Información sobre protección de datos
Introdución
A Universidade de Vigo asume a responsabilidade de cumprir coa lexislación vixente en materia de protección de datos. Entre os seus obxectivos ten garantir a protección da información e tratamento de datos de carácter persoal a estudantes, profesores, persoal de administración e servizos e en xeral, calquera outro cidadán que nalgún momento tivo relación coa Universidade de Vigo.
A protección das persoas físicas en relación co tratamento de datos persoais é un dereito fundamental protexido polo artigo 18.4 da Constitución Española. O dereito fundamental á protección de datos recoñece as persoas físicas a facultade de controlar os seus datos persoais e á capacidade de dispoñer e decidir sobre os mesmos.
O Regulamento (UE) 2016/679 do Parlamento Europeo e do Consello de 27 de abril de 2016 relativo á protección das persoas físicas no que respecta ao tratamento de datos persoais e á libre circulación destes datos (RXPD) establece os principios e normas que garanten o contido esencial do dereito fundamental á protección, reforzando a seguridade xurídica e a transparencia.
A Lei orgánica 3/2018, de 5 de decembro, de protección de datos persoais e garantía dos dereitos dixitais (LOPDGDD) dispón a adaptación do ordenamento español ao RXPD preservando o principio de seguridade xurídica e procurando unha regulación interna complementaria para facer plenamente efectiva a aplicación do RXPD.
Responsable do Tratamento
O Responsable do Tratamento é a persoa física ou xurídica, autoridade pública, servizo ou outro organismo que, so ou xunto con outros, determina os fins e medios do tratamento. A Universidade de Vigo é a responsable do tratamento.
A Universidade de Vigo aplicará medidas técnicas e organizativas apropiadas a fin de garantir e poder demostrar que o tratamento é conforme coa normativa de protección de datos, tendo en conta a natureza, ámbito, o contexto e os fins do tratamento así como os riscos para os dereitos e liberdades das persoas físicas.
Universidade de Vigo
CIF: Q8650002B
Edificio Exeria
As Lagoas, Marcosende, s/n
36310 Vigo
+34 986 813 600
informacion@uvigo.gal
Delegado de Protección de Datos
O delegado de Protección de Datos (DPD) é unha figura de obrigatoria aplicación polo Regulamento Europeo Xeral de Protección de Datos (RXPD) e a Lei orgánica 3/2018, de protección de datos persoais e garantía dos dereitos dixitais (LOPDGDD).
Pode ser unha persoa física ou xurídica que desempeñe as súas funcións no marco dun contrato de servizos, ou poderá formar parte do persoal da Universidade de Vigo que neste último caso non será destituído nin sancionado polo que respecta ao desempeño das súas funcións como DPD, salvo que incorrera en dolo ou neglixencia grave no seu exercicio.
Será designado atendendo as súas cualificacións profesionais e, en particular, aos seus coñecementos especializados do Dereito e a práctica en materia de protección de datos.
Recibirá do responsable todos os recursos necesarios para o desenvolvemento da súa actividade. Neste sentido tamén terá acceso aos datos persoais e procesos de tratamento.
O/A DPD poderá desempeñar outras funcións e cometidos e o responsable garantirá que ditas funcións non dean lugar a conflito de intereses.
Os seus datos de contacto deben ser públicos. As persoas interesadas poderán poñerse en contacto co/coa DPD no que respecta a tódalas cuestións relativas ao tratamento dos seus datos persoais e ao exercicio dos seus dereitos ao amparo do previsto no RXPD e na LOPDGDD.
Así mesmo, o responsable garantirá que o/a DPD non reciba ningunha instrución polo que dispón de total autonomía no exercicio das súas funcións como DPD e manterá unha relación fluída co Reitor e co equipo de goberno para mellorar o servizo público encomendado.
O/A DPD ten como mínimo as seguintes funcións:
- Informar e asesorar ao responsable ou ao encargado do tratamento e aos empregados que se ocupen do tratamento das obrigas que lles incumben en virtude da normativa de protección de datos.
- Supervisar o cumprimento do disposto na normativa de protección de datos e na política do responsable e do encargado do tratamento en materia de protección de datos persoais, incluída a asignación de responsabilidades, a concienciación e formación do persoal que participa nas operacións de tratamento e as auditorías correspondentes.
- Ofrecer o asesoramento que se lle solicite sobre a avaliación de impacto relativa á protección de datos e supervisar a súa aplicación conforme a normativa de protección de datos.
- Cooperar coa Axencia Española de Protección de Datos (AEPD).
- Actuar como punto de contacto da AEPD para cuestións relativas ao tratamento, incluída a consulta previa a que se refire a normativa sobre protección de datos e realizar consultas, no seu caso, sobre calquera outro asunto.
- Documentar e comunicar aos órganos de administración e dirección do responsable e do encargado de tratamento a existencia de vulneracións relevantes en materia de protección de datos.
