1. OBJETO DE LA POLÍTICA
En cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas (en adelante RGPD) en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, así como de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante, LOPDGDD), la Universidad Politécnica de Cartagena (en adelante UPCT) ha actualizado la política de privacidad para informar de manera concisa, transparente, inteligible y de fácil acceso de cómo recopila, utiliza y custodia los datos de carácter personal de aquellas personas que de cualquier forma se relacionan con la Universidad (en adelante los interesados).
La presente política de privacidad tiene por objeto establecer el modo en que la UPCT protege los datos de carácter personal que trata en el seno de las actividades que lleva a cabo y da cumplimiento a la normativa vigente en esta materia.
No es objeto de la presente política regular las medidas de seguridad aplicables a los datos personales tratados por la Universidad para lo que aplica la Política de Seguridad de la Universidad aprobada por su Consejo de Gobierno en fecha 13 de Abril de 2011 desarrollada al amparo de las directrices fijadas por el Real Decreto 3/2010 sobre el Esquema Nacional de Seguridad el cual, según lo establecido por la LOPDGDD, es el marco de medidas de seguridad a ser aplicadas al tratamiento de datos personales en el ámbito de la Universidad.
2. EL REGISTRO DE ACTIVIDADES DEL TRATAMIENTO
La UPCT dispone de un Registro de las Actividades de Tratamiento de datos personales, que se publica junto con la presente Política de Privacidad en la página web privacidad.upct.es.
Con el objetivo de ofrecer al interesado o titular de los datos personales la información relativa al tratamiento de sus datos en su relación con la UPCT, de acuerdo con los artículos 13 y 14 del RGPD, así como con el artículo 11 de la LOPDGDD, se ha adoptado un modelo informativo basado en dos capas por el que, cuando se recojan datos personales, se incluye la primera capa de información o cláusula básica la cual informa sobre:
- La identificación del responsable del tratamiento, es decir, la UPCT; Las categorías de datos tratados y la fuente de información de la que proceden los datos cuando los datos no proceden directamente del interesado;
- La finalidad con la que se realiza el tratamiento;
- La elaboración de perfiles y su objetivo, si corresponde;
- Las cesiones de datos previstas a terceras partes;
- La información básica sobre sus derechos en el ámbito del tratamiento de datos personales y la forma y canales para ejercitarlos;
- Las indicaciones oportunas para poder consultar la información ampliada contenida en la segunda capa del modelo informativo;
- El correo electrónico del Delegado de Protección de Datos a efectos de facilitar un mecanismo sencillo de contacto que permita el planteamiento de cualquier consulta.
Por lo que respecta a la segunda capa de información o cláusula ampliada, esta informará adicionalmente a lo anterior sobre:
- La identificación y datos de contacto del responsable del tratamiento, es decir, la UPCT, y del Delegado de Protección de Datos;
- Las categorías de datos personales tratados;
- La finalidad detallada con la que se realiza el tratamiento;
- La legitimación en la que se base el tratamiento;
- Las medidas de seguridad que la UPCT adopta para garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de los datos personales tratados, que dan cumplimiento a los establecido en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica;
- El tiempo durante el cual la UPCT conservará los datos y su motivación;
- En su caso, los destinatarios de las cesiones de datos, incluyendo posibles transferencias internacionales de datos, así como la finalidad específica de cada una de estas cesiones;
- El detalle sobre los derechos del interesado ante el tratamiento de datos personales realizado por la UPCT y la forma sobre cómo ejercerlos ante la misma;
- La información sobre el derecho a presentar una reclamación ante la Agencia Española de Protección de Datos y la forma de ejercitarlo;
- En su caso, el canal de obtención de los datos personales si no provienen del interesado.
