L'any 2004 es va crear, per resolució de 8 de març, el fitxer de dades de caràcter personal 'Directori' de la Universitat Pompeu Fabra, que va ser inscrit en el registre de l'Autoritat Catalana de Protecció de Dades (APDCAT).

El mateix any 2004, tenint en compte la multiplicitat de directoris que hi ha a la UPF, es va aprovar la Instrucció que definia els procediments a seguir per als fitxers de directori automatitzats per tal de que s'adeqüessin al fitxer declarat, així com a la Llei 34/2002, d'11 de juliol, de Serveis de la Societat de la Informació i de Comerç Electrònic (LSSI), que exigeix obtenir el consentiment dels afectats per a rebre correus electrònics promocionals i l'obligatorietat d'indicar aquest tipus de missatges.

Atesa la necessitat d'adaptar l'esmentada instrucció al Reial Decret 1720/2007, de 21 de desembre, de desenvolupament de la Llei Orgànica 15/1999, de protecció de dades de caràcter personal, que preveu, per una banda, algunes excepcions a l'aplicació de la Llei a directoris de persones jurídiques i, per l'altra, que fa extensiu el seu àmbit d'aplicació tant als fitxer automatitzats com als no automatitzats.

Atès també que per resolució del rector de 15 de juny de 2011 de modificació de la resolució de data 26 de juny de 2003 de mesures organitzatives sobre la protecció de dades de caràcter personal, s'ha unificat el lloc de l'exercici dels drets d'accés, rectificació, cancel·lació i oposició en el gerent,

 A l'empara de les competències que m'atorga l'article 4 de la suara esmentada resolució, dicto aquesta Instrucció d'obligat compliment per a totes les unitats acadèmiques i administratives que gestionen directoris (mailings)

 

Article 1. Concepte de fitxer directori i àmbit d'aplicació

1. Aquesta instrucció és d'aplicació als directoris de persones físiques registrats en un suport físic que els faci susceptible de tractament i que s'utilitzen per difondre informació, productes i activitats de la Universitat Pompeu Fabra i, si és el cas, de la resta d'entitats del Grup UPF, així com per al manteniment de relacions institucionals.

2. D'acord amb el previst a l'article 2.2 del Reial Decret 1720/2007, pel qual s'aprova el reglament de desplegament de la LOPD no és aplicable la legislació de protecció de dades als tractaments de les dades de persones jurídiques, ni als fitxers que es limiten a incorporar les dades de les persones físiques que hi presten el seus serveis, si només incorporen les dades següents:

 

- Nom i cognoms.
- Funcions o lloc de treball.
- Adreça postal.
- Adreça electrònica.
- Telèfon i número de fax professionals.

 

En el cas que un tractament de dades de persones jurídiques incorpori contempli més dades sobre les persones físiques que hi presten els seus serveis, els serà d'aplicació la Llei i aquesta Instrucció.

3. També queden excloses de la Instrucció les relacions de noms que s'utilitzen com a agenda, amb l'única finalitat de localitzar persones.

 

Article 2. Finalitats del fitxer

Les dades de caràcter personal contingudes en aquest tipus de fitxers únicament es podran utilitzar per difondre informació, productes i activitats de la Universitat Pompeu Fabra i de la resta d'entitats del Grup UPF, així com per al manteniment de relacions institucionals, directori de contactes i arxiu.

 

Article 3. Tipus de dades personals

Aquests fitxers únicament poden contenir els següents tipus de dades de caràcter personal:

- Nom i cognoms de la persona.
- Càrrec.
- Institució/empresa.
- Adreça postal.
- Adreça electrònica.
- Telèfon.
- Fax.
- Sexe.

 

En el cas que un directori contingui més dades o la finalitat sigui una altra que les previstes a l'article 2 d'aquesta Instrucció haurà de ser considerat com un tractament d'un fitxer de dades de caràcter personal ja creat, o ser creat com un nou fitxer i declarat davant l'APDCAT.

