Visto el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que se refiere al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos [RGPD]), y a los efectos de darle cumplimiento.

Visto que el nuevo Reglamento desplaza la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD), aunque esta se mantiene en vigor en lo que no lo contradiga, e incorpora importantes novedades; es necesario adaptar la organización interna al nuevo marco normativo para regular las funciones de las diferentes unidades administrativas y definir su estructura de responsabilidades en la materia.
Por ello, en uso de las competencias que me otorga el artículo 52.a de los Estatutos de la UPF,
 
HE RESUELTO:

Artículo 1. Funciones del gerente  

1. El gerente es el órgano responsable en materia de protección de datos personales en relación con los tratamientos que realiza la Universidad, tanto en calidad de responsable del tratamiento como de encargado  del tratamiento.

Artículo modificado por la resolución de 13 de abril de 2021 por la que se regula el procedimiento para el ejercicio de los derechos sobre los datos personales tratados por la Universidad Pompeu Fabra.

2. Las funciones del gerente como responsable de la organización de las unidades administrativas y los servicios universitarios, sin perjuicio de las que correspondan al secretario general, son las siguientes:

a) Dictar instrucciones internas sobre la protección de datos.
b) Decidir sobre la finalidad y el tipo de datos personales gestionados en los tratamientos de datos de carácter personal de la UPF.
c) Velar por el cumplimiento del deber de informar a los titulares de los datos personales que se traten.
d) Definir las medidas necesarias para garantizar los principios de minimización de datos, exactitud y limitación del plazo de conservación en los datos personales tratados por la Universidad.
e) Definir las medidas necesarias para garantizar los principios de protección de datos desde su diseño y por defecto en los tratamientos de datos de carácter personal realizados por la Universidad.
f) Definir las medidas necesarias para facilitar la detección de las incidencias de seguridad que puedan producirse.
g) Atender las solicitudes de ejercicio de derechos por parte de los interesados.
h) Autorizar las comunicaciones de datos a terceros, de acuerdo con el artículo 10 de esta Resolución.
i) Representar a la Universidad Pompeu Fabra ante las autoridades de protección de datos y, en especial, ante la Autoridad Catalana de Protección de Datos (APDCAT).
j) Todas aquellas que exija la legislación vigente en materia de protección de datos de carácter personal y no estén atribuidas a ningún órgano.

Artículo 2. Funciones del secretario general

1. Las funciones del secretario general, en tanto que responsable del Archivo de la Universidad, son las siguientes:

a) Definir los criterios para garantizar los principios de minimización de datos, exactitud y limitación del plazo de conservación en los datos de carácter personal gestionados por la Universidad.
b) Definir los criterios para facilitar un nivel de protección adecuado a los tratamientos no automatizados de datos realizados por los servicios o unidades y la detección de las incidencias de seguridad que puedan producirse.
c) Asesorar a los servicios o unidades en la elaboración de los análisis de riesgos y las evaluaciones de impacto relativas a la protección de datos que realicen, dentro de su ámbito de competencias.
d) Informar de forma inmediata al delegado de Protección de Datos de cualquier incidente en la seguridad de los datos de carácter personal en el ámbito de sus competencias.

Artículo 3. Funciones del delegado de Protección de Datos

1. La Universidad Pompeu Fabra dispondrá de un delegado de Protección de Datos, el cual participará en las cuestiones relativas a la protección de datos, de acuerdo con lo que se fija en esta resolución y la legislación vigente. Las funciones del delegado de Protección de Datos de la UPF son las siguientes:

a) Velar por la concienciación y la formación del personal de la Universidad que trate datos de carácter personal.
b) Asesorar a la Universidad y a sus empleados sobre sus obligaciones a fin de garantizar la conformidad de los tratamientos realizados con la legislación de protección de datos aplicable en cada momento.
c) Asesorar a la Universidad con el fin de garantizar la conformidad de los encargos de tratamiento realizados con la legislación de protección de datos aplicable en cada momento.
d) Definir los criterios para la elaboración de los análisis de riesgos de los tratamientos de datos de carácter personal que la Universidad realice.
e) Asistir a los jefes de servicio o unidad en la realización de sus funciones en relación con la protección de datos personales en la Universidad. El delegado de Protección de Datos proveerá modelos para el registro de actividades de tratamiento; para la realización de los análisis de riesgos, colaborará en la elaboración de las evaluaciones de impacto relativas a la protección de datos, y asesorará a los jefes de servicio o unidad o personas en quienes deleguen en la ejecución de los tratamientos de datos de carácter personal.
f) Elaborar los informes que le sean requeridos en materia de protección de datos.
g) Emitir certificados de cumplimiento de la legislación de protección de datos por parte de la Universidad en los casos que así se solicite.
h) Atender consultas o reclamaciones por parte de los titulares de los datos en relación con el tratamiento de sus datos por parte de la Universidad.
i) Cooperar con las autoridades de protección de datos y, en especial, con la Autoridad Catalana de Protección de Datos.
j) Cualquier otra función que le sea atribuida por la legislación vigente en materia de protección de datos de carácter personal.

