Protección de datos para o persoal en xeral

Índice

• Novos tratamentos de datos de carácter persoal
• Criterios para a recollida de datos
• Cláusulas informativas
• Consentimento en materia de protección de datos
• Publicacións
• Publicación de actos administrativos
• Notificación por anuncios
• Publicación no Taboleiro Electrónico no que se inclúan datos persoais
• Publicación de documentos dos órganos colexiados
• Datos estatísticos
• Acceso a datos por parte das forzas e corpos de seguridade e órganos xudiciais
• Acceso a datos entre distintas unidades da USC
• Publicación de listaxes
• Comunicación de datos de estudantes á empresas

Novos tratamentos de datos de carácter persoal

Se un servizo, dependencia, centro, grupo de investigación ou similar vai tratar datos de carácter persoal e o tratamento non figura no Rexistro de Tratamentos da USC, debe poñerse en contacto con protecciondatos [at] usc.gal (protecciondatos[at]usc[dot]gal) detallando o que se quere realizar, así como as medidas técnicas, organizativas e de seguridade que se prevén adoptar.

Posteriormente, unha vez aprobada a proposta, a USC procederá a incorporar o novo tratamento ao Rexistro mencionado. Asemade, redactará a cláusula informativa para a recollida dos datos, e fará recomendacións sobre as medidas de seguridade que deberán aplicarse na custodia dos datos, en función do tipo de información que se trate.

Criterios para a recollida de datos

Na elaboración de formularios de recollida de datos persoais deben terse en conta os seguintes criterios:

• Recoller unicamente os datos estritamente necesarios para a finalidade para a que se recollen  (principio de minimización) 
• Non pedir datos nin documentos que xa teña a USC 
• Debe existir unha base legal para pedir os datos (fins propios da USC ou consentimento) 
• Os datos só se poden recoller e utilizar para os fins para os que foron solicitados
• Os datos deben ser exactos
• Os datos non deben conservarse se non se necesitan para a finalidade para a que foron recollidos

Cláusulas informativas

Toda recollida de datos persoais debe conter cunha cláusula informativa previa que indique:

• Normativa de protección de datos 
• Responsable do tratamento (USC)
• Datos do Delegado de Protección de Datos 
• Base xurídica do tratamento 
• Tratamento (con referencia ao Rexistro de tratamentos da USC)
• Cesións de datos que se prevén
• Exercicio de Dereitos (enlace aos formularios da Sede) 
• Período de conservación dos datos 
• Política de privacidade 
• De ser o caso, consentimento para o tratamento dos datos e efectos da falta do mesmo

Os modelos de cláusulas informativas se poden atopar no apartado "Modelos de documentos e cláusulas de protección de datos" nos destacados inferiores da páxina principal de protección de datos. 

Consentimento en materia de protección de datos

Se os datos non se recollen para unha función propia da USC (xestión, docencia) debe solicitarse o consentimento para o seu tratamento. Así, para a realización de enquisas, proxectos de investigación, asistencia a congresos, actos culturais, etc. é necesario solicitar o consentimento.

O documento onde se solicite o consentimento para o tratamento de datos de carácter persoal debe contemplar: 

• A información sobre o tratamento que se vai realizar, con referencia a un dos tratamentos que figuran no Rexistro de tratamentos da USC 
• A posibilidade de poder retirar o consentimento 
• Os efectos de non prestar o consentimento
• Se recomenda que o consentimento se inclúa na cláusula informativa sobre protección de datos   

Publicacións 

Publicación de actos administrativos

Cando sexa necesaria a publicación dun acto administrativo que contivese datos persoais do afectado, identificarase ao mesmo mediante o seu nome e apelidos, engadindo catro cifras numéricas aleatorias do documento nacional de identidade, número de identidade de estranxeiro, pasaporte ou documento equivalente. Cando a publicación se refira a unha pluralidade de afectados estas cifras aleatorias deberán alternarse.

Notificación por anuncios

Cando se trate da notificación por medio de anuncios, particularmente nos supostos aos que se refire o artigo 44 da Lei 39/2015, de 1 de outubro, do Procedemento Administrativo Común das Administracións Públicas, identificarase ao afectado exclusivamente mediante o número completo do seu documento nacional de identidade, número de identidade de estranxeiro, pasaporte ou documento equivalente. Cando o afectado carecese de calquera dos documentos de identificación realizarse mediante o seu nome e apelidos. 