 

Article 4. Deure d'informar en la recollida de dades (LOPD)

D'acord amb la LOPD, les persones a les quals se sol·liciten dades personals han de ser prèviament informades de manera expressa, entre d'altres, de l'existència d'un fitxer o del tractament de dades de caràcter personal, de la finalitat de la recollida d'aquestes dades, dels destinataris de la informació, de la identitat i l'adreça del responsable del tractament o del seu representant, així com de la possibilitat d'exercir els drets d'accés, rectificació, cancel·lació i oposició.

Per aquest motiu, es recomana recollir les dades de caràcter personal a través d'un formulari que ompli el mateix interessat.

1. Dades recollides a través d'un formulari:

Quan les dades personals es recullin a través d'un formulari, s'hi ha de fer constar la llegenda següent:

 "Les dades personals facilitades seran incorporades en el fitxer de dades de caràcter personal 'Directori', titularitat de la Universitat Pompeu Fabra, amb la finalitat de difondre informació, productes i activitats de la Universitat. Aquestes dades podran ser cedides amb el consentiment previ de l'interessat, a entitats del grup UPF i en aquells casos en que sigui necessari per al compliment de les obligacions legalment establertes. En qualsevol moment podeu exercir els drets d'accés, rectificació, cancel·lació i oposició mitjançant comunicació escrita, acompanyada d'una fotocòpia del DNI o document equivalent, adreçada a: Gerent. Universitat Pompeu Fabra. Pl. de la Mercè, 12. 08002 - Barcelona."

2. Dades recollides amb anterioritat o mitjançant un altre procediment

Si les dades no es recullen a través d'un formulari omplert per la mateixa persona interessada, o bé si les dades ja s'han recollit en el moment d'implementar el present procediment, cal establir un procediment de comunicació de la llegenda informativa. En aquest cas poseu-vos en contacte amb l'adreça de correu electrònic seguretat.informatica@upf.edu.

 

Article 5. Utilització per a tramesa d'informació procedent d'altres fitxers de dades de caràcter personal titularitat de la UPF

1. En determinades circumstàncies, pot aparèixer la conveniència d'utilitzar informació disponible en altres fitxers de dades de caràcter personal per trametre comunicacions sobre activitats o serveis. Per exemple, utilitzar la informació disponible dels assistents a un congrés que ha tingut lloc (emmagatzemada en el fitxer 'Seminaris i congressos') per enviar informació regular als inscrits o per trametre informació sobre un altre congrés.

Quan aquesta situació es produeixi, només es pot aprofitar la informació disponible quan en el moment de la seva recollida la persona hagi autoritzat explícitament la utilització de les seves dades de caràcter personal per aquesta finalitat. Aquest consentiment es realitzarà mitjançant la utilització d'un paràgraf com el següent:

□ Dono el meu consentiment perquè les meves dades es carreguin en el fitxer Directori de la UPF amb objecte de poder rebre informació sobre la Universitat o sobre els seus productes i activitats.

La casella no podrà estar activada per defecte. Per tal de poder acreditar l'acompliment del deure d'informació cal guardar el paper amb el consentiment o enviar un correu electrònic de benvinguda guardant còpia del mateix, en cas d'utilitzar-se un formulari electrònic.

2. En el moment que s'utilitzi les dades de les persones que han donat el seu consentiment per trametre informació sobre activitats o serveis, s'entendrà que s'està realitzant una difusió d'activitats o serveis de la Universitat, i serà d'aplicació tot allò que aquesta instrucció indica.

 

Article 6. Deure d'informar en la recollida de dades quan es facin comunicacions electròniques d'activitats o serveis (LSSI)

D'acord amb l'article 21 de la Llei de la Societat de la Informació (LSSI), les trameses de comunicacions publicitàries o promocionals per correu electrònic requereixen l'autorització expressa dels destinataris.

En conseqüència, si el fitxer Directori es fa servir per fer comunicacions per correu electrònic de cursos, conferències, etc., o altres tipus d'activitats que tinguin un preu, cal obtenir el consentiment exprés dels interessats (en aquest cas, tant de les persones físiques com de les persones jurídiques) abans de procedir a fer aquest tipus de trameses. Per tal de facilitar l'obtenció del consentiment, es recomana recollir les dades a través d'un formulari que ompli la mateixa persona interessada.