Miguel Á. Michinel Álvarez
Delegado de Protección de Datos
Facultade de Dereito
Despacho 5.47
Edificio xurídico-empresarial
Campus de Ourense
dpd@uvigo.gal
Encargado do Tratamento
O Encargado de Tratamento é a persoa física ou xurídica, autoridade pública, servizo ou outro organismo que trate datos persoais por conta da Universidade de Vigo.
Correspóndelle á Universidade de Vigo decidir sobre a finalidade e os usos da información, mentres que o encargado do tratamento debe cumprir coas instrucións que lle encomenda a Universidade para un determinado servizo respecto ao correcto tratamento dos datos persoais aos que poida ter acceso como consecuencia da prestación deste servizo.
A Universidade de Vigo debe elixir un encargado que ofreza garantías suficientes respecto á implantación e mantemento das medidas técnicas e organizativas apropiadas e que garante a protección dos dereitos das persoas afectadas. A adhesión a códigos de conduta ou a posesión dun certificado de protección de datos pode servir como mecanismo de proba.
O Encargado de Tratamento pode adoptar todas as decisións organizativas e operacionais necesarias para a prestación do servizo contratado, pero en ningún caso pode variar as finalidades e os usos dos datos nin os pode utilizar para as súas propias finalidades.
A regulación da relación entre o responsable e o encargado do tratamento debe establecerse a través dun contrato ou dun acto xurídico unilateral do responsable do tratamento e debe constar por escrito, inclusive en formato electrónico. O Encargado do Tratamento pode realizar todos os tratamentos, automatizados ou non, que o responsable do tratamento lle encomende formalmente no acordo que se adopte, respectando a normativa de protección de datos e os principios relativos ao tratamento sinalados no artigo 5 do RXPD.
Non existe a obriga de informar respecto á contratación dun encargado de tratamento.
O contido mínimo dun contrato ou acordo de encargado de tratamento é:
- As instrucións do responsable do tratamento
- Deber de confidencialidade
- As medidas de seguridade
- Réxime da subcontratación
- Os dereitos dos interesados
- A colaboración no cumprimento das obrigas do responsable
- Destino dos datos ao finalizar a prestación
- A colaboración co responsable para demostrar o cumprimento
- A identificación do encargado do tratamento
A Universidade de Vigo non perde a consideración de responsable do tratamento cando contrata cun encargado de tratamento e continúa sendo responsable do correcto tratamento dos datos persoais e da garantía dos dereitos dos afectados.
Finalidade
A Universidade de Vigo unicamente recollerá os datos persoais estritamente necesarios en relación cos fins para os que sexan tratados, de acordo cos principios dispostos no artigo 5 do RXPD e facilitará ás persoas interesadas, no momento en que se obteñan os datos persoais, a información necesaria para garantir un tratamento leal e transparente, de acordo co disposto nos artigos 13 e 14 do RXPD
As finalidades do tratamento están amparadas no interese público e para a prestación do servizo de educación superior que ten encomendada a Universidade de Vigo a través da Lei Orgánica 6/2001, de 21 de decembro, de Universidades e restante normativa vinculada.
Os datos que recolle a Universidade de Vigo serven aos fins directamente relacionados coas súas competencias e funcións e neste sentido os recollerá, tratará, almacenará e utilizará para levar a cabo as súas relacións co alumnado, antigo alumnado, persoal docente e investigador, persoal de administración e servizos, outras persoas usuarias dos servizos que presta, así como provedores e outras persoas físicas ou xurídicas. Ditos datos serán tratados de forma confidencial e quedarán incorporados á correspondente actividade de tratamento titularidade da Universidade de Vigo.
Principios de lexitimación
A Universidade de Vigo está lexitimada para o tratamento da información persoal de acordo co principio de licitude sinalado no artigo 6 do RXPD e, principalmente para:
- O cumprimento dunha misión realizada en interese público ou no exercicio de poderes públicos. A maioría dos tratamentos de datos persoais da Universidade de Vigo realízanse conforme a esta base de lexitimación. A Universidade de Vigo forma parte do sector público institucional e, polo tanto, o tratamento dos datos persoais é necesario para a prestación do servizo público de educación superior conferidos pola Lei orgánica 6/2001, de 21 de decembro, de universidades, polos seus Estatutos e polo resto da normativa propia.
- O cumprimento das diferentes obrigas legais. Hai un número relevante de tratamentos aplicables á Universidade de Vigo para a realización das súas finalidades baseados na aplicación da normativa do Dereito español ou da Unión Europea.
- A execución dun contrato no que a persoa interesada sexa parte ou para a aplicación a pedimento desta de medidas precontractuais.
- Excepcionalmente, pode ter que realizar tratamentos para protexer intereses vitais das persoas interesadas ou doutras persoas físicas.
