Protección de datos

Docencia e avaliación virtuais e recursos electrónicos da Universidade de Vigo

Cartel amarillo con el aviso de la grabación de las clases y de los exámenes

O uso dun contorno de docencia virtual, a través das plataformas propias da Universidade de Vigo, implica o tratamento de diversos tipos de datos (de identificación, de imaxe, de son ou de comentarios nun chat, entre outros posibles). En concreto, a captación de imaxes e de voz, así como o seu almacenamento, a súa difusión ou a súa publicación no entorno dunha aula virtual teñen a consideración de tratamento de datos persoais no sentido do Regulamento (UE) 2016/679 e da Lei Orgánica 3/2018 (LOPDGDD).


Finalidades do tratamento dos datos persoais

A utilización e a xestión das plataformas de teledocencia Faitic e as aulas virtuais de Campus Remoto así como doutro tipo de recursos electrónicos ou servizos multimedia propios da Universidade de Vigo para o desenvolvemento da xestión das actividades docentes e dos procesos de avaliación virtuais, así como doutro tipo de actividades académicas amparadas pola normativa universitaria.


Lexitimación do tratamento dos datos persoais

A lexitimación do tratamento de datos persoais no dito entorno ten o seu fundamento na relación xurídica que vincula o profesorado e o estudantado coa Universidade de Vigo.

  • Probas de avaliación virtuais

    O control visual da imaxe do estudantado durante a realización das probas de avaliación virtuais e, no seu caso, a gravación da súa voz/imaxe nas probas de avaliación virtual orais, (sen prexuízo do deber de proporcionarlles información previa), está amparada polo artigo 6.1 e) do Regulamento (UE) 2016/679 no que, o tratamento é necesario para o cumprimento dunha misión realizada en interese público ou en exercicio dos poderes públicos conferidos ao responsable do tratamento, xa que é necesario para a prestación do servizo de educación superior, amparado polo artigo 46.3º da Lei orgánica 6/2001, de 21 de decembro, de universidades que prevé que as universidades establecerán os procedementos de verificación dos coñecementos do estudantado. Polo tanto, non require o consentimento previo do estudantado.
     
  • Clases virtuais

    O profesorado deberá advertir da gravación da voz/imaxe do estudantado durante unha clase virtual, proporcionándolle información previa antes do comezo da clase, así como as finalidades docentes para as cales se necesita. A gravación resultará voluntaria para o estudantado, que en tal caso poderá acceder á aula virtual como oínte, desactivando a cámara e o micrófono e formulando as súas consultas a través do chat. Este tratamento tamén pode estar lexitimado polo artigo 6.1 e) do Regulamento (UE) 2016/679, en tanto teña unha finalidade exclusivamente educativa e o seu acceso estea limitado ao profesorado e ao estudantado da materia, sen que poida ser utilizado ulteriormente para outros fins distintos, como pode ser a súa divulgación pública, que requiriría o consentimento expreso da persoa afectada. 
     
  • Acreditación da identidade do estudantado

    A Universidade de Vigo ten dúas vías exixibles e non excluíntes para a acreditación da identidade do estudantado, para as probas de avaliación virtuais, as actividades docentes e outro tipo de actividades académicas. Ámbas as dúas están amparadas polo artigo 6.1 c) do Regulamento (UE) 2016/679 no que o tratamento é necesario para o cumprimento dunha obriga legal polo responsable do tratamento e polo artigo 6.1 e) do Regulamento (UE) 2016/679 no que o tratamento é necesario para o cumprimento dunha misión realizada en interese público ou en exercicio dos poderes públicos conferidos ao responsable do tratamento 

    Por un lado, o sistema de acreditación mediante clave concertada, facilitada e xestionada pola Universidade de Vigo, que está lexitimada polo artigo 9 da Lei 39/2015, de 1 de outubro, do procedemento administrativo común das administracións públicas.

    E, por outro lado, mediante a exhibición do documento nacional de identidade ou pasaporte do estudantado en calquera momento da realización das probas de avaliación, que poderá requirir o profesorado, lexitimado polo artigo 25.7 do RD 1791/2010, de 30 de decembro, polo que se aproba o Estatuto do Estudante Universitario.


Comunicacións e transferencias internacionais

Non se prevén comunicacións nin transferencias internacionais, excepto, de ser o caso, para finalidades específicas nas que o profesorado ou os servizos responsables deberán recoller expresamente os consentimentos.


Prazo de conservación

Os prazos de conservación dos tratamentos de datos e a custodia dos exames serán os necesarios para o desenvolvemento das finalidades descritas, durante o tempo suficiente que asegure o cumprimento dos obxectivos, así como das revisións dos exames e para dirimir as posibles responsabilidades que se puideran derivar, tendo en conta a normativa de arquivos. 

As gravacións das probas de avaliación no entorno virtual deberán conservarse durante o mesmo prazo indicado na normativa da Universidade de Vigo para as probas presenciais.


Dereitos

As persoas terán dereito a solicitarlle ao responsable do tratamento, en calquera momento, o acceso, a rectificación ou a supresión dos seus datos persoais e a limitación do seu tratamento. Tamén terán dereito a oporse ao devandito tratamento, así como a solicitar, salvo nos casos de interese público e/ou exercicio de poderes públicos, a portabilidade destes datos.