1. Dades recollides a través d'un formulari electrònic

Quan les dades es recullin a través d'un formulari electrònic caldrà afegir una casella desactivada per defecte, que caldrà marcar expressament per tal de donar consentiment per rebre informació promocional per correu electrònic

□ Dono el meu consentiment perquè se m'enviïn correus electrònics promocionals amb l' objecte de rebre informació sobre la Universitat o sobre els seus productes i activitats.

Per tal de poder acreditar l'acompliment del deure d'informació cal enviar un correu electrònic de benvinguda, guardant còpia del mateix, per si més endavant fos necessari.

2. Dades recollides a través d'un formulari en paper

Quan les dades es recullin a través d'un formulari en paper caldrà afegir una casella que l'usuari haurà de marcar expressament per tal de donar el seu consentiment per rebre informació promocional per correu electrònic

□ Dono el meu consentiment perquè se m'enviïn correus electrònics promocionals amb informació sobre .........................................................................................................

Adreça de correu electrònic: ..........................................................................

Signatura:                         ...........................................................................

Data:                       ....................................................................................

Per tal de poder acreditar l'acompliment del deure d'informació cal conservar a l'arxiu de la unitat corresponent els originals del consentiment, per si més endavant fossin necessaris.

3. Dades recollides amb anterioritat o mitjançant un altre procediment

Si les dades no es recullen a través d'un formulari omplert per la mateixa persona interessada, o bé si les dades ja s'han recollit en el moment d'implementar el present procediment, cal establir un procediment de comunicació de la llegenda informativa. En aquest cas poseu-vos en contacte amb l'adreça de correu electrònic seguretat.informatica@upf.edu.

 

Article 7. Forma de les comunicacions electròniques

1. Per tal d'evitar la recuperació de la totalitat del fitxer d'adreces per part d'un tercer, cal que les trameses per correu electrònic es facin en còpia oculta, de manera que cadascun dels destinataris no pugui visualitzar les adreces electròniques de la resta.

2. Cal incloure en les trameses la possibilitat de donar-se de baixa del directori d'una manera senzilla mitjançant un sistema automatitzat, per exemple un enllaç.

3. D'acord amb la Llei, quan es facin comunicacions electròniques d'activitats o serveis que tinguin un preu, cal fer-ho constar al inici del missatge amb la menció "Promoció d'activitats i serveis".

 

Article 8. Drets d'accés, rectificació, cancel·lació i oposició

L'exercici dels drets d'accés, rectificació i cancel·lació s'exercirà davant el gerent de la UPF.

 

Article 9. Actualització de les dades

Les dades de caràcter personal recollides han de ser exactes i degudament actualitzades, de manera que responguin amb veracitat a la situació actual de la persona afectada.

 

Article 10. Cancel·lació de les dades

1. Les dades personals han de ser cancel·lades quan hagin deixat de ser necessàries o pertinents per a la finalitat per a la qual van ser recollides.

2. Les dades no seran conservades de manera que es pugui identificar la persona interessada durant un període superior al necessari per a les finalitats d'acord amb les quals van ser recollides.

 

Article 11. Cessions de dades

Únicament es podran realitzar cessions de les dades a la resta d'entitats del Grup UPF per difondre informació dels seus productes i activitats si els interessats han donat el seu consentiment.

En tot cas, aquestes cessions requereixen l'informe previ de la Secretaria General de la UPF, segons el procediment establert a la instrucció corresponent.

 

Article 12. Mesures de seguretat

Els fitxers directori s'han de guardar en un servidor destinat a aquest efecte. El responsable de la unitat que gestiona el fitxer ha de sol·licitar accés al servidor corresponent enviant un missatge a seguretat.informatica@upf.edu. Les mesures de seguretat que han de complir aquest tipus de fitxers són de caràcter bàsic.

 

Article 13. Disposició derogatòria

Queda sense efecte la instrucció del gerent de 25 de maig de 2004, del procediment a seguir per a la protecció de dades de caràcter personal dels fitxers de directori automatitzats, així com la instrucció del gerent de 25 de maig de 2004, per la qual s'aprova el procediment a seguir per a la protecció de dades de caràcter personal dels fitxers automatitzats de selecció de personal dels Departaments.