Acuerdo de 5 de marzo de 2020, del Consejo de Gobierno de la Universidad de Oviedo, por el que se aprueba el Reglamento de Protección de Datos Personales de la Universidad de Oviedo.

• Sección: Otras Disposiciones
• Rango de Ley: Acuerdo

Acuerdo de 5 de marzo de 2020, del Consejo de Gobierno de la Universidad de Oviedo, por el que se aprueba el Reglamento de Protección de Datos Personales de la Universidad de Oviedo

Índice

Exposición de motivos

Capítulo I Disposiciones generales. Artículos 1 a 6

Artículo 1 —Objeto.

Artículo 2 —Definiciones.

Artículo 3 —Ámbito de aplicación.

Artículo 4 —Tratamientos de datos personales efectuados por la Universidad de Oviedo.

Artículo 5 —Principios aplicables a los tratamientos de datos personales.

Artículo 6 —Plan de formación.

Capítulo II Actividades de tratamiento. Aspectos generales. Artículos 7 a 11

Artículo 7 —Registro de actividades de tratamiento.

Artículo 8 —Protocolo de recogida de datos personales y cumplimiento del deber de informar.

Artículo 9 —Licitud del tratamiento.

Artículo 10 —Prestación del consentimiento.

Artículo 11 —Revocación del consentimiento, bloqueo y supresión de los datos personales.

Capítulo III Tratamientos específicos. Artículos 12 a 20

Artículo 12 —Tratamiento de categorías especiales de datos personales.

Artículo 13 —Tratamiento de datos personales de estudiantes y personas inscritas en actividades de la Universidad de Oviedo.

Artículo 14 —Tratamiento de datos del Personal Docente e Investigador (PDI) y del Personal de Administración y Servicios (PAS).

Artículo 15 —Tratamiento de datos personales de estudiantes realizados por el profesorado.

Artículo 16 —Tratamiento de datos personales por personal investigador.

Artículo 17 —Publicación de datos personales en procedimientos administrativos

Aspectos generales.

Artículo 18 —Traslado de documentos que contengan datos personales.

Artículo 19 —Publicación de las calificaciones u otros resultados del aprendizaje de los estudiantes.

Artículo 20 —Tratamiento de imágenes por razones de seguridad.

Capítulo IV Cesión y tratamiento de datos personales por cuenta de la Universidad. Artículos 21 a 27

Artículo 21 —Criterio general.

Artículo 22 —Comunicación de datos entre órganos, servicios y unidades de la Universidad de Oviedo.

Artículo 23 —Cesión de datos a terceros.

Artículo 24 —Acceso de los progenitores a los datos académicos de sus hijos.

Artículo 25 —Comunicación de datos de terceros a la Universidad de Oviedo.

Artículo 26 —Transferencia internacional de datos.

Artículo 27 —Tratamiento de datos efectuados por terceros por cuenta de la Universidad de Oviedo

Encargados del tratamiento.

Capítulo V De los derechos de los interesados. Artículos 28 a 34

Artículo 28 —Derechos de los interesados

Artículo 29 —Derecho de acceso.

Artículo 30 —Derecho de rectificación.

Artículo 31 —Derecho de supresión.

Artículo 32 —Derecho a la limitación del tratamiento.

Artículo 33 —Derecho a la portabilidad de los datos.

Artículo 34 —Derecho de oposición.

Artículo. 35.—Derecho a no ser objeto de decisiones individuales automatizadas.

Artículo 36 —Procedimiento de ejercicio de los derechos.

Artículo 37 —Solicitudes.

Artículo 38 —Resolución.

Artículo 39 —Recursos.

Capítulo VI Seguridad y confidencialidad.

Artículo 40 —Política de seguridad.

Artículo 41 —Secreto profesional.

Artículo 42 —Incidencias.

Artículo 43 —Medidas de seguridad.

Artículo 44 —Notificación de violaciones de seguridad de los datos personales.

Artículo 45 —Evaluación de impacto relativa a la protección de datos personales.