Para facilitar el acceso a toda la información que concierne a cada uno de los tratamientos de datos personales por parte de la UPCT, junto con esta Política de Privacidad podrá consultarse en el Registro de Actividades de Tratamiento que incluirá, para cada actividad, la siguiente información, de acuerdo con el artículo 30 del RGPD:
- La denominación de la actividad del tratamiento también referenciada en la cláusula básica de manera que se establezca un vínculo entre ambos elementos;
- La finalidad de la actividad del tratamiento;
- La base jurídica de la actividad del tratamiento;
- Las categorías de interesados;
- Las categorías de datos tratados;
- Las cesiones de datos;
- El objeto de la cesión de datos;
- Las transferencias internacionales de datos personales;
- El período de conservación de los datos.
Adicionalmente, a través del Registro de Actividades de Tratamiento se podrá acceder tanto a la cláusula básica como a la información ampliada de cada actividad del tratamiento.
Finalmente, el Registro de Actividades del Tratamiento también recogerá las características de aquellas actividades del tratamiento que la Universidad realice por cuenta de un tercero bajo sus directrices y utilizando sus medios, es decir, actuando como Encargado del Tratamiento.
3. CARACTERÍSTICAS COMUNES DEL TRATAMIENTO DE DATOS PERSONALES EN LA UNIVERSIDAD POLITÉCNICA DE CARTAGENA
A continuación, se determinan los aspectos de aplicación general a todo tratamiento de datos personales y se identifican qué particularidades deben ser consultadas a nivel de cada tratamiento en el Registro de Actividades del Tratamiento y las cláusulas básica y ampliada que se define para cada tratamiento según lo expresado en el apartado anterior.
1. Responsable del tratamiento
Toda persona interesada que facilite a la UPCT datos de carácter personal ya sea de forma online o presencial, queda informada de que el tratamiento de sus datos es realizado por:
La Universidad Politécnica de Cartagena, con número de CIF Q8050013E
2. Delegado de Protección de Datos
El nombramiento del Delegado de Protección de Datos (DPD) podrá consultarse en el Registro de delegados de protección de datos publicado por la Agencia Española de Protección, en su Sede electrónica bajo el servicio denominado "Consulta DPD".
La dirección para contactar con el DPD de la UPCT es: dpd@upct.es
3. Legitimación para el tratamiento de datos
El tratamiento de datos personales por parte de la UPCT puede tener las siguientes legitimaciones:
- El cumplimiento de una obligación legal, según el artículo 6.1.c) del RGPD;
- La misión en interés público o ejercicio de poderes públicos, según el artículo 6.1.e) del RGPD;
- La ejecución de un contrato, según el artículo 6.1.b) del RGPD;
- El consentimiento del interesado, según el artículo 6.1.f) del RGPD.
No obstante, con carácter general, la UPCT puede estar legitimada para el tratamiento de los datos personales, principalmente, en base a lo dispuesto en el artículo 6.1.c) del Reglamento General de Protección de Datos, es decir, cuando el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
En este sentido, la UPCT es una entidad universitaria del Sector Público y, por tanto, el tratamiento de datos personales mayoritariamente puede ser necesario para cumplir la obligación legal de la prestación del servicio público de educación superior, la ejecución de investigación o la extensión universitaria, entre otros.
En particular y sin ánimo limitativo, la legitimación del tratamiento de datos personales basado en la obligación legal puede estar basada de acuerdo a lo dispuesto en la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades, La Ley 3/2005, de 25 de abril, de Universidades de la Región de Murcia.; Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público; Ley 14/2011, de 1 de junio, de la Ciencia, la Tecnología y la Innovación; Real Decreto Legislativo 8/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley General de la Seguridad Social; Ley 58/2003, de 17 de diciembre, General Tributaria; Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común.
Por otro lado, el tratamiento de datos personales que realiza la Universidad puede quedar legitimado por el ejercicio de los poderes públicos como expresamente señala el artículo 6.1 e) del Reglamento, poderes públicos conferidos a la UPCT en virtud de lo establecido en la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades, en sus Estatutos aprobados por Decreto 72/2013 de 12 de julio del Consejo de Gobierno de la Región de Murcia y en la
restante normativa vinculada.