- O cumprimento dun interese lexítimo perseguido polo responsable ou por un terceiro: por exemplo, para o correcto mantemento das relacións dos membros da comunidade universitaria coa Universidade de Vigo.
- Por último, se non se compren os requisitos de lexitimación anteriores, a Universidade de Vigo tratará datos persoais para un ou varios fins específicos cando as persoas interesadas outorguen o seu consentimento.
Conservación de datos
Os datos persoais proporcionados conservaranse durante o tempo necesario para cumprir coa finalidade para a que se recollen e para determinar as posibles responsabilidades que se puideran derivar da mesma finalidade, ademais dos períodos establecidos na normativa de arquivos e documentación.
Comunicación de datos
Segundo o tipo de actividades de tratamento de datos que se realicen, a Universidade de Vigo poderá estar obrigada a comunicar información relativa ás persoas interesadas ás distintas Institucións, Organismos ou Entidades públicas ou privadas, incluíndo destinatarios en terceiros países ou organizacións internacionais.
No Rexistro de Actividades de Tratamento se identifican as comunicacións previstas.
Igualmente, os datos persoais poderán ser comunicados a Empresas ou Entidades Colaboradoras, por exemplo para a realización de prácticas externas, de xeito que se non hai autorización a comunicación dos datos nestes supostos, non se poderá prestar o servizo.
Transferencias internacionais de datos
A información persoal que recolle a Universidade de Vigo reside en España, pero é posible que poida ser transferida a países non pertencentes á Unión Europea, por exemplo, no caso de algúns programas de intercambio. De ser así, a Universidade de Vigo comprométese a cumprir cos requisitos legais establecidos pola normativa española e da Unión Europea.
En concreto, os datos poderán ser comunicados fora do Espazo Económico Europeo, nos termos sinalados nos artigos 45 ao 50 do RXPD:
- Transferencias baseadas nunha decisión de adecuación. A un terceiro país ou organización territorial cando a Comisión decidira que o terceiro país, un territorio ou un ou varios sectores específicos dese terceiro país, ou a organización internacional de que se trate, garante un nivel de protección adecuado. Dita transferencia non requirirá ningunha autorización específica.
- Transferencias mediante garantías adecuadas. A falta de decisión adecuada, a Universidade de Vigo ou o Encargado de Tratamento so poderá transmitir datos persoais a un terceiro país ou organización internacional se ofrece as garantías adecuadas que poderán ser aportadas por un instrumento xuridicamente vinculante, por normas corporativas vinculantes, por cláusulas tipo de protección de datos adoptadas pola Comisión ou por unha autoridade de control, por un código de conduta ou por un mecanismo de certificación.
- A falta de decisión de adecuación y de garantías: unicamente poderán realizarse se cumpre algunha das seguintes condicións: O interesado deu explicitamente o seu consentimento, a transferencia sexa necesaria para a execución dun contrato entre o interesado e o responsable do tratamento ou para a execución de medidas precontractuais adoptadas a solicitude do interesado, a transferencia sexa necesaria por razóns importantes de interese público, a transferencia sexa necesaria para a formulación, o exercicio ou a defensa de reclamacións, a transferencia sexa necesaria para protexer os intereses vitais do interesado u doutras persoas cando o interesado estea física ou xuridicamente incapacitado para dar o seu consentimento ou a transferencia se realice desde un rexistro público que teña por obxecto facilitar información ao público e estea aberto á consulta do público en xeral ou de calquera persoa que poida acreditar un interese lexítimo, pero so na medida en que se cumpran, en cada caso particular, as condicións que establece o Dereito da Unión ou dos Estados membros para a consulta.
Fóra destes supostos deberase obter autorización previa da AEPD.
Seguridade da información
A Universidade de Vigo comprométese a protexer os datos persoais aplicando as medidas de seguridade necesarias de acordo coa súa Política de Seguridade da Información. Terá en conta o estado da técnica, os custes de aplicación e a natureza, o alcance, o contexto e os fins do tratamento, así como os riscos de probabilidade e gravidade variables para os dereitos e liberdades das persoas interesadas. Tanto a Universidade de Vigo como os diferentes encargados do tratamento aplicarán medidas técnicas e organizativas apropiadas para garantir un nivel de seguridade adecuado ao risco e conforme ao recollido no artigo 32 do RXPD.
A Vicerreitoría de Planificación e Sostibilidade é a responsable do deseño da política de seguridade na Universidade de Vigo e da implantación do Esquema Nacional de Seguridade.