Os devanditos dereitos poderanse exercer mediante unha solicitude dirixida ao reitor da Universidade de Vigo e presentada ante a súa sede electrónica.

Igualmente poderán dirixirlle a solicitude directamente á Delegada de Protección de Datos mediante un correo electrónico a dpd@uvigo.gal.

Así mesmo, de non ser atendidos os seus dereitos pola Universidade de Vigo, as persoas terán dereito a presentar unha reclamación ante a AEPD.

Información sobre a propiedade intelectual

Nas tarefas que impliquen creación intelectual, manexo de datos persoais, imaxes de terceiras persoas, ou expresións subxectivas do alumnado, cumprirase cunha aplicación estrita do principio de limitación de finalidade do tratamento, circunscribindo o seu uso aos fins propios da avaliación, con prohibición de uso para calquera outra finalidade, non admitindo usos compatibles sen o consentimento previo das persoas interesadas, quedando prohibido comunicar os datos persoais tratados a terceiros non implicados no proceso de avaliación.

A eventual explotación dos dereitos de propiedade intelectual relativos ás gravacións das sesións de clase virtual pola Universidade de Vigo, como titular dos devanditps, pode conlevar, en relación co seu profesorado, para o curso académico correspondente, a posible captación da súa imaxe, a fixación da súa intervención en calquera soporte audiovisual da Universidade de Vigo, así como a súa reprodución na contorna da aula virtual, o que se autorizará unicamente nos medios proporcionados pola Universidade, sendo posible o seu uso en cursos posteriores ou para fins distintos só cando se limite exclusivamente á intervención do profesorado desta Universidade, debendo solicitarse o consentimento expreso si incorporasen datos, imaxes ou sons do estudantado.

Os recursos e os materiais, en calquera soporte, que o profesorado poña á disposición do estudantado nas diferentes plataformas e recursos electrónicos ofertados pola Universidade de Vigo serán utilizados coa finalidade de preparar e impartir as correspondentes materias e actividades nas que estea matriculado o estudantado durante o curso académico.

 

Introdución

A Universidade de Vigo asume a responsabilidade de cumprir coa lexislación vixente en materia de protección de datos. Entre os seus obxectivos ten garantir a protección da información e tratamento de datos de carácter persoal a estudantes, profesores, persoal de administración e servizos e en xeral, calquera outro cidadán que nalgún momento tivo relación coa Universidade de Vigo.

A protección das persoas físicas en relación co tratamento de datos persoais é un dereito fundamental protexido polo artigo 18.4 da Constitución Española. O dereito fundamental á protección de datos recoñece as persoas físicas a facultade de controlar os seus datos persoais e á capacidade de dispoñer e decidir sobre os mesmos.

O Regulamento (UE) 2016/679 do Parlamento Europeo e do Consello de 27 de abril de 2016 relativo á protección das persoas físicas no que respecta ao tratamento de datos persoais e á libre circulación destes datos (RXPD) establece os principios e normas que garanten  o contido esencial do dereito fundamental á protección, reforzando a seguridade xurídica e a transparencia.

A Lei orgánica 3/2018, de 5 de decembro, de protección de datos persoais e garantía dos dereitos dixitais (LOPDGDD) dispón a adaptación do ordenamento español ao RXPD preservando o principio de seguridade xurídica e procurando unha regulación interna complementaria para facer plenamente efectiva a aplicación do RXPD.

Responsable do Tratamento

O Responsable do Tratamento é a persoa física ou xurídica, autoridade pública, servizo ou outro organismo que, so ou xunto con outros, determina os fins e medios do tratamento. A Universidade de Vigo é a responsable do tratamento.

A Universidade de Vigo aplicará medidas técnicas e organizativas apropiadas a fin de garantir e poder demostrar que o tratamento é conforme coa normativa de protección de datos, tendo en conta a natureza, ámbito, o contexto e os fins do tratamento así como os riscos para os dereitos e liberdades das persoas físicas.

Universidade de Vigo
CIF: Q8650002B
Edificio Exeria
As Lagoas, Marcosende, s/n
36310 Vigo
+34 986 813 600
informacion@uvigo.es 


Delegada de Protección de Datos

O/a Delegado/a de Protección de Datos (DPD) é unha figura de obrigatoria aplicación polo Regulamento Europeo Xeral de Protección de Datos (RXPD) e a Lei orgánica 3/2018, de protección de datos persoais e garantía dos dereitos dixitais (LOPDGDD). 

Pode ser unha persoa física ou xurídica que desempeñe as súas funcións no marco dun contrato de servizos, ou poderá formar parte do persoal da Universidade de Vigo que neste último caso non será destituído nin sancionado polo que respecta ao desempeño das súas funcións como DPD, salvo que incorrera en dolo ou neglixencia grave no seu exercicio.

Será designado atendendo as súas cualificacións profesionais e, en particular, aos seus coñecementos especializados do Dereito e a práctica en materia de protección de datos. 

Recibirá do responsable todos os recursos necesarios para o desenvolvemento da súa actividade. Neste sentido tamén terá acceso aos datos persoais e procesos de tratamento.

O/A DPD poderá desempeñar outras funcións e cometidos e o responsable garantirá que ditas funcións non dean lugar a conflito de intereses.

