Cesión de datos de carácter personal

Universidad de Granada | Secretaría General | Administración electrónica

Buscar

Cesión de datos de carácter personal

Descargar versión en PDF

¿Qué entendemos por cesión de datos?

  • Cesión o comunicación de datos es toda revelación de datos realizada a un tercero, teniendo la consideración de tercero toda persona física o jurídica, pública o privada u órgano administrativo, distinta de:
El interesado, o persona física titular de sus propios datos de carácter personal.
El Responsable del fichero, en este caso la Universidad de Granada. A estos efectos no se consideran cesiones de datos los intercambios de información entre las distintas áreas, unidades, servicios o equivalentes de la Universidad de Granada siempre que el tratamiento se refiera a finalidades que no sean distintas a aquellas para las que se recabaron los datos, el interesado haya sido informado y, en su caso, otorgado su consentimiento.
Las personas autorizadas a tratar datos bajo la autoridad directa de la Universidad de Granada ya sea como consecuencia de una relación laboral o administrativa, incluso becarios siempre que estén sujetos a compromisos de confidencialidad.
El encargado del tratamiento o prestador de servicios con acceso a datos de carácter personal, de naturaleza pública o privada, que trata datos personales por cuenta de la Universidad de Granada en el marco de una relación jurídica que le vincula y delimita su ámbito de actuación.
Las personas autorizadas a tratar datos bajo la autoridad directa del Encargado del tratamiento.
  • El concepto de cesión o comunicación es muy amplio, puesto que la revelación recoge tanto la entrega, comunicación, consulta, interconexión, transferencia, difusión o cualquier otra forma que facilite el acceso a los datos de un fichero a un tercero. Por ejemplo se considera cesión el supuesto en que una persona no autorizada pueda ver los datos que muestra nuestra pantalla de ordenador, aunque no se haya producido el acto físico de la entrega o telemático del envío o la conexión.
  • Los datos objeto de tratamiento solo podrán ser cedidos para el cumplimiento de fines directamente relacionados con la actividad legítima del cedente y del cesionario, lo que requerirá el consentimiento inequívoco del interesado, dejando a salvo las excepciones que se indican infra.

¿Estamos tratando datos cuando los cedemos?

  • La cesión es considerada como una fase del tratamiento de datos de carácter personal, por lo que cuando cedemos datos los estamos tratando al igual que cuando los recogemos, grabamos, conservamos, elaboramos, modificamos, utilizamos, cancelamos, bloqueamos o suprimimos. Se trata por tanto de actividades sujetas a la normativa de Protección de Datos.

¿Cómo puede presentarse la solicita la cesión o comunicación de datos?

  • Para instar la cesión, el solicitante deberá utilizar el formulario que está a disposición de los solicitantes en la página web de la Secretaría General o bien presentar la petición a través del procedimiento específico de cesión previsto en la sede electrónica de la Universidad de Granada, en el que se compromete a un tratamiento de los datos recibidos acorde a la finalidad para la que han sido solicitados y a la normativa de Protección de Datos de Carácter Personal. En la solicitud se deberá especificar qué tipos de datos personales se solicitan en concreto y la finalidad del uso.
  • La presentación, en su modalidad presencial, se realizará en el Registro General de la Universidad y sus registros auxiliares, o por cualquiera de los medios previstos en la legislación vigente.
  • Dicha solicitud deberá ser realizada tanto por terceros ajenos a la Universidad que soliciten el uso de datos de carácter personal contenidos en ficheros titularidad de la misma, como por unidades, servicios o equivalentes de la propia Universidad cuando la finalidad a la que se vayan a destinar los datos sea distinta de aquella para la que inicialmente se recabaron.
  • La autorización de la cesión sólo será posible si la cesión de datos solicitada entra dentro de los supuestos legalmente establecidos.

¿Cuáles son, en principio, los requisitos necesarios para la cesión de datos?

Se establecen dos requisitos iniciales y concurrentes que deberán darse en toda cesión, con carácter general:

  • Sólo será posible para el cumplimiento de fines directamente relacionados con las funciones de la Universidad de Granada y del cesionario que recibe los datos de carácter personal.
  • Es necesario el previo consentimiento informado de la persona interesada. Para que el consentimiento sea válido a efectos de cesión de datos, el interesado debe conocer de forma inequívoca, al menos, lo siguiente:
Tipo de datos objeto de la cesión.
Finalidad a la que se destinarán los datos de la cesión.
Actividades de las entidades cesionarias.

