Preguntas y Respuestas: Cesión de datos de carácter personal.

  • Por comunicación de datos o cesión entendemos toda comunicación por transmisión y/o difusión de datos de carácter personal que se realiza a un tercero, bien sea persona física o jurídica, pública o privada, autoridad pública, servicio u organismo diferente del:

    • Interesado o persona física titular de sus propios datos de carácter personal.
    • Responsable del tratamiento, en este es caso la Universidad de Granada.
    • Encargado de tratamiento.
  • Tratamiento de datos es cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

    Por tanto, la cesión de datos y la comunicación son una forma de tratamiento.

  • Las formas en que se pueden producir comunicación de datos o cesión son muy diversas, puesto que la revelación comprende tanto la entrega, comunicación, consulta, interconexión, transferencia, difusión o cualquier otra forma que facilite el acceso a los datos de un registro de actividad de tratamiento a un tercero.

    Por ejemplo, se considera cesión el supuesto en que una persona no autorizada pueda visualizar los datos que muestra nuestra pantalla de ordenador, aunque no se haya producido el acto físico o electrónico de la entrega o la conexión.

    • Sí, entre las distintas unidades y servicios de la Universidad de Granada se producen comunicaciones de datos para el estricto cumplimiento de las funciones que tienen asignadas.

    En el caso de que sean para funciones o atribuciones no conferidas puede consultar el apartado número 17 de este documento.

  • No, las comunicaciones a encargados de tratamiento no se consideran cesiones de datos, puesto que, para poder prestar el servicio que conlleva el tratamiento de datos personales por cuenta del responsable, necesita acceder a ellos.

    Normalmente, la relación entre responsable y encargado del tratamiento se formaliza a través de un contrato o acto jurídico, en el que se regulará, entre otras cuestiones, las instrucciones del responsable del tratamiento que deberá cumplir el encargado, así como lo establecido en el Reglamento (UE) 2016/679, General de Protección de Datos (en adelante, RGPD) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales (en adelante, LOPDGDD).

    • Sí, a las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o encargado (ya sea como consecuencia de una relación laboral o administrativa) se les puede comunicar datos de carácter personal para el cumplimiento de las funciones que tienen asignadas mediando la correspondiente base de legitimación.

    Se les considera destinatarios, y no terceros a los efectos del RGPD.

    En el caso de que no sean para funciones o atribuciones no conferidas puede consultar el apartado número 17 de este documento.

  • No se considerará cesión de datos cuando sea de aplicación la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014, ya que, como se indica en la disposición adicional vigésima quinta, el contratista tendrá la consideración de encargado del tratamiento de los datos de carácter personal cuyo tratamiento sea responsable la entidad contratante

    • Sí, estamos en este caso ante una comunicación entre Administraciones Públicas, de modo que cuando Ud. formula una solicitud en la que aporta datos que obra en poder de otras Administraciones, como pueden ser la Agencia Tributaria, el Instituto Nacional de la Seguridad Social, entre otros, la Universidad de Granada puede efectuar en el ejercicio de sus competencias las verificaciones necesarias para comprobar la exactitud de los datos aportados.

    • Sí, Ud. puede negarse, marcando la casilla que aparezca en el impreso o formulario web, debiendo tener en cuenta que ello implicaría -según el tipo de solicitud realizada- que no pueda darse cumplimiento a la finalidad de la comunicación.

  • Para que una comunicación o cesión de datos sea lícita, es preciso que se de alguna de las siguientes causas:

    • Que el interesado haya dado su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

    • Que el tratamiento sea necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

    • Que el tratamiento sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

    • Que el tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona física;

    • Que el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

    • Que el tratamiento sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

    En el supuesto de acreditación de interés legítimo, no tratándose de datos especialmente protegidos, se habrá de realizar la ponderación prevista en el art. 15.3 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno. Dicha ponderación se hará, teniendo en cuenta, entre otros, los siguientes criterios:

    • El menor perjuicio a los afectados derivado del transcurso de los plazos establecidos en el artículo 57 de la Ley 16/1985, de 25 de junio, del Patrimonio Histórico Español.

