Anuncio
BOLETÍN Nº 153 - 2 de agosto de 2022
1. Comunidad Foral de Navarra
1.7. Otros
RESOLUCIÓN 1368/2022, de 30 de junio, del rector de la Universidad Pública de Navarra, por la que se ordena publicar el “Acuerdo por el que se aprueba la nueva Política de Protección de Datos de la Universidad Pública de Navarra” adoptado por acuerdo del Consejo de Gobierno de 30 de junio de 2022.
En uso de las competencias que me han sido conferidas por el artículo 40 de los Estatutos de la Universidad aprobados por Decreto Foral 110/2003 de 12 de mayo, se ordena la publicación del acuerdo del Consejo de Gobierno de 30 de junio de 2022 por el que se aprueba la nueva Política de Protección de la Universidad Pública de Navarra.
“ACUERDO DEL CONSEJO DE GOBIERNO QUE APRUEBA LA NUEVA POLÍTICA DE PROTECCIÓN DE DATOS DE LA UPNA
La aplicación del Reglamento General de Protección de Datos y de la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales requieren una responsabilidad proactiva en su cumplimiento. La UPNA debe gestionar esa responsabilidad en todos los tratamientos de datos asociados a la investigación, la docencia y la gestión administrativa.
Con fecha de 31 de enero de 2019, la UPNA aprobó una política de protección de datos, promoviendo así una adecuación inicial a las normas anteriormente referidas.
La exigencia de responsabilidad proactiva incide sobre la necesidad de contar con una nueva política más detallada y precisa, procediéndose a la sustitución de la política vigente hasta el momento actual.
Consecuentemente, se propone la aprobación de una nueva Política de Protección de Datos a fin de profundizar en el cumplimiento de la normativa aplicable en la materia.
El Consejo de Gobierno de la Universidad Pública de Navarra, en sesión celebrada el día 30 de junio de 2022, adopta, a propuesta del Secretario General, el siguiente
ACUERDO:
Primero.–Aprobar la nueva Política de Protección de Datos de la Universidad Pública de Navarra, que consta como anexo al presente acuerdo.
Segundo.–Disponer la sustitución de la política hasta ahora vigente por la nueva política aprobada mediante el presente acuerdo.
Tercero.–Ordenar la publicación de este acuerdo y su anexo en el Tablón Electrónico de la Universidad y en el Boletín Oficial de Navarra.”.
Pamplona, 30 de junio de 2022.–El rector, Ramón Gonzalo García.
POLÍTICA DE PROTECCIÓN DE DATOS DE LA UPNA
Parte previa
Ámbito de aplicación.
La Política de Protección de Datos de la UPNA se aplica a toda operación de tratamiento de datos personales en la que la UPNA intervenga como responsable, encargado, corresponsable, subencargado, cesionario, cedente, tercero u otra condición que determine, respecto de dicha operación, la sujeción de la UPNA a la normativa de protección de datos. Esta política, aprobada por el Consejo de Gobierno en sesión de 30 de junio de 2022, sustituye totalmente a la adoptada con fecha de 31 de enero de 2019. Consecuentemente, la anterior política deja de aplicarse desde la publicación de la presente política en el Boletín Oficial de Navarra.
Estructura.
La Política se estructura, sin perjuicio de la presente parte previa, en cuatro partes diferenciadas: parte general, gestión, docencia e investigación. Cada una de esas cuatro partes se divide en apartados correlativamente numerados.
Parte general
1. Introducción a la parte general.
El contenido de la parte general establece conceptos, principios y orientaciones aplicables igualmente a las tres partes restantes, esto es, gestión, docencia e investigación. Cualquier laguna o contradicción existente en estas partes se abordará atendiendo a la parte general.
2. Conceptos relativos a la protección de datos.
Dato personal es toda información sobre una persona física identificada o identificable, esto es, toda persona cuya identidad pueda determinarse directa o indirectamente mediante un identificador (nombre, localización, biometría...)
A título ejemplificativo, los siguientes datos ostentan carácter personal: nombre, apellidos, número de DNI, contacto (domicilio, tlfno, email), edad, género, salud, ideología, profesión, pertenencia a una asociación, antecedentes penales, aficiones, hábitos de consumo, etc.
Los datos personales de categoría especial son objeto de una protección reforzada y, por ello, las condiciones de su tratamiento son restringidas. Son datos personales de carácter especial: salud, sexualidad, biometría con fines identificativos, genética, ideología, credo religioso, afiliación sindical y origen étnico o racial. Asimismo, los datos de carácter penal también ostentan una naturaleza sensible y, por ello, un régimen particular.