Os seus datos de contacto deben ser públicos. As persoas interesadas poderán poñerse en contacto co/coa DPD no que respecta a tódalas cuestións relativas ao tratamento dos seus datos persoais e ao exercicio dos seus dereitos ao amparo do previsto no RXPD e na LOPDGDD.

Así mesmo, o responsable garantirá que o/a DPD non reciba ningunha instrución polo que dispón de total autonomía no exercicio das súas funcións como DPD e manterá unha relación fluída co Reitor e co equipo de goberno para mellorar o servizo público encomendado.

O/A DPD ten como mínimo as seguintes funcións:

  • Informar e asesorar ao responsable ou ao encargado do tratamento e aos empregados que se ocupen do tratamento das obrigas que lles incumben en virtude da normativa de protección de datos.
  • Supervisar o cumprimento do disposto na normativa de protección de datos e na política do responsable e do encargado do tratamento en materia de protección de datos persoais, incluída a asignación de responsabilidades, a concienciación e formación do persoal que participa nas operacións de tratamento e as auditorías correspondentes.
  • Ofrecer o asesoramento que se lle solicite sobre a avaliación de impacto relativa á protección de datos e supervisar a súa aplicación conforme a  normativa de protección de datos.
  • Cooperar coa Axencia Española de Protección de Datos (AEPD).
  • Actuar como punto de contacto da AEPD para cuestións relativas ao tratamento, incluída a consulta previa a que se refire a normativa sobre protección de datos e realizar consultas, no seu caso, sobre calquera outro asunto.
  • Documentar e comunicar aos órganos de administración e dirección do responsable e do encargado de tratamento a existencia de vulneracións relevantes en materia de protección de datos.

Ana Garriga Domínguez
Facultade de Dereito
As Lagoas, s/n
32004 Ourense
+34 988 368 834
dpd@uvigo.gal


Encargado do Tratamento

O Encargado de Tratamento é a persoa física ou xurídica, autoridade pública, servizo ou outro organismo que trate datos persoais por conta da Universidade de Vigo.

Correspóndelle á Universidade de Vigo decidir sobre a finalidade e os usos da información, mentres que o encargado do tratamento debe cumprir coas instrucións que lle encomenda a Universidade para un determinado servizo respecto ao correcto tratamento dos datos persoais aos que poida ter acceso como consecuencia da prestación deste servizo.

A Universidade de Vigo debe elixir un encargado que ofreza garantías suficientes respecto á implantación e mantemento das medidas técnicas e organizativas apropiadas e que garante a protección dos dereitos das persoas afectadas. A adhesión a códigos de conduta ou a posesión dun certificado de protección de datos pode servir como mecanismo de proba.

O Encargado de Tratamento pode adoptar todas as decisións organizativas e operacionais necesarias para a prestación do servizo contratado, pero en ningún caso pode variar  as finalidades e os usos dos datos nin os pode utilizar para as súas propias finalidades.

A regulación da relación entre o responsable e o encargado do tratamento debe establecerse a través dun contrato ou dun acto xurídico unilateral do responsable do tratamento e debe constar por escrito, inclusive en formato electrónico. O Encargado do Tratamento pode realizar todos os tratamentos, automatizados ou non, que o responsable do tratamento lle encomende formalmente no acordo que se adopte, respectando a normativa de protección de datos e os principios relativos ao tratamento sinalados no artigo 5 do RXPD.

Non existe a obriga de informar respecto á contratación dun encargado de tratamento.

O contido mínimo dun contrato ou acordo de encargado de tratamento é:

  • As instrucións do responsable do tratamento
  • Deber de confidencialidade
  • As medidas de seguridade
  • Réxime da subcontratación
  • Os dereitos dos interesados
  • A colaboración no cumprimento das obrigas do responsable
  • Destino dos datos ao finalizar a prestación
  • A colaboración co responsable para demostrar o cumprimento
  • A identificación do encargado do tratamento

A Universidade de Vigo non perde a consideración de responsable do tratamento cando contrata cun encargado de tratamento e continúa sendo responsable do correcto tratamento dos datos persoais e da garantía dos dereitos dos afectados.

Finalidade

A Universidade de Vigo unicamente recollerá os datos persoais estritamente necesarios en relación cos fins para os que sexan tratados, de acordo cos principios dispostos no artigo 5 do RXPD e facilitará ás persoas interesadas, no momento en que se obteñan os datos persoais, a información necesaria para garantir un tratamento leal e transparente, de acordo co disposto nos artigos 13 e 14 do RXPD

As finalidades do tratamento están amparadas no interese público e para a prestación do servizo de educación superior que ten encomendada a Universidade de Vigo a través da Lei Orgánica 6/2001, de 21 de decembro, de Universidades e restante normativa vinculada.

Os datos que recolle a Universidade de Vigo serven aos fins directamente relacionados coas súas competencias e funcións e neste sentido os recollerá, tratará, almacenará e utilizará para levar a cabo as súas relacións co alumnado, antigo alumnado, persoal docente e investigador, persoal de administración e servizos, outras persoas usuarias dos servizos que presta, así como provedores e outras persoas físicas ou xurídicas. Ditos datos serán tratados de forma confidencial e quedarán incorporados á correspondente actividade de tratamento titularidade da Universidade de Vigo.
 

