Vist el Reglament (UE) 2016/679 del Parlament europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades (Reglament general de protecció de dades -RGPD-), i als efectes de donar-li compliment.
Vist que el nou Reglament desplaça la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal -LOPD-, tot i que aquesta es manté en vigor en allò que no el contradigui, i incorpora importants novetats; és necessari adaptar l’organització interna al nou marc normatiu per tal de regular les funcions de les diferents unitats administratives i definir-ne l’estructura de responsabilitats en la matèria..
És per això, que en ús de les competències que m'atorga l'article 52.a dels Estatuts de la UPF,
 
HE RESOLT:
 
Article 1.Funcions del gerent
 
1.El gerent és el responsable de tots aquells tractaments de dades de caràcter personal realitzats per la Universitat o dels quals la Universitat en determina les finalitats i els mitjans.
2.Les funcions del gerent com a responsable de l’organització de les unitats administratives i els serveis universitaris, sens perjudici de les que corresponguin al secretari general, són les següents:
 
a) Dictar instruccions internes sobre la protecció de dades.
b) Decidir sobre la finalitat i el tipus de dades personals gestionades en els tractaments de dades de caràcter personal de la UPF.
c) Vetllar pel compliment del deure d'informar als titulars de les dades personals que es tracten.
d) Definir les mesures necessàries per garantir els principis de minimització de dades, exactitud i limitació del termini de conservació a les dades personals tractades per la Universitat.
e) Definir les mesures necessàries per garantir els principis de protecció de dades des del disseny i per defecte en els tractaments de dades de caràcter personal realitzats per la Universitat.
f) Definir les mesures necessàries per a facilitar la detecció de les incidències de seguretat que es puguin produir.
g) Atendre les sol·licituds d’exercici de drets per part dels interessats.
h) Autoritzar les comunicacions de dades a tercers, d’acord amb l’article 10 d’aquesta Resolució.
i) Representar la Universitat Pompeu Fabra davant les autoritats de protecció de dades i, en especial, davant l’Autoritat Catalana de Protecció de Dades -APDCAT-.
j) Totes aquelles que exigeixi la legislació vigent en matèria de protecció de dades de caràcter personal i no estiguin atribuïdes a cap òrgan.
 
Article 2.Funcions del secretari general
 
1.Les funcions del secretari general, en tant que responsable de l’Arxiu de la Universitat, són les següents:
 
a) Definir els criteris per tal de garantir els principis de minimització de dades, exactitud i limitació del termini de conservació a les dades de caràcter personal gestionades per la Universitat.
b) Definir els criteris per facilitar un nivell de protecció adequat als tractaments no automatitzats de dades realitzats pels serveis o les unitats i la detecció de les incidències de seguretat que es puguin produir.
c) Assessorar els serveis o les unitats en l’elaboració de les anàlisis de riscos i les avaluacions d’impacte relatives a la protecció de dades que realitzin, dins el seu àmbit de competències.
d) Informar de manera immediata el delegat de Protecció de Dades de qualsevol incident en la seguretat de les dades de caràcter personal en l’àmbit de les seves competències.
 
Article 3.Funcions del delegat de Protecció de Dades
 
1.La Universitat Pompeu Fabra disposarà d’un delegat de Protecció de Dades, el qual participarà en les qüestions relatives a la protecció de dades, d’acord amb el que es fixa en aquesta resolució i la legislació vigent. Les funcions del delegat de Protecció de Dades de la UPF són les següents:
 
a) Vetllar per la conscienciació i la formació del personal de la Universitat que tracti dades de caràcter personal.
b) Assessorar la Universitat i els seus empleats sobre les seves obligacions a fi de garantir la conformitat dels tractaments realitzats amb la legislació de protecció de dades aplicable en cada moment.
c) Assessorar la Universitat a fi de garantir la conformitat dels encàrrecs de tractament realitzats amb la legislació de protecció de dades aplicable en cada moment.
d) Definir els criteris per a l’elaboració de les anàlisis de riscos dels tractaments de dades de caràcter personal que la Universitat realitzi.
e) Assistir els caps de servei o unitat en la realització de les seves funcions en relació amb la protecció de dades personals a la Universitat. El delegat de protecció de dades proveirà models per al registre d’activitats de tractament, per a la realització de les anàlisi de riscos, col·laborarà en l’elaboració de les avaluacions d’impacte relatives a la protecció de dades i assessorarà als caps de servei o unitat o persones en qui deleguin en l’execució dels tractaments de dades de caràcter personal.
f) Elaborar els informes que li siguin requerits en matèria de protecció de dades.
g) Emetre certificats de compliment de la legislació de protecció de dades per part de la Universitat en els casos que així es sol·liciti.
h) Atendre consultes o reclamacions per part dels titulars de les dades en relació amb el tractament de les seves dades per part de la Universitat.
i) Cooperar amb les autoritats de protecció de dades i, en especial, amb l’Autoritat Catalana de Protecció de Dades.
j) Qualsevol altra funció que li sigui atribuïda per la legislació vigent en matèria de protecció de dades de caràcter personal.
2.El delegat de Protecció de Dades tindrà autonomia en l’exercici de les seves funcions, les unitats administratives el faran participar en els assumptes relatius a la protecció de dades, i els òrgans de govern li podran sol·licitar informes sobre qüestions plantejades dins el seu àmbit de competències.
3.El delegat de Protecció de Dades ha d’exercir les seves funcions prestant atenció als riscos associats a les operacions de tractament, tenint en compte la naturalesa, l'abast, el context i les finalitats del tractament. La Universitat facilitarà al delegat de Protecció de Dades els recursos necessaris per complir les seves tasques.
 
