NOTICIAS

Universidad de Granada | Secretaría General | Administración electrónica

Buscar

NOTICIAS

Descargar versión en PDF

Resumen del Informe de la AEPD 2019-0036 sobre tratamientos de datos en el ámbito universitario (Protección de Datos Personales - 15 de octubre de 2019)

La Agencia Española de Protección de Datos (AEPD) ha emitido un informe jurídico en el que responde a variadas cuestiones relativas al tratamiento de datos personales en el ámbito universitario.

1. Cesiones de datos relativos a las cantidades abonadas en concepto de complemento de productividad y gratificaciones por servicios prestados fuera de la jornada normal de trabajo, así como a las indemnizaciones por razón del servicio (dietas) abonadas a personal de la universidad.

La AEPD considera, conjuntamente con el Consejo de Transparencia y Buen Gobierno, que el sector público estatal tiene la obligación de facilitar información sobre las relaciones de puestos de trabajo y retribuciones, ya sea por el ejercicio del derecho de acceso a la información pública o como publicidad activa.

Mantiene que las cantidades del complemento de productividad son de conocimiento público para quienes dependen de la Administración General del Estado, conforme al artículo 23.3 c) de la Ley 30/1984, de 2 de agosto, de medidas para la reforma de la Función Pública.

No obstante, la comunicación a los representantes sindicales, al haber sido derogado tácitamente el último inciso del citado precepto por el artículo 40 de la Ley 7/2007, de 12 de abril del Estatuto Básico del Empleado Público, no será procedente.

En todo caso, la publicidad de la productividad no debe dar lugar, con su acceso, a tratamientos posteriores que puedan resultar contrarios a lo dispuesto en la legislación de protección de datos o genere situaciones que puedan poner en riesgo los derechos de los empleados.

Para el caso de las universidades privadas, la publicación podría estar amparada en la base legal del artículo 6.1.f) Reglamento General de Protección de Datos (RGPD), siempre que responda a una finalidad legítima de la universidad, como podría ser incentivar la productividad de sus trabajadores, así como a un interés legítimo de los propios empleados, que de este modo, podrían conocer su propio rendimiento en comparación con el resto de compañeros, garantizándose la transparencia de este dato.

La cesión a terceros de datos relativos a la productividad, gratificaciones o dietas al margen de los supuestos descritos, precisará del consentimiento de los afectados sin que pueda justificarse el tratamiento sobre la base de un interés público.

Igualmente sucede con los gastos asociados a un determinado proyecto, así como con las indemnizaciones por razón del servicio de los investigadores pertenecientes al grupo de investigación en el que se enmarca cada proyecto, en el marco de los contratos del artículo 83 Ley Orgánica de Universidades.

En cualquier caso, toda publicación deberá realizarse de modo que resulte lo menos perjudicial para el interesado.

2. Publicación de la producción científica del personal investigador

El artículo 37 de la Ley 14/2011, de 1 de junio, de la Ciencia, la Tecnología y la Innovación, en cuanto a la publicación de la producción científica del personal investigador, establece lo siguiente:

“El personal de investigación cuya actividad investigadora esté financiada mayoritariamente con fondos de los Presupuestos Generales del Estado hará pública una versión digital de la versión final de los contenidos que le hayan sido aceptados para publicación en publicaciones de investigación seriadas o periódicas”.

De la norma deriva la existencia de una obligación legal conforme el artículo 6.1. c) del RGPD que legitima su publicación. Ante estos supuestos, no procederá el ejercicio del derecho de oposición previsto en el artículo 21 RGPD al no poder fundamentarse en la existencia de interés público o interés legítimo.

Para el tratamiento respecto a índices de calidad como el ranking por citación o los informes bibliométricos realizados a nivel institucional, al no existir una obligación legal como en el caso anterior, podría encontrase amparado en la existencia de un interés público cuando una ley formal así lo prevea. Si no existiese ley formal, se requerirá el consentimiento del afectado.

La publicación de evaluación de tramos de investigación, las encuestas realizadas por alumnos sobre calidad docente, así como las acreditaciones para acceso a distintas categorías profesionales de profesorado, se encuentran amparadas en la existencia de un interés público de acuerdo con lo previsto en la letra e) del artículo 6.1 del RGPD, ya que según la Ley Orgánica de Universidades, para la búsqueda de la mejora de la calidad del sistema universitario y desarrollo de la de educación superior, se precisa la mejora de la gestión y visibilidad de la investigación. Por tanto, podría procederse a la publicación siempre que las normas internas de cada universidad concreten el procedimiento de elaboración de los índices, de tal manera que se previera dicha publicación, hecho que podría amparar el tratamiento en el artículo 6.1.b) del RGPD.