En ningún caso debe publicarse o nome e apelidos de maneira conxunta co número completo do documento nacional de identidade, número de identidade de estranxeiro, pasaporte ou documento equivalente.

Publicación no Taboleiro Electrónico no que se inclúan datos persoais 

Os acordos que conteñan datos persoais deben publicarse no Taboleiro con carácter temporal, só mentres dure o procedemento do que traen causa.

Publicación de documentos dos órganos colexiados

A documentación previa á reunión que conteña datos persoais só debe ser accesible para os membros do órgano.

As actas con datos persoais non deben publicarse en internet.

Os acordos xerais poden publicarse en internet se non conteñen datos persoais. Se os conteñen debe realizarse unha notificación individual.

Datos estatísticos 

Non existe inconveniente en facilitar datos estatísticos sobre membros da comunidade universitaria. As peticións deben realizarse a través do centro.datos [at] usc.gal (centro[dot]datos[at]usc[dot]gal).

Acceso a datos por parte das forzas e corpos de seguridade e órganos xudiciais 

Toda petición de datos persoais por parte das forzas e corpos de seguridade e órganos xudiciais debe ser remitida á Secretaría Xeral, que será a que proceda a súa contestación.

Acceso a datos entre distintas unidades da USC

É posible o acceso a datos entre distintas unidades da USC sempre que se recolleran para a mesma finalidade.

Publicación de listaxes 

Non procede  publicar listaxes con datos persoais agás que unha convocatoria así o estableza ou como consecuencia de procedementos de concorrencia competitiva ou asimilados. 

Para as comunicacións masivas recoméndase como boas prácticas: 

Para informar individualmente a un grupo de persoas de algo que afecta a cada unha delas, pero que non debe ser de coñecemento xeral:

       Usar a combinación de correspondencia (vid. boas prácticas no carrusel de imaxes do final desta páxina)

Exemplo: temos un documento Excel cos correos electrónicos, apelidos, nomes, datas e horas de cita dunha relación de persoas:

Queremos informar a cada unha delas do momento en que ten que acudir á cita.

 Non debemos enviar un correo electrónico a todos os membros da relación xuntando o arquivo con todas as citas. No seu lugar, podemos seguir as seguintes instrucións:

1.- Abrir un documento Word en branco e  premer en “Correspondencia” -> “Iniciar combinación de correspondencia”->”Mensaxes de correo electrónico”.

2.- Premer en  “Seleccionar destinatarios”-> “Usar unha lista existente”, seleccionando o  arquivo Excel no que temos os datos.

3.- Escribir o correo. Cando sexa preciso incluír un dos valores dos campos da folla Excel, premer en “Inserir campo combinado” e seleccionar o campo que corresponda para inserir dentro do texto.

4.- Premer en “Finalizar e combinar” -> “Enviar mensaxes de correo electrónico”.

5.- Elixir o campo no que están as direccións de correo electrónico dos destinatarios. Inserir un “Asunto” e premer en “Aceptar”. Os correos serán enviados automaticamente.

Para comunicacións por correo electrónico con múltiples destinatarios. 

Usar o campo “Copia Oculta” para inserir os enderezos de correo dos destinatarios.

Non poñer os enderezos visibles no campo “Para”. O enderezo electrónico dunha persoa é un dato de carácter persoal e non debe ser comunicado sen restricións.

Para comunicacións a entidades externas por obriga legal de listaxes con datos de carácter persoal.

Usar as aplicacións telemáticas establecidas.

Para comunicar datos coa Xunta, Ministerios e Organismos Públicos cos que temos a obriga de información, debemos usar preferentemente as aplicacións telemáticas con control de acceso que estean establecidas para este propósito. Cando non existan as devanditas aplicacións, procuraremos enviar ligazóns a documentos en One Drive compartidos exclusivamente co destinatario da outra administración.

Se non fora posible utilizar ningún dos métodos do parágrafo anterior e impoñerannos  usar o correo electrónico, debemos cifrar os arquivos (por exemplo, engadindo un contrasinal enviado por outro medio á persoa destinataria).

Comunicación de datos de estudantes á empresas

A comunicación de datos a empresas require da existencia dun convenio previo (por exemplo no caso de realización de prácticas) ou do consentimento expreso das persoas afectadas.

Boas prácticas. Incidentes. Transmisión de datos. Listaxes. Compartición de arquivos.