Definicións e principios
- Datos persoais
Toda información sobre unha persoa física identificada ou identificable. Considérase persoa física identificable toda persoa que a súa identidade poida determinarse, directa ou indirectamente, en particular mediante un identificador, coma por exemplo un nome, un número de identificación, datos de localización, un identificador en liña ou un ou varios elementos propios da identidade física, fisiolóxica, xenética, psíquica, económica, cultural ou social en dita persoa. - Tratamento
Calquera operación ou conxunto de operacións realizadas sobre datos persoais ou conxuntos de datos persoais, xa sexa por procedementos automatizados ou non, como a recollida, rexistro, organización, estruturación, conservación, adaptación ou modificación, extracción, consulta, utilización, comunicación por transmisión, difusión ou calquera outra forma de habilitación de acceso, cotexo ou interconexión, limitación, supresión ou destrución. - Limitación do tratamento
O marcado dos datos de carácter persoal conservados co fin de limitar o seu tratamento no futuro. - Seudonimización
O tratamento de datos persoais de maneira tal que xa non poidan atribuírse a un interesado sen utilizar información adicional, sempre que dita información adicional figure por separado e estea suxeita a medidas técnicas e organizativas destinadas a garantir que os datos persoais non se atribúan a una persoa física identificada ou identificable. - Ficheiro
Todo conxunto estruturado de datos persoais, accesibles de acordo a criterios determinados, xa sexa centralizado, descentralizado ou repartido de forma funcional ou xeográfica. - Responsable do tratamento
Persoa física ou xurídica, autoridade pública, servizo ou outro organismo que, solo ou xunto con outros, determine os fins e medios do tratamento, se o Dereito da Unión ou dos Estados membros determina os fins e medios do tratamento, o responsable do tratamento ou os criterios específicos para o seu nomeamento poderá establecelos o Dereito da Unión ou dos Estados membros. - Encargado do tratamento
Persoa física ou xurídica, autoridade pública, servizo ou outro organismo que trate datos persoais por conta do responsable do tratamento. - Destinatario
Persoa física ou xurídica, autoridade pública, servizo ou outro organismo ao que se comuniquen datos persoais, se trate ou non dun terceiro. Non obstante, non se considerarán destinatarios as autoridades públicas que poidan recibir datos persoais no marco dunha investigación concreta de conformidade co Dereito da Unión ou dos Estados membros; o tratamento de tales datos por ditas autoridades públicas será conforme coas normas en materia de protección de datos aplicables aos fins do tratamento. - Terceiro
Persoa física ou xurídica, autoridade pública, servizo ou organismo distinto do interesado, do responsable do tratamento, do encargado do tratamento e das persoas autorizadas para tratar os datos persoais baixo a autoridade directa do responsable ou do encargado. - Consentimento da persoa interesada
Toda manifestación de vontade libre, específica, informada e inequívoca pola que a persoa interesada acepta, xa sexa mediante unha declaración ou unha clara acción afirmativa, o tratamento de datos persoais que lle concirnen. - Violación da seguridade dos datos persoais
Toda violación da seguridade que ocasiones a destrución, perda ou alteración accidental ou ilícita de datos persoais transmitidos, conservados ou tratados doutra forma, ou a comunicación ou acceso non autorizados a ditos datos. - Datos xenéticos
Datos persoais relativos ás características xenéticas herdadas ou adquiridas dunha persoa física que proporcionen unha información única sobre a fisioloxía ou a saúde desa persoa, obtidos en particular da análise dunha mostra biolóxica de tal persoa. - Datos biométricos
Datos persoais obtidos a partir dun tratamento técnico específico, relativos ás características físicas, fisiolóxicas ou de conducta dunha persoa física que permitan ou confirmen a identificación única de dita persoa, como imaxes faciais ou datos dactiloscópicos. - Datos relativos á saúde
Datos persoais relativos á saúde física ou mental dunha persoa física, incluída a prestación de servizos de atención sanitaria, que revelen información sobre o seu estado de saúde. - Normas corporativas vinculantes
As políticas de protección de datos persoais asumidas por un responsable ou encargado do tratamento establecido no territorio dun Estado membro para transferencias ou un conxunto de transferencias de datos persoais a un responsable ou encargado nun ou mais países terceiros, dentro dun grupo empresarial ou unha unión de empresas dedicadas a unha actividade económica conxunta. - Autoridade de control
A autoridade pública independente establecida por un Estado membro. Para o ámbito territorial español é a Axencia Española de Protección de Datos e hai outras axencias autonómicas de protección de datos establecidas para o seu ámbito territorial, por exemplo de Andalucía, Cataluña, Madrid ou País Vasco.
