Política de privacidad
1. OBJETO DE LA POLÍTICA
De acuerdo con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo Europeo de 27 de abril de 2016, sobre la protección de las personas físicas, por lo que respecta al tratamiento y libre circulación de datos personales (en adelante, RGPD), así como la Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (en adelante, LOPDGDD), la Universitat Rovira i Virgili (en adelante, la URV o la Universidad) establece su política de privacidad para informar de manera concisa, transparente, inteligible y de fácil acceso sobre la forma en que recopila, utiliza y custodia los datos de aquellas personas que se relacionan con la Universidad (en adelante, los interesados).
Esta política de privacidad tiene por objeto establecer la manera en que la Universitat Rovira i Virgili protege los datos personales que trata en las actividades que se llevan a cabo y cumple la normativa vigente en esta materia.
No es objeto de esta política regular las medidas de seguridad aplicables a los datos personales tratados por la Universidad. En este caso, hay que aplicar la política de seguridad de la Universidad establecida al amparo de las directrices fijadas por el Real Decreto 3/2010, sobre el esquema nacional de seguridad, el cual, según lo establecido en la LOPDGDD, es también el marco de medidas de seguridad que se deben aplicar al tratamiento de datos personales en el ámbito de la Universidad.
2. REGISTRO DE LAS ACTIVIDADES DE TRATAMIENTO DE DATOS
La URV dispone de un registro de las actividades de tratamiento de datos personales, que se publica junto con esta política de privacidad en su sede electrónica (https://seuelectronica.urv.cat/rgpd/).
Con el objetivo de informar a la persona interesada o titular de los datos personales sobre el tratamiento de sus datos en relación con la URV, de acuerdo con los artículos 13 y 14 del RGPD y el artículo 11 de la LOPDGDD, la URV ha adoptado un modelo en el que da a conocer los siguientes aspectos:
- La identificación del responsable del tratamiento de los datos, es decir, la URV.
- Las categorías de datos tratados y, si no proceden directamente de la persona interesada, la fuente de información y el canal del que provienen.
- La finalidad con la que se realiza el tratamiento de los datos.
- La legitimación en la que se basa el tratamiento de los datos.
- La elaboración de perfiles y el objetivo, si procede.
- Si se da el caso, las personas destinatarias de las cesiones de datos, incluyendo posibles transferencias internacionales de datos, así como la finalidad específica de cada una de estas cesiones.
- El tiempo que la URV conservará los datos y su motivación.
- La información sobre los derechos de la persona interesada en el ámbito del tratamiento de datos personales realizado por la URV y la forma y los canales para ejercerlos.
- La información sobre el derecho a presentar una reclamación ante la Autoridad Catalana de Protección de Datos y la forma de ejercerlo.
- Las medidas de seguridad que la URV adopta para garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de los datos personales tratados.
- El correo electrónico del delegado de protección de datos para facilitar un mecanismo sencillo de contacto que permita plantear cualquier consulta.
Se puede consultar en la sede electrónica de la URV toda la información relativa al tratamiento de datos personales que hace la URV mediante el registro de las actividades de tratamiento, que incluye para cada actividad, de acuerdo con el artículo 30 del RGPD, la siguiente información:
- La denominación de la actividad también referenciada en la cláusula básica, de manera que se establezca un vínculo entre los dos elementos.
- La finalidad de la actividad.
- La base jurídica de la actividad.
- Las categorías de las personas de quienes se tratan datos.
- Las categorías de datos personales tratados.
- Las cesiones de datos personales que se hagan a otras entidades.
- El objeto de las cesiones de datos.
- Las transferencias internacionales de datos personales que se hagan en países fuera del espacio económico europeo.
- El período de conservación de los datos.
Este registro de las actividades de tratamiento también recoge el tratamiento de datos de aquellas actividades que la Universidad realice por cuenta de un tercero bajo sus directrices y utilizando sus medios, es decir, actuando como encargada de tratamiento.
Finalmente, el registro de las actividades de tratamiento debe permitir acceder a la cláusula informativa sobre cada tratamiento.
