Responsables del tratamiento
La UAB, como institución, tiene la consideración de responsable de todos los tratamientos llevados a cabo en la Universidad, a los efectos del RGPD. Sin perjuicio de este principio, en la UAB se consideran responsables funcionales del tratamiento a las personas titulares de las áreas, servicios, oficinas o unidades administrativas o los investigadores principales de proyectos de investigación que deciden sobre el contenido y las finalidades del tratamiento y gestionan centralizadamente los datos. En los casos de tratamiento de datos personales referidos a proyectos de investigación, el responsable funcional del tratamiento será, por defecto, el investigador principal del proyecto.
Los responsables funcionales del tratamiento asumen las obligaciones establecidas en el RGPD y el resto de la legislación vigente en materia de protección de datos.
Las obligaciones principales del responsable del tratamiento son las siguientes:
1. Tratar los datos personales de manera lícita, leal y transparente:
El tratamiento de datos personales sólo se considera lícito si se cumple, al menos, una de las condiciones siguientes:
- Consentimiento de las personas titulares de los datos
- Ejecución de un contrato en que la persona interesada sea parte
- Complimiento de una obligación legal del responsable del tratamiento
- Protección de intereses vitales de la persona interesada o de terceros
- Cumplimiento de una misión realizada en interés público o en ejercicio de competencias públicas del responsable del tratamiento
- Satisfacción de intereses legítimos del responsable del tratamiento o de terceros
2. Recoger y tratar los datos personales con fines determinados, explícitos y legítimos, y no tratarlas posteriormente de manera incompatible con aquellas finalidades:
A la hora de plantarse el tratamiento de datos personales hay que detallar los fines para los cuales se llevará a cabo aquel tratamiento, y no se pueden realizar tratamientos ulteriores para fines incompatibles con los inicialmente previstos.
Se consideran, en todo caso, compatibles, los tratamientos de datos personales para alguno de los fines siguientes:
- Archivo en interés público
- Finalidades de investigación científica
- Finalidades históricas
- Finalidades estadísticas
3. Recoger y tratar exclusivamente aquellos datos personales que sean adecuados, pertinentes y no excesivos en relación con la finalidad perseguida:
La verificación de este presupuesto se obtiene teniendo en cuenta las cuestiones siguientes:
- ¿Los datos objeto de tratamiento son adecuadas para los fines perseguidos
- ¿Existe algún otro sistema menos intrusivo para conseguir los mismos fines
- ¿Se pueden alcanzar los fines previstos sin necesidad de tratar datos personales?
- ¿El tratamiento de los datos personales supone más beneficios que perjuicios para los interesados?
4. Informar a los interesados, en el momento de la recopilación de sus datos personales, de los aspectos siguientes:
- La identidad y los datos de contacto del responsable del tratamiento
- Los fines del tratamiento
- Los destinatarios o categorías de destinatarios de la información, en su caso
- La previsión de realizar transferencias internacionales de datos
- El período de conservación de los datos personales, o criterios para determinar ese plazo
- La existencia o no de decisiones automatizadas, incluida la elaboración de perfiles
- La potestad de las personas titulares de los datos de ejercer sus derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad, respecto de sus datos personales
- El derecho de las personas interesadas de presentar reclamaciones ante la autoridad de control (Autoritat Catalana de Protecció de Dades)
- Los datos de contacto del Delegado de Protección de Datos
5. Realizar un análisis de riesgos respecto de los tratamientos de datos y, en su caso, la evaluación de impacto:
Previamente al tratamiento de datos personales, el responsable del tratamiento tiene que definir el flujo o ciclo de vida de los datos así como los elementos que intervendrán en cada caso (personal autorizado, sistemas informáticos, encargados del tratamiento, etc.), para determinar los riesgos que el tratamiento puede suponer para los derechos y las libertades de los titulares de los datos, y diseñar e implementar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos, evitando el acceso a la información por parte de personas no autorizadas, la pérdida de la información o su destrucción accidental o ilícita.
6. Realizar i mantener el registro de las actividades de tratamiento:
El responsable del tratamiento debe definir y documentar todas las acciones que llevará a cabo con los datos: recopilación, registro, organización, estructuración, conservación, adaptación, modificación, extracción, consulta comunicación por transmisión, difusión o cualquier otro sistema, comparación, interconexión, limitación, supresión o destrucción.
7. Realizar y mantener el registro de las violaciones de seguridad:
El responsable del tratamiento debe llevar un registro de todas las incidencias que pueden comportar la destrucción, la pérdida o la alteración accidental o ilícita de los datos personales, o la comunicación o los accesos no autorizados a los datos.
8. Notificar les violaciones de seguridad:
El responsable del tratamiento debe comunicar de manera inmediata al delegado de protección de datos de la UAB cualquier incidencia o violación de seguridad.
9. Conocer y controlar la relación actualizada del personal de su ámbito que tenga acceso autorizado a los datos:
El responsable del tratamiento tiene que prever y ejecutar el procedimiento de concesión, revisión y caducidad de las autorizaciones del personal que tendrá acceso a los datos, así como el alcance de esa autorización, y mantener la información actualizada.
10. Responsabilitat proactiva:
El responsable del tratamiento debe articular los mecanismos necesarios para estar en condiciones de acreditar que el tratamiento de los datos personales se lleva a cabo de conformidad con los requerimientos del Reglamento Europeo de Protección de Datos y el resto de las disposiciones vigentes en la materia.