Principios de tratamento de protección de datos
A Universidade de Vigo debe cumprir cuns principios esenciais para o tratamento dos datos persoais das persoas físicas. Estes principios se regulan no artigo 5 do RXPD e son:
- Principio de licitude, lealdade e transparencia
Todo tratamento de datos persoais debe ter unha base lexítima e non deben ser recollidos nin tratados de forma ilícita. O principio de transparencia exixe que toda información e comunicación relativa ao tratamento dos datos persoais sexa fácil de entender e se utilice unha linguaxe clara e sinxela, principalmente sobre a identidade do responsable do tratamento, os fins do mesmo e a información engadida para garantir un tratamento leal e transparente respecto ás persoas físicas afectadas e ao seu dereito a obter confirmación e comunicación dos datos persoais que lle concirnen e sexan obxecto do tratamento. - Principio de limitación da finalidade
A recollida dos datos persoais debe realizarse para uns fins determinados, de forma explícita e lexítima, e non serán tratados para finalidades distintas. O tratamento ulterior dos datos persoais con fins de arquivo en interese público, fins de investigación científica e histórica ou fins estatísticos non se considerará incompatible cos fins iniciais sempre que se respecte a normativa de protección de datos. - Principio de minimización de datos
Os datos persoais deben ser adecuados, pertinentes e limitados ao necesario para os fins para os que sexan tratados. Este principio significa que deben tratarse os datos estritamente necesarios para as finalidades que se perseguen. - Principio de exactitude
Os datos deben ser exactos e se fora necesario actualizados, adoptándose as medidas necesarias para corrixir a inexactitude respecto aos fins para os que se tratan. - Principio de limitación do prazo de conservación
Os datos persoais deben permitir a identificación das persoas interesadas durante no mais tempo do necesario para os fins do tratamento. Poderán conservarse durante períodos mais longos sempre que se traten con fins de arquivo en interese público, fins de investigación científica ou histórica ou fins estatísticos, de conformidade coa normativa de protección de datos, sen prexuízo da aplicación das medidas técnicas e organizativas apropiadas. - Principio de integridade e confidencialidade
Os datos persoais deben ser tratados de maneira que se garante unha seguridade adecuada dos mesmos incluída a protección contra o tratamento non autorizado ou ilícito e contra a súa perda, destrución ou dano accidental, mediante a aplicación de medidas técnicas ou organizativas apropiadas. - Principio de responsabilidade proactiva
O Responsable do Tratamento debe cumprir con tódolos principios do tratamento dos datos persoais e debe ser capaz de demostralo.
O deber de informar
En virtude do principio de transparencia sinalado no artigo 12 do RXPD o responsable do tratamento ten a obriga de informar aos interesados acerca das circunstancias e condicións para efectuar o tratamento dos datos persoais. Este deber de información está regulado nos artigos 13 e 14 do RXPD e no artigo 11 da LOPDGDD.
A Universidade de Vigo incorporou esta obriga a todo o seu persoal na instrución conxunta 5/2019 do 1 de marzo, da Xerencia e da Secretaría Xeral para o desenvolvemento de medidas de tratamento de datos de carácter persoal na Universidade de Vigo.
- Quen informa?
O Responsable do Tratamento ou o Encargado do tratamento. - Cando se debe informar?
Se os datos se obteñen directamente da persoa interesada, a información débese efectuar no momento da solicitude dos datos, previamente a súa recollida.
Se os datos non se obteñen directamente da persoa interesada, a información débese efectuar dentro dun prazo razoable, unha vez obtidos os datos persoais, e a mais tardar dentro dun mes, tendo en conta as circunstancias específicas nas que se traten ditos datos. Se os datos persoais han de utilizarse para comunicación co interesado, a mais tardar no momento da primeira comunicación a dito interesado, ou se está previsto comunicalos a outro destinatario, a máis tardar no momento en que os datos persoais sexan comunicados por primeira vez. - Onde se informa?
Nos formularios de recollida de datos en calquera formato no que estean deseñados. - Como se informa?
Cunha linguaxe clara e sinxela, de forma concisa, transparente, intelixible e de fácil acceso. Para facer compatible esta exixencia do RXPD e a concisión e comprensión, a Axencia Española de Protección de Datos recomenda adoptar un modelo de información por capas ou niveis:
– Información básica (ou primeiro nivel): recoméndase presentar sempre a seguinte información do tratamento dos datos: identidade do responsable, finalidade, lexitimación, destinatarios e dereitos.
– Información adicional (ou segundo nivel): se corresponde cunha información máis detallada que pode estar indicada a continuación da información básica por exemplo no reverso do impreso de recollida dos datos, ou pode estar indicada por un enlace electrónico.
Actividades de tratamento
Segundo o artigo 4 do RXPD “tratamento” é calquera operación ou conxunto de operacións realizadas sobre datos persoais ou conxunto de datos persoais, xa sexa polo procedemento automatizado ou non, como a recollida, rexistro, organización, estruturación, conservación, adaptación ou modificación, extracción, consulta, utilización, comunicación por transmisión, difusión ou calquera outra forma de habilitación de acceso, cotexo ou interconexión, limitación, supresión ou destrución.