3. CARACTERÍSTICAS COMUNES DEL TRATAMIENTO DE DATOS PERSONALES EN LA UNIVERSITAT ROVIRA I VIRGILI
A continuación se determina la aplicación general a cualquier tratamiento de datos personales y se identifican las particularidades de cada tratamiento de datos, que se deben consultar en el registro de las actividades del tratamiento y la cláusula informativa definida para cada tratamiento según lo expresado en el apartado anterior.
3.1. RESPONSABLE DEL TRATAMIENTO
Cualquier persona que facilite a la URV datos personales en línea o de forma presencial debe ser informada de que la URV, con número de NIF Q9350003A y con dirección postal en la calle L'Escorxador, s/n, 43003, Tarragona y dirección electrónica info@urv.cat, trata sus datos.
3.2. DELEGADO DE PROTECCIÓN DE DATOS
El delegado de protección de datos (DPD) vela por que en el ámbito de la URV se protejan los datos personales como uno de los derechos y las libertades fundamentales de las personas físicas.
La dirección electrónica para contactar con el DPD es dpd@urv.cat, la dirección postal es calle L'Escorxador, s/n, 43003 de Tarragona y el teléfono 977 559 761 o 977 558 255.
Los datos actualizados del delegado de protección de datos (DPD) se pueden consultar en el registro de delegados de protección de datos publicado por la Autoridad Catalana de Protección de Datos, en la página web https://apdcat.gencat.cat/ , en el apartado "Consulta de delegados de protección de datos".
3.3. LEGITIMACIÓN PARA EL TRATAMIENTO DE DATOS
La URV habitualmente trata datos personales con alguna de las legitimaciones siguientes:
- El cumplimiento de una obligación legal, según el artículo 6.1.c) del RGPD.
- La misión de interés público o ejercicio de poderes públicos, según el artículo 6.1.e) del RGPD.
- La ejecución de un contrato, según el artículo 6.1.b) del RGPD.
- El consentimiento de la persona interesada, según el artículo 6.1.f) del RGPD.
La URV es una entidad universitaria del sector público y, por tanto, el tratamiento de datos personales mayoritariamente puede ser necesario para cumplir la obligación legal de la prestación de servicio público de educación superior, la ejecución de investigación o la extensión universitaria, entre otros. Así pues, con carácter general, la URV está legitimada para tratar datos personales de acuerdo con lo dispuesto en el artículo 6.1.c) del Reglamento general de protección de datos, es decir, cuando el tratamiento es necesario para cumplir una obligación legal.
En particular y sin ánimo limitativo, la legitimación del tratamiento de datos personales basado en la obligación legal puede estar establecida según lo dispuesto en la Ley Orgánica 6/2001, de 21 de diciembre, de universidades; la Ley 1/2003, de 19 de febrero, de universidades de Cataluña; la Ley 39/2015, de 1 de octubre, del procedimiento administrativo común; la Ley 40/2015, de 1 de octubre, de régimen jurídico del sector público; la Ley 14/2011, de 1 de junio, de la ciencia, la tecnología y la innovación; el Real Decreto Legislativo 8/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley general de la seguridad social; la Ley 58/2003, de 17 de diciembre, General Tributaria, y la Ley 38/2003, de 17 de noviembre, general de subvenciones.
Por otra parte, el tratamiento de datos personales que hace la Universidad puede estar legitimado para el ejercicio de los poderes públicos, como expresamente señala el artículo 6.1.e) del Reglamento, que le han sido conferidos en virtud de lo establecido en la Ley orgánica 6/2001, de Universidades; el Estatuto de la URV, aprobado por el Acuerdo GOV/23/2012, de 27 de marzo, y demás normativa vinculada aplicable.
En este ámbito, la URV estaría legitimada para el tratamiento de datos de carácter personal para ejecutar una misión de interés público o en ejercicio de poderes públicos, por ejemplo, para el correcto mantenimiento de las relaciones entre los miembros de la comunidad universitaria y la URV, tanto en el ámbito académico como en otros, por ejemplo, el impulso de las actividades de investigación o la promoción de las actividades culturales y deportivas en su ámbito de influencia.