El concepto de tratamiento de datos personales alude a cualquier operación de tratamiento (recogida, análisis, comunicación, destrucción...) efectuada a través de medios total o parcialmente automatizados o mediante ficheros.
3. Principios aplicables en la materia.
Los tratamientos de datos deben ajustarse a los siguientes principios: licitud (conformidad a la normativa), lealtad y transparencia (explicitando las condiciones relativas a esos tratamientos), limitación de finalidad (solo para los fines previstos), limitación en el tiempo (solo durante el tiempo imprescindible), minimización (el menor número de datos posible y las menores operaciones de tratamiento necesarias), calidad, confidencialidad (acceso restringido), responsabilidad proactiva (capacidad para demostrar el cumplimiento normativo exigible), privacidad por defecto (optar siempre por la minimización) y privacidad desde el diseño.
La privacidad desde el diseño es crucial para garantizar un cumplimiento normativo correcto. Consiste en planificar los tratamientos de datos considerando previamente las exigencias impuestas al respecto por la normativa de protección de datos.
4. Roles de responsabilidad en el tratamiento de datos personales.
La Universidad es la Responsable del Tratamiento de Datos, esto es, la entidad responsable de hacer cumplir la normativa de protección de datos en aquellos tratamientos de datos en los que determine los fines y los medios. Si la determinación de esos fines y medios se realiza de acuerdo con otra entidad, ambas serán corresponsables de tratamiento de datos.
Si la UPNA, como Responsable de Tratamiento, encomienda realizar operaciones de tratamiento de datos a otra entidad, esta entidad ostenta la condición de Encargado de Tratamiento. De igual modo, la UPNA desempeñará el rol de Encargado de Tratamiento si efectúa esas operaciones por cuenta de otro Responsable de Tratamiento.
Todo empleado universitario que intervenga en operaciones de tratamiento de datos por cuenta de la UPNA tendrá la consideración de persona autorizada a tratar datos por parte de la UPNA. Asimismo, aquellos empleados o empleadas que motiven nuevas operaciones de tratamiento de datos u ostenten cierta relevancia en las operaciones preexistentes, ostentarán igualmente el rol de responsable o referente interno.
El rol de persona autorizada requiere cumplir con la normativa de protección de datos en toda operación de tratamiento de datos en la que se intervenga por cuenta de la UPNA. El rol de responsable o referente interno exige una mayor implicación, facilitando el correcto cumplimiento normativo en la materia a la UPNA. Estos responsables o referentes deberán informar de todo tratamiento de datos y posibilitar el ejercicio de los derechos correspondientes a las personas interesadas o afectadas por dichos tratamientos.
5. Unidad de Protección de Datos.
El Delegado, la Delegada o la Unidad de Protección de Datos debe concienciar y asesorar a las personas autorizadas a tratar datos para facilitarles un cumplimiento normativo adecuado.
Particularmente, dispondrá a tal efecto de contactos oportunos con los responsables o referentes internos. Estos contactos le reportarán la información precisa para desarrollar sus funciones de asesoramiento y concienciación. Si no se designan o no se aprecian tales responsables o referentes internos, la Unidad de Protección de Datos podrá dirigirse a cualquier persona autorizada a tratar datos que intervenga en el diseño o la ejecución de un tratamiento de datos y solicitarle la información necesaria.
La Unidad de Protección de Datos no determina los fines ni los medios de los tratamientos de datos ni interviene en sus operaciones. Por ello, esta unidad es independiente de la posición que la UPNA ostente como Responsable, Encargado u otra procedente en relación con sus operaciones de tratamiento de datos.
La referida unidad debe exponer una visión especializada sobre las cuestiones que en relación con la materia le sean sometidas o precisen su intervención. Esta visión analizará la adecuación a derecho de los elementos examinados y expondrá motivada y detalladamente aquellos aspectos que puedan no ajustarse a la normativa aplicable.
La UPNA tomará en consideración la visión facilitada por la Unidad de Protección de Datos conforme proceda en cada caso. La UPNA no está obligada a seguir sistemáticamente y en todo caso el criterio esgrimido por esta Unidad, sino únicamente a ajustar sus actuaciones a derecho. En caso de discrepancia, la UPNA podrá efectuar las reflexiones adicionales que estime oportunas o solicitar una segunda opinión a otro experto o agente cualificado.
