D'acord amb la resolució de data 26 de juny del 2003 de mesures organitzatives sobre la protecció de dades de caràcter personal, modificada per la resolució de 15 de juny de 2011, les cessions de dades personals a tercers de les quals es compti amb el consentiment exprés de l'afectat requereixen l'autorització de la Secretaria General; així mateix les comunicacions de dades quan la sol·licitud sigui d'una administració amb igual competències i la cessió tingui per objecte una finalitat estadística, històrica o científica.

Als efectes de regular el procediment que cal seguir davant les sol·licituds de terceres entitats de cessió de dades personals, així com les dades que s'han d'inscriure en el Document de Seguretat de la UPF sobre aquestes cessions,

En ús de les competències que m'atorga l'article 52 dels Estatuts de la Universitat Pompeu Fabra,

 

HE RESOLT:

Primer. Requisits de les sol·licituds

1. Les sol·licituds que terceres entitats presentin a la UPF per a la cessió de dades personals o de comunicacions de dades previstes a l'article 21 de la LOPD s'hauran d'adreçar als responsables interns dels fitxers de dades personals, en endavant Responsable del fitxer, on aquestes estiguin contingudes. En el cas que la sol·licitud tingui entrada en una altra unitat o servei, aquest l'adreçarà al Responsable intern del fitxer corresponent.

2. Les sol·licituds hauran de concretar:

- Nom de l'entitat que fa la sol·licitud.
- Finalitat de la cessió.
- Dades personals que es demanen.

 

Segon. Informe de la Secretaria General

1. El Responsable del fitxer sol·licitarà l'informe a la Secretaria General, que informarà la cessió vist el que disposa la Llei de Protecció de Dades de caràcter personal i el reglament de desenvolupament de la Llei, la resolució rectoral de 26 de juny del 2003 i la resolució de creació del corresponent fitxer.

2. L'informe de Secretaria General no autoritzarà la cessió si la resolució de creació del fitxer no preveu la cessió de dades amb consentiment o si la finalitat per la qual se sol·licita no està prevista. Així mateix, només autoritzarà la comunicació de dades prevista a l'article 21 de la LOPD si es donen els elements previstos en la legislació. L'informe podrà autoritzar parcialment la cessió o comunicació, per tal que s'ajusti a les previsions del fitxer o de la legislació citada.

3. En el cas que l'informe no autoritzi la cessió de dades, el Responsable del fitxer afectat ho comunicarà per escrit a la entitat sol·licitant.

 

Tercer. Cessions a tercers. Carta de condicions

1. En el cas que la Secretaria General emeti informe favorable, abans de procedir a la cessió, el Responsable del fitxer vetllarà que l'entitat tercera que sol·licita les dades (la cessionària), signi una Carta de condicions de la cessió, amb el següent contingut:

a) Concreció del tipus de dades que se cediran, d'acord amb allò que indiqui l'informe de la Secretaria General.

b) Que la cessionària es compromet a tractar les dades amb la finalitat exclusiva per la qual s'han autoritzat.

c) Que en el cas que una persona de la qual s'han cedit les dades exerceixi el dret de cancel·lació de dades personals o quan la UPF ho estimi oportú i així ho comuniqui a la cessionària, aquesta haurà de cessar d'immediat en el tractament d'aquelles dades, que seran cancel·lades procedint a esborrar-les.

d) Que qualsevol tractament que no s'ajusti a la finalitat que s'ha descrit, serà responsabilitat exclusiva de la cessionària, que respondrà davant tercers i front la pròpia UPF, sense perjudici dels danys i perjudicis que puguin generar-se.

e) Que la cessionària manifesta complir la normativa vigent en matèria de protecció de dades i en particular, les mesures de seguretat corresponents als seus fitxers; que en concret, la cessionària es compromet a aplicar a les dades les mesures de seguretat previstes a l'article 9 de la LOPD, així com allò disposat al Reial Decret 1720/2007 de 21 de desembre, i en cada moment les disposicions en vigor en aquesta matèria; i que l'incompliment d'aquest compromís serà responsabilitat exclusiva de la cessionària, que respondrà davant tercers i front la pròpia Universitat dels danys i perjudicis que poguessin generar-se.

f) Que la cessionària es compromet a no realitzar cap cessió de les dades; que només les tractarà durant un curs acadèmic, sense perjudici que qualsevol persona exerciti el seu dret a revocar el seu consentiment a la cessió.

2. Una vegada el representant de la cessionària hagi acceptat per escrit les condicions se li faran arribar les dades sol·licitades només d'aquelles persones de les  quals es disposi del consentiment exprés. La comunicació de les dades es farà mitjançant escrit degudament registrat en el Registre de la UPF.