Principios de lexitimación

A Universidade de Vigo está lexitimada para o tratamento da información persoal de acordo co principio de licitude sinalado no artigo 6 do RXPD e, principalmente para:

  • O cumprimento dunha misión realizada en interese público ou no exercicio de poderes públicos. A  maioría dos tratamentos de datos persoais da Universidade de Vigo realízanse conforme a esta base de lexitimación. A Universidade de Vigo forma parte do sector público institucional e, polo tanto, o tratamento dos datos persoais é necesario para a prestación do servizo público de educación superior conferidos pola Lei orgánica 6/2001, de 21 de decembro, de universidades, polos seus Estatutos e polo resto da normativa propia.
  • O cumprimento das diferentes obrigas legais. Hai un número relevante de tratamentos aplicables á Universidade de Vigo para a realización das súas finalidades baseados na aplicación  da normativa do Dereito español ou da Unión Europea.
  • A execución dun contrato no que a persoa interesada sexa parte ou para a aplicación a pedimento desta de medidas precontractuais.
  • Excepcionalmente, pode ter que realizar tratamentos para protexer intereses vitais das persoas interesadas ou doutras persoas físicas.
  • O cumprimento dun interese lexítimo perseguido polo responsable ou por un terceiro: por exemplo, para o correcto mantemento das relacións dos membros da comunidade universitaria coa Universidade de Vigo.
  • Por último, se non se compren os requisitos de lexitimación anteriores, a Universidade de Vigo tratará datos persoais para un ou varios fins específicos cando as persoas interesadas outorguen o seu consentimento.

Conservación de datos

Os datos persoais proporcionados conservaranse durante o tempo necesario para cumprir coa finalidade para a que se recollen e para determinar as posibles responsabilidades que se puideran derivar da mesma finalidade, ademais dos períodos establecidos na normativa de arquivos e documentación.

Comunicación de datos

Segundo o tipo de actividades de tratamento de datos que se realicen, a Universidade de Vigo poderá estar obrigada a comunicar información relativa ás persoas interesadas ás distintas Institucións, Organismos ou Entidades públicas ou privadas, incluíndo destinatarios en terceiros países ou organizacións internacionais.
No Rexistro de Actividades de Tratamento se identifican as comunicacións previstas.
Igualmente, os datos persoais poderán ser comunicados a Empresas ou Entidades Colaboradoras, por exemplo para a realización de prácticas externas, de xeito que se non hai autorización a comunicación dos datos nestes supostos, non se poderá prestar o servizo.
 

Transferencias internacionais de datos

A información persoal que recolle a Universidade de Vigo reside en España, pero é posible que poida ser transferida a países non pertencentes á Unión Europea, por exemplo, no caso de algúns programas de intercambio. De ser así,  a Universidade de Vigo comprométese a cumprir cos requisitos legais establecidos pola normativa española e da Unión Europea. 

En concreto, os datos poderán ser comunicados fora do Espazo Económico Europeo, nos termos sinalados nos artigos 45 ao 50 do RXPD:

  • Transferencias baseadas nunha decisión de adecuación. A un terceiro país ou organización territorial cando a Comisión decidira que o terceiro país, un territorio ou un ou varios sectores específicos dese terceiro país, ou a organización internacional de que se trate, garante un nivel de protección adecuado. Dita transferencia non requirirá ningunha autorización específica.
  • Transferencias mediante garantías adecuadas. A falta de decisión adecuada, a Universidade de Vigo ou o Encargado de Tratamento so poderá transmitir datos persoais a un terceiro país ou organización internacional se ofrece as garantías adecuadas que poderán ser aportadas por un instrumento xuridicamente vinculante, por normas corporativas vinculantes, por cláusulas tipo de protección de datos adoptadas pola Comisión ou por unha autoridade de control, por un código de conduta ou por un mecanismo de certificación.
  • A falta de decisión de adecuación y de garantías: unicamente poderán realizarse se cumpre algunha das seguintes condicións: O interesado deu explicitamente o seu consentimento, a transferencia sexa necesaria para a execución dun contrato entre o interesado e o responsable do tratamento ou para a execución de medidas precontractuais adoptadas a solicitude do interesado, a transferencia sexa necesaria por razóns importantes de interese público, a transferencia sexa necesaria para a formulación, o exercicio ou a defensa de reclamacións, a transferencia sexa necesaria para protexer os intereses vitais do interesado u doutras persoas cando o interesado estea física ou xuridicamente incapacitado para dar o seu consentimento ou a transferencia se realice desde un rexistro público que teña por obxecto facilitar información ao público e estea aberto á consulta do público en xeral ou de calquera persoa que poida acreditar un interese lexítimo, pero so na medida en que se cumpran, en cada caso particular, as condicións que establece o Dereito da Unión ou dos Estados membros para a consulta.

Fóra destes supostos deberase obter autorización previa da AEPD.


Seguridade da información

A Universidade de Vigo comprométese a protexer os datos persoais aplicando as medidas de seguridade necesarias de acordo coa súa Política de Seguridade da Información. Terá en conta o estado da técnica, os custes de aplicación e a natureza, o alcance, o contexto e os fins do tratamento, así como os riscos de probabilidade e gravidade variables para os dereitos e liberdades das persoas interesadas. Tanto a Universidade de Vigo como os diferentes encargados do tratamento aplicarán medidas técnicas e organizativas apropiadas para garantir un nivel de seguridade adecuado ao risco e conforme ao recollido no artigo 32 do RXPD.