La formación del personal universitario en materia de protección de datos resulta esencial para garantizar un correcto cumplimiento en esta materia. Para ello, la UPNA facilitará, a través de la Unidad de Protección de Datos, la extensión de dicha formación al citado personal.
La realización y la responsabilidad de las pertinentes evaluaciones de impacto y análisis de riesgo se ajustará a lo previsto en la normativa aplicable y lo dispuesto por las autoridades de referencia.
6. Registro de actividades de tratamiento de datos.
La Universidad registrará públicamente todo tratamiento de datos personales en el que intervenga, a fin de cumplir con la normativa de protección de datos y la legislación de transparencia.
Los correspondientes responsables o referentes internos facilitarán la información oportuna para su correcto registro. La Universidad contará con la asistencia del Delegado, la Delegada o la Unidad de Protección de Datos y, por ello, le facilitará la información precisa.
7. Seguridad de la Información.
La UPNA debe garantizar la seguridad de los datos personales objeto de tratamiento mediante la implementación de medidas técnicas y organizativas adecuadas. La seguridad de los datos personales será tenida en cuenta en el diseño de las operaciones de tratamiento y particularmente en lo relativo a la conservación y eliminación de tales datos.
La delimitación de accesos, el registro de usuarios autorizados y la formación y el compromiso del personal universitario para con la seguridad de los datos se implementarán, entre otras medidas, para lograr unos niveles de seguridad adecuados.
En aquellos casos en que la UPNA encomiende el tratamiento de datos a otra entidad, el nivel de seguridad aplicable será exigido a través de las medidas que se impongan en el correspondiente contrato de encargado de tratamiento de datos.
Asimismo, el Delegado o la Delegada de Protección de Datos estará integrado en el Comité de Seguridad de la Información favoreciendo la adecuada integración de la protección de datos con la seguridad de la información.
El tratamiento de datos personales se realizará a través de sistemas localizados en la infraestructura universitaria o mediante sistemas deslocalizados autorizados por la Universidad. Cualquier operación de tratamiento de datos no circunscrita a la consigna precedente, deberá hallar amparo en procedimientos habilitados explícitamente por la propia Universidad. La Universidad determinará la responsabilidad que proceda en relación con el personal universitario que no emplee los sistemas consignados ni se halle amparado por los procedimientos habilitados.
8. Desarrollo Digital.
Las operaciones de tratamientos de datos previstas en el ámbito del desarrollo digital, la administración electrónica y la innovación de procesos establecerán las medidas oportunas para asegurar un cumplimiento normativo adecuado. Particularmente, se atenderá a la privacidad desde el diseño, la seguridad de los datos, la información a los interesados y el establecimiento de cauces para el ejercicio de los derechos de acceso, rectificación, oposición y supresión. Asimismo, se velará por la implementación de cautelas precisas en los casos de evaluación y decisión automatizadas, perfilados, tratamiento de datos masivos de localización, posición o movimiento, uso de datos biométricos u otras operaciones que resulten sensibles.
9. Fundación Universidad Sociedad.
La Fundación Universidad Sociedad actuará habitualmente como Encargado de Tratamiento de Datos de la UPNA. La UPNA, como Responsable de Tratamiento de Datos, establecerá las instrucciones oportunas para garantizar un cumplimiento normativo en todas las operaciones de tratamiento de datos en que intervenga la Fundación Universidad Sociedad. Para ello, se recabará el oportuno asesoramiento de la Unidad de Protección de Datos.
Se recabará consentimiento o se informará de los tratamientos de datos previstos, según proceda, en la inscripción a eventos, gestión de formaciones, orientación en el empleo y todas aquellas acciones que generen tratamiento de datos de carácter personal.
La Fundación Universidad Sociedad conferirá la condición de responsables internos de las correspondientes actividades de tratamiento a los empleados o las empleadas que habitualmente coordinen la gestión de tales actividades. Corresponde a este personal o a sus superiores jerárquicos recabar el asesoramiento oportuno de la Unidad de Protección de Datos y facilitarle a tal efecto la información precisa.
10. Conservación de datos de salud y otros datos especiales.
La conservación de todo tipo de datos personales debe efectuarse a través de unas medidas adecuadas y durante un plazo no excesivo, procediendo luego su destrucción segura. En el caso de los datos especiales (salud, sexualidad, biometría con fines identificativos, genética, ideología, credo religioso, afiliación sindical y origen étnico o racial), procede extremar las cautelas indicadas.
La conservación y destrucción de documentos y expedientes que contengan datos personales deberán adecuarse a lo dispuesto en el Reglamento del Archivo General de la UPNA.