2. El delegado de Protección de Datos tendrá autonomía en el ejercicio de sus funciones, las unidades administrativas le harán participar en los asuntos relativos a la protección de datos, y los órganos de gobierno le podrán solicitar informes sobre cuestiones planteadas dentro de su ámbito de competencias.

3. El delegado de Protección de Datos ejercerá sus funciones prestando atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, alcance, contexto y finalidades del tratamiento. La Universidad facilitará al delegado de Protección de Datos los recursos necesarios para cumplir sus tareas.
 
Artículo 4. Funciones de las áreas de gestión

1. El vicegerente competente en tecnologías de la información y comunicaciones es el responsable de la definición de las medidas tecnológicas para garantizar el cumplimiento de la legislación de protección de datos de carácter personal en los tratamientos automatizados de las mismas, así como de velar por su cumplimiento. Las funciones del vicegerente competente en tecnologías de la información y comunicaciones son las siguientes:

a) Definir las medidas de seguridad tecnológica necesarias para garantizar los principios de minimización de datos, exactitud y limitación del plazo de conservación en los tratamientos automatizados de datos de carácter personal de la Universidad.
b) Definir las medidas de seguridad tecnológica necesarias a fin de garantizar los principios de protección de datos desde el diseño y por defecto en la definición de los tratamientos automatizados de datos de carácter personal de la Universidad.
c) Definir las medidas de seguridad tecnológica necesarias facilitar un nivel de protección adecuado a los tratamientos automatizados de datos realizados por los servicios o unidades y la detección de las incidencias de seguridad que puedan producirse.
d) Asistir a los servicios o unidades en la elaboración de las evaluaciones de impacto relativas a la protección de datos en su ámbito de competencias.
e) Informar de forma inmediata al delegado de Protección de Datos de cualquier incidente en la seguridad de los datos de carácter personal en el ámbito de sus competencias.
El jefe del servicio de Informática coadyuvará al vicegerente competente en tecnologías de la información y comunicaciones en la aplicación de las medidas anteriormente descritas.

2. La responsabilidad para garantizar el cumplimiento de la legislación de protección de datos de carácter personal a los contratos de la Universidad que supongan un encargo de tratamiento recae en el vicegerente competente en contratación administrativa. Las funciones del vicegerente competente en contratación administrativa son las siguientes:

a) Velar para que, cuando se elija un encargado de tratamiento, este ofrezca garantías suficientes para aplicar las medidas tecnológicas y organizativas adecuadas, de forma que el tratamiento sea conforme a la legislación de protección de datos y garantice la protección de los derechos de los interesados.
b) Asegurar que los encargos de tratamiento por cuenta de la Universidad Pompeu Fabra se rijan por un contrato o por otro acto jurídico conforme a derecho de acuerdo con el RGPD.
c) Mantener un registro de los encargos de tratamiento contratados por la Universidad.
d) Informar de forma inmediata al delegado de Protección de Datos de cualquier incidente en la seguridad de los datos de carácter personal en el ámbito de sus competencias.

Artículo 5. Funciones de las unidades administrativas

1.La responsabilidad de la ejecución de los tratamientos de datos de carácter personal corresponde a los servicios, o bien, a las unidades que dependen directamente del rector, del secretario general, del gerente o de un vicegerente. Las funciones de los jefes de estos servicios o unidades en relación con los tratamientos que realicen dentro de su ámbito de competencias son las siguientes:

a) Realizar los tratamientos de datos de carácter personal de acuerdo con la legislación.
b) Documentar las actividades de tratamiento que realicen en el Registro de tratamientos.
c) Velar por que se realice un análisis de riesgos en los tratamientos de datos de carácter personal que se realicen bajo su ámbito de competencias.
d) Velar por que se realice una evaluación de impacto relativa a la protección de datos de carácter personal en aquellos tratamientos realizados bajo su ámbito de competencias que lo requieran.
e) En caso de tener que encargarse un tratamiento de datos de carácter personal a un tercero, contactar con el servicio de la Universidad competente en contratación para garantizar que el tratamiento se realiza en base a un contrato o acto jurídico conforme a derecho de acuerdo con el RGPD.
f) Informar de forma inmediata al delegado de Protección de Datos de cualquier incidente en la seguridad de los datos de carácter personal en el ámbito de sus competencias.
g) Cuidar que los tratamientos de datos de carácter personal realizados bajo su ámbito de competencias se ajustan en todo momento a la legislación vigente.