A Vicerreitoría de Planificación e Sostibilidade é a responsable do deseño da política de seguridade na Universidade de Vigo e da implantación do Esquema Nacional de Seguridade.

  • Datos persoais
    Toda información sobre unha persoa física identificada ou identificable. Considérase persoa física identificable toda persoa que a súa identidade poida determinarse, directa ou indirectamente, en particular mediante un identificador, coma por exemplo un nome, un número de identificación, datos de localización, un identificador en liña ou un ou varios elementos propios da identidade física, fisiolóxica, xenética, psíquica, económica, cultural ou social en dita persoa.
  • Tratamento
    Calquera operación ou conxunto de operacións realizadas sobre datos persoais ou conxuntos de datos persoais, xa sexa  por procedementos automatizados ou non, como a recollida, rexistro, organización, estruturación, conservación, adaptación ou modificación, extracción, consulta, utilización, comunicación por transmisión, difusión ou calquera outra forma de habilitación de acceso, cotexo ou interconexión, limitación, supresión ou destrución.
  • Limitación do tratamento
    O marcado dos datos de carácter persoal conservados co fin de limitar o seu tratamento no futuro.
  • Seudonimización
    O tratamento de datos persoais de maneira tal que xa non poidan atribuírse a un interesado sen utilizar información adicional, sempre que dita información adicional figure por separado e estea suxeita a medidas técnicas e organizativas destinadas a garantir que os datos persoais non se atribúan a una persoa física identificada ou identificable.
  • Ficheiro
    Todo conxunto estruturado de datos persoais, accesibles de acordo a criterios determinados, xa sexa centralizado, descentralizado ou repartido de forma funcional ou xeográfica.
  • Responsable do tratamento
    Persoa física ou xurídica, autoridade pública, servizo ou outro organismo que, solo ou xunto con outros, determine os fins e medios do tratamento, se o Dereito da Unión ou dos Estados membros determina os fins e medios do tratamento, o responsable do tratamento ou os criterios específicos para o seu nomeamento poderá establecelos o Dereito da Unión ou dos Estados membros.
  • Encargado do tratamento
    Persoa física ou xurídica, autoridade pública, servizo ou outro organismo que trate datos persoais por conta do responsable do tratamento.
  • Destinatario
    Persoa física ou xurídica, autoridade pública, servizo ou outro organismo ao que se comuniquen datos persoais, se trate ou non dun terceiro. Non obstante, non se considerarán destinatarios as autoridades públicas que poidan recibir datos persoais no marco dunha investigación concreta de conformidade co Dereito da Unión ou dos Estados membros; o tratamento de tales datos por ditas autoridades públicas será conforme coas normas en materia de protección de datos aplicables aos fins do tratamento.
  • Terceiro
    Persoa física ou xurídica, autoridade pública, servizo ou organismo distinto do interesado, do responsable do tratamento, do encargado do tratamento e das persoas autorizadas para tratar os datos persoais baixo a autoridade directa do responsable ou do encargado.
  • Consentimento da persoa interesada
    Toda manifestación de vontade libre, específica, informada e inequívoca pola que a persoa interesada acepta, xa sexa mediante unha declaración ou unha clara acción afirmativa, o tratamento de datos persoais que lle concirnen.
  • Violación da seguridade dos datos persoais
    Toda violación da seguridade que ocasiones a destrución, perda ou alteración accidental ou ilícita de datos persoais transmitidos, conservados ou tratados doutra forma, ou a comunicación ou acceso non autorizados a ditos datos.
  • Datos xenéticos
    Datos persoais relativos ás características xenéticas herdadas ou adquiridas dunha persoa física que proporcionen unha información única sobre a fisioloxía ou a saúde desa persoa, obtidos en particular da análise dunha mostra biolóxica de tal persoa.
  • Datos biométricos
    Datos persoais obtidos a partir dun tratamento técnico específico, relativos ás características físicas, fisiolóxicas ou de conducta dunha persoa física que permitan ou confirmen a identificación única de dita persoa, como imaxes faciais ou datos dactiloscópicos.
  • Datos relativos á saúde
    Datos persoais relativos á saúde física ou mental dunha persoa física, incluída a prestación de servizos de atención sanitaria, que revelen información sobre o seu estado de saúde.
  • Normas corporativas vinculantes
    As políticas de protección de datos persoais asumidas por un responsable ou encargado do tratamento establecido no territorio dun Estado membro para transferencias ou un conxunto de transferencias de datos persoais a un responsable ou encargado nun ou mais países terceiros, dentro dun grupo empresarial ou unha unión de empresas dedicadas a unha actividade económica conxunta.
  • Autoridade de control
    A autoridade pública independente establecida por un Estado membro. Para o ámbito territorial español é a Axencia Española de Protección de Datos e hai outras axencias autonómicas de protección de datos establecidas para o seu ámbito territorial, por exemplo de Andalucía, Cataluña, Madrid ou País Vasco.