Adicionalmente, en misión del interés público o el ejercicio de los poderes públicos, los datos se pueden utilizar con fines educativos y promocionales de la actividad académica e investigadora de la URV. En este ámbito, tal y como señala la Ley Orgánica 4/2007, por la que se modifica la Ley Orgánica 6/2001, de Universidades, en la disposición adicional 21.ª no es necesario el consentimiento del personal de las universidades para publicar los resultados de los procesos de evaluación de su actividad docente, investigadora y gestora realizados por la Universidad o por las agencias o instituciones públicas de evaluación.
Por otra parte, se prevé como legitimación habitual del tratamiento de datos realizado por la Universidad lo previsto en el artículo 6.1.b) del RGPD, cuando el tratamiento sea necesario para ejecutar un contrato en el que el interesado sea parte o existan disposiciones precontractuales.
En cambio, será necesario el consentimiento de la persona interesada, según el artículo 6.1.f) del RGPD, cuando el tratamiento de los datos personales no esté amparado en alguna de las causas anteriormente mencionadas. En este caso, los interesados podrán retirar el consentimiento en cualquier momento.
Finalmente, la URV se reserva la posibilidad de utilizar, siempre justificada adecuadamente, la legitimación del tratamiento basada en el interés legítimo de la Universidad, siempre que sobre estos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales.
El registro de las actividades de tratamiento debe detallar la legitimación del tratamiento para cada actividad.
3.4. FINALIDADES DEL TRATAMIENTO DE DATOS
Tal y como se ha indicado en el apartado anterior, se recoge la información personal porque es necesaria para prestar el servicio de educación superior que tiene encomendado la Universidad a través de la Ley Orgánica 6/2001, de 21 de diciembre, de universidades, y demás normativa que sea aplicable.
También, en el caso del personal de la Universidad, el tratamiento de los datos personales es necesario para mantener las relaciones laborales y cumplir las normas legales reguladoras de la materia.
Adicionalmente, los datos sobre la actividad investigadora del personal docente e investigador se pueden utilizar para cumplir con la función que atribuye a la Universidad la Ley Orgánica 6/2001, de Universidades, de difusión, valorización y transferencia del conocimiento al servicio de la cultura, de la calidad de la vida y del desarrollo económico. También se pueden difundir de acuerdo con la Ley 19/2014, de transparencia, acceso a la información pública y buen gobierno.
En el caso de los tratamientos generados con los datos de carácter personal suministrados por los usuarios de los portales web pertenecientes a la URV, la recogida y tratamiento automatizado de los datos personales tiene como finalidad la gestión, prestación, ampliación y mejora de los servicios solicitados en cada momento por el usuario y el seguimiento de las consultas planteadas por los usuarios. A través del sitio web de la URV no se pedirán datos personales de los usuarios sin su conocimiento, ni se cederán a terceros salvo obligación legal. Adicionalmente, se mostrará al interesado los términos relacionados con la información de protección de datos personales o cláusula informativa.
En el registro de las actividades de tratamiento se puede consultar la finalidad concreta para cada uno de los tratamientos de datos.
3.5. PROCEDENCIA DE LOS DATOS PERSONALES
En general los datos personales tratados por la Universidad proceden directamente de la persona interesada. En caso de que provengan de fuentes distintas de la persona interesada, se indicará la fuente de donde se ha obtenido la información en el registro de las actividades de tratamiento y en la cláusula informativa.
3.6. MEDIDAS DE SEGURIDAD
La URV se responsabiliza de aplicar las medidas de seguridad y otras obligaciones derivadas de la legislación de protección de datos de carácter personal de acuerdo con el esquema nacional de seguridad (ENS), regulado según el Real Decreto 3/2010.
Por ello, la URV se ha dotado de una política de seguridad de la información, aprobada por el Consejo de Gobierno, que se puede consultar en la página web, en el apartado "Normativa propia".
En su caso, en la cláusula informativa, se indicarán las medidas adicionales que se puedan aplicar a un tratamiento específico más allá de las propias previstas por el
ENS.
3.7. COMUNICACIONES DE DATOS PERSONALES
Los datos no se ceden a terceros, salvo que hacerlo sea obligación legal o se disponga del consentimiento de la persona interesada.
