Responsables del tractament
Obligacions que s'assumeixen
La Universitat Autònoma de Barcelona (UAB) com institució, és la responsable de tots els tractaments que s'hi duen a terme.
Les persones titulars dels òrgans, àrees o servei, els responsabes d'unitats administratives, els investigadors principals del proyjecets de recerca, o qualsevol membre de la comunitat universitària que gestionen directament les bases de dades tenen la consideració de responsable funcional del tractament, i assumeix davant la UAB les obligacions que la legislació sobre protecció de dades de caràcter personal atribuieix a la figura del responsable del tractament.
Les obligacions principals dels responsables funcionals del tractament són les següents:
1. Tractar les dades de manera lícita, lleial i transparent:
El tractament de dades de caràcter personal només es considera lícit si compleix almenys una de les condicions següents:
- Consentiment de les persones interessades
- Execució d'un contracte en què la persona interessada n'és part
- Compliment d'una obligació legal del responsable del tractament
- Protecció d'interessos vitals per a la persona interessada o per a una altra persona física
- Compliment d'una missió realitzada en interès públic o en l'exercici de poders públics del responsable del tractament
- Satisfacció d'interessos legítims del responsable del tractament o d'una tercera persona
2. Recollir les dades amb finalitats determinades, explícites i legítimes, i no tractar-les ulteriorment de manera incompatible amb aquelles finalitats:
A l'hora de promoure el tractament de dades de caràcter personal s'han de detallat les finalitats per a les quals es durà a terme aquell tractament, i no es poden realitzar tractaments ulteriors incompatibles amb els inicialment declarats.
3. Recollir i tractar exclusivament dades que siguin adequades, pertinents i no excessives en relació amb les finalitats del fitxer:
La verificació d'aquest pressupost s'obté tenint en compte les qüestions següents:
- Les dades a tractar són adequades per a la finalitat del tractament?
- El tractament de les dades és necessari per assolir les finalitats?
- Es poden assolir les mateixes finalitats sense tractar determinades dades?
- El tractament de les dades implica més beneficis que no pas perjudicis per a les persones interessades?
4. Informar les persones interessades, en el moment de recollir les seves dades, de les qüestions següents:
- La identitat i dades de contacte del responsable del tractament
- Les finalitats del tractament
- Els destinataris o categories de destinataris de les dades
- Transferències internacionals de dades
- Termini durant el qual les dades seran conservades, o els criteris per determinar aquell termini
- L'existència o no de decisions automatitzades, inclosa l'elaboració de perfils
- La potestat de les persones interessades d'exercir els seus drets d'accés, rectificació, supressió, oblit, oposició, limitació del tractament i portabilitat, respecte les seves dades personals
- El dret de les persones interessades de presentar reclamació davant l'Autoritat Catalana de Protecció de Dades
- Les dades de contacte del Delegat de Protecció de Dades de la UAB
5. Realitzar l'anàlisi de riscos respecte de les dades de caràcter personal a tractar i, si escau, dur a terme l'avaluació d'impacte dels tractaments:
Prèviament al tractament de les dades, el responsable del tractament ha de definir el flux de les dades personals així com tots els elements que hi intervindran (personal autoritzat, sistemes informàtics, etc...), per tal d'establir les mesures de seguretat i de control que garanteixin els drets de les persones interessades, evitant tractaments no autoritzats o il·lícits, pèrdua d'informació, o destrucció o dany accidental.
6. Realitzar i mantenir el registre de les activitats de tractament:
El responsable del tractament ha de definir i documentar totes les actuacions que durà a terme amb les dades: recollida, registre, organització, estructuració, conservació, adaptació, modificació, extracció, consulta, comunicació per transmissió, difusió o qualsevol altre sistema, comparació, interconnexió, limitació, supressió o destrucció.
7. Realitzar i mantenir el registre de les violacions de seguretat:
El responsable del tractament ha de portar un registre de totes les incidències que puguin comportar la destrucció, la pèrdua o l'alteració accidental o il·lícita de les dades, o la comunicació o els accessos no autoritzats de les dades.
8. Notificar les violacions de seguretat:
El responsable del tractament ha de comunicar de manera immediata al Delegat de Protecció de Dades de la UAB qualsevol incidència o violació de seguretat.
9. Conèixer i controlar la relació actualitzada del personal del seu àmbit que tingui accés autoritzat a les dades:
El responsable del tractament ha de preveure i executar el procediment d'atorgament, revisió i caducitat de les autoritzacions del personal que tindrà accés a les dades, així com l'abast de l'autorització, i mantenir aquesta informació actualitzada.
10. Responsabilitat proactiva:
El responsable del tractament ha d'articular els mecanismes necessaris per estar en condicions d'acreditar que el tractament de dades de caràcter personal es du a terme d'acord amb els requeriments del Reglament Europeu de Protecció de Dades i la resta de les disposicions vigents en la matèria.