Principios de tratamento de protección de datos

A Universidade de Vigo debe cumprir cuns principios esenciais para o tratamento dos datos persoais das persoas físicas. Estes principios se regulan no artigo 5 do RXPD e son:

  • Principio de licitude, lealdade e transparencia
    Todo tratamento de datos persoais debe ter unha base lexítima e non deben ser recollidos nin tratados de forma ilícita. O principio de transparencia exixe que toda información e comunicación relativa ao tratamento dos datos persoais sexa fácil de entender e se utilice unha linguaxe clara e sinxela, principalmente sobre a identidade do responsable do tratamento, os fins do mesmo e a información engadida para garantir un tratamento leal e transparente respecto ás persoas físicas afectadas e ao seu dereito a obter confirmación e comunicación dos datos persoais que lle concirnen e sexan obxecto do tratamento.
  • Principio de limitación da finalidade
    A recollida dos datos persoais debe realizarse para uns fins determinados, de forma explícita e lexítima, e non serán tratados para finalidades distintas. O tratamento ulterior dos datos persoais con fins de arquivo en interese público, fins de investigación científica e histórica ou fins estatísticos non se considerará incompatible cos fins iniciais sempre que se respecte a normativa de protección de datos.
  • Principio de minimización de datos
    Os datos persoais deben ser adecuados, pertinentes e limitados ao necesario para os fins para os que sexan tratados. Este principio significa que deben tratarse os datos estritamente necesarios para as finalidades que se perseguen. 
  • Principio de exactitude
    Os datos deben ser exactos e se fora necesario actualizados, adoptándose as medidas necesarias para corrixir a inexactitude respecto aos fins para os que se tratan.
  • Principio de limitación do prazo de conservación
    Os datos persoais deben permitir a identificación das persoas interesadas durante no mais tempo do necesario para os fins do tratamento. Poderán conservarse durante períodos mais longos sempre que se traten con fins de arquivo en interese público, fins de investigación científica ou histórica ou fins estatísticos, de conformidade coa normativa de protección de datos, sen prexuízo da aplicación das medidas técnicas e organizativas apropiadas.
  • Principio de integridade e confidencialidade
    Os datos persoais deben ser tratados de maneira que se garante unha seguridade adecuada dos mesmos incluída a protección contra o tratamento non autorizado ou ilícito e contra a súa perda, destrución ou dano accidental, mediante a aplicación de medidas técnicas ou organizativas apropiadas.
  • Principio de responsabilidade proactiva
    O Responsable do Tratamento debe cumprir con tódolos principios do tratamento dos datos persoais e debe ser capaz de demostralo.
     

O deber de informar

En virtude do principio de transparencia sinalado no artigo 12 do RXPD o responsable do tratamento ten a obriga de informar aos interesados acerca das circunstancias e condicións para efectuar o tratamento dos datos persoais. Este deber de información está regulado nos artigos 13 e 14 do RXPD e no artigo 11 da LOPDGDD.

A Universidade de Vigo incorporou esta obriga a todo o seu persoal na instrución conxunta 5/2019 do 1 de marzo, da Xerencia e da Secretaría Xeral para o desenvolvemento de medidas de tratamento de datos de carácter persoal na Universidade de Vigo.

  • Quen informa?
    O Responsable do Tratamento ou o Encargado do tratamento.
  • Cando se debe informar?
    Se os datos se obteñen directamente da persoa interesada, a información débese efectuar no momento da solicitude dos datos, previamente a súa recollida.
    Se os datos non se obteñen directamente da persoa interesada, a información débese efectuar dentro dun prazo razoable, unha vez obtidos os datos persoais, e a mais tardar dentro dun mes, tendo en conta as circunstancias específicas  nas que se traten ditos datos. Se os datos persoais han de utilizarse para comunicación co interesado, a mais tardar no momento da primeira comunicación a dito interesado, ou se está previsto comunicalos a outro destinatario, a máis tardar no momento en que os datos persoais sexan comunicados por primeira vez.
  • Onde se informa?
    Nos formularios de recollida de datos en calquera formato no que estean deseñados.
  • Como se informa? 
    Cunha linguaxe clara e sinxela, de forma concisa, transparente, intelixible e de fácil acceso. Para facer compatible esta exixencia do RXPD e a concisión e comprensión, a Axencia Española de Protección de Datos recomenda adoptar un modelo de información por capas ou niveis:
    Información básica (ou primeiro nivel): recoméndase presentar sempre a seguinte información do tratamento dos datos: identidade do responsable, finalidade, lexitimación, destinatarios e dereitos.
    Información adicional (ou segundo nivel): se corresponde cunha información máis detallada que pode estar indicada a continuación da información básica por exemplo no reverso do impreso de recollida dos datos, ou pode estar indicada por un enlace electrónico.

Segundo o artigo 4 do RXPD “tratamento” é calquera operación ou conxunto de operacións realizadas sobre datos persoais ou conxunto de datos persoais, xa sexa polo procedemento automatizado ou non, como a recollida, rexistro, organización, estruturación, conservación, adaptación ou modificación, extracción, consulta, utilización, comunicación por transmisión, difusión ou calquera outra forma de habilitación de acceso, cotexo ou interconexión, limitación, supresión ou destrución.

