Per resolució de 8 de març del 2004 es va crear el fitxer de dades de caràcter personal "Projectes de recerca, desenvolupament i innovació" de la Universitat Pompeu Fabra, el qual està inscrit en l'Autoritat Catalana de Protecció de Dades (APDCAT).

El mateix any 2004 es va aprovar la instrucció del gerent de la Universitat que definia els procediments a seguir per a la protecció de dades de caràcter personal del fitxer de projectes de recerca, desenvolupament i innovació del personal acadèmic.

Atesa la necessitat d'adaptar l'esmentada Instrucció al Reial Decret 1720/2007, de 21 de desembre, de desenvolupament de la Llei Orgànica 15/1999, de protecció de dades de caràcter personal, que, entre d'altres temes, fa extensiu el seu àmbit d'aplicació tant als fitxer automatitzats com als no automatitzats.

Atès també que per resolució del rector de 15 de juny de 2011 de modificació de la resolució de data 26 de juny de 2003 de mesures organitzatives sobre la protecció de dades de caràcter personal, s'ha unificat el lloc de l'exercici dels drets d'accés, rectificació, cancel·lació i oposició en el gerent,

 A l'empara de les competències que m'atorga l'article 4 de la suara esmentada resolució, dicto aquesta Instrucció d'obligat compliment per a tot el personal acadèmic que porta a terme projectes de recerca, desenvolupament i innovació que inclouen dades de caràcter personal susceptibles de ser tractades.

 

Article 1. Concepte de fitxer de recerca, desenvolupament i innovació del personal acadèmic

1. És el conjunt organitzat de dades de caràcter personal manual o automatitzat, ja sigui temporal o no, creat per personal acadèmic per portar a terme estudis, treballs o projectes de recerca, desenvolupament i innovació.

Es considera fitxer manual tot conjunt no automatitzat de dades organitzades d'acord amb un criteri que permeti localitzar persones físiques.

2. Prèviament a la creació d'un fitxer sotmès a la Llei Orgànica de Protecció de Dades de Caràcter Personal cal valorar la necessitat de registrar les dades personals de manera que es puguin relacionar amb persones identificades o identificables. En el cas que les dades es registrin de forma dissociada, és a dir, sense que sigui possible conèixer a quina persona pertanyen, no serà necessari aplicar el present procediment.

3. Quan un investigador precisi recollir dades de caràcter personal per a dur a terme un projecte de recerca s'entendrà que aquestes dades formen part d'un tractament dins del fitxer "Projectes de recerca, desenvolupament i innovació", i serà aplicable tot l'indicat en aquesta resolució.  Caldrà, a més, que l'investigador principal (PI) del projecte es posi en contacte amb l'adreça de correu electrònic seguretat.informatica@upf.edu per tal que el tractament es pugui registrar en el Document de Seguretat de la Universitat.

4. En cas que la complexitat del tractament ho requereixi, es podran crear fitxers específics per a determinades unitats, grups o projectes de recerca.

 

Article 2. Finalitats del fitxer

Les dades de caràcter personal contingudes en aquest tipus de fitxer únicament es podran utilitzar per portar a terme el projecte de recerca o estudi corresponent i no es podran utilitzar per a finalitats  diferents d'aquelles per a les quals van ser recollides.

 

Article 3. Tipus de dades personals

Són dades de caràcter personal qualsevol informació relativa a persones físiques identificades o identificables, incloent la veu i la imatge.

Aquest tipus de fitxers únicament poden contenir les dades de caràcter personal que siguin adequades, pertinents i no excessives en relació amb l'àmbit i la finalitat determinada, explícita i legítima per als quals s'han obtingut. Només es podran recollir els següents tipus de dades

  • Dades especialment protegides:
    • Ideologia.
    • Religió.
    • Afiliació sindical.
    • Creences.
  • Altres dades especialment protegides:
  • Origen racial o ètnic.
  • Salut.
  • Vida sexual.
  • DNI o NIF.
  • Número SS o mutualitats.
  • Nom i cognoms.
  • Adreça postal o electrònica.
  • Telèfon.
  • Signatura o empremta.
  • Imatge i veu.
  • Número de registre personal.
  • Marques físiques.
  • Signatura electrònica.
  • Altres: dades biomètriques (imatge de l'iris, imatge de les empremtes dactilars, imatges de la mà. Altres dades biomètriques).
  • Estat civil.
  • Dades familiars.
  • Data de naixement.
  • Lloc de naixement.
  • Edat.
  • Sexe.
  • Nacionalitat.
  • Característiques físiques.
  • Llengua materna.
  • Altres: coneixement d'altres llengües.
  • Allotjament o habitatge.
  • Situació militar.
  • Propietats o possessions.
  • Aficions i estils de vida.
  • Pertinença a clubs i associacions.
  • Llicències, permisos.
  • Formació i titulacions.
  • Historial acadèmic.
  • Experiència professional.
  • Col·legis o associacions professionals.
  • Cos, escala.
  • Categoria, grau.
  • Llocs de treball.
  • Dades no econòmiques de nòmina.
  • Historial laboral.
  • Activitats i negocis.
  • Llicències comercials.
  • Subscripcions a publicacions.
  • Creacions artístiques, científiques.
  • Ingressos, rendes.
  • Inversions, patrimoni.
  • Crèdits, préstecs, avals.
  • Dades bancàries.
  • Assegurances.
  • Dades de nòmina.
  • Impostos, deduccions.
  • Plans de pensió, jubilació.
  • Hipoteques.
  • Subsidis, beneficis.
  • Historial, crèdits.
  • Targetes de crèdit.
  • Béns subministrats.
  • Béns rebuts.
  • Transaccions financeres.
  • Compensacions, indemnitzacions.
  • Dades de caràcter identificatiu:
  • Dades de característiques personals:
  • Dades socials:
  • Dades acadèmiques:
  • Dades d'ocupació:
  • Dades d'informació comercial:
  • Dades financeres:
  • Dades de transaccions:
 