Article 4.Funcions de les àrees de gestió
 
1.El vicegerent competent en tecnologies de la informació i comunicacions és el responsable de la definició de les mesures tecnològiques per garantir el compliment de la legislació de protecció de dades de caràcter personal en els tractaments automatitzats de les mateixes, així com de vetllar pel seu compliment. Les funcions del vicegerent competent en tecnologies de la informació i comunicacions són les següents:
 
a) Definir les mesures de seguretat tecnològica necessàries per tal de garantir els principis de minimització de dades, exactitud i limitació del termini de conservació en els tractaments automatitzats de dades de caràcter personal de la Universitat.
b) Definir les mesures de seguretat tecnològica necessàries per tal de garantir els principis de protecció de dades des del disseny i per defecte en la definició dels tractaments automatitzats de dades de caràcter personal de la Universitat.
c) Definir les mesures de seguretat tecnològica necessàries facilitar un nivell de protecció adequat als tractament automatitzats de dades realitzats pels serveis o unitats i la detecció de les incidències de seguretat que es puguin produir.
d) Assistir als serveis o unitats en l’elaboració de les avaluacions d’impacte relatives a la protecció de dades dins el seu àmbit de competències.
e) Informar de manera immediata el delegat de Protecció de Dades de qualsevol incident en la seguretat de les dades de caràcter personal en l’àmbit de les seves competències.
El cap del servei d’Informàtica coadjuvarà al vicegerent competent en tecnologies de la informació i comunicacions en l’aplicació de les mesures anteriorment descrites.
2.La responsabilitat per garantir el compliment de la legislació de protecció de dades de caràcter personal als contractes de la Universitat que suposin un encàrrec de tractament recau en el vicegerent competent en contractació administrativa. Les funcions del vicegerent competent en contractació administrativa són les següents:
a) Vetllar per tal que quan s’esculli un encarregat de tractament aquest ofereixi garanties suficients per aplicar les mesures tecnològiques i organitzatives adequades, de manera que el tractament sigui conforme a la legislació de protecció de dades i garanteixi la protecció dels drets dels interessats.
b) Assegurar que els encàrrecs de tractament per compte de la Universitat Pompeu Fabra es regeixin per un contracte o per un altre acte jurídic conforme a dret d’acord amb el RGPD.
c) Mantenir un registre dels encàrrecs de tractament contractats per la Universitat.
d) Informar de manera immediata el delegat de Protecció de Dades de qualsevol incident en la seguretat de les dades de caràcter personal en l’àmbit de les seves competències.
 
Article 5.Funcions de les unitats administratives
 
1.La responsabilitat de l’execució dels tractaments de dades de caràcter personal correspon als serveis, o bé, a les unitats que depenen directament del rector, del secretari general, del gerent o d’un vicegerent. Les funcions dels caps d’aquests serveis o unitats en relació amb els tractaments que en facin dins el seu àmbit de competències són les següents:
 
a) Realitzar els tractaments de dades de caràcter personal d’acord amb la legislació.
b) Documentar les activitats de tractament que realitzin al Registre de tractaments.
c) Vetllar per tal que es realitzi una anàlisi de riscos en els tractaments de dades de caràcter personal que es realitzin sota el seu àmbit de competències.
d) Vetllar per tal que es realitzi una avaluació d’impacte relativa a la protecció de dades de caràcter personal en aquells tractaments realitzats sota el seu àmbit de competències que ho requereixin.
e) En el cas d’haver-se d’encarregar un tractament de dades de caràcter personal a un tercer, contactar amb el servei de la Universitat competent en contractació per tal de garantir que el tractament es realitza en base un contracte o acte jurídic conforme a dret d’acord amb el RGPD.
f) Informar de manera immediata el delegat de Protecció de Dades de qualsevol incident en la seguretat de les dades de caràcter personal en l’àmbit de les seves competències.
g) Tenir cura que els tractaments de dades de caràcter personal realitzats sota el seu àmbit de competències s’ajusten en tot moment a la legislació vigent.
 