Capítulo VII Estructura orgánica.

Artículo 46 —Responsables de los tratamientos.

Artículo 47 —Gestión de la seguridad de la información.

Artículo 48 —Comisión de Transparencia, Buen Gobierno y Protección de Datos.

Artículo 49 —La Secretaría General de la Universidad.

Artículo 50 —Delegado de Protección de Datos.

Disposición adicional

Disposición derogatoria única

Disposiciones Finales

Disposición final 1ª

Disposición final 2ª

Disposición final 3ª

Disposición final 4ª

Exposición de motivos

El derecho a la protección de datos de carácter personal es un derecho fundamental reconocido por la Constitución Española, que otorga a las personas un poder de disposición pleno sobre el uso y destino de sus datos personales.

La evolución y relevancia del tratamiento de datos personales en los últimos años ha exigido la elaboración de un nuevo marco jurídico para su protección. En el ámbito de la Unión Europea, ello se ha traducido en la creación de instrumentos jurídicos de tutela, como el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE. La entrada en vigor del citado Reglamento obligó a modificar la regulación sobre esta materia en nuestro país, con la aprobación de la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos Personales y Garantía de los Derechos Digitales.

El marco jurídico relativo a la protección de datos personales en el ámbito de las Administraciones Públicas se complementa con diversas disposiciones recogidas en la Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno y en la Ley del Principado de Asturias 8/2018, de 14 de diciembre, de Transparencia, Buen Gobierno y Grupos de Interés, norma esta que incluye expresamente a la Universidad de Oviedo en su ámbito de aplicación y le otorga representación institucional en el Consejo de la Transparencia y Buen Gobierno del Principado de Asturias.

Mediante Acuerdo de Consejo de Gobierno de 21 de diciembre de 2007, la Universidad de Oviedo se dotó de un Código de buenas prácticas para la protección de datos, que agrupaba las normas sobre protección de datos de la institución. Ante la evolución normativa posterior, resulta necesario aprobar una norma que la sustituya y que desarrolle la normativa vigente con las particularidades propias de la institución universitaria, adaptando sus procedimientos internos a las exigencias normativas, a las directrices establecidas por la Agencia Española de Protección de Datos y a los criterios de buenas prácticas en materia de protección de datos y transparencia establecidos por la Conferencia de Rectores de Universidades Españolas (CRUE).

El presente Reglamento de Protección de Datos Personales consta de cincuenta artículos, agrupados en siete capítulos, dedicados, respectivamente, a establecer las disposiciones generales sobre la protección de datos personales en la institución; regular las actividades de tratamiento realizadas; fijar las directrices correspondientes para las cesiones de datos y tratamientos por cuenta de terceros; concretar los derechos de los interesados y su forma de ejercicio; disponer las medidas relativas a la seguridad y confidencialidad en el manejo de datos, y, finalmente definir la estructura orgánica encargada de la tutela de estos derechos y la realización de las correspondientes actuaciones preventivas.

Asimismo, mediante su Disposición Final 2.ª, este Reglamento modifica la Comisión de Transparencia y Buen Gobierno regulada en el Reglamento de Transparencia, Acceso a la Información y Buen Gobierno de la Universidad de Oviedo (aprobado por Acuerdo del Consejo de Gobierno de la Universidad de Oviedo, de 20 de diciembre de 2018), dándole una nueva denominación, integrando en ella al Delegado de Protección de Datos y atribuyéndole funciones relativas a la protección de datos.

CAPÍTULO I DISPOSICIONES GENERALES

Artículo 1 —Objeto.

El presente Reglamento regula la protección de datos de carácter personal en el ámbito de la Universidad de Oviedo, dando pleno cumplimiento a la legislación de protección de datos.

Artículo 2 —Definiciones.

1. Datos personales: toda información sobre una persona física identificada o identificable (“el interesado”). Se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como un nombre, un número de identificación, datos de localización, un identificador en línea o elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona, entre otros.

2. Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

3. Limitación del tratamiento: el marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro.

4. Elaboración de perfiles: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación...