Política de privacitat

1. OBJECTE DE LA POLÍTICA

D’acord amb el Reglament (UE) 2016/679 del Parlament Europeu i del Consell Europeu de 27 d’abril de 2016, sobre la protecció de les persones físiques (en endavant, RGPD), pel que respecta al tractament i lliure circulació de dades personals, així com la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (en endavant, LOPDGDD), la Universitat Rovira i Virgili(en endavant, la URV o la Universitat) estableix la seva política de privacitat per informar de manera concisa, transparent, intel·ligible i de fàcil accés sobre la manera com recopila, utilitza i custodia les dades d’aquelles persones que es relacionen amb la Universitat (en endavant, les persones interessades).

Aquesta política de privacitat té per objecte establir la manera en què la Universitat Rovira i Virgili protegeix les dades personals que tracta en les activitats que du a terme i compleix la normativa vigent en aquesta matèria.

No és objecte d’aquesta política regular les mesures de seguretat aplicables a les dades personals tractades per la Universitat. En aquest cas, cal aplicar la política de seguretat de la Universitat establerta l’empara de les directrius fixades pel Reial decret 3/2010, sobre l’esquema nacional de seguretat, el qual, segons el que estableix la LOPDGDD, és també el marc de mesures de seguretat que s’han d’aplicar al tractament de dades personals en l’àmbit de la Universitat.

2. EL REGISTRE DE LES ACTIVITATS DE TRACTAMENT

La URV disposa d’un registre de les activitats de tractament de dades personals, que es publica juntament amb aquesta política de privacitat a la seva seu electrònica (https://seuelectronica.urv.cat/rgpd/).

Amb l’objectiu d’informar la persona interessada o titular de les dades personals sobre el tractament de les seves dades en la relació amb la URV, d’acord amb els articles 13 i 14 de l’RGPD i l’article 11 de la LOPDGDD, la URV ha adoptat un model en què dona a conèixer els aspectes següents:

  • La identificació del responsable del tractament, és a dir, la URV.
  • Les categories de dades tractades i, si no procedeixen directament de la persona interessada, la font d’informació i el canal del qual provenen.
  • La finalitat amb la qual es realitza el tractament.
  • La legitimació en la qual es basa el tractament.
  • L’elaboració de perfils i l’objectiu, si escau.
  • Si és el cas, les persones destinatàries de les cessions de dades, incloent-hi possibles transferències internacionals de dades, així com la finalitat específica de cadascuna d’aquestes cessions.
  • El temps durant el qual la URV conservarà les dades i la motivació.
  • La informació sobre els drets de la persona interessada en l’àmbit del tractament de dades personals realitzat per la URV i la forma i els canals per exercir-los.
  • La informació sobre el dret a presentar una reclamació davant l’Autoritat Catalana de Protecció de Dades i la forma d’exercir-lo.
  • Les mesures de seguretat que la URV adopta per garantir la confidencialitat, integritat, disponibilitat, autenticitat i traçabilitat de les dades personals tractades.
  • El correu electrònic del delegat o delegada de protecció de dades per facilitar un mecanisme senzill de contacte que permeti plantejar qualsevol consulta.

Es pot consultar a la seu electrònica de la URV tota la informació relativa al tractament de dades personals que fa la URV, mitjançant el registre de les activitats de tractament, que inclou per a cada activitat, d’acord amb l’article 30 del RGPD, la informació següent:

  • La denominació de l’activitat també referenciada en la clàusula bàsica, de manera que s’estableixi un vincle entre els dos elements.
  • La finalitat de l’activitat.
  • La base jurídica de l’activitat.
  • Les categories de les persones de qui es tracten dades.
  • Les categories de dades personals tractades.
  • Les cessions de dades personals que es facin a altres entitats.
  • L’objecte de les cessions de dades.
  • Les transferències internacionals de dades personals que es facin a països fora de l’espai econòmic europeu.
  • El període de conservació de les dades.

Aquest registre de les activitats de tractament també recull el tractament de dades d’aquelles activitats que la Universitat realitzi per compte d’un tercer sota les seves directrius i utilitzant els seus mitjans, és a dir, actuant com a encarregada de tractament.

Finalment, el registre de les activitats de tractament ha de permetre accedir a la clàusula informativa sobre cada tractament.

3. CARACTERÍSTIQUES COMUNES DEL TRACTAMENT DE DADES PERSONALS A LA UNIVERSITAT ROVIRA I VIRGILI

A continuació es determina l’aplicació general a qualsevol tractament de dades personals i s’identifiquen les particularitats de cada tractament que s’han de consultar al registre de les activitats del tractament i la clàusula informativa definida per a cada tractament segons allò expressat a l’apartat anterior.

3.1. Responsable del tractament

Qualsevol persona que faciliti a la URV dades personals en línia o de forma presencial ha de ser informada que la URV, amb número de NIF Q9350003A i amb adreça postal al carrer de l’Escorxador, s/n, 43003, Tarragona i adreça electrònica info@ urv.cat, tracta les seves dades.

3.2. Delegat o delegada de protecció de dades

El delegat o delegada de protecció de dades (DPD) vetlla perquè en l’àmbit de la URV es protegeixin les dades personals com un dels drets i les llibertats fonamentals de les persones físiques.

L’adreça electrònica per contactar amb el DPD és dpd@urv.cat, l’adreça postal és carrer Escorxador, s/n, 43003 de Tarragona i el telèfon 977559761 o 977558255.

Les dades actualitzades del delegat o delegada de protecció de dades (DPD) es poden consultar al registre de delegats de protecció de dades publicat per l’Autoritat Catalana de Protecció de Dades, a la pàgina web https://apdcat.gencat.cat/, a l’apartat “Consulta de delegats de protecció de dades”.

3.3. Legitimació per al tractament de dades

La URV habitualment tracta dades personals amb alguna de les legitimacions següents:

  • El compliment d’una obligació legal, segons l’article 6.1.c) de l’RGPD.
  • La missió d’interès públic o exercici de poders públics, segons l’article 6.1.e) de l’RGPD.
  • L’execució d’un contracte, segons l’article 6.1.b) de l’RGPD.
  • El consentiment de la persona interessada, segons l’article 6.1.f) de l’RGPD.

La URV és una entitat universitària del sector públic i, per tant, el tractament de dades personals majoritàriament pot ser necessari per complir l’obligació legal de la prestació de servei públic d’educació superior, l’execució d’investigació o l’extensió universitària, entre d’altres. Així, doncs, amb caràcter general, la URV està legitimada per tractar dades personals d’acord amb el que disposa l’article 6.1.c) del Reglament general de protecció de dades, és a dir, quan el tractament és necessari per complir una obligació legal.

En particular i sense ànim limitador, la legitimació del tractament de dades personals basat en l’obligació legal pot estar establerta segons el que disposen la Llei orgànica 6/2001, de 21 de desembre, d’universitats; la Llei 1/2003, de 19 de febrer, d’universitats de Catalunya; la Llei 39/2015, d’1 d’octubre, del procediment administratiu comú; la Llei 40/2015, d’1 d’octubre, de règim jurídic del sector públic; la Llei 14/2011, d’1 de juny, de la ciència, la tecnologia i la innovació; el Reial decret legislatiu 8/2015, de 30 d’octubre, pel qual s’aprova el text refós de la Llei general de la seguretat social; la Llei 58/2003, de 17 de desembre, general tributària, i la Llei 38/2003, de 17 de novembre, general de subvencions.

D’altra banda, el tractament de dades personals que fa la Universitat pot estar legitimat per l’exercici dels poders públics, com expressament assenyala l’article 6.1.e) del Reglament, que li han estat conferits en virtut del que estableixen la Llei orgànica 6/2001, d’Universitats; l’Estatut de la URV, aprovat per l’Acord GOV/23/2012, de 27 de març, i la resta de normativa vinculada aplicable.

En aquest àmbit, la URV estaria legitimada per al tractament de dades de caràcter personal per executar una missió d’interès públic o en exercici de poders públics, per exemple, per al manteniment correcte de les relacions entre els membres de la comunitat universitària i la URV, tant en l’àmbit acadèmic com en d’altres, per exemple, l’impuls de les activitats de recerca o la promoció de les activitats culturals i esportives en el seu àmbit d’influència.

Addicionalment, en missió de l’interès públic o l’exercici de poders públics, les dades es poden utilitzar amb fins educatius i promocionals de l’activitat acadèmica i investigadora de la URV. En aquest àmbit, tal com assenyala la Llei orgànica 4/2007, per la qual es modifica la Llei orgànica 6/2001, d’universitats, a la disposició addicional 21a no cal el consentiment del personal de les universitats per publicar els resultats dels processos d’avaluació de la seva activitat docent, investigadora i gestora realitzats per la Universitat o per les agències o institucions públiques d’avaluació.

D’altra banda, es preveu com a legitimació habitual del tractament de dades realitzat per la Universitat el que preveu l’article 6.1.b) de l’RGPD, quan el tractament sigui necessari per executar un contracte en el qual la persona interessada sigui part o existeixin disposicions precontractuals.

En canvi, serà necessari el consentiment de la persona interessada, segons l’article 6.1.f) de l’RGPD, quan el tractament de les dades personals no estigui emparat en alguna de les causes anteriorment esmentades. En aquest cas, les persones interessades podran retirar el consentiment en qualsevol moment.

Finalment, la URV es reserva la possibilitat d’utilitzar, sempre justificada adequadament, la legitimació del tractament basada en l’interès legítim de la Universitat, sempre que sobre aquests interessos no prevalguin els interessos o els drets i les llibertats fonamentals de la persona interessada que requereixin la protecció de dades personals.

El registre de les activitats de tractament ha de detallar la legitimació del tractament per a cada activitat.

3.4. Finalitats del tractament de dades

Tal com s’ha indicat a l’apartat anterior, es recull la informació personal perquè és necessària per prestar el servei d’educació superior que té encomanada la Universitat a través de la Llei orgànica 6/2001, de 21 de desembre, d’universitats, i la resta de normativa que li sigui aplicable.

També, en el cas del personal de la Universitat, el tractament de les dades personals és necessari per mantenir les relacions laborals i complir les normes legals reguladores de la matèria.

Addicionalment, les dades sobre l’activitat investigadora del personal docent i investigador es poden utilitzar per complir amb la funció que atribueix a la Universitat la Llei orgànica 6/2001, d’Universitats, de difusió, valorització i transferència del coneixement al servei de la cultura, de la qualitat de la vida i del desenvolupament econòmic. També es poden difondre d’acord amb la Llei 19/2014, de transparència, accés a la informació pública i bon govern.

En el cas dels tractaments generats amb les dades de caràcter personal subministrades pels usuaris dels portals web pertanyents a la URV, la recollida i tractament automatitzat de les dades personals té com a finalitat la gestió, prestació, ampliació i millora dels serveis sol·licitats en cada moment per l’usuari i el seguiment de les consultes plantejades pels usuaris. A través del lloc web de la URV no es demanaran dades personals dels usuaris sense el seu coneixement, ni es lliuraran a tercers excepte obligació legal. Addicionalment, es mostrarà a la persona interessada els termes relacionats amb la informació de protecció de dades personals o clàusula informativa.

Al registre de les activitats de tractament es pot consultar la finalitat concreta per a cadascun dels tractaments de dades.

3.5. Procedència de les dades personals

En general les dades personals tractades per la Universitat procedeixen directament de la persona interessada. En el cas que provinguin de fonts diferents de la persona interessada, s’ha d’indicar la font d’on s’ha obtingut la informació al registre de les activitats de tractament i a la clàusula informativa.

3.6. Mesures de seguretat

La URV es responsabilitza d’aplicar les mesures de seguretat i altres obligacions derivades de la legislació de protecció de dades de caràcter personal d’acord amb l’esquema nacional de seguretat (ENS), regulat segons el Reial decret 3/2010.

Per això, la URV s’ha dotat d’una política de seguretat de la informació, aprovada pel Consell de Govern, que es pot consultar a la pàgina web, a l’apartat “Normativa pròpia”.

Si és el cas, a la clàusula informativa, s’han d’indicar les mesures addicionals que es puguin aplicar a un tractament específic més enllà de les pròpies previstes per l’ENS.

3.7. Comunicacions de dades personals

Les dades no es cedeixen a tercers, tret que fer-ho sigui obligació legal o es disposi del consentiment de la persona interessada.

En cas que, en el marc dels tractaments de dades personals la URV cedeixi dades a terceres persones, ha de quedar recollit en el registre de les activitats de tractament i en la clàusula informativa del tractament aquella informació que caracteritzi l’objecte de la cessió i els destinataris.

En el cas que hi hagi una cessió internacional de dades, s’ha de regir pel que disposen l’RGPD, la LOPDGDD i les normes de desenvolupament aprovades pel Govern en les circulars i la doctrina de l’Autoritat Catalana de Protecció de Dades i de l’Agència Espanyola de Protecció de Dades, en l’àmbit de les respectives competències. S’han d’aplicar les mesures de seguretat adequades per garantir un nivell de seguretat de les dades equiparable a l’aplicat en el territori europeu.

3.8. Període de conservació de dades

Les dades personals de les quals és responsable la Universitat s’han de conservar durant el temps necessari per complir amb les obligacions legals i d’acord amb les taules d’accés i avaluació documental o, en cas de tractament subjecte al consentiment de la persona interessada, quan en sol·liciti la revocació i estigui legitimada per això.

Es pot consultar aquesta informació per a cada tractament de dades personals en el registre de les activitats de tractament, així com en la clàusula informativa sobre el tractament.

3.9. Drets de les persones interessades

Les persones interessades titulars de les dades personals poden exercir qualsevol d’aquests drets legalment previstos:

  • Dret d’accés, és a dir, consultar i obtenir una còpia de les dades personals objecte de tractament, sempre que siguin emmagatzemades en els sistemes d’informació de la Universitat.
  • Dret a la rectificació de les dades personals quan siguin inexactes i es justifiqui adequadament tant la inexactitud com les noves dades.
  • Dret a la supressió de dades, que consisteix en el dret a l’eliminació de determinades dades, sempre que no hi hagi una obligació legal que ho impedeixi.
  • Dret d’oposició, és a dir, el fet que no es tractin les seves dades personals per a determinades finalitats.
  • Dret a l’oblit, que consisteix en l’eliminació de totes les dades personals que la Universitat custodia, sempre que no hi hagi una obligació legal que ho impedeixi.
  • Dret a la limitació del tractament, el qual suposa que, a petició de la persona interessada, no s’han d’aplicar a les seves dades personals les operacions de tractament que en cada cas correspondrien. Aquest dret només es pot sol·licitar en alguns supòsits:
  • Mentre es comprova la impugnació de l’exactitud de les dades.
  • Quan el tractament és il·lícit, però la persona interessada s’oposa a la supressió de les seves dades.
  • Quan la Universitat no necessiti tractar les dades, però la persona interessada necessiti que siguin mantingudes per a l’exercici o la defensa de reclamacions.
  • Quan la persona interessada s’hagi oposat al tractament de les seves dades per a l’acompliment d’una missió d’interès públic o per a la satisfacció d’un interès legítim, mentre es verifica si els motius legítims per al tractament prevalen per davant dels de la persona interessada.
  • Dret a la portabilitat, que implica una forma avançada del dret d’accés pel qual la còpia que es proporciona a la persona interessada ha d’oferir-se en un format estructurat, d’ús comú i lectura mecànicaque li permeti aportar-la a un altre responsable del tractament i a aquest, incorporar-la als seus sistemes d’informació.
  • Dret a oposar-se a l’elaboració de perfils, que permet a la persona interessada negar-se al fet que, a partir de les dades personals que hagi facilitat a la Universitat, s’elaborin perfils als quals es pugui enviar informació que es consideri del seu interès d’acord amb el seu perfil, ja sigui de manera manual o automàtica.
  • Dret a presentar una reclamació davant l’autoritat de control en matèria de protecció de dades més propera, si considera que hi ha hagut un abús en el tractament de les seves dades personals. A Catalunya, en el cas de les universitats públiques i privades que integren el sistema universitari català, com és el cas de la URV, correspon a l’Autoritat Catalana de Protecció de Dades el funcionament de la qual queda regulat per la Llei 32/2010, de l’1 d’octubre, de l’Autoritat Catalana de Protecció de Dades.

3.10. Exercici dels drets de les persones interessades

La persona interessada pot exercir els seus drets presencialment, mitjançant una comunicació escrita adjuntant una fotocòpia del DNI, al Registre General de la URV o bé telemàticament segons allò indicat a la seu electrònica en l’enllaç següent: https://seuelectronica.urv.cat/registre.html.

Així mateix, pot sol·licitar informació relacionada amb la protecció de dades personals mitjançant un correu electrònic dirigit a delegat o delegada de protecció de dades a l’adreça dpd@urv.cat.

4. ENTRADA EN VIGOR I PUBLICACIÓ DE LA POLÍTICA DE PRIVACITAT

Aquesta política de privacitat serà efectiva des de l’endemà que es publiqui a al FOU. També s’ha de publicar a la seu electrònica de la Universitat https://seuelectronica.urv.cat/rgpd/.

5. ANNEX. GLOSSARI DE TERMES

A continuació es defineixen un conjunt de termes relacionats amb la protecció de dades personals per facilitar la comprensió d’aquest document:

  • Activitat del tractament: qualsevol operació o conjunt d’operacions realitzades sobre dades personals o conjunts de dades personals per procediments automatitzats o no, com la recollida, organització, conservació, adaptació o modificació, extracció, consulta, utilització, difusió, supressió o destrucció.
  • Autenticitat: propietat o característica consistent en el fet que una entitat és qui diu ser o bé es garanteix la font de la qual prové la informació o el servei.
  • Cessió de dades: tota comunicació de dades que fa la persona responsable del tractament i/o l’encarregada del tractament a una altra diferent de la persona interessada.
  • Consentiment de la persona interessada: tota manifestació de voluntat lliure, específica, informada i inequívoca per la qual la persona interessada accepta, mitjançant una declaració o una clara acció afirmativa, el tractament de dades personals que la concerneixen.
  • Confidencialitat: propietat o característica consistent en el fet que la informació no és posada a disposició ni revelada a individus, entitats o processos no autoritzats o que no necessiten conèixer-la.
  • Dades personals: tota informació sobre una persona física identificada o identificable (corresponent al terme persona interessada). Així, per exemple, el nom i cognoms, el DNI o una fotografia són considerats dades personals i altra informació a partir de la qual es pugui identificar una persona també com ara l’adreça IP des de la qual ha accedit a un sistema d’informació.
  • Delegat de protecció de dades (DPD): figura que s’encarrega de coordinar i garantir el compliment de la normativa de protecció de dades. Les seves funcions són:
  • Informar i assessorar el responsable del tractament, l’encarregat del tractament i el personal en les obligacions de la protecció de dades.
  • Supervisar el compliment de la normativa de protecció de dades.
  • Cooperar amb l’Autoritat de Protecció de Dades.
  • Destinatari: persona física o jurídica, autoritat pública, servei o un altre organisme a qui un responsable del tractament comunica dades personals .
  • Disponibilitat: propietat o característica consistent en el fet que les entitats o processos autoritzats tenen accés a la informació quan ho requereixen.
  • Elaboració de perfils: tota forma de tractament automatitzat de dades personals consistent a utilitzar dades personals per avaluar determinats aspectes d’una persona física.
  • Encarregat del tractament: persona física o jurídica, autoritat pública, servei o un altre organisme que tracta dades personals per compte del responsable del tractament.
  • Integritat: propietat o característica consistent en el fet que la informació no ha estat modificada de forma no autoritzada.
  • Persona interessada: persona física identificada o identificable. Es considera persona física identificable tota persona la identitat de la qual es pugui conèixer, directament o indirectament, a partir de determinada informació.
  • Legitimació del tractament: motivació per la qual un tractament de dades personals és conforme a la normativa de protecció de dades personals.
  • Mesures de seguretat: accions encaminades a protegir les dades davant de danys accidentals o deliberats que puguin afectar la confidencialitat, disponibilitat, integritat, autenticitat i traçabilitat de la informació tractada o de les activitats realitzades amb les dades.
  • Política de seguretat: document que estableix les directrius aplicades en matèria de seguretat de la informació.
  • Registre de les activitats de tractament: registre on es recullen el conjunt d’activitats realitzades en l’àmbit de la Universitat en què es fa un tractament de dades personals.
  • Responsable del tractament: persona física o jurídica, autoritat pública, servei o un altre organisme que, sol o juntament amb altres, determina les finalitats i mitjans del tractament. En el marc de la present política de privacitat, la Universitat Rovira i Virgili.
  • Traçabilitat: propietat o característica consistent en el fet que les accions d’una entitat li poden ser imputades exclusivament i es poden identificar i reconstruir adequadament les accions que s’han fet sobre la informació o el servei.
  • Transferència internacional de dades: tractament de dades que en suposa la transmissió fora del territori de l’espai econòmic europeu. Es pot produir en forma de cessió o comunicació de dades, o pot tenir per objecte la realització d’un tractament de dades per compte del responsable del fitxer establert en territori espanyol.