    • La justificación por los solicitantes de su petición en el ejercicio de un derecho o el hecho de que tengan la condición de investigadores y motiven el acceso en fines históricos, científicos o estadísticos.

    • El menor perjuicio de los derechos de los afectados en caso de que los documentos únicamente contuviesen datos de carácter meramente identificativo de aquéllos.

    • La mayor garantía de los derechos de los afectados en caso de que los datos contenidos en el documento puedan afectar a su intimidad o a su seguridad, o se refieran a menores de edad.

    También es lícito el tratamiento por las Administraciones Públicas de datos con fines de archivo en interés público, investigación científica, histórica o estadística, sin perjuicio de que esté sujeto a garantías adecuadas, para lo cual se dispondrá de medidas técnicas y organizativas, como la seudonimización , que permitirán, por un lado, que los datos personales tratados sean los estrictamente necesarios para estos fines y, por otro, que en la consecución de estos fines, por el tratamiento a efectuar, no sea posible su identificación.

    • Sí, puede ejercitar su derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que sus datos personales sean objeto de un tratamiento basado en misión de interés público, ejercicio de poder público o interés legítimo, salvo que por parte del responsable del tratamiento se acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones o, tratándose de datos personales con fines de investigación científica o histórica o fines estadístico, el tratamiento sea necesario para el cumplimiento de una misión realizada por razones de interés público.

    Por su parte, cuando se solicite el acceso a información pública que pueda contener datos personales o se pretenda la comunicación fundamentada en el interés legítimo de un tercero, se concederá un plazo de quince días para que el titular de los datos personales, si lo estima oportuno, formule las correspondientes alegaciones.

  • Sí, la comunicación de datos que revelen el origen étnico o racial, las opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, así como el tratamiento de datos genéticos, biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud, vida sexual u orientaciones sexuales de una persona física, será posible cuando:

    • El interesado haya dado su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros, establezca que la prohibición general a su tratamiento no pueda ser levantada por éste;
    • Sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social;
    • Sea necesario para proteger los intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, ya sea física o jurídicamente, para dar su consentimiento;
    • Se produzca en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;
    • Se refiera datos personales que el interesado ha hecho manifiestamente públicos;
    • Para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;
    • Por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros;
    • Para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social;
    • Por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios;
    • Fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.

    No obstante, La LOPDGDD ha establecido un estatuto particular para determinados datos de categoría especial puesto que, respecto de aquellos datos cuya finalidad principal sea identificar la «ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico», no bastará el solo consentimiento del afectado para levantar la prohibición del tratamiento de datos, si bien nada impide que puedan ser tratados al amparo de los restantes supuestos contemplados, y que se han detallado en este apartado.

  • Sí, la Universidad de Granada, como Administración Pública está obligada a proporcionar al Consejo de Transparencia y Protección de Datos de Andalucía, la información necesaria para que lleve a cabo su labor inspectora y de investigación.

  • Sí, su información personal quedará a disposición de los órganos indicados para los casos en que, ante las eventuales responsabilidades o investigaciones a efectuar, la Universidad de Granada deba cumplir con la obligación legal de asistir a éstos.

    En el caso de las Fuerzas y Cuerpos de Seguridad del Estado cuando actúen en funciones de policía judicial o, sin hacerlo, haya una justificación de riesgo para la seguridad pública, sus datos podrán ser comunicados por la Universidad de Granada para cumplir con la citada obligación legal.

  • Sí, puede consultarlo a través del registro de actividades de tratamiento, en el cual se enumera y proporciona una descripción detallada del régimen de tratamiento de sus datos en las diferentes actividades que llevamos a cabo y se especifica si se prevén cesiones o comunicaciones de datos.

    Se trata de un documento sujeto a cambios, ya que progresivamente se irán añadiendo y/o modificando actividades según evolucionen los tratamientos o la dinámica de actuación de la Universidad de Granada.

    Puede consultar la información tanto básica como adicional en el apartado de protección de datos.

  • La Universidad de Granada sólo cederá aquellos datos que sean adecuados, pertinentes y limitados a lo necesario para poder llevar a cabo los fines para los que dichos datos son tratados.

  • Cuando el tratamiento de los datos personales esté basado en el consentimiento, el interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada.

