Aplicació de la

protecció de dades personals

en la Universitat Jaume I

Oficina d’Innovació i Auditoria TI

oiati@uji.es
Índex de continguts

1. Figures principals en l’UJI

2. Aplicació de la normativa en protecció de dades
3. Escenaris típics on aplicar la protecció de dades
• Activitat administrativa
• Licitacions i compres
• Convenis, ajudes i projectes baix l’article 83 de la LOU
• Encomandes de gestió
• Activitats acadèmiques
• Activitats investigadores
4. Obligacions del treball públic
1 Figures
principals
Figures principals en l’UJI

• Responsabilitat de les dades personals de l’UJI (segons funcions

establertes en la Política de Seguretat de la Informació):
o Responsable oficial: Secretaria General.
o Responsabilitat interna: Persona en qui delegue la Secretaria
General per facilitar les gestions en cada tractament.
➢ En casos d’investigació serà la figura de IP o direcció
del grup d'investigació.
➢ En casos administratius serà la direcció de la unitat
organitzativa que ho gestiona.
• Suport als dubtes i planificació de projectes que comporten el tractament
de dades personals: Oficina d’Innovació i Auditoria TI (OIATI).
• Persona delegada de protecció de dades (DPD): protecciondatos@uji.es
2 Aplicació de la
normativa pròpia
Normativa pròpia

• A banda de complir la normativa internacional (Reglament General de

Protecció de Dades, RGPD) i nacional (Llei Orgànica de Protecció de
Dades i garantia dels drets digitals, LOPDgdd) cal complir la normativa
pròpia.
• L’UJI disposa de la seua Política de Privacitat i la Política de seguretat
de la informació dins del Centre de seguretat i privacitat.
• Les normatives internes i reglaments han estat adaptats a la nova
legislació. Si en algun text legal actual apareix la Llei Orgànica 15/1999
de protecció de dades personal (LOPD), s’ha de canviar per la
normativa vigent.
3 Escenaris
d’aplicació
Escenari: activitats administratives

• Tot tractament de dades personals ha d’estar registrat en el Registre

d’activitats de tractament (RAT) publicat en el Centre de seguretat i
privacitat.
• Quan es preveu la recollida de dades a través d’un formulari cal informar a
les persones usuàries del servei o procediment de les condicions en les
que es tractaran les seues dades i la forma d’exercir els seus drets.
• Esta informació s’ha d’oferir la primera vegada que una persona dona les
seues dades personals per una finalitat i este fet ha de quedar registrat.
• La forma habitual és incloure les clàusules del tractament de dades en el
formulari.
Escenari: activitats administratives
Escenari: licitacions i compres

CONFIDENCIALITAT
• Tots els contractes de compres, serveis i subministraments inclouen al
plec de clàusules administratives un apartat referent a la confidencialitat
que ha de complir el licitador.
• Quan no es realitza un plec a través dels serveis centrals del SCiAG es
pot aplicar el model de confidencialitat que hi ha publicat al Centre de
seguretat i privacitat als contractes que puguen requerir un annex de
confidencialitat.
Escenari: licitacions i compres

ENCARREGATS DE TRACTAMENT
• Quan el licitador ha de tractar dades personal per mandat de l’UJI s’haurà
de subscriure un encàrrec de tractament de dades personals on:
o L’UJI figure com a responsable del tractament
o El licitador figure com a encarregat del tractament
o S’incloguen les instruccions que seguirà el licitador per a acomplir la
missió encomanada per l’UJI
• Este tipus de contractes amb encàrrec de tractament han d’annexar el
document d'encàrrec. Pot utilitzar-se el model d’encàrrec que hi ha
publicat al Centre de seguretat i privacitat.
• Tota contractació de personal per a la realització de cursos i activitats de
formació ha d’incloure este tipus d’encàrrec de tractament.
Escenari: convenis, ajudes i art. 83

• A l’hora de realitzar un conveni, ajuda o projecte a l'empara de l’article 83

de la Llei Orgànica de Universitats (LOU) s’ha d’observar si alguna de les
parts ha de tractar dades personals o s’estableixen comunicacions de
dades entre les parts.
• En cas afirmatiu, s’inclouran les condicions generals en les clàusules del
conveni o acord i s’annexarà el model de reconeixement de tractaments
genèric. Es pot trobar el model de condicions en el Centre de seguretat i
privacitat.
Escenari: encomandes de gestió

• Les encomandes de gestió poden incloure tractaments de dades propis o

que una part realitze en nom de l’altra.
• En estos casos, s’inclouran tots els encàrrecs de tractament que puga fer
o rebre l’UJI segons el model d’encàrrec de tractament que es pot trobar al
Centre de seguretat i privacitat.
• Tots els intercanvis i comunicacions de dades personals s’hauran de
detallar en l’encomanda per a facilitar la transparència en el tractament
d’eixes dades.
• Els encàrrecs de tractament que reba l’UJI es publicaran en el Registre
d’activitats de tractament oficials que es publica al portal institucional.
Escenari: activitats acadèmiques

• Existeixen criteris específics per al tractament de dades personals en

activitats acadèmiques. Es poden trobar a les guies docents de totes les
assignatures en el Sistema d’Informació Acadèmica.
• Hi ha un criteri per a la comunicació de qualificacions d’estudiants a pares,
mares i tutors legals.
• En aquelles situacions relacionades amb la plataforma d’ensenyament
virtual (Aula Virtual) es seguirà l’establert en la seua normativa pròpia.
• Hi ha una Instrucció de la Secretaria General de la Universitat Jaume I
sobre publicació de qualificacions.
Escenari: activitats investigadores

• Tota investigació amb persones o dades personals (de persones

identificades o identificables) ha d’obtindre el vistiplau de la Comissió
Deontològica abans de començar les seues activitats.
• Els consentiments informats d’investigacions amb dades personals hauran
d’incloure un consentiment per a tractar eixes dades personals.
• Existeixen criteris específics per al tractament de dades personals en tesis
doctorals i treballs acadèmics (TFM, TFG).
• Hi ha un criteri per a la comunicació a grups d’investigació de dades
personals de les quals és responsable la Universitat Jaume I.
• Tots els sistemes d’informació en una administració pública, incloent els
implicats en la investigació, han de complir amb les mesures de l’Esquema
Nacional de Seguretat.
4 Obligacions del
treball públic
Obligacions del treball públic

• Tots els contractes laborals de personal a l’UJI inclouen clàusules de

confidencialitat mentre dura la relació laboral i més enllà.
• Totes les persones empleades públiques tenen el deure de sigil i reserva
d’aquelles dades personals a les que puguen tindre accés.
• Totes les persones empleades públiques han d’estar formades en matèries
de privacitat i protecció de dades, així com en les mesures i procediments
de seguretat en tecnologies de la informació i les comunicacions.