Las medidas de seguridad aplicadas a los datos de carácter especial deben proteger suficientemente esos datos frente a riesgos de destrucción indebida, accesos no habilitados, alteraciones no autorizadas u otros factores que amenacen su seguridad, confidencialidad integridad y disponibilidad.
La UPNA velará por la aplicación de medidas de delimitación de accesos, registro de usuarios, formación suficiente para esos usuarios, sistemas de copia de seguridad, cifrado, seudonimización y otras medidas que resulten precisas a tal efecto.
Procederá aplicar el nivel de seguridad aludido a cualquier fichero, archivo, soporte, dispositivo o sistema que contenga aun parcialmente datos de carácter especial.
Asimismo, la contratación de servicios para la conservación, análisis, destrucción u otro tratamiento de dichos datos exigirá el seguimiento de idénticas cautelas. Para ello, se formalizarán los contratos o acuerdos oportunos, introduciéndose en tales instrumentos las cláusulas pertinentes. Concretamente, se exigirá la articulación de encargos de tratamiento que aseguren la adecuación a la normativa aplicable en materia de protección de datos.
Si el encargo de tratamiento implica la comunicación de datos personales a un país que no forme parte de la UE o el EEE, será de aplicación la regulación establecida en el Reglamento General de Protección de Datos (RGPD) para las transferencias internacionales de datos. Estas transferencias internacionales sólo serán admisibles si puede acreditarse la existencia de garantías adecuadas y un nivel de protección de las personas equivalente al del RGPD.
La contratación de servicios estandarizados de asistencia sanitaria o atención a un sector de la salud se ajustará al esquema de responsabilidades que resulte de la aplicación del ordenamiento y de los pronunciamientos de las autoridades competentes. Si el contratista ostenta, respecto de los datos de salud gestionados, la condición de Responsable de Tratamiento, cualquier acceso por parte de la UPNA a tales datos revestirá la forma de cesión o comunicación. Consecuentemente, se requerirá consentimiento informado de las personas interesadas o, en su caso, hallar otra base jurídica valida e informar a estas personas y garantizar suficientemente sus derechos.
El contratista que preste este tipo de servicios sanitarios deberá contar con capacidad suficiente para la conservación, a través de sus propios medios, de los datos de salud afectados. Si los referidos servicios se prestasen en el ámbito de la infraestructura universitaria, deberá compaginarse dicha circunstancia con la Política y la Normativa de Seguridad de la Información de la UPNA. En el supuesto de referencia, podrá determinarse que el contratista use la red de la UPNA y emplee equipos y programas pertenecientes a la UPNA. Esta determinación no alterará la condición de Responsable de Tratamiento atribuible al contratista y, por ello, la UPNA ostentará, respecto de dicho contratista y en lo exclusivamente relativo a la provisión de red y sistemas, la condición de Encargado de Tratamiento.
Si se estima pertinente la contratación de servicios singularizados de carácter sanitario, la UPNA deberá concretar el fundamento de dicha singularidad y su distinción con respecto a otros servicios previamente regulados de forma general o ya disponibles en el mercado. En el supuesto de referencia, la UPNA acreditará si el contratista actúa, en su caso, como Encargado de Tratamiento, bajo las instrucciones que la UPNA, como Responsable, expida al efecto. La singularización aludida exigirá la protocolización de los tratamientos de datos afectados. Esta protocolización requiere la correspondiente evaluación de impacto en materia de protección de datos y, si así procede, la pertinente consulta previa al respeto ante la autoridad de control.
La gestión o contratación de servicios de salud en beneficio de la comunidad universitaria implicará la observación de los plazos de conservación y limitación previstos por la normativa aplicable a la historia clínica, garantizándose el bloqueo de los datos hasta su eliminación cuando éstos ya no precisen ser tratados.
Gestión.
1. Introducción.
El contenido de esta parte alude a los tratamientos de datos asociados a la gestión administrativa, a los procesos burocráticos y a la administración general de la institución.
2. Roles de responsabilidad.
Los roles de responsabilidad en los tratamientos asociados a la gestión se ajustarán a lo previsto en la Parte General. El rol de responsable o referente interno es atribuido a los empleados o las empleadas que ostenten Jefaturas de Sección. Este personal asegurará que se informa correctamente de los tratamientos de datos existentes e implementará las medidas necesarias para asegurar un cumplimiento normativo adecuado.