 

Quart. Comunicacions a Administracions d'acord amb l'article 21 de la LOPD. Carta de condicions

En el cas que la Secretaria General emeti informe favorable a les sol·licituds de les administracions de comunicació de dades d'acord amb l'article 21 de la LOPD abans de la comunicació, la persona responsable en matèria de protecció de dades d'aquella administració o persona que aquesta designi, haurà de signar una Carta de condicions de la comunicació de dades amb els compromisos següents:

a) Tractar les dades personals amb la finalitat exclusiva de portar a terme el projecte científic, històric o estadístic corresponent.

b) Assumir la responsabilitat exclusiva de qualsevol tractament que no s'ajusti a la finalitat descrita, responent davant tercers i davant la pròpia UPF, sense  perjudici dels danys i perjudicis que es puguin  produir.

c) Complir la normativa vigent en matèria de protecció de dades i, en particular, les mesures de seguretat corresponents als seus fitxers, i, en concret, a aplicar a les dades les mesures de seguretat previstes en l'article 9 de la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD), així com el seu reglament aprovat pel Reial Decreto 1720/2007, de 21 de desembre, i en cada moment les disposicions en vigor sobre aquesta matèria. L'incompliment d'aquest compromís serà de la seva responsabilitat exclusiva i que respondrà davant tercers i davant la pròpia UPF dels danys i perjudicis que es poguessin generar.

d) No realitzar cap cessió de les dades i respectar el deure de confidencialitat respecte de les dades de caràcter personal que la UPF li comunica.

e) Fer constar, en el protocol que formalitzi amb qualsevol altra entitat, com encarregada del tractament de les dades o tercers que accedeixi a les dades, els seus deures d'acord amb la LOPD.

f) En el cas que, per a portar a terme el projecte l'administració corresponent o l'entitat que operi com encarregada del tractament de les dades o tercer que accedeix a les dades, demanés més dades personals als afectats mitjançant enquestes, efectuar la recollida de les dades complint el deure d'informació establerta en l'article 5 de la LOPD i especialment, en allò que fa referència al caràcter obligatori o facultatiu de la resposta a les preguntes que els siguin plantejades als participants de l'enquesta i de les conseqüències de la obtenció de les dades o de la negativa a subministrar-les.

g) Cancel·lar immediatament los dades personals de les persones que manifestin, directament a aquella administració o a qui operi com a encarregat del tractament o tercer que accedeixi a les dades, o a la UPF, que no desitgen col·laborar en el projecte.

h) A destruir les dades una vegada finalitzat el projecte.

 

Cinquè. Marcatge de fitxers

D'acord amb el que estableix la Llei de Protecció de Dades Personals i el seu reglament, caldrà que quedi constància de la cessió o comunicació realitzada amb un marcatge en els fitxers personals creats per a la cessió o comunicació, als efectes que es puguin exercir els drets d'accés, cancel·lació, rectificació i oposició.

 

Sisè. Comunicació al Responsable de Seguretat

Una vegada comunicades o cedides les dades a la cessionària, el Responsable del fitxer haurà de comunicar l'enviament a la vicegerència competent en sistemes informàtics, com a Responsable de Seguretat, amb les dades indicades a l'article vuitè d'aquesta resolució.

 

Setè. Custòdia de l'expedient

El responsable del fitxer haurà de mantenir la custòdia de l'expedient amb la Carta de Condicions signada així com còpia de la informació tramesa, d'acord amb la política de gestió documental indicada per l'Arxiu.

 

Vuitè. Inscripció en el Document de Seguretat

Les cessions de dades amb consentiment i les comunicacions es faran constar al Document de Seguretat, amb les dades següents:

a) Dades relatives a la recepció de la sol·licitud.

  • Servei que l'ha rebut.
  • Data de recepció.
  • Observacions, si escau.

b) Dades de la sol·licitud.

  • Nom de l'entitat sol·licitant.
  • Dades sol·licitades.
  • Finalitat.

c) Dades sobre l'informe de la Secretaria General.

  • Sentit de l'informe, positiu o negatiu de la cessió.
  • Data de l'informe.
  • Observacions, si escau.

d) Dades sobre el control del procés.

  • S'ha remès la carta de condicions de cessió de dades.
  • S'han rebut les condicions acceptades i signades pel sol·licitant.
  • S'han demanat les dades al Servei d'Informàtica (si és el cas).
  • Si és el cas, preu i número de factura.
  • Còpia documental arxivada.
  • Procés finalitzat.

e) Informació sobre les dades processades.

  • Data en que es realitza la selecció de dades.
  • Número total de registres obtinguts.
  • Condicions de recerca utilitzades.
  • Dades enviades.
  • Observacions, si és el cas.

Disposició addicional. Les cessions de dades amb consentiment realitzades fins la data d'entrada en vigor d'aquesta resolució, s'inscriuran al Document de Seguretat de la UPF.

Disposició final Aquesta resolució entrarà en vigor l'endemà de la seva signatura.