En este ámbito, la UPCT estaría legitimada para el tratamiento de datos de carácter personal por la ejecución de una misión en interés público o ejercicio de poderes públicos, por ejemplo, para el correcto mantenimiento de las relaciones entre los miembros de la comunidad universitaria y la UPCT, tanto a nivel académico como en otros ámbitos, o el impulso de las actividades de
investigación.
Finalmente, existe otro modo de legitimación del tratamiento principal, según el artículo 6.1.b) del RGPD, cuando el tratamiento resulte necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación a petición de éste de medidas precontractuales.
En cambio, será necesario el consentimiento del interesado, según el artículo 6.1.f) del RGPD, cuando el tratamiento de los datos personales no esté amparado en alguna de las causas anteriormente citadas. En este caso, los interesados podrán retirar el consentimiento en cualquier momento.
El Registro de Actividades de Tratamiento detallará, para cada actividad del tratamiento, la legitimación del tratamiento en cada caso.
4. Finalidades del tratamiento de datos
Tal y como se ha indicado en el apartado anterior, la razón principal por la que se recaba la información personal es porque es necesaria para prestar el servicio de educación superior que tiene encomendada la Universidad a través de la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades, y restante normativa que le sea de aplicación.
En el caso de los empleados públicos y funcionarios, el tratamiento de los datos personales es necesario para el mantenimiento de las relaciones laborales y el cumplimiento de las normas legales reguladoras de la materia.
En el caso de los tratamientos generados con los datos de carácter personal suministrados por los usuarios del portal www.upct.es, la recogida y tratamiento automatizado de los datos personales tiene como finalidad la gestión, prestación, ampliación y mejora de los servicios solicitados en cada momento por el usuario y el seguimiento de consultas planteadas por los usuarios. A través del sitio web de la UPCT no se recabarán datos de carácter personal de los usuarios sin su conocimiento, ni se cederán a terceros salvo obligación legal. Adicionalmente, al interesado se le mostrarán los términos relacionados con la información de protección de datos de carácter personal o cláusula básica.
Los datos relativos a la actividad investigadora del Personal Docente y de Investigación podrán ser utilizados para la difusión y valorización de la UPCT.
Adicionalmente, en misión del interés público o ejercicio de poderes públicos los datos podrán ser utilizados con fines educativos y promocionales de la actividad académica e investigadora de la UPCT.
En ningún caso, la UPCT elaborará perfiles comerciales basados en la información facilitada.
Aunque se ha indicado la legitimación más habitual del tratamiento de datos personales realizado por la Universidad, una vez se publique el Registro de Actividades de Tratamiento podrá consultarse cuál es la legitimación concreta que en cada caso habilita a la UPCT al tratamiento de los datos personales.
5. Procedencia de los datos personales
Por lo general los datos personales tratados por la Universidad procederán directamente del propio interesado. En el caso de que los datos provengan de fuentes distintas al propio interesado, se indicará en el Registro de Actividades de Tratamiento las cláusulas informativas y la fuente de obtención de la información.
6. Medidas de seguridad
La UPCT se responsabiliza de aplicar las debidas medidas de seguridad y demás obligaciones derivadas de la legislación de protección de datos de carácter personal de acuerdo con el Esquema Nacional de Seguridad, reguladas en el Real Decreto 3/2010.
Para ello, la UPCT se ha dotado de una Política de Seguridad de la Información aprobada por el Consejo de Gobierno y que puede ser consultada en su sede electrónica, en el apartado de normativa.
En su caso, en la cláusula ampliada, se indicarán las medidas adicionales que puedan ser aplicadas a un tratamiento específico.