La responsabilidad interna conferida queda circunscrita a las operaciones de tratamiento de datos atribuibles al ámbito de la sección correspondiente. Si la jefatura se hallare vacante o no existiese ese ámbito orgánico, el responsable interno será la persona titular de la dirección de servicio, la jefatura de negociado o unidad orgánica que proceda.
Los responsables internos solicitarán de la Unidad de Protección de Datos el asesoramiento oportuno e informarán suficientemente a esta unidad para que pueda prestarles ese asesoramiento. En todo caso, la Unidad de Protección de Datos podrá requerir la información oportuna a fin de conocer los tratamientos de datos gestionados por estos responsables.
3. Cláusulas informativas.
Los tratamientos de datos fundamentados en el interés público o la obligación legal deberán informar a las personas interesadas o afectadas sobre el tratamiento de sus datos. Consecuentemente, las unidades administrativas competentes deberán incluir en las convocatorias, anuncios, instancias u otros soportes relativos a concursos, oposiciones, subvenciones, premios u otros procesos las correspondientes cláusulas informativas.
La Unidad de Protección de Datos prestará el asesoramiento oportuno para la redacción de dichas cláusulas y la definición de su emplazamiento. Para ello, los responsables internos de las unidades administrativas facilitarán la información precisa a tal efecto.
4. Encuestas y formularios en línea.
Las encuestas y los formularios en línea generan diversas operaciones de tratamiento de datos. Estas operaciones no sólo aluden a la información consignada en esos sistemas sino también al punto de acceso electrónico, el tipo de dispositivo empleado, datos de navegación y otros identificadores en línea. Por ello, los empleados universitarios que generen o empleen en su ámbito profesional este tipo de sistemas deberán recabar el oportuno asesoramiento de la Unidad de Protección de Datos. Este asesoramiento se centrará en analizar la pertinencia de dichos sistemas, el modo de uso recomendado y la inclusión cláusulas informativa o consentimiento informado.
5. Verificaciones de titulación universitaria.
Cualquier tratamiento de datos vinculado a la verificación de las titulaciones expedidas por la UPNA se adecuará a la normativa sectorial aplicable y a la legislación sobre protección de datos. La comunicación de datos a otras entidades en este ámbito exigirá previamente la correcta identificación de la persona interesada y la constancia de consentimiento o información al respecto.
6. Contratación de prestaciones.
La contratación de prestaciones por parte de la UPNA puede suponer un encargo de tratamiento de datos en la entidad contratista. La contratación de una aplicación, un sistema de almacenamiento de datos, un control de accesos, unas encuestas u otras prestaciones que generen tratamiento de datos en su ejecución exigen la firma de un contrato de encargado.
La formalización de un contrato de encargado de tratamiento de datos es responsabilidad de la propia UPNA y su finalidad es la de asegurar que el contratista o encargado de tratamiento actúa conforme a instrucciones adecuadas por parte de la UPNA (Responsable de Tratamiento).
Las unidades promotoras o responsables de cada contrato deberán asegurar la firma de los correspondientes contratos de encargado de tratamiento, recabando a tal efecto el asesoramiento de la Unidad de Protección de Datos.
Si esas unidades no han recabado dicho asesoramiento, la unidad que centralice la gestión de la contratación, aquella que preste servicio jurídico o cualquier otra que intervenga en la preparación de la contratación solicitarán el referido asesoramiento.
7. Convenios.
La firma de convenios de colaboración puede prever acciones que en su ejecución comporten el tratamiento de datos. Cualquier convenio que articule acceso a bases datos, titulaciones conjuntas, prácticas externas, estudios demoscópicos u otras operaciones de tratamiento de datos debe ajustarse a la normativa de protección de datos. Para ello, se incluirán en el texto del convenio las cláusulas oportunas, sin perjuicio de los contratos de encargado, acuerdos de responsabilidad, acuerdos de cesión u otros instrumentos específicos que deban firmarse.
Corresponde a las unidades proponentes de cada convenio recabar el asesoramiento de la Unidad de Protección de Datos y facilitar a esta unidad la información precisa al efecto. De no ser así, Secretaría Técnica colaborará procedentemente con la Unidad de Protección de Datos.
8. Proyectos de normas o disposiciones de otra naturaleza.
Cualquier reglamento, protocolo, política, instrucción, directriz o instrumento que rija procesos concernientes a la UPNA y afecte a la materia de protección de datos será objeto de análisis sobre su adecuación e impacto para con la normativa aplicable en esa materia. Para ello, se contará con el asesoramiento de la Unidad de Protección de Datos.
