Conceptes principals
Conceptes principals
A partir del 25 de maig de 2018, és d'aplicació obligatòria el Reglament (UE) 2016/679, del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la llibre circulació d'aquestes dades, i pel que es deroga la Directiva 95/46/CE (RGPD).
Per tractar les dades personals de què la UAB disposa en exercici de les seves competències i per a l'assoliment de les seves finalitats, d'acord amb els requeriments del RGPD, cal tenir presents els conceptes clau que configuren la protecció de dades.
Dada de caràcter personal: qualsevol informació referida a persones físiques identificades o identificables:
- Nom i cognoms
- DNI, Passaport, NIU o qualsevol altre document identificatiu
- Adreça postal o electrònica
- Edat
- Sexe
- Data de Naixement
- Nacionalitat
- Adreça IP de l'ordinador
- Fotografies
- Veu
- Característiques físiques
- Dades de geolocalització
- Etc...
Categories especials de dades: dades personals que rebel·len informació considerada especialment sensible i mereixedora d'una protecció reforçada:
- Origen ètnic o racial
- Opinions polítiques
- Conviccions religioses o filosòfiques
- Afiliació sindical
- Dades genètiques
- Dades biomètriques
- Dades de salut
- Vida sexual
- Orientació sexual
Dades biomètriques: dades personals referides a característiques físiques, fisiològiques o conductuals d'una persona física que permetin o en confirmin la identificació única, com imatges facials o dades dactiloscòpiques.
Interessat: persona física titular de les dades.
Tractament: qualsevol operació realitzada sobre les dades:
- Recollida
- Registre
- Organització
- Estructuració
- Conservació
- Adaptació
- Modificació
- Extracció
- Consulta
- Ús
- Comunicació per transmissió
- Difusió
- Acarament o comparació
- Interconnexió
- Limitació
- Supressió
Cessió de dades: comunicació d'informació a qualsevol persona diferent de la persona interessada.
Transferència internacional de dades: qualsevol comunicació de dades a destinataris no pertanyents a la Unió Europea.
Elaboració de perfils: qualsevol forma de tractament automatitzat consistent en utilitzar les dades per avaluar determinats aspectes personals d'una persona física, en particular per analitzar o predir aspectes referits al seu comportament professional, situació econòmica, salut, preferències personals, interessos, fiabilitat, comportament personal, ubicació o moviments.
Fitxer: qualsevol conjunt organitzat i estructurat de dades personals.
Responsable del tractament: la persona física o jurídica que, sol o juntament amb d'altres, decideix sobre el contingut i la finalitat de les dades i el seu tractament.
A la UAB s'ha considerat adequat atribuir aquesta condició, amb caràcter general, a les persones titulars de les àrees, serveis, oficines o unitats administratives que gestionen centralitzadament els fitxers de dades. En el cas de les bases de dades lligades a projectes de recerca, el responsable del tractament és habitualment l'investigador principal del projecte.
Encarregat del tractament: persona física o jurídica que tracta dades personals per compte del responsable del fitxer.
Es tracta d'empreses o de persones físiques amb qui la UAB té un contracte o conveni per a la prestació d'un servei o un subministrament, i que, per complir les obligacions contractuals, necessiten accedir a dades personals en fitxers de la UAB.
Consentiment: manifestació de voluntat lliure, específica, informada i inequívoca en virtut de la qual la persona interessada accepta, mitjançant una declaració o una clara acció afirmativa, el tractament de les seves dades personals.
El RGPD elimina el consentiment tàcit, de manera que el silenci de l'interessat no es pot considerar mai com un consentiment.
Per al tractament de dades de categories especials el consentiment ha de ser explícit.
Mesures de seguretat: mesures tècniques i organitzatives que garanteixin la seguretat de les dades, especialment la seva confidencialitat i integritat:
- Relació actualitzada del personal autoritzat i de les funcions assignades en relació amb les dades personals
- Procediment de registre i notificacions de violacions de seguretat
- Procediment de realització de còpies de suport i recuperació de dades
- Procediment d'assignació i de gestió de contrasenyes
- Control i registre d'accessos
- Emmagatzemament inintel·ligible de contrasenyes actives
- Mecanismes que impedeixin l'accés a persones no autoritzades
- Procediment i autorització de sortides de suports
- Xifrat, pseudonimització o anonimització de dades
- Auditories
- Procediments de seguretat en la transmissió electrònica de dades
- Etc...
Violacions de seguretat: qualsevol incident que comporti la destrucció, la pèrdua o alteració accidental o il·lícita de dades personals, així com la comunicació o l'accés no autoritzats.