    Antes de dar su consentimiento, el interesado será informado de ello.

    Si la comunicación de datos es motivada por el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos u obedece al cumplimiento de una obligación legal, no se admite la revocación del consentimiento.

  • Sí, en los casos en que la finalidad del tratamiento para el que se solicita la comunicación de datos sea distinta del fin por el cual se recabaron, puede tener lugar la comunicación, cuando la Universidad de Granada, realizando un análisis de las circunstancias según los criterios del RGPD u otros que sean razonables, considere que, pese a ser diferente, es compatible con el fin para el cual se recogieron inicialmente los datos personales.

  • , cuando es Ud. quien nos proporciona sus datos personales, previamente a la recogida o registro, en el momento en que se les solicita, se le informará acerca de:

    • La identidad del Responsable del tratamiento.
    • Finalidad del tratamiento.
    • Posibilidad de ejercicio de derechos.

    Si se ha previsto ceder o comunicar legítimamente los datos personales que se recogen, se le informará acerca de la identidad de los destinatarios si están claramente predeterminados o de las categorías de destinatarios, si estos no están determinados previamente. También de la existencia de encargados de tratamiento, especialmente en los casos en que impliquen transferencias a terceros países, así como de la existencia o ausencia de una decisión de adecuación de la Comisión respecto del tercer país u organización internacional al que se vaya a transferir los datos.

    Por otro lado, si los datos personales no se hubieran obtenido por su aportación, bien por proceder de alguna comunicación legítima, o de fuentes de acceso público, le proporcionaremos la información básica anterior y además le informaremos de:

    1. Las categorías de datos objeto de tratamiento.
    2. Las fuentes de las que proceden dichos datos.

    Dentro de un plazo razonable pero en cualquier caso:

    1. Antes de un mes desde que se obtuvieron los datos personales,
    2. Antes o en la primera comunicación con el interesado,
    3. Antes de que los datos, en su caso, se hayan comunicado a otros destinatarios.

    En ambos casos, se le indicará una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.

    • , tiene derecho a ser informado cuando se pretenda un tratamiento para un fin distinto al que se obtuvieron. Antes de dicha comunicación, se le proporcionará información sobre el fin para el cual se va a llevar a cabo y cualquier otra información pertinente.
    • No, no será necesario requerimiento alguno por su parte.

    Únicamente no será necesario informarle cuando ya disponga Ud. de la información. Tampoco, en el caso de que los datos no procedan de Ud. si:

    1. La comunicación resulta imposible o supone un esfuerzo desproporcionado,
    2. El registro o la comunicación esté expresamente establecido por el Derecho de la Unión o de los Estados miembros,
    3. Cuando los datos deban seguir teniendo carácter confidencial por un deber legal de secreto.
    • Para instar la cesión, el solicitante deberá presentar la petición a través del procedimiento específico de cesión previsto en la sede electrónica de la Universidad de Granada, en el que se compromete a tratar los datos recibidos exclusivamente para la finalidad para la que los ha solicitado.
    • En la solicitud se deberá especificar qué tipos de datos personales se solicitan en concreto y la finalidad del uso. La solicitud de cesión o comunicación de datos, es distinta de la solicitud de acceso a la información pública que regula la Ley 1/2014, de 24 de junio de Transparencia Pública de Andalucía, si bien cuando se ejercite el derecho de acceso a la información pública conforme a la citada norma y haya datos personales entre la documentación solicitada, serán de aplicación las normas sobre protección de datos relativas a la cesión o comunicación.
    • Dicha solicitud deberá ser realizada tanto por terceros ajenos a la Universidad que soliciten el uso de datos de carácter personal contenidos en el Registro de Actividades de Tratamiento, como por unidades, servicios o equivalentes de la propia Universidad cuando la finalidad a la que se vayan a destinar los datos sea distinta de aquella para la que inicialmente se recabaron.
    • La autorización de la comunicación sólo será posible si la cesión de datos solicitada entra dentro de los supuestos legalmente establecidos indicados en los apartados 9 y 11.
  • Sí, la transferencia internacional se produce cuando la comunicación se realiza a países distintos del Espacio Económico Europeo (países de la UE más Islandia, Liechtenstein y Noruega)