7. Comunicaciones de datos personales
En caso de que en el marco de los tratamientos de datos personales la UPCT realice cesiones de estos datos a terceros, quedará recogido en el Registro de Actividades de Tratamiento las clausulas informativas específicas del tratamiento que caracterice el objeto de la cesión y los destinatarios.
En el supuesto de que exista una cesión internacional de datos esta se regirá por lo dispuesto en el RGPD, en la LOPDGDD y sus normas de desarrollo aprobadas por el Gobierno, en las circulares de la AEPD y de las autoridades autonómicas en materia de protección de datos, en el ámbito de sus respectivas competencias, tomándose medidas para garantizar un nivel de seguridad de los datos equiparable al aplicado en el territorio europeo.
8. Periodo de conservación de datos
Los datos personales de los que es responsable la Universidad se conservarán durante el tiempo necesario para cumplir con las obligaciones legales de acuerdo con las Tablas de Valoración Documental o, en caso de tratamiento sujeto al consentimiento del interesado, se solicite su revocación por el interesado y éste esté legitimado para ello.
Podrá consultarse esta información para cada tratamiento de datos personales en el Registro de Actividades de Tratamiento, así como en la cláusula ampliada de información sobre el tratamiento.
9. Derechos de los interesados
Los interesados titulares de los datos de carácter personal en todo caso podrán ejercer cualquiera de estos derechos legalmente previstos:
- Derecho de acceso, es decir, a consultar y obtener una copia de los datos de carácter personal objeto del tratamiento siempre y cuando sean almacenados en los sistemas de información de la Universidad.
- Derecho a la rectificación de los datos de carácter personal cuando sean inexactos.
- Derecho a la supresión de datos, consistente en el derecho a la eliminación de determinados datos siempre que no exista una obligación legal que no lo permita.
- Derecho de oposición, es decir, a que no se traten sus datos personales para determinadas finalidades.
- Derecho al olvido, consistente en la eliminación de todos los datos personales que la Universidad custodia siempre que no exista una obligación legal que no lo permita.
- Derecho a la limitación del tratamiento, supone que, a petición del interesado no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían. Este derecho solo se puede solicitar en algunos supuestos:
- Mientras se comprueba la impugnación de la exactitud de los datos.
- Cuando el tratamiento es ilícito, pero el interesado se oponga a la supresión de sus datos.
- Cuando la Universidad no necesite tratar los datos, pero el interesado los necesite para el ejercicio o la defensa de reclamaciones.
- Cuando el interesado se haya opuesto al tratamiento de sus datos para el cumplimiento de una misión en interés público o para la satisfacción de un interés legítimo, mientras se verifica si los motivos legítimos para el tratamiento prevalecen sobre los del interesado.
- Derecho a la portabilidad, que implica una forma avanzada del derecho de acceso por el cual la copia que se proporciona al interesado debe ofrecerse en un formato estructurado, de uso común y lectura mecánica que le permita aportarlos a otro Responsable del Tratamiento y este incorporarlos en sus sistemas de información.
- Derecho a oponerse a la elaboración de perfiles, que permite al interesado negarse a que, a partir de los datos personales que haya facilitado a la Universidad, se elaboren perfiles a los que dirigir información que se considere de su interés, de manera manual o automática.
- Derecho a presentar una reclamación ante la autoridad de control en materia de protección de datos más próxima. En España corresponde a la Agencia Española de Protección de Datos (cuyo funcionamiento está regulado por el Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el estatuto de la Agencia de Protección de Datos), si considera que ha habido un abuso en el tratamiento de sus datos personales.
4. ENTRADA EN VIGOR Y PUBLICACIÓN DE LA POLÍTICA
Esta Política de Privacidad será efectiva desde el día siguiente a su publicación en el Tablón Oficial Electrónico de la Universidad y será publicada en la página web de la Universidad privacidad.upct.es.
