Conceptos principales
Conceptos generales
La legislación actualmente vigente en materia de protección de datos de carácter pesonal está constituida, esencialmente, por el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), de aplicación obligatoria desde el 25 de mayo de 2018, y por la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (LOPDGDD).
Para el tratamiento de los datos personales a disposición de la UAB para el ejercicio de sus competencias y para la consecución de los fines legítimos determinados de conformidad con el RGPD y la LOPDGDD, hay que tener presentes los conceptos clave que configuran la protección de datos:
Dato de carácter personal: cualquier información referida a personas físicas identificadas o identificables:
- Nombre y apellidos
- DNI, Pasaporte, NIU o cualquier otro documento identificativo
- Dirección postal o electrónica
- Edad
- Sexo
- Fecha de nacimiento
- Nacionalidad
- Identificadores en línea (dirección IP del ordenador)
- Fotografías
- Voz
- Características físicas
- Datos de geolocalización
- Etc...
Categorías especiales de datos: datos personales que rebelen información considerada especialmente sensible y merecedora de una protección reforzada:
- Origen étnico o racial
- Afiliación sindical
- Opiniones políticas
- Convicciones religiosas o filosóficas
- Datos de salud
- Vida sexual
- Orientación sexual
- Datos genéticos
- Datos biométricos
Datos relativos a la salud: cualquier información sobre el estado físico o psíquico de una persona física identificada o identificable, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud.
Datos biométricos: datos personales referidos a características físicas, fisiológicas o conductuales de una persona física identificada o identificable que permitan o confirmen u identidad única, como datos dactiloscópicos, sistemas de reconocimiento facial, etc.
Interesado: persona física titular de los datos.
Tratamiento: cualquier operación realizada sobre los datos:
- Recogida
- Registro
- Organización
- Estructuración
- Conservación
- Adaptación
- Modificación
- Extracción
- Consulta
- Uso
- Comunicación per transmisión
- Difusión
- Cotejo o comparación
- Interconexión
- Limitación
- Supresión
Cesión de datos: comunicación de información a cualquier persona distinta de la persona titular de los datos.
Transferencia internacional de datos: cualquier comunicación de datos a destinatarios no pertenecientes al espacio económico europeo.
Elaboración de perfiles: cualquier forma de tratamiento automatizado que consista en utilizar los datos para evaluar determinados aspectos personales de una persona física, en particular, para analizar o predecir aspectos referidos a su comportamiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento personal, ubicación o movimientos.
Fichero: cualquier conjunto organizado i estructurado de datos personales, independientemente de la modalidad o forma de creación, almacenamiento, organización o acceso.
Responsable del tratamiento: la persona física o jurídica que, solo o juntamente con otras, decide sobre el contenido y las finalidades de los datos y de su tratamiento.
La UAB, como institución, tiene la consideración de responsable de todos los tratamientos llevados a cabo en la Universidad, a los efectos del RGPD. Sin perjuicio de este principio, en la UAB se consideran responsables funcionales del tratamiento a las personas titulares de las áreas, servicios, oficinas o unidades administrativas que gestionan centralizadamente los datos. En los casos de tratamiento de datos personales referidos a proyectos de investigación, el responsable funcional del tratamiento será, por defecto, el investigador principal del proyecto.
Encargado del tratamiento: persona física o jurídica que trata datos personales per cuenta del responsable del tratamiento.
Se trata de empresas o de personas físicas con las que la UAB tiene contrato o convenio para la prestación de algún servicio o el suministro de material, y para cuyo cumplimiento es necesario el acceso del contratista a datos personales ubicados en ficheros de la UAB.
Consentimiento: manifestación de voluntad libre, informada, específica e inequívoca, en virtud de la cual una persona física acepta, mediante una declaración o una clara acción afirmativa, el tratamiento de sus datos personales.
El RGPD elimina el consentimiento tácito, de manera que el silencio o la inacción de la persona interesada no pueden tener nunca la consideración de consentimiento.
Por regla general, el RGPD no exige que el consentimiento sea explícito excepto para el tratamiento de datos de categorías especiales.
Medidas de seguridad: medidas técnicas y organizativas que garanticen la seguridad de los datos, específicamente su confidencialidad, integridad y disponibilidad.
El RGPD elimina las medidas de seguridad tasadas, y deja al criterio del responsable del tratamiento el diseño y la implementación de aquéllas que considere más adecuadas en función de los riesgos del tratamiento.
Las medidas de seguridad para el tratamiento de datos personales pueden ser, entre otras, las siguientes:
- Relación actualizada del personal autorizado y de las funciones asignadas en relación con los tratamientos de datos personales
- Procedimiento de registro y notificación de violaciones de seguridad
- Procedimiento de realización de copias de seguridad y recuperación de datos
- Procedimiento de asignación y gestión de contraseñas
- Control y registro de accesos
- Almacenamiento ininteligible de contraseñas activas
- Mecanismos que impidan el acceso a personas no autorizadas
- Procedimientp y autorización de salidas de soporte
- Cifrado, codificación, seudonimización o anonimización de la información
- Auditorías
- Procedimientos de seguridad en la transmisión electrónica de datos
- Etc...
Seudonimización: cualquier tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.
Violaciones de seguridad: cualquier incidente que conlleve o pueda conllevar la pérdida, la destrucción o la alteración accidental o ilícita de datos personales, así como la comunicación o el acceso no autorizados a datos personales, y, en general, cualquier circunstancia queponga en cuestión la seguridad de la información.