Rexistro de actividades de tratamento
A Universidade de Vigo é a responsable de manter un Rexistro das actividades de tratamento efectuadas baixo a súa responsabilidade. Dito rexistro deberá conter o especificado no artigo 30 do RXPD: nome e datos de contacto do responsable e do delegado de protección de datos, fins do tratamento, categorías de persoas interesadas e de datos persoais, categorías de destinatarios, no seu caso, transferencias de datos persoais a un terceiro país cando sexa posible, os prazos de supresión das categorías de datos e unha descrición xeral das medidas técnicas e organizativas de seguridade.
Así mesmo, cada encargado e, no seu caso, a/o representante do encargado levará un rexistro de tódalas categorías de actividades de tratamento efectuadas por conta da Universidade de Vigo.
- Arquivo Universitario
- Asesoría Xurídica
- Asociación de estudantes
- Atención ao exercicio de dereitos de datos de carácter persoal
- Atención ao usuario e xestión informática
- Benestar e deporte
- Biblioteca Universitaria
- Campus Camp
- Censo electoral
- Dereito de acceso á información pública
- Escolas infantís
- Gravación, tratamento audiovisual e contidos multimedia
- Integración e diversidade
- Órganos de goberno e representación
- Promoción e xestión de I+D e a transferencia
- Recursos electrónicos e actividades docentes virtuais
- Relacións internacionais e nacionais
- Rexistro e información xeral
- Valedoría Universitaria
- Videovixilancia
- Voluntariado e cooperación
- Xestión académica
- Xestión de acción social
- Xestión de bolsas e axudas ao estudo
- Xestión de convenios
- Xestión de equipamentos e infraestruturas
- Xestión de eventos e protocolo
- Xestión de identidade dixital
- Xestión de igualdade
- Xestión de prácticas externas e empregabilidade
- Xestión de provisión e selección de postos de traballo
- Xestión de recursos humanos
- Xestión de retribucións, seguros sociais e pensións
- Xestión de riscos laborais
- Xestión de queixas, suxestións e parabéns
- Xestión económica, orzamentaria e de contratación
Dereitos
Exercicio dos dereitos
Os dereitos de protección de datos de carácter persoal regúlanse nos artigos 15 ao 22 no RXPD e artigos 12 a 18 da LOPDGDD.
Quen pode exercer estes dereitos
Estes dereitos teñen carácter persoalísimo e poderán exercelos as persoas físicas, en tanto titulares dos seus datos persoais sen coste algún.
Os dereitos tamén poderán exercitarse a través de representante, expresamente designado para o exercicio do dereito. Nestes casos, deberá constar claramente acreditada a identidade da persoa interesada e a representación conferida pola mesma.
Os dereitos serán denegados cando a solicitude sexa formulada por persoa distinta da persoa interesada ou non se acredite a súa representación.
A quen se dirixe a solicitude de exercicio de dereitos
A solicitude se dirixe ao reitor da Universidade de Vigo que ten a competencia para resolver, sendo a Secretaría Xeral o órgano que tramita o procedemento.
Medios de presentación
Poderá presentarse por algún dos seguintes medios:
Electronicamente
A través da sede electrónica da Universidade de Vigo empregando, preferentemente, o procedemento específico SXER – Exercicio dereitos sobre protección de datos, dispoñible na categoría «Cidadanía» (esta vía require contar con algún dos sistemas de identificación electrónica admitidos pola sede).
A través dos rexistros administrativos e oficinas de correos
Mediante solicitude presentada ante as Oficinas de Asistencia en Materia de Rexistro da Universidade de Vigo ou a través dalgún dos rexistros ou oficinas de correos aos que se refire o artigo 16 da Lei 39/2015, do 1 de outubro, do procedemento administrativo común das administracións públicas. A estes efectos, a persoa interesada poderá cubrir, descargar e asinar o formulario dispoñible no seguinte enlace:
Igualmente poderán dirixirlle a solicitude directamente á Delegada de Protección de Datos mediante un correo electrónico a dpd@uvigo.gal.
Documentación
No caso de representación, deberase xuntar á solicitude o documento acreditativo do seu outorgamento e da persoa que o representa.
Cando proceda, aportaranse os documentos acreditativos da petición.
A efectos de comprobación de identidade, será obxecto de consulta por parte da Universidade de Vigo do documento nacional de identidade da persoa interesada ou da persoa representante. No caso de oposición a dita consulta deberá indicarse no recadro correspondente na solicitude e achegar unha copia do documento.
Se a solicitude se realiza presencialmente, débese xuntar unha copia do DNI a efectos de identificación.
Prazo do procedemento
Máximo un mes, a contar desde a recepción da solicitude. En función da complexidade e o número de solicitudes o citado prazo poderá prorrogarse outros dos meses, do cal será informada a persoa interesada.