Rexistro de actividades de tratamento

A Universidade de Vigo é a responsable de manter un Rexistro das actividades de tratamento efectuadas baixo a súa responsabilidade. Dito rexistro deberá conter o especificado no artigo 30 do RXPD: nome e datos de contacto do responsable e do delegado de protección de datos, fins do tratamento, categorías de persoas interesadas e de datos persoais, categorías de destinatarios, no seu caso, transferencias de datos persoais a un terceiro país cando sexa posible, os prazos de supresión das categorías de datos e unha descrición xeral das medidas técnicas e organizativas de seguridade.

Así mesmo, cada encargado e, no seu caso, a/o representante do encargado levará un rexistro de tódalas categorías de actividades de tratamento efectuadas por conta da Universidade de Vigo.

Exercicio dos dereitos

Os dereitos de protección de datos de carácter persoal regúlanse nos artigos 15 ao 22 no RXPD e artigos 12 a 18 da LOPDGDD.

Quen pode exercer estes dereitos

Estes dereitos teñen carácter persoalísimo e poderán exercelos as persoas físicas, en tanto titulares dos seus datos persoais sen coste algún.

Os dereitos tamén poderán exercitarse a través de representante, expresamente designado para o exercicio do dereito. Nestes casos, deberá constar claramente acreditada a identidade da persoa interesada e a representación conferida pola mesma.

Os dereitos serán denegados cando  a solicitude sexa formulada por persoa distinta da persoa interesada ou non se acredite a súa representación.

A quen se dirixe a solicitude de exercicio de dereitos

A solicitude se dirixe ao Reitor da Universidade de Vigo que ten a competencia para resolver, sendo a Secretaría Xeral o órgano que tramita o procedemento.

Medios de presentación

Será presentada polos seguintes medios:

Electronicamente
A través da sede electrónica da Universidade de Vigo polo “Procedemento para o exercicio dos dereitos de protección de datos persoais”.

Presencialmente
Mediante solicitude escrita presentada ante a Oficina de Asistencia en materia de Rexistro da Universidade de Vigo ou ante algún dos rexistros ou oficina de correos aos que se refire o artigo 16 da Lei 39/2015, do 1 de outubro, do procedemento administrativo común das administracións públicas. A estes efectos, a persoa interesada poderá descargar e asinar o formulario dispoñible no seguinte enlace:

Documentación

No caso de representación, deberase xuntar á solicitude o documento acreditativo do seu outorgamento e da persoa que o representa.

Cando proceda, aportaranse os documentos acreditativos da petición.
A efectos de comprobación de identidade, será obxecto de consulta por parte da Universidade de Vigo do documento nacional de identidade da persoa interesada ou da persoa representante. No caso de oposición a dita consulta deberá indicarse no recadro correspondente na solicitude e achegar unha copia do documento.

Se a solicitude se realiza presencialmente, débese xuntar unha copia do DNI a efectos de identificación.

Prazo do procedemento

Máximo un mes, a contar desde a recepción da solicitude. En función da complexidade e o número de solicitudes o citado prazo poderá prorrogarse outros dos meses, do cal será informada a persoa interesada.

Efectos

No caso de que a Universidade de Vigo non dea curso á solicitude da persoa interesada, informaraa sen dilación, e a mais tardar transcorrido un mes da recepción da solicitude, das razóns da súa non actuación e da posibilidade de presentar unha reclamación ante a Axencia Española de Protección de Datos.

Transcorrido o prazo sen que de forma expresa se conteste á solicitude, a persoa interesada poderá pórse en contacto coa Delegada de Protección de Datos da Universidade, ou se o estima oportuno, interpoñer unha reclamación ante a Axencia Española de Protección de Datos para que inicie un procedemento de tutela dos seus dereitos.

Dereitos

Dereito de acceso

A persoa interesada terá dereito a obter da Universidade de Vigo confirmación de se están tratando ou non os seus datos persoais, e en tal caso, obter a seguinte información:

  • Unha copia dos seus datos persoais que son obxecto do tratamento.
  • Os fins do tratamento.
  • As categorías de datos persoais que se traten.
  • Os destinatarios ou as categorías de destinatarios aos que se comunicaron ou serán comunicados os datos persoais, en particular, os destinatarios en terceiros países ou organizacións internacionais.
  • Prazo previsto de conservación dos datos persoais, ou se non é posible, os criterios utilizados para determinar este prazo.
  • A existencia do dereito do interesado a solicitar á Universidade de Vigo a rectificación, supresión dos seus datos persoais, a limitación do tratamento dos seus datos persoais ou opoñerse a ese tratamento.
  • Dereito a presentar unha reclamación ante unha autoridade de control.
  • Cando os datos persoais non se obtiveran directamente da persoa interesada, calquera información dispoñible sobre a súa orixe.
  • A existencia de decisións automatizadas, incluída a elaboración de perfís.
  • Cando se transfiran datos persoais a un terceiro país ou a unha organización internacional, o dereito a ser informado das garantías adecuadas polas que se realizan as transferencias.

Dereito de rectificación

A persoa interesada terá dereito a obter da Universidade de Vigo, sen dilación indebida, a rectificación dos datos persoais inexactos que lle concirnan. Na solicitude se deberá indicar os datos concretos e a corrección que hai que realizar. Ademais, cando sexa necesario, deberase aportar a documentación necesaria que xustifique a inexactitude ou o carácter incompleto dos datos.