Article 4. Deure d'informar en la recollida de dades

Les persones a les quals se sol·liciten dades personals han de ser prèviament informades de manera expressa, entre d'altres, de l'existència d'un fitxer o del tractament de dades de caràcter personal, de la finalitat de la recollida d'aquestes dades, dels destinataris de la informació, de la identitat i l'adreça del responsable del tractament o del seu representant, així com de la possibilitat d'exercir els drets d'accés, rectificació, cancel·lació i oposició.

Per aquest motiu, es recomana recollir les dades de caràcter personal a través d'un formulari que ompli el mateix interessat.

1. Dades recollides a través d'un formulari

Quan les dades personals es recullin a través d'un formulari, s'hi ha de fer constar la llegenda següent:

 "Les dades personals facilitades seran incorporades en el fitxer de dades de caràcter personal 'Projectes de recerca, desenvolupament i innovació', titularitat de la Universitat Pompeu Fabra, amb la finalitat de portar a terme estudis, treballs o projectes de recerca. Aquestes dades podran ser cedides amb el consentiment previ de l'interessat, a entitats que col·laborin en el desenvolupament de l'activitat i en aquells casos en què sigui necessari per al compliment de les obligacions legalment establertes. En qualsevol moment podeu exercir els drets d'accés, rectificació, cancel·lació i oposició mitjançant comunicació escrita, acompanyada d'una fotocòpia del DNI o document equivalent, adreçada a: Gerent. Universitat Pompeu Fabra. Pl. de la Mercè, 12. 08002 - Barcelona."

2.  Dades recollides amb anterioritat, o mitjançant un altre procediment

Si les dades no es recullen a través d'un formulari omplert per la mateixa persona interessada, o bé si les dades ja s'han recollit en el moment d'implementar el present procediment, cal establir un procediment de comunicació de la llegenda informativa. En aquest cas poseu-vos en contacte amb l'adreça de correu electrònic seguretat.informatica@upf.edu.

 

Article 5. Deure d'informar i obtenció del consentiment previ en la recollida de dades especialment protegides

A més del deure d'informació general establert a la LOPD, les dades relatives a ideologia, afiliació sindical, religió, creences, origen racial, salut o vida sexual es consideren especialment protegides i per tal de poder-les tractar cal obtenir el consentiment per escrit de l'interessat.

Per aquest motiu, es recomana recollir les dades de caràcter personal a través d'un formulari que ompli i signi el mateix interessat:

□ Dono el meu consentiment per al tractament de les meves dades de caràcter personal relatives a TIPUS

Nom de la persona interessada: ....................................................

Signatura:                          .........................................................

Data:                                .........................................................

TIPUS: especificar el tipus de dades que es recullen:

 

- Ideologia
- Religió
- Afiliació sindical
- Creences
- Origen racial o ètnic
- Salut
- Vida sexual

 

Cal recordar que la Llei prohibeix els fitxers creats amb la finalitat exclusiva d'emmagatzemar dades de caràcter personal que revelin la ideologia, l'afiliació sindical, la religió, les creences, l'origen racial o ètnic, o la vida sexual.

Quan es reculli el consentiment d'una persona per a tractar les seves dades d'ideologia, religió o creences, s'inclourà a la llegenda anterior la següent menció:

 "D'acord amb l'article 7.1 de la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal, es recorda el dret a no prestar el consentiment per al tractament de les dades relatives a ideologia, religió o creences."

Els fitxers que inclouen dades d'assaigs clínics hauran de tenir en compte el Reial Decret 223/2004, de 6 de febrer, que regula els requisits per a la realització d'assaigs clínics. Aquest Reial Decret està pensat des del punt de vista mèdic (informació sobre els riscos, etc.), no sobre els aspectes relacionats amb la LOPD. En conseqüència, en cas d'assaigs clínics, caldrà complementar la informació continguda en l'esmentat Reial Decret amb la d'aquesta Instrucció.