En caso de que, en el marco de los tratamientos de datos personales, la URV ceda datos a terceras personas, debe quedar recogido en el registro de las actividades de tratamiento y en la cláusula informativa del tratamiento aquella información que caracterice el objeto de la cesión y los destinatarios.
En caso de que haya una cesión internacional de datos, se regirá por lo dispuesto en el RGPD, la LOPDGDD y las normas de desarrollo aprobadas por el Gobierno en las circulares y la doctrina de la Autoridad Catalana de Protección de Datos y de la Agencia Española de Protección de Datos, en el ámbito de las respectivas competencias. Se aplicarán las medidas de seguridad adecuadas para garantizar un nivel de seguridad de los datos equiparable al aplicado en el territorio europeo.
3.8. PERIODO DE CONSERVACIÓN DE DATOS
Los datos personales de los que es responsable la Universidad se conservarán durante el tiempo necesario para cumplir con las obligaciones legales y de acuerdo con las tablas de acceso y evaluación documental o, en caso de tratamiento sujeto al consentimiento de la persona interesada, cuando solicite la revocación y esté legitimada para ello.
Se puede consultar la información para cada tratamiento de datos personales en el registro de las actividades de tratamiento, así como en la cláusula informativa sobre el tratamiento.
3.9. DERECHOS DE LAS PERSONAS INTERESADAS
Los interesados, titulares de los datos personales, pueden ejercer cualquiera de estos derechos legalmente previstos:
- Derecho de acceso, es decir, consultar y obtener una copia de los datos personales objeto de tratamiento, siempre que sean almacenados en los sistemas de información de la Universidad.
- Derecho a la rectificación de los datos personales cuando sean inexactos y se justifique adecuadamente, tanto la inexactitud como los nuevos datos.
- Derecho a la supresión de datos, que consiste en el derecho a la eliminación de determinados datos, siempre que no haya una obligación legal que lo impida.
- Derecho de oposición, es decir, el hecho de que no se traten sus datos personales para determinados fines.
- Derecho al olvido, que consiste en la eliminación de todos los datos personales que la Universidad custodia, siempre que no haya una obligación legal que lo impida.
- Derecho a la limitación del tratamiento, el cual supone que, a petición de la persona interesada, no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían. Este derecho solo se puede solicitar en algunos supuestos:
- Mientras se comprueba la impugnación de la exactitud de los datos.
- Cuando el tratamiento es ilícito, pero el interesado se opone a la supresión de sus datos.
- Cuando la Universidad no necesite tratar los datos, pero el interesado necesite que sean mantenidos para el ejercicio o la defensa de reclamaciones.
- Cuando la persona interesada se haya opuesto al tratamiento de sus datos para el desempeño de una misión de interés público o para la satisfacción de un interés legítimo, mientras se verifica si los motivos legítimos para el tratamiento prevalecen a los de la persona interesada.
- Derecho a la portabilidad, que implica una forma avanzada del derecho de acceso por el que la copia que se proporciona a la persona interesada debe ofrecerse en un formato estructurado, de uso común y lectura mecánica, que le permita aportarla a otro responsable del tratamiento y en este, incorporarla a sus sistemas de información.
- Derecho a oponerse a la elaboración de perfiles, que permite al interesado negarse a que, a partir de los datos personales que haya facilitado a la Universidad, se elaboren perfiles a los que se pueda enviar información que se considere de su interés de acuerdo con su perfil, ya sea de forma manual o automática.
- Derecho a presentar una reclamación ante la autoridad de control en materia de protección de datos más cercana, si considera que ha habido un abuso en el tratamiento de sus datos personales. En Cataluña, en el caso de las universidades públicas y privadas que integran el sistema universitario catalán, como es el caso de la URV, corresponde a la Autoridad Catalana de Protección de Datos cuyo funcionamiento queda regulado por la Ley 32/2010, del 1 de octubre, de la Autoridad Catalana de Protección de Datos.
3.10. EJERCICIO DE LOS DERECHOS DE LAS PERSONAS INTERESADAS
La persona interesada puede ejercer sus derechos presencialmente, mediante una comunicación escrita, adjuntando una fotocopia del DNI, al Registro General de la URV o bien telemáticamente según lo indicado en la sede electrónica en el siguiente enlace: https://seuelectronica.urv.cat/registre.html.