Dereito de supresión

A persoa interesada terá dereito a obter da Universidade de Vigo, sen dilación indebida, a supresión dos seus datos persoais cando concorran algunhas das seguintes circunstancias:

  • Se os datos persoais xa non son necesarios en relación cos fins para os que foron recollidos ou tratados doutro modo.
  • Se o tratamento dos datos persoais baseouse no consentimento que prestou a persoa interesada á Universidade de Vigo, e retira o mesmo, sempre que o citado tratamento non se basee noutra causa que o lexitime.
  • Se a persoa interesada opúxose ao tratamento dos seus datos persoais co exercicio do dereito de oposición se o tratamento do responsable fundamentábase no interese lexítimo ou no cumprimento dunha misión de interese público, e non prevaleceron outros motivos para lexitimar o tratamento dos seus datos.
  • Se os seus datos persoais foron tratados ilicitamente.
  • Se os seus datos persoais deben suprimirse para o cumprimento dunha obriga legal establecida no Dereito da Unión ou dos estados membros que se aplique ao responsable do tratamento.

Non obstante este dereito non é ilimitado, de tal forma que pode ser factible no proceder á supresión cando o tratamento sexa necesario para o exercicio da liberdade de expresión e información, para o cumprimento dunha obriga legal, para o cumprimento dunha misión realizada en interese público ou no exercicio de poderes públicos conferidos á Universidade de Vigo, por razóns de interese público, no ámbito da saúde pública, con fins de arquivo de interese público, fins de investigación científica ou histórica ou fins estatísticos, ou para a formulación, ou exercicio ou a defensa de reclamacións.

Dereito á limitación do tratamento

A persoa interesada terá dereito a obter da Universidade de Vigo a limitación do tratamento dos datos. O seu exercicio presenta dúas vertentes:

Solicitude de suspensión do tratamento 

  • Cando impugne a exactitude dos datos persoais, durante un prazo que permita ao responsable a súa verificación.
  • Cando se opoña ao tratamento en virtude do artigo 21.1 (en base ao interese lexítimo ou misión de interese público), mentres a Universidade de Vigo verifica se estes motivos prevalecen sobre os da persoa interesada.

Solicitude de conservación dos datos

  • Cando o tratamento sexa ilícito e a persoa interesada opúxose á supresión dos seus datos e no seu lugar solicita a limitación do seu uso.
  • Cando a Universidade xa non necesite os datos persoais para os fins do tratamento pero a persoa interesada os necesite para a formulación, exercicio ou a defensa de reclamacións.

Dereito á portabilidade

Cando o tratamento se efectúa por medios automatizados, a persoa interesada terá dereito a recibir os datos persoais que lle incumban que lle facilitara á Universidade de Vigo, nun formato estruturado, de uso común e lectura mecánica e interoperable, e poderá transmitilos a outro responsable do tratamento sen que o impida a Universidade de Vigo cando o tratamento estea lexitimado no seu consentimento ou no marco da execución dun contrato. 

Dereito de oposición

A persoa interesada terá dereito a opoñerse en calquera momento, por motivos relacionados coa súa situación particular, a que os datos persoais que lle concirnan sexan obxecto dun tratamento baseado no disposto no artigo 6.1 letras e) ou f) (nunha misión de interese público ou en interese lexítimo), incluída a elaboración de perfís. A Universidade de Vigo deixará de tratar os datos salvo que acredite motivos imperiosos que prevalezan sobre os intereses, dereitos e liberdades da persoa interesada, ou para a formulación, o exercicio ou a defensa de reclamacións.

Normativa sobre protección de datos 


Normativa da Universidade de Vigo


Documentos e formularios da Universidade de Vigo

Só o PAS e o PDI  terán acceso aos seguintes modelos no aplicativo Doctas a través da súa secretaría virtual: 

  • Modelo de compromiso de confidencialidade e deber de segredo para persoas usuarias

    Dirixido ás persoas que manteñan unha relación coa Universidade de Vigo, que prestan servizos, realizan prácticas ou outro tipo de actividades nas súas dependencias ou nas dependencias doutras entidades, institucións ou empresas distintas á Universidade de Vigo en virtude dunha relación laboral, o desenvolvemento dun acordo, dun convenio, dunha convocatoria ou dunha disposición legal en calidade de persoa empregada pública, bolseiro/a, contratado/a, estudante ou persoal investigador.
     
  • Modelo de consentimento informado para actividades docentes e/ou investigadoras (incluída a cesión de dereitos de imaxe/voz)  

    Para as actividades investigadoras débeselle solicitar a revisión das cuestións éticas e de protección de datos á Vicerreitoría de Investigación.


Recomendacións da Delegada de Protección de Datos

Só o PAS e o PDI  terán acceso ás seguintes recomendacións no aplicativo Doctas a través da súa secretaría virtual

  • Recomendacións para a redacción, a publicación e o acceso a determinados documentos dos órganos colexiados
  • Recomendacións en materia de protección de datos para o persoal investigador
  • Recomendacións sobre a publicación das cualificacións do estudantado


Documentos de interese


Ligazóns de interese

 

Máis información:

Secretaría Xeral
Edificio Ernestina Otero
As Lagoas, Marcosende, s/n
36310 Vigo
+34 986 813 600
informacion@uvigo.es