Aquests formularis signats pels interessats s'hauran de conservar a l'expedient corresponent.

 

Article 6. Recollida de dades relatives a la comissió d'infraccions penals o administratives

La Llei no permet recollir dades relatives a la comissió d'infraccions penals o administratives, que només es poden incloure en fitxers de les Administracions públiques competents en els supòsits previstos a les respectives normes reguladores.

 

Article 7. Drets d'accés, rectificació, cancel·lació i oposició

L'exercici dels drets d'accés, rectificació, cancel·lació i oposició s'exercirà davant el gerent de la UPF.

 

Article 8. Actualització de les dades

Les dades de caràcter personal recollides han de ser exactes i degudament actualitzades, de manera que responguin amb veracitat a la situació actual de la persona afectada.

 

Article 9. Cancel·lació de les dades

1. Les dades personals han de ser cancel·lades quan hagin deixat de ser necessàries o pertinents per a la finalitat per a la qual van ser recollides.

2. Les dades no seran conservades de manera que es pugui identificar la persona interessada durant un període superior al necessari per a les finalitats d'acord amb les quals van ser recollides.

 

Article 10. Cessions de dades

Només es podran fer cessions a entitats que col·laboren en el desenvolupament de l'activitat de recerca o a altres entitats quan existeixi consentiment dels interessats.

Les dades es podran comunicar a entitats per a finalitats històriques, estadístiques o científiques si es compleixen els requisits subjectius i objectius de l'article 21 LOPD.

En tot cas, aquestes cessions o les comunicacions de l'article 21 LOPD requereixen l'informe previ de la Secretaria General de la UPF, segons el procediment establert a la instrucció corresponent.

 

Article 11. Accés a les dades per part de tercers

Quan sigui necessari l'accés d'un tercer (persona jurídica diferent de la UPF o persona física que no pertany a la comunitat universitària de la UPF) a les dades contingudes al fitxer per a la prestació d'un servei a la UPF, serà necessari regular aquest accés a través de la signatura d'un contracte entre la UPF i aquest tercer. En cas necessari poseu-vos en contacte amb l'adreça de correu electrònic seguretat.informatica@upf.edu per tal d'establir els procediments a l'efecte.

 

Article 12. Mesures de seguretat

1. Fitxers i tractaments automatitzats

Els fitxers de recerca, desenvolupament i innovació del personal acadèmic s'han de guardar en un servidor destinat a aquest efecte. L'Investigador Principal del projecte ha de sol·licitar accés al servidor corresponent enviant un missatge a seguretat.informatica@upf.edu.

Es recomana codificar les dades, els noms dels fitxers, les carpetes que contenen els fitxers, etc. per tal de dificultar-ne el coneixement en cas d'un accés no autoritzat. La codificació de les dades, però, no eximeix de prendre les mesures de seguretat adients en cada cas.

Les mesures de seguretat que han de complir aquest tipus de fitxers són, com a mínim, les de caràcter bàsic. Si el fitxer conté un conjunt de dades de caràcter personal suficients que permetin obtenir una avaluació de la personalitat de l'individu, s'hauran de complir a més les mesures de seguretat de nivell mitjà. I, en el cas que es recullin dades relatives a ideologia, religió, creences, origen racial, salut o vida sexual s'hauran de complir, a més de les mesures de seguretat nivell bàsic i mitjà, les qualificades de nivell alt.

2. Fitxers i tractaments no automatitzats

Per als fitxers manuals també cal establir mesures de seguretat. A aquests efectes es recomana codificar la identificació de les persones a qui corresponen les dades contingudes en dossiers, carpetes, mostres, cassets, vídeos, etc. per tal de garantir-ne la confidencialitat. El material on es troben registrades les dades s'ha de guardar sota clau o un altre sistema que permeti assegurar que només hi tenen accés les persones autoritzades, sota la responsabilitat del professor responsable del projecte.

La codificació de la identitat de les persones afectades és especialment rellevant quan les dades, per qüestions organitzatives, s'han de guardar en espais on hi tenen accés investigadors o altre personal aliè al projecte en qüestió (per exemple, mostres de sang que es guarden en frigorífics als quals tenen accés diferents equips d'investigació).

Aquestes són mesures mínimes de seguretat que cal adoptar per aquest tipus de fitxers, mesures que poden ser completades en cada cas en funció del suport on estiguin registrades les dades.

 

Article 13. Infraccions i sancions

En cas d'incompliment de la present instrucció en un projecte de recerca, la Universitat podrà demanar responsabilitats a l'Investigador Principal del projecte per les possibles conseqüències que aquest incompliment pugui suposar.

 

Article 14. Disposició derogatòria

Queda sense efecte la Instrucció del gerent de 25 de maig de 2004 per la qual s'aprova el procediment a seguir per als fitxers de projectes de recerca, desenvolupament i innovació del personal acadèmic.