relativo a las medidas de seguridad a aplicar al tratamiento de datos personales efectuado-, se tendrán en cuenta las citadas circunstancias, partiendo del mínimo exigido por la legislación española.
Quinta. En relación con el ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación, portabilidad y decisiones individuales automatizadas por parte de los titulares de los datos personales, la única obligación del Encargado será comunicar a la Universidad de Huelva que se ha ejercido el correspondiente derecho. Dicha comunicación debe ser puesta en conocimiento de la Secretaría General de la Universidad (protecciondedatos@uhu.es) y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud o en el plazo máximo de 48 horas desde que es recibida, debiendo quedar constancia del envío y de su recepción. Se adjuntará, igualmente, en su caso, toda otra información que pueda ser relevante para resolver la solicitud presentada.
Por su parte, en relación con el derecho de información, el Encargado del Tratamiento, en el momento de la recogida de datos, en el caso de que se produzca, debe facilitar la información relativa a los tratamientos de datos que se van a efectuar. De producirse dicha información, tanto la redacción como el formato en el que se facilitará la misma deben consensuarse con la Universidad antes del inicio de la recogida de datos.
Sexta. El Encargado del Tratamiento notificará a la Universidad de Huelva, sin dilación indebida y en el plazo máximo de 24 horas, al correo electrónico de la Secretaría General (protecciondedatos@uhu.es), las violaciones de seguridad de los datos personales a su cargo de las que tenga conocimiento, con toda aquella documentación necesaria para documentar y comunicar la incidencia. No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
El Encargado deberá facilitar a la Universidad de Huelva, si dispone de ella, la siguiente información: Descripción de la naturaleza de la violación de la seguridad de los datos personales (categorías y número aproximado de interesados afectados); descripción de las posibles consecuencias de la violación de la seguridad de los datos personales; descripción de las medidas adoptadas o propuestas para poner remedio a la violación, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Será la Universidad de Huelva, como Responsable del Tratamiento, la responsable de comunicar dicha violación, en caso de ser necesario, a la Agencia Española de Protección de Datos, como a los interesados cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de las personas físicas.
Séptima. Tal y como ha quedado recogido en el presente Acuerdo, es obligación del Encargado del Tratamiento poner disposición del Responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el Responsable u otro auditor autorizado por él en el ejercicio de sus funciones y deber de diligencia.
Octava. El presente Acuerdo tiene una duración limitada a la prestación del servicio contratado de acuerdo a la legislación vigente.
En caso de finalización de la relación contractual establecida entre el Responsable y el Encargado del Tratamiento, los datos de carácter personal utilizados por este último deberán ser destruidos/devueltos al Responsable/enviados al Encargado que el Responsable designe [elegir la opción que proceda] y suprimir cualquier copia que esté en su poder, en los equipos informáticos del Encargado, en el plazo máximo de [establecer plazo]. El mismo destino habrá de darse a cualquier soporte o documentos en que conste algún dato de carácter personal objeto de tratamiento. En todo caso, los datos deberán ser devueltos al responsable cuando se requiera la conservación de los datos personales, en virtud del Derecho de la Unión o de los Estados miembros. En este sentido, el Encargado puede conservar una copia con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación o del contrato celebrado.
La obligación finalmente asumida debe quedar documentada por parte del Encargado y a disposición del Responsable del tratamiento cuando éste lo solicite. En el caso de la destrucción, el Encargado debe certificar su destrucción por escrito y debe entregar el certificado al Responsable.
Novena. El Encargado del Tratamiento garantiza la adopción de las medidas necesarias para el cumplimiento de las obligaciones derivadas de la normativa en materia de protección de datos, respondiendo personalmente de cualesquiera sanciones, multas o cargos que pudieran serle impuestos por el incumplimiento de las obligaciones derivadas del presente documento y de la legislación aplicable.
En caso de incumplimiento de cualquiera de las estipulaciones del presente documento por parte del Encargado del tratamiento, éste exonerará expresamente al Responsable del Tratamiento de cualquier responsabilidad, y en concreto:
- En el supuesto de que el Encargado del Tratamiento utilice o destine los datos de carácter personal para cualquier otro fin distinto del aquí pactado y aceptado por ambas partes.
- En caso de vulneración por parte del Encargado del Tratamiento del deber que le incumbe de guardar secreto sobre los citados datos y de no comunicarlos a terceros.
En los casos enumerados y en los derivados del incumplimiento de cualquiera de las estipulaciones del presente documento, el Encargado del Tratamiento será considerado como Responsable del Tratamiento, respondiendo de las infracciones en que por ello hubiera incurrido personalmente, así como de las reclamaciones que por el citado incumplimiento se hubieran formulado ante la Agencia Española de Protección de Datos y de la indemnización que, en su caso, se reconozca al afectado que, de conformidad con la normativa vigente en materia de protección de datos, ejercite la acción de responsabilidad por el daño o lesión que sufra en sus bienes o derechos.
Y en prueba de conformidad con lo que antecede, ambas partes firman el presente documento, por duplicado ejemplar a un solo efecto, en el lugar y fecha expresados en el encabezamiento.
ANEXO V
MODELO DE DOCUMENTO DE COMUNICACIÓN DE DATOS A MIEMBROS DE LAS FUERZAS Y CUERPOS DE SEGURIDAD DEL ESTADO EN ACTUACIONES IN SITU EN DEPENDENCIAS DE LA UNIVERSIDAD DE HUELVA
En el día de la fecha, personados los siguientes miembros de ..............................................
D/D.ª ..............................................................................................................................................
Con número de placa identificativa ............................................................................................
D/D.ª ..............................................................................................................................................
Con número de placa identificativa ............................................................................................
Manifestando requerir para la prevención de un peligro real inmediato para la seguridad pública o para la represión de supuestas infracciones penales que les sean facilitados los siguientes datos de carácter personal con carácter inmediato para poder abordar las indicadas actuaciones:
1 .....................................................................................................................................................
2 .....................................................................................................................................................
3 .....................................................................................................................................................
Les han sido facilitados los datos requeridos, que figuran a continuación, por considerarse que se encuentran bajo el ámbito de aplicación del artículo 6.1.e) del Reglamento Europeo de Protección de Datos:
1 .....................................................................................................................................................
2 .....................................................................................................................................................
3 .....................................................................................................................................................
Como acreditación de las manifestaciones indicadas anteriormente en relación con la necesaria inmediatez de la comunicación de los datos personales requeridos, suscriben el presente.
Huelva, ...................... de .......................................................................... de ............................
El ............................................................... El ...............................................................
Fdo. ........................................................... Fdo. ...........................................................
EL FUNCIONARIO DE LA UHU
Fdo. ...............................................
Descargar PDF
Disposición anterior
Disposición siguiente