ANEXO
GLOSARIO DE TÉRMINOS
- Actividad del tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, organización,
conservación, adaptación o modificación, extracción, consulta, utilización, difusión, supresión o destrucción. - Autenticidad: propiedad o característica consistente en que una entidad es quien dice ser o bien se garantiza la fuente de la que proviene la información o el servicio.
- Cesión de datos: toda comunicación de datos realizada por el responsable del tratamiento y/o el encargado del tratamiento a una persona distinta del interesado.
- Consentimiento del interesado: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que Le conciernen.
- Confidencialidad: propiedad o característica consistente en que la información no es puesta a disposición, ni revelada a individuos, entidades o procesos no autorizados o que no necesitan conocerla.
- Datos personales: toda información sobre una persona física identificada o identificable (“el interesado”). Así, por ejemplo, el nombre y apellidos o una fotografía son considerados datos personales.
- Delegado de Protección de Datos (DPD): persona en una Entidad que se encarga de coordinar y garantizar el cumplimiento del RGPD. Sus funciones son:
- Informar y asesorar al responsable del Tratamiento, Encargado del Tratamiento y empleados en las obligaciones del Reglamento.
- Supervisar el cumplimiento del RGPD.
- Cooperar con la Agencia de Protección de Datos.
- Destinatario: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales por parte de un responsable del tratamiento.
- Disponibilidad: propiedad o característica consistente en que las entidades o procesos autorizados tienen acceso a la información cuando lo requieren.
- Elaboración de perfiles: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física.
- Autenticidad: propiedad o característica consistente en que una entidad es quien dice ser o bien se garantiza la fuente de la que proviene la información o el servicio.
- Cesión de datos: toda comunicación de datos realizada por el responsable del tratamiento y/o el encargado del tratamiento a una persona distinta del interesado.
- Consentimiento del interesado: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
- Confidencialidad: propiedad o característica consistente en que la información no es puesta a disposición, ni revelada a individuos, entidades o procesos no autorizados o que no necesitan conocerla.
- Datos personales: toda información sobre una persona física identificada o identificable (“el interesado”). Así, por ejemplo, el nombre y apellidos o una fotografía son considerados datos personales.
- Delegado de Protección de Datos (DPD): persona en una Entidad que se encarga de coordinar y garantizar el cumplimiento del RGPD. Sus funciones son:
- Informar y asesorar al responsable del Tratamiento, Encargado del Tratamiento y empleados en las obligaciones del Reglamento.
- Supervisar el cumplimiento del RGPD.
- Cooperar con la Agencia de Protección de Datos.
- Destinatario: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales por parte de un responsable del tratamiento.
- Disponibilidad: propiedad o característica consistente en que las entidades o procesos autorizados tienen acceso a la información cuando lo requieren.
- Elaboración de perfiles: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física.
- Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
- Integridad: propiedad o característica consistente en que la información no ha sido modificada de forma no autorizada.
- Interesado: persona física identificada o identificable. Se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente a partir de determinada información.
- Legitimación del tratamiento: la motivación por la cual un tratamiento de datos personales es conforme a la normativa de protección de datos personales.
- Medidas de seguridad: medidas encaminadas a la protección de los datos frente a daños accidentales o deliberados que puedan afectar a su confidencialidad, disponibilidad, integridad, autenticidad y trazabilidad de la información tratada o a las actividades realizadas con los datos.
- Política de Seguridad: documento que establece las directrices aplicadas en materia de seguridad de la información.
- Registro de Actividades del Tratamiento: registro donde se recogen el conjunto de actividades realizadas en el ámbito de la Universidad en las que se hace un tratamiento de datos de carácter personal.
- Responsable del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento. En el marco de la presente Política de Privacidad, la Universidad Politécnica de Cartagena.
- Trazabilidad: propiedad o característica consistente en que las acciones de una entidad pueden ser imputadas exclusivamente a esta entidad y se pueden identificar y reconstruir adecuadamente las acciones que se han hecho sobre la información o el servicio.
- Transferencia internacional de datos: tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.