¿Es necesario, en todos los casos, el consentimiento previo de la persona interesada para poder proceder a la cesión de sus datos?

Siempre es necesario informar al interesado de las cesiones que se van a realizar. Sin embargo la legislación en la materia establece supuestos tasados en los que no será necesario recabar el consentimiento previo de los interesados para ceder sus datos de carácter personal.

Estos supuestos son los siguientes:

  • Una norma con rango de Ley o una norma de Derecho comunitario lo autorice, bien porque la cesión tenga por objeto satisfacer un interés legítimo de la Universidad amparado en dicha norma cuando no prevalezca el interés o los derechos y libertades de los interesados, o bien porque sea necesaria para que la Universidad cumpla un deber que le impone dicha norma.
  • Se trate de datos recogidos de fuentes accesibles al público y su destinatario sean otras Administraciones públicas. En otro caso, aun procediendo los datos de fuentes accesibles al público, la cesión deberá estar prevista por una ley para no requerir el consentimiento del interesado.
  • El tratamiento responda a la libre y legítima aceptación de una relación jurídica, cuyo desarrollo, cumplimiento y control comporte la comunicación de datos, siempre que se limite a la finalidad que la justifique.
  • La comunicación tenga por destinatario el Defensor del Pueblo, el Ministerio Fiscal, los Jueces o Tribunales, el Tribunal de Cuentas o las instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas, y se realice en el ámbito de las funciones que la ley les atribuya expresamente.
  • La Universidad obtenga o elabore datos con destino a otra Administración Pública.

* La cesión se realice con destino a otra Administración Pública y tenga como objeto el tratamiento de los datos con fines históricos, científicos o estadísticos.

  • La cesión se realice con destino a otra Administración Pública para el ejercicio de competencias idénticas o que versen sobre las mismas materias.

La cesión de datos relativos a ideología, religión, creencias y afiliación sindical, requiere consentimiento expreso, sin que haya excepciones al respecto, y por escrito del interesado, debiendo ser advertido de su derecho a no consentir la cesión de tales datos en el momento de ser recabados.

Los datos de carácter personal que se refieran a la salud, violencia de género, vida sexual u origen racial de las personas solo serán cedidos cuando por razones de interés público así lo establezca una ley o el interesado consienta expresamente.

Los datos de salud de los interesados podrán ser cedidos cuando sea necesario para solucionar una urgencia médico-sanitaria que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación estatal o autonómica sobre la materia.

¿Es revocable el consentimiento dado para la cesión de los datos?

  • El consentimiento podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos. No podrán establecerse para la revocación del consentimiento más requisitos que aquellos que se establecieron para solicitarlo, debiendo tener en todo caso carácter gratuito. En caso de producirse, deberá comunicarse la revocación a las entidades cesionarias en el plazo de 10 días desde que se recibió la solicitud, instándoles a que cesen en el tratamiento de los datos del interesado.

Cuando se ceden datos de carácter personal, ¿se podría estar realizando una transferencia internacional de datos?

  • Sí, la transferencia internacional se produce cuando la cesión se realiza a países distintos del Espacio Económico Europeo (países de la UE más Islandia, Liechtenstein y Noruega) o aquellos que la Comisión Europea ha considerado que tienen un nivel de protección adecuado (Suiza, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Canadá respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos y las entidades estadounidenses adheridas a los principios de “Puerto Seguro”).
  • Cualquier cesión de datos efectuada a un país que no sea miembro del Espacio Económico Europeo o sobre el que no se haya declarado un nivel adecuado de protección por la Agencia Española de Protección de Datos o la Comisión Europea, requerirá la previa supervisión del correspondiente Coordinador LOPD y el posterior pronunciamiento de la Secretaría General de la Universidad de Granada.
  • En estos casos, sería necesaria la autorización del Director de la Agencia Española de Protección de Datos (AEPD) o en su caso el consentimiento del interesado.

¿Qué pasa cuando la cesión se produce previa disociación de datos?

La disociación de datos es un proceso que no permite la identificación de un interesado, por ejemplo sustituyendo los datos identificativos por un código que solo conozca la Universidad de Granada y sea desconocido por el destinatario de la información. Cuando la cesión se refiera a datos disociados no se encontrará sujeta a la normativa de Protección de Datos al no ser identificables las personas a las que se refiere la información.