9. Registro de tratamientos asociados a la gestión.
La UPNA debe registrar todo tratamiento de datos vinculado a la gestión en el que intervenga. Para ello, los responsables internos y, en su defecto, cualquier persona autorizada a tratar datos informará al respecto a la Unidad de Protección de Datos.
Docencia.
1. Introducción.
La impartición de la docencia se ajustará a la normativa aplicable en materia de protección de datos. La UPNA deberá observar la referida normativa en los tratamientos de datos que afecten al alumnado, profesorado y otras personas interesadas en el ámbito de la docencia.
2. Principios relativos a la docencia.
Los tratamientos de datos implementados en el ámbito de la docencia requerirán base jurídica suficiente e información a las personas interesada o afectadas. Los tratamientos basados en interés público u obligación legal deberán fundamentarse en la legislación sectorial aplicable.
Las operaciones de tratamiento de datos y su dimensión deben adecuarse al pertinente juicio de necesidad, idoneidad y proporcionalidad, de modo que no se efectúen operaciones injustificadas ni se recaben datos excesivos.
3. Información al alumnado.
Con independencia de la base jurídica que legitime el tratamiento de datos, se informará convenientemente de sus condiciones al alumnado. Conforme al principio de privacidad desde el diseño, se facilitará previamente la información de interés. Asimismo, se aludirá a la Unidad de Protección de Datos como cauce para el ejercicio de sus derechos.
4. Medios corporativos.
El profesorado empleará medios corporativos en el ejercicio de la actividad docente, particularmente en su interacción con el alumnado. Por ello, se prevé la utilización de la dirección electrónica universitaria, así como el uso de plataformas y recursos en línea u otros sistemas de información propios de la UPNA o contratados por esta universidad. De igual modo, el profesorado concienciará al alumnado sobre la obligatoriedad de usar medios corporativos en aquellas funciones de carácter académico que realicen como alumnado de la UPNA.
5. Publicación de calificaciones académicas.
La publicación de los resultados deberá realizarse con las garantías correspondientes y en entornos institucionales y cerrados de comunicación, preferentemente de carácter electrónico y de acceso restringido a los sujetos autorizados. La determinación de los sujetos autorizados se precisará en virtud de lo previsto en la normativa aplicable y lo dispuesto por la autoridades competentes y entidades de referencia.
6. Conservación y eliminación de documentación académica.
La documentación correspondiente a exámenes, trabajos de fin de estudios u otros trabajos académicos producidos por el alumnado se someterá a los calendarios de conservación dictaminados por la Comisión de Archivo de la UPNA y a los procedimientos de eliminación adoptados a tal efecto por la UPNA. Consecuentemente, el profesorado observará los plazos correspondientes y los sistemas de destrucción provistos por la UPNA.
7. Prácticas externas universitarias.
La UPNA asegurará la correcta aplicación de la normativa de protección de datos en la preparación y ejecución de las prácticas externas universitarias. Respecto a su ejecución, se promoverá la formación del alumnado en materia de protección de datos, particularmente en casos de prácticas que afecten a menores, personas con discapacidad, víctimas de violencia de género, pacientes sanitarios, usuarios de servicios sociales o individuos vulnerables.
8. Participación del alumnado en proyectos de investigación.
La intervención del alumnado en proyectos de investigación como personas participantes requerirá, en los términos previstos en la normativa aplicable, su consentimiento informado. La voluntariedad de su participación impediría considerar la misma para su evaluación académica.
Investigación universitaria.
1. Introducción.
La presente política prevé orientaciones relativas a los tratamientos de datos personales implicados en la realización de trabajos de fin de estudios, doctorados y proyectos de investigación correspondientes al marco de la docencia e investigación de la UPNA.
Estas orientaciones se desarrollan en un plano didáctico y en otro de carácter operativo. El plano didáctico consiste en ilustrar los conceptos de protección de datos a tener en cuenta. El plano operativo destaca los principios de actuación en la materia, a fin de facilitar el cumplimiento normativo preciso en este ámbito.
Si el desarrollo del TFE, el doctorado o el proyecto requieren el tratamiento de datos personales, procede cumplir la normativa aplicable: el Reglamento General de Protección de Datos de la UE (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
A título ejemplificativo, existe tratamiento de datos en los siguientes casos: encuestas o formularios on line, cuestionarios en papel, grabación de entrevistas, registro de sonidos o imágenes relativos a una persona, anotación de información sobre una persona, registro biométrico del físico, los movimientos u otros rasgos de la persona, acceso a archivos con datos personales, etc.