Article 6.Consideracions respecte els tractaments de dades de caràcter personal per a finalitats de recerca.
 
1.En el cas que l’execució d’un projecte de recerca impliqui un tractament de dades de caràcter personal per part de la Universitat, l’Investigador Principal del projecte en serà el responsable de l’execució i assumirà per al tractament les funcions definides a l’article 5 d’aquesta Resolució.
2.La revisió dels tractaments de dades de caràcter personal dels projectes de recerca de la UPF formarà part del seu procés d’avaluació ètica.
 
Article 7.Registre de les activitats de tractament i seguretat de les dades personals
 
1.La Universitat disposarà d’un registre dels tractaments de dades de caràcter personal que realitzi. Cada servei, unitat gestora o grup de recerca haurà de mantenir en el registre els assentaments corresponents als tractaments efectuats sota la seva responsabilitat. Aquests assentaments hauran de contenir els elements següents:
 
a) La condició de responsable o encarregat de tractament de la UPF.
b) En cas d’actuar com a encarregat, el nom i les dades de contacte del responsable del tractament i el seu delegat de Protecció de Dades.
c) Les finalitats del tractament.
d) La descripció de les categories d’interessats i de les categories de dades personals.
e) Les comunicacions de dades a tercers, si s’escau.
f) Els terminis previstos per suprimir les diferents categories de dades, si és possible.
g) Una descripció general de les mesures tecnològiques i organitzatives de seguretat definides per al tractament, si és possible.
2.S’adaptarà l’aplicació de gestió del mapa de processos de la Universitat a fi que permeti als serveis o unitats el manteniment del registre de les activitats de tractament dutes a terme per la Universitat.
 
Article 8.Compliment del deure d’informar
 
1.En el cas que un tractament de dades de caràcter personal reculli dades de caràcter personal, els caps del servei o unitat, o bé el Investigador Principal que dugui a terme el tractament han d’informar als interessats dels aspectes següents:
 
a) La condició de responsable del tractament de la Universitat i les seves dades de contacte.
b) Les dades de contacte del delegat de Protecció de Dades.
c) La finalitat i la base jurídica del tractament.
d) Les comunicacions de dades a tercers que es prevegi efectuar.
e) El termini durant el qual es conservaran les dades.
f) La possibilitat d’exercici de drets.
g) El dret a presentar reclamació davant l’Autoritat Catalana de Protecció de Dades.
h) Si s’escau, de l’existència de decisions automatitzades inclosa l’elaboració de perfils.
2.El delegat de protecció de dades proveirà models per al compliment del deure d’informar i assistirà als caps de servei o unitat que dugui a terme el tractament en el compliment del deure d’informar a l’interessat.
 
Article 9.Atenció a l’exercici de drets per part dels interessats
 
1.Els titulars de les dades de caràcter personal o els seus representants legals podran exercir els drets d'accés, rectificació i supressió de les seves dades de caràcter personal, així com els drets d’oposició o limitació dels tractaments que els afectin. Aquests drets s'exerciran d’acord amb la resolució d’exercici d’aquests drets i davant el gerent de la UPF llevat que s’estipuli el contrari.
2.Els caps del servei o unitat, o bé el Investigador Principal que dugui a terme el tractament han de facilitar la informació necessària per a l'exercici dels drets i han d'adoptar les mesures que se'ls indiqui per tal de satisfer la sol·licitud de l'interessat.
 
Article 10.Atenció a les peticions de comunicació de dades
1.En cas de rebre una petició de comunicació de dades, els caps del servei o unitat. o bé el Investigador Principal que dugui a terme el tractament en sol·licitaran autorització al gerent, el qual al seu torn requerirà un informe al delegat de Protecció de Dades.
2.La comunicació de dades només es podrà fer efectiva amb l’autorització prèvia del gerent, la qual podrà indicar condicions o limitacions a la mateixa.
3.Les comunicacions de dades que es realitzin per requeriment legal o per a l’execució d’un encàrrec de tractament no precisaran d’autorització per part del gerent.
 
Article 11.Disposició derogatòria
 
Queden derogades les resolucions següents:
  • Resolució de 26 de juny del 2003 de mesures organitzatives sobre la protecció de dades de caràcter personal modificada per les resolucions de 15 de juny del 2011 i de 17 de gener del 2012.
  • Resolució de 18 de gener del 2012 per la que s'aprova el procediment de cessions de dades personals amb consentiment i la comunicació de dades d'acord amb l'article 21 de la LOPD.
 
Article 12.Disposició final
 
S'autoritza el gerent perquè adopti les mesures oportunes per desplegar i executar aquesta resolució.
 
 
 
Jaume Casals Pons
Rector
 
 
Barcelona, 4 de desembre del 2018