Efectos
No caso de que a Universidade de Vigo non dea curso á solicitude da persoa interesada, informaraa sen dilación, e a mais tardar transcorrido un mes da recepción da solicitude, das razóns da súa non actuación e da posibilidade de presentar unha reclamación ante a Axencia Española de Protección de Datos.
Transcorrido o prazo sen que de forma expresa se conteste á solicitude, a persoa interesada poderá pórse en contacto coa Delegada de Protección de Datos da Universidade, ou se o estima oportuno, interpoñer unha reclamación ante a Axencia Española de Protección de Datos para que inicie un procedemento de tutela dos seus dereitos.
Dereitos
Dereito de acceso
A persoa interesada terá dereito a obter da Universidade de Vigo confirmación de se están tratando ou non os seus datos persoais, e en tal caso, obter a seguinte información:
- Unha copia dos seus datos persoais que son obxecto do tratamento.
- Os fins do tratamento.
- As categorías de datos persoais que se traten.
- Os destinatarios ou as categorías de destinatarios aos que se comunicaron ou serán comunicados os datos persoais, en particular, os destinatarios en terceiros países ou organizacións internacionais.
- Prazo previsto de conservación dos datos persoais, ou se non é posible, os criterios utilizados para determinar este prazo.
- A existencia do dereito do interesado a solicitar á Universidade de Vigo a rectificación, supresión dos seus datos persoais, a limitación do tratamento dos seus datos persoais ou opoñerse a ese tratamento.
- Dereito a presentar unha reclamación ante unha autoridade de control.
- Cando os datos persoais non se obtiveran directamente da persoa interesada, calquera información dispoñible sobre a súa orixe.
- A existencia de decisións automatizadas, incluída a elaboración de perfís.
- Cando se transfiran datos persoais a un terceiro país ou a unha organización internacional, o dereito a ser informado das garantías adecuadas polas que se realizan as transferencias.
Dereito de rectificación
A persoa interesada terá dereito a obter da Universidade de Vigo, sen dilación indebida, a rectificación dos datos persoais inexactos que lle concirnan. Na solicitude se deberá indicar os datos concretos e a corrección que hai que realizar. Ademais, cando sexa necesario, deberase aportar a documentación necesaria que xustifique a inexactitude ou o carácter incompleto dos datos.
Dereito de supresión
A persoa interesada terá dereito a obter da Universidade de Vigo, sen dilación indebida, a supresión dos seus datos persoais cando concorran algunhas das seguintes circunstancias:
- Se os datos persoais xa non son necesarios en relación cos fins para os que foron recollidos ou tratados doutro modo.
- Se o tratamento dos datos persoais baseouse no consentimento que prestou a persoa interesada á Universidade de Vigo, e retira o mesmo, sempre que o citado tratamento non se basee noutra causa que o lexitime.
- Se a persoa interesada opúxose ao tratamento dos seus datos persoais co exercicio do dereito de oposición se o tratamento do responsable fundamentábase no interese lexítimo ou no cumprimento dunha misión de interese público, e non prevaleceron outros motivos para lexitimar o tratamento dos seus datos.
- Se os seus datos persoais foron tratados ilicitamente.
- Se os seus datos persoais deben suprimirse para o cumprimento dunha obriga legal establecida no Dereito da Unión ou dos estados membros que se aplique ao responsable do tratamento.
Non obstante este dereito non é ilimitado, de tal forma que pode ser factible no proceder á supresión cando o tratamento sexa necesario para o exercicio da liberdade de expresión e información, para o cumprimento dunha obriga legal, para o cumprimento dunha misión realizada en interese público ou no exercicio de poderes públicos conferidos á Universidade de Vigo, por razóns de interese público, no ámbito da saúde pública, con fins de arquivo de interese público, fins de investigación científica ou histórica ou fins estatísticos, ou para a formulación, ou exercicio ou a defensa de reclamacións.
Dereito á limitación do tratamento
A persoa interesada terá dereito a obter da Universidade de Vigo a limitación do tratamento dos datos. O seu exercicio presenta dúas vertentes:
Solicitude de suspensión do tratamento
- Cando impugne a exactitude dos datos persoais, durante un prazo que permita ao responsable a súa verificación.
- Cando se opoña ao tratamento en virtude do artigo 21.1 (en base ao interese lexítimo ou misión de interese público), mentres a Universidade de Vigo verifica se estes motivos prevalecen sobre os da persoa interesada.
Solicitude de conservación dos datos
- Cando o tratamento sexa ilícito e a persoa interesada opúxose á supresión dos seus datos e no seu lugar solicita a limitación do seu uso.
- Cando a Universidade xa non necesite os datos persoais para os fins do tratamento pero a persoa interesada os necesite para a formulación, exercicio ou a defensa de reclamacións.