El contacto y la selección de las personas de interés (listado de teléfono, remisión de correo electrónico, formularios de participación, cribado previo de selección...) también comporta el tratamiento de datos personales y, por ello, debe cumplirse igualmente la normativa de protección de datos.
Consecuentemente, procede abordar todos los tratamientos de datos implicados en el desarrollo del trabajo académico o proyecto investigador. Por ello, deben considerarse no sólo los tratamientos ligados a la actividad propiamente investigadora o académica, sino, igualmente, los relativos al contacto y selección de las personas de interés y cualesquiera otros vinculados a la preparación, desarrollo o ultimación de la actividad aludida.
2. Roles de responsabilidad en el tratamiento de datos personales.
La Universidad es la Responsable del Tratamiento de Datos, esto es, la entidad responsable de hacer cumplir la normativa de protección de datos. Los directores o las directoras de tesis y TFE ostentan la responsabilidad interna de velar por dicho cumplimento en relación con esas iniciativas académicas. El alumnado universitario son personas autorizadas a tratar datos por cuenta de la Universidad y bajo la instrucción del director o la directora de referencia. En los proyectos de investigación, el Investigador o la Investigadora Principal aglutina simultáneamente las condiciones de responsable interno y persona autorizada a tratar datos. Cualquier otro investigador o investigadora que intervenga en un proyecto tratando datos, ostentará únicamente la condición de persona autorizada a tratar datos y, por ello, deberá actuar siguiendo las instrucciones de su responsable interno o Investigador Principal.
Si el proyecto o el trabajo de investigación se enmarca en un servicio contratado por otra entidad, dicha entidad ostentará la condición de Responsable de Tratamiento. En ese caso, la UPNA actuará como Encargado de Tratamiento, esto es, por cuenta del Responsable de Tratamiento. Los y las estudiantes de doctorado y TFE y los investigadores o las investigadoras sin condición de investigador principal desempañarán el rol de personas autorizadas a tratar datos por cuenta directa del Encargado (UPNA) e indirecta del Responsable (entidad contratante). Los directores o las directoras de TFE y doctorado cumplirán con su rol de referente interno, velando así por el cumplimiento de la normativa aplicable. Los Investigadores Principales aglutinarán simultáneamente la condición de persona autorizada y referente interno.
3. Rol de la Unidad de Protección de Datos.
El Delegado o la Unidad de Protección de Datos debe asistir y asesorar a los o las estudiantes y, en su caso, también a sus directores o directoras. En los proyectos de investigación, esa función se desarrollará en relación con el Investigador o la Investigadora Principal y, si fuera preciso, con otros investigadores u otras investigadoras que intervengan en tales proyectos.
4. Registro de tratamientos en el ámbito de la investigación.
La Universidad registrarán todo tratamiento de datos personales implementado en el desarrollo de doctorados, trabajos fin de estudios, proyecto de investigación y otras iniciativas académicas de carácter investigador.
Los investigadores o las investigadoras y el alumnado autor de trabajos, doctorados o iniciativas facilitarán la información oportuna para su correcto registro. La Universidad garantizarán que estos investigadores o investigadoras y estudiantes suministran la información precisa, protocolizando tal suministro.
Los directores o directoras de doctorado o TFE exhortarán a los y las estudiantes a facilitar la información que permita registrar los tratamientos de datos afectados. Los Investigadores o Investigadoras Principales se responsabilizarán de dicho cometido. La Universidad contará con la asistencia del Delegado, la Delegada o la Unidad de Protección de Datos y, para ello, le facilitará previamente la información precisa.
5. Medidas de seguridad de la información.
Procede implementar medidas técnicas y organizativas precisas para lograr niveles óptimos de seguridad y confidencialidad. Entre dichas medidas, cabe destacar el cifrado y la seudonimización.
El cifrado permite codificar el acceso a la información de interés. De ese modo, el acceso sólo es posible si se conoce el código en cuestión.
La seudonimización exige generar dos listados en relación con los datos a seudonimizar. Un listado vincula las identidades personales relativas a esos datos con una secuencia alfanumérica. Otro listado vincula esa misma secuencia alfanumérica con las variables informativas de interés para la investigación. Se trata de separar, mediante su ubicación en listados distintos, las identidades personales respecto de las variables informativas de interés.
6. Consentimiento informado e información sobre tratamiento de datos.
Debe identificarse si el tratamiento de datos ostenta carácter voluntario y se basa en el consentimiento de las personas interesadas (artículos 6.1.a o 9.2.a del RGPD) o se fundamenta en otras bases jurídicas previstas en los artículos 6 y 9.