    Los responsables y encargados del tratamiento podrán realizar transferencias internacionales de datos sin necesidad de una autorización de la Agencia Española de Protección de Datos siempre que el tratamiento de datos observe lo dispuesto en el RGPD y en la LOPDGDD, y el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate, garanticen un nivel de protección adecuada. Hasta la fecha los países o territorios considerados por la Comisión Europea con nivel de protección adecuado (Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay, Nueva Zelanda, Japón, Estados Unidos y las entidades certificadas en el marco del Escudo de Privacidad UE-EEUU)

    A falta de decisión de la Comisión el responsable o el encargado del tratamiento solo podrán transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas como:

    • Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos;
    • Normas corporativas vinculantes;
    • Cláusulas tipo de protección de datos adoptadas por el Parlamento Europeo y el Consejo;
    • Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión;
    • Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados;
    • Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.

    En defecto de su adecuación y de garantías adecuadas únicamente se podrán realizar si se cumple alguna de las condiciones que hacen que el tratamiento sea lícito:

    1. Que el interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos;
    2. Sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado;
    3. Sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica;
    4. Sea necesaria por razones importantes de interés público;
    5. Para la formulación, el ejercicio o la defensa de reclamaciones;
    6. Para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento;
    7. Se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo.

    Como excepción, se podrá llevar a cabo una transferencia si no es repetitiva, afecta solo a un número limitado de interesados, es necesaria a los fines de interés legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado, y éste evalúe todas las circunstancias concurrentes en la trasferencia de datos y ofrezca garantías apropiadas

    Las transferencias internacionales de datos a países u organizaciones internacionales que no cuenten con decisión de adecuación aprobada por la Comisión o que no se amparen en alguna de las garantías previstas en la LOPDGDD y el RGPD, requerirán una previa autorización de la AEPD o autoridades autonómicas de protección de datos, que podrá otorgarse:

    • Cuando la transferencia pretenda fundamentarse en la aportación de garantías adecuadas con fundamento en cláusulas contractuales que no correspondan a las cláusulas tipo RGPD.
    • Cuando la transferencia se lleva a cabo por alguno de los responsables o encargado y se funde en disposiciones incorporadas a acuerdos internacionales no normativas con otras autoridades u organismos públicos de terceros Estados, que incorporen derechos efectivos y exigibles para los afectados, incluidos los memorandos de entendimiento.

    Cualquier comunicación de datos efectuada a un país que no sea miembro del Espacio Económico Europeo o sobre el que no se haya declarado un nivel adecuado de protección por la Agencia Española de Protección de Datos o la Comisión Europea, requerirá la previa supervisión de la Delegada de Protección de Datos y el posterior pronunciamiento de la Secretaría General de la Universidad de Granada.

  • La disociación de datos es un proceso que no permite la identificación de un interesado, por ejemplo sustituyendo los datos identificativos por un código que solo conozca la Universidad de Granada y sea desconocido por el destinatario de la información.

    Cuando la comunicación se refiera a datos disociados no se encontrará sujeta a la normativa de protección de datos al no ser reversible hacer identificadas o identificables las personas a las que se refiere la información.

    La seudonimización es aquella información que, sin incluir los datos denominativos de un sujeto permiten identificarlo mediante información adicional, siempre que ésta figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable. Por ejemplo el cifrado con clave secreta, la función con clave almacenada, etc.

    Cuando la comunicación se refiera a datos “seudonimizados” se encontrará sujeta a la normativa de protección de datos.

  • Sí, la información que contiene datos de carácter personal y que se comunica se encuentra cifrada de forma asimétrica, de modo que, para poder acceder al contenido, además de utilizar una clave pública, se precisa de una clave privada.

    Esto implica, que los datos cifrados, seguirán siendo inoperantes para terceros no autorizados aun cuando tengan conocimiento de la clave pública e intercepten la comunicación.

    Esta medida forma parte de otras adoptadas que siguen las recomendaciones del Esquema Nacional de Seguridad y las mínimas establecidas por la Universidad de Granada. Puede consultarlas a través del documento sobre medidas de proteccion (pdf)