Dereito á portabilidade
Cando o tratamento se efectúa por medios automatizados, a persoa interesada terá dereito a recibir os datos persoais que lle incumban que lle facilitara á Universidade de Vigo, nun formato estruturado, de uso común e lectura mecánica e interoperable, e poderá transmitilos a outro responsable do tratamento sen que o impida a Universidade de Vigo cando o tratamento estea lexitimado no seu consentimento ou no marco da execución dun contrato.
Dereito de oposición
A persoa interesada terá dereito a opoñerse en calquera momento, por motivos relacionados coa súa situación particular, a que os datos persoais que lle concirnan sexan obxecto dun tratamento baseado no disposto no artigo 6.1 letras e) ou f) (nunha misión de interese público ou en interese lexítimo), incluída a elaboración de perfís. A Universidade de Vigo deixará de tratar os datos salvo que acredite motivos imperiosos que prevalezan sobre os intereses, dereitos e liberdades da persoa interesada, ou para a formulación, o exercicio ou a defensa de reclamacións.
Normativa e documentación
Normativa sobre protección de datos
- Regulamento (UE) 2016/679 do Parlamento Europeo e do Consello de 27 de abril de 2016 relativo á protección das persoas físicas no que respecta ao tratamento de datos persoais e á libre circulación destes datos (RXPD)
- Lei orgánica 3/2018, de 5 de decembro, de protección de datos persoais e garantía dos dereitos dixitais (LOPDGDD)
Normativa da Universidade de Vigo
- Instrución conxunta 5/2019 do 1 de marzo da Xerencia e da Secretaría Xeral para o desenvolvemento de medidas de tratamento de datos de carácter persoal na Universidade de Vigo (contén formularios e un texto consolidado)
- Instrución da Xerencia 8/2019 do 11 de xuño para a aplicación da normativa de protección de datos no programa de pedidos
- Resolución reitoral do 24 de abril do 2020 sobre os aspectos relativos á protección de datos no tránsito á actividade docente virtual motivada polo estado de alarma causado pola COVID-19
Documentos e formularios da Universidade de Vigo
Só o PAS e o PDI terán acceso aos seguintes modelos no aplicativo Doctas a través da súa secretaría virtual:
- Modelo de compromiso de confidencialidade e deber de segredo para persoas usuariasDirixido ás persoas que manteñan unha relación coa Universidade de Vigo, que prestan servizos, realizan prácticas ou outro tipo de actividades nas súas dependencias ou nas dependencias doutras entidades, institucións ou empresas distintas á Universidade de Vigo en virtude dunha relación laboral, o desenvolvemento dun acordo, dun convenio, dunha convocatoria ou dunha disposición legal en calidade de persoa empregada pública, bolseiro/a, contratado/a, estudante ou persoal investigador.
- Modelo de consentimento informado xenérico (incluída a cesión de dereitos de imaxe/voz)Empregarase para o desenvolvemento daquelas actividades organizadas pola Universidade de Vigo onde o tratamento dos datos persoais das persoas participantes só puidese estar amparado no seu consentimento.Polo tanto, non se utilizará naquelas nas que a base de lexitimación fose calquera outra das previstas no RXPD (como o cumprimento dunha misión realizada en interese público ou no exercicio de poderes públicos conferidos á Universidade de Vigo, o cumprimento dunha obriga legal ou a execución dun contrato no que o interesado sexa parte).
- Tampouco se empregará para as actividades investigadoras. Neste caso, débeselle solicitar a revisión das cuestións éticas e de protección de datos ao Comité de ética para a investigación con seres humanos e medio ambiente (CEISHMA) que aprobou un modelo específico de consentimento (dispoñible na súa páxina web xunto co resto de formularios e o procedemento de tramitación).
Recomendacións da Delegada de Protección de Datos
Só o PAS e o PDI terán acceso ás seguintes recomendacións no aplicativo Doctas a través da súa secretaría virtual:
- Recomendacións para a redacción, a publicación e o acceso a determinados documentos dos órganos colexiados
- Recomendacións en materia de protección de datos para o persoal investigador
- Recomendacións sobre a publicación das cualificacións do estudantado
Documentos de interese
- Guía de boas prácticas en materia de transparencia e protección de datos de CRUE Universidades Españolas
- Orientacións para a aplicación provisional da disposición adicional sétima da LOPDGDD
- Guías da AEPD
- Protexe os teus datos en internet (AEPD)
- Consecuencias administrativas, disciplinarias, civís e penais da difusión de contidos sensibles
- Recomendacións da AEPD para aqueles que realicen procesos de anonimización
- Recomendacións da AEPD para aqueles que utilicen técnicas de hash na seudonimización de datos
- Informe da AEPD sobre o tratamento de datos en relación co COVID-19
- Informe da CRUE sobre o impacto normativo dos procedementos de avaliación en liña: protección de datos e garantía dos dereitos do estudantado
- Guía da CRUE sobre a protección de datos persoais no ámbito universitario en tempos da COVID-19