Artículo 6. Consideraciones respecto a los tratamientos de datos de carácter personal para fines de investigación.

1. En caso de que la ejecución de un proyecto de investigación implique un tratamiento de datos de carácter personal por parte de la Universidad, el investigador principal del proyecto será el responsable de la ejecución y asumirá para el tratamiento las funciones definidas en el artículo 5 de esta Resolución.
2. La revisión de los tratamientos de datos de carácter personal de los proyectos de investigación de la UPF formará parte de su proceso de evaluación ética.

Artículo 7. Registro de las actividades de tratamiento y seguridad de los datos personales

1. La Universidad dispondrá de un registro de los tratamientos de datos de carácter personal que realice. Cada servicio, unidad gestora o grupo de investigación deberá mantener en el registro los asientos correspondientes a los tratamientos efectuados bajo su responsabilidad. Estos asientos deberán contener los siguientes elementos:

a) La condición de responsable o encargado de tratamiento de la UPF.
b) En caso de actuar como encargado, el nombre y datos de contacto del responsable del tratamiento y su delegado de Protección de Datos.
c) Las finalidades del tratamiento.
d) La descripción de las categorías de interesados y de las categorías de datos personales.
e) Las comunicaciones de datos a terceros, en su caso.
f) Los plazos previstos para suprimir las distintas categorías de datos, si fuera posible.
g) Una descripción general de las medidas tecnológicas y organizativas de seguridad definidas para el tratamiento, a ser posible.

2. Se adaptará la aplicación de gestión del mapa de procesos de la Universidad a fin de que permita a los servicios o unidades el mantenimiento del registro de las actividades de tratamiento llevadas a cabo por la Universidad.

Artículo 8. Cumplimiento del deber de informar

1. En caso de que un tratamiento de datos de carácter personal recoja datos de carácter personal, los jefes del servicio o unidad, o bien el investigador principal que lleve a cabo el tratamiento deben informar a los interesados de los siguientes aspectos:

a) La condición de responsable del tratamiento de la Universidad y sus datos de contacto.
b) Los datos de contacto del delegado de Protección de Datos.
c) La finalidad y la base jurídica del tratamiento.
d) Las comunicaciones de datos a terceros que se prevea efectuar.
e) El plazo durante el que se conservarán los datos.
f) La posibilidad de ejercicio de derechos.
g) El derecho a presentar reclamación ante la Autoridad Catalana de Protección de Datos.
h) En su caso, de la existencia de decisiones automatizadas incluida la elaboración de perfiles.

2.El delegado de Protección de Datos proveerá modelos para el cumplimiento del deber de informar y asistirá a los jefes de servicio o de la unidad que lleve a cabo el tratamiento en el cumplimiento del deber de informar al interesado.

Artículo 9. Atención al ejercicio de derechos por parte de los interesados

1. Los titulares de los datos de carácter personal o sus representantes legales podrán ejercer los derechos de acceso, rectificación y supresión de sus datos de carácter personal, así como los derechos de oposición o limitación de los tratamientos que les afecten. Estos derechos se ejercerán de acuerdo con la resolución de ejercicio de estos derechos y ante el gerente de la UPF, a menos que se estipule lo contrario.

2. Los jefes del servicio o unidad, o bien el investigador principal que lleve a cabo el tratamiento deben facilitar la información necesaria para el ejercicio de los derechos y deben adoptar las medidas que se les indique para satisfacer la solicitud del interesado.

Artículo 10.Atención a las peticiones de comunicación de datos

1. En caso de recibir una petición de comunicación de datos, los jefes del servicio o unidad , o bien el investigador principal que lleve a cabo el tratamiento, solicitarán autorización al gerente, el cual a su vez requerirá un informe al delegado de Protección de Datos.
2. La comunicación de datos solo se podrá hacer efectiva previa autorización del gerente, la cual podrá indicar condiciones o limitaciones a la misma.
3. Las comunicaciones de datos que se realicen por requerimiento legal o para la ejecución de un encargo de tratamiento no precisarán de autorización por parte del gerente.

Artículo 11.Disposición derogatoria

Quedan derogadas las siguientes resoluciones:

  • Resolución de 26 de junio de 2003 de medidas organizativas sobre la protección de datos de carácter personal, modificada por las resoluciones de 15 de junio de 2011 y de 17 de enero de 2012.
  • Resolución de 18 de enero de 2012 por la que se aprueba el procedimiento de cesiones de datos personales con consentimiento y comunicación de datos de acuerdo con el artículo 21 de la LOPD.

Artículo 12.Disposición final
Se autoriza al gerente para que adopte las medidas oportunas para desarrollar y ejecutar esta resolución.
 
Jaume Casals Pons
Rector
 
 
Barcelona, 4 de diciembre de 2018