El consentimiento informado o la información facilitada en relación con otras bases jurídicas debe identificar, entre otras, las siguientes referencias: responsable de tratamiento, objeto y condiciones del tratamiento, datos a tratar, ejercicio de derechos, contacto con el DPD, finalidad y base jurídica del tratamiento, así como medidas de seguridad y plazo de conservación.
7. Investigación sanitaria.
La investigación de carácter sanitario atenderá al carácter especial de los datos de salud.
Se recabará el consentimiento de las personas que participen voluntariamente en dicha investigación. Si la participación no es voluntaria o no se basa en el consentimiento, deberá identificarse la base jurídica habilitante y facilitarse la información correspondiente.
El tratamiento de datos seudonimizados exigirá un previo y adecuado proceso de seudonimización. Este proceso separará los datos identificativos de las variables sanitarias, particularmente en los casos en que, conforme al ordenamiento, resulte viable el tratamiento de datos seudonimizados sin consentimiento específico o información puntual al respecto.
La debida separación será implementada por la entidad que cuente con la versión integral de los datos a seudonimizar y pueda justificar haberlos obtenido conforme a derecho. Si dicha entidad no se hallase en disposición de implementar la seudonimización debida, esta seudonimización podrá encomendarse a otra instancia que colabore en el proyecto o trabajo de investigación sanitaria. Esta instancia será, en todo caso, distinta del investigador o estudiante que gestione el proyecto o trabajo de investigación sanitaria, impidiéndose así a dicho investigador o estudiante el conocimiento de los datos identificativos en cuestión.
8. Investigación vinculada a la ingeniería.
Los proyectos o trabajos académicos relativos a este tipo de investigación cumplirán con la normativa de protección de datos si tales proyectos o trabajos generan tratamientos de datos personales. Los estudiantes e investigadores o investigadores reflexionarán sobre el uso de información proveniente de las personas y si dicha información ostenta carácter de dato personal.
Se incidirá en el establecimiento garantías adecuadas para el desarrollo de evaluaciones o decisiones automatizadas, operaciones de perfilado, inteligencia artificial, geolocalización, biometría, detección de datos de movimiento o comunicación y otras operaciones de tratamiento de datos presentes en este tipo de investigación.
9. Investigación sociológica.
El personal investigador deberá contar en este ámbito con un nivel de instrucción suficiente en la materia, de modo que pueda garantizar el correcto cumplimiento de la normativa vigente.
Este personal aplicará unas cautelas adecuadas en la selección de las personas participantes en los proyectos de investigación. La realización de entrevistas, encuestas y el acceso a archivos exigirá la acreditación de consentimiento previo o la concurrencia de otra base legal que lo habilite conforme a las garantías jurídicamente previstas. Asimismo, se implementará una adecuada conservación y eliminación de las encuestas o entrevistas registradas y la información proveniente de archivos.
10. Investigaciones vinculadas a doctorados.
Los doctorandos o doctorandas y sus directores o directoras de tesis deberán contactar con la Unidad de Protección de Datos para consultar los tratamientos de datos relativos a sus investigaciones, cuando éstas contengan datos personales. Asimismo, se comunicará a la Unidad de Protección de Datos la información necesaria y los datos de contacto precisos para desarrollar su labor de asesoramiento. La Escuela de Doctorado de Navarra o instancia equivalente facilitará el traslado de dicha información y tales datos.
11. Investigaciones vinculadas a TFE.
Los estudiantes y los directores de TFE deberán contactar con la Unidad de Protección de Datos para consultar los tratamientos de datos a realizar en las correspondientes investigaciones, cuando éstas contengan datos personales. Asimismo, se comunicará a la Unidad de Protección de Datos la información necesaria para garantizar su labor de asesoramiento, particularmente en investigaciones que generen tratamientos sensibles, usen datos especiales o afecten a personas vulnerables.
12. Conclusión final.
Conviene implementar la protección de datos en el diseño de los tratamientos de datos. Para ello, debe contarse con la asistencia del Delegado, la Delegada o la Unidad de Protección de Datos. Además de la debida exigencia interna de cumplimiento legal, las revistas científicas, las entidades financiadoras y las entidades que facilitan acceso a datos o contacto con personas de interés requieren, cada vez con mayor frecuencia, la acreditación de cumplir con la protección de datos.
Código del anuncio: F2209612
Acceso
Boletín Oficial de Navarra
Paseo Pablo Sarasate, 38, 2.º izda.
31001 - Pamplona (Navarra)
848 42 12 50