Asimismo, puede solicitar información relacionada con la protección de datos personales mediante un correo electrónico dirigido al delegado de protección de datos en la dirección electrónica dpd@urv.cat.
4. ENTRADA EN VIGOR Y PUBLICACIÓN DE LA POLÍTICA DE PRIVACIDAD
Esta política de privacidad será efectiva desde el día siguiente que se publique en el FOU. También se publicará en la sede electrónica de la Universidad: https://seuelectronica.urv.cat/rgpd/.
5. ANEXO. GLOSARIO DE TÉRMINOS
A continuación se definen un conjunto de términos relacionados con la protección de datos personales para facilitar la comprensión de este documento:
- Actividad del tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales por procedimientos automatizados o no, como la recogida, organización, conservación, adaptación o modificación, extracción, consulta, utilización, difusión, supresión o destrucción.
- Autenticidad: propiedad o característica que demuestra que una entidad es quien dice ser o bien se garantiza la fuente de la que proviene la información o el servicio.
- Cesión de datos: toda comunicación de datos que hace la persona responsable del tratamiento o la encargada del tratamiento a otra diferente de la persona interesada.
- Consentimiento del interesado: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
- Confidencialidad: propiedad o característica consistente en que la información no es puesta a disposición ni revelada a individuos, entidades o procesos no autorizados o que no necesitan conocerla.
- Datos personales: toda información sobre una persona física identificada o identificable (correspondiente al término interesado). Así, por ejemplo, el nombre y apellidos, DNI o una fotografía son considerados datos personales y otra información a partir de la cual se pueda identificar una persona también, como la dirección IP desde la que ha accedido a un sistema de información.
- Delegado de protección de datos (DPD): figura que se encarga de coordinar y garantizar el cumplimiento de la normativa de protección de datos. Sus funciones son:
- Informar y asesorar al responsable del tratamiento, al encargado del tratamiento y al personal en las obligaciones de la protección de datos.
- Supervisar el cumplimiento de la normativa de protección de datos.
- Cooperar con la Autoridad de Protección de Datos.
- Destinatario: persona física o jurídica, autoridad pública, servicio u otro organismo al que un responsable del tratamiento comunica datos personales.
- Disponibilidad: propiedad o característica consistente en que las entidades o procesos autorizados tienen acceso a la información cuando lo requieren.
- Elaboración de perfiles: toda forma de tratamiento automatizado de datos personales que consiste en utilizar datos personales para evaluar determinados aspectos de una persona física.
- Encargado del tratamiento: persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales por cuenta del responsable del tratamiento.
- Integridad: propiedad o característica consistente en que la información no ha sido modificada de forma no autorizada.
- Interesado: persona física identificada o identificable. Se considera persona física identificable toda persona cuya identidad se pueda conocer, directa o indirectamente, a partir de determinada información.
- Legitimación del tratamiento: motivación por la que un tratamiento de datos personales es conforme a la normativa de protección de datos personales.
- Medidas de seguridad: acciones encaminadas a proteger los datos frente a daños accidentales o deliberados que puedan afectar a la confidencialidad, disponibilidad, integridad, autenticidad y trazabilidad de la información tratada o de las actividades realizadas con los datos.
- Política de seguridad: documento que establece las directrices aplicadas en materia de seguridad de la información.
- Registro de las actividades de tratamiento: registro donde se recogen el conjunto de actividades realizadas en el ámbito de la Universidad en la que se hace un tratamiento de datos personales.
- Responsable del tratamiento: persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento. En el marco de la presente política de privacidad, la Universitat Rovira i Virgili.
- Trazabilidad: propiedad o característica que consiste en que las acciones de una entidad puedan ser imputadas exclusivamente y se puedan identificar y reconstruir adecuadamente las acciones que se han hecho sobre la información o el servicio.
- Transferencia internacional de datos: tratamiento de datos que supone la transmisión fuera del territorio del espacio económico europeo. Se puede producir en forma de cesión o comunicación de datos, o puede tener por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.