3. Acceso a los datos académicos de cargos públicos y a la publicación de dichos datos en el portal de transparencia de las universidades

Procederá el acceso a datos de cargos de la propia Universidad siempre que, se realice conforme a los supuestos contemplados en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno (LTAIBG) y aplicando las cautelas que en la misma se establecen, especialmente lo previsto en su artículo 15, y de conformidad a lo señalado en los criterios interpretativos conjuntos que puedan adoptar el Consejo de Transparencia y Buen Gobierno y la AEPD.

4. Acceso a los contenidos de los trabajos (de fin de grado, de fin de máster o de tesis)

La publicación de datos contenidos en tesis doctorales, examinando lo dispuesto por los artículos 11.2, 13.3 y 14.5 del Real Decreto 99/2011, de 28 de enero, por el que se regulan las enseñanzas oficiales de doctorado, se encuentra amparada en el artículo 6.1 b) del RGPD. Resulta así, debido a que los doctorandos se someten al régimen jurídico contractual del programa de Doctorado, del que se surgen obligaciones relativas a la publicidad por parte de las Universidades, de tal forma que se garantice que otros doctores puedan realizar observaciones durante los procesos de evaluación y que exista constancia, una vez defendida, en los repositorios institucionales con la información complementaria necesaria por el Ministerio de Educación.

Para los trabajos de fin de grado y fin de máster, dado que no existe norma similar a nivel estatal, se deberá acudir a la normativa específica de cada universidad para comprobar si resulta procedente su tratamiento conforme a un régimen jurídico establecido o contractual del programa. De no ser así, se debe recabar el consentimiento del afectado.

Si la solicitud de acceso proviene del ejercicio de acceso a la información pública de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, deberá aplicarse lo dispuesto en su artículo 15.

5. Acceso de los progenitores a las calificaciones de sus hijos, económicamente dependientes

La AEPD mantiene que, de ser apreciable un interés legítimo al amparo de lo previsto en el artículo 6.1.f), se podría facilitar ésta información. Para ello habría que realizar un análisis acerca de si el tratamiento de los datos es necesario para satisfacer el interés legítimo que se alegue, a la vez que se efectúa una ponderación acerca de si ha de prevalecer dicho interés sobre el derecho fundamental a la protección de datos del interesado.

En el caso de que el obtener las calificaciones académicas de hijos/as mayores de edad, tenga como finalidad exclusivamente la de utilizarlas en un procedimiento judicial para la solicitud de modificación de la pensión de alimentos, prevalecerá el interés legítimo sobre el derecho a la protección de datos, sin que exista la posibilidad de ejercitar el derecho de oposición. Resulta fundamental analizar cada caso concreto, de tal manera que, si existe abono de pensión alimenticia o dependencia económica se podrá presumir la existencia de interés legítimo.

Por otro lado, si se tratase de menores de edad no emancipados o declarados incapaces judicialmente, será oportuna la facultad de acceso a la información en tanto que la obligación de educación de los progenitores hacia sus hijos lo ampara.

Se recomienda antes de resolver la solicitud, valerse del trámite de audiencia al afectado, que aunque no se contempla en la normativa de protección de datos, constituye una buena práctica. Si el acceso se solicita en base al derecho de acceso a la información pública y buen gobierno deberá darse dicho trámite de audiencia al amparo del artículo 19.3 LTAIBG.

De acuerdo a lo expuesto, a la hora de ponderar la solicitud, se recomienda requerir el último ingreso abonado antes de la solicitud además de la resolución judicial, para determinar que no se ha dejado de satisfacer las pensiones alimenticias.

6. Grabación y divulgación de imágenes en actos públicos organizados por la Universidad

La captación y divulgación de imágenes de actos públicos organizados por Universidades, cuando se trate de imágenes accesorias o accidentales, se encuentra amparada en la letra e) del artículo 6.1 del RGPD, al ser una misión de interés público en consonancia con la promoción de la actividad universitaria en las diferentes esferas de actuación descritas en la Ley Orgánica de Universidades.

En el caso de difusión de imágenes captadas cuando afecten a personas que ejerzan un cargo público o profesión de notoriedad o proyección pública se estaría ante un interés público del artículo 6.1 e) RGPD amparado en el artículo 8.2 a) de la LO 1/1982 de 5 de mayo, sobre protección civil, del derecho al honor, a la intimidad personal y familiar y a la propia imagen.

En los restantes supuestos, será preciso el consentimiento inequívoco de las personas cuyas imágenes son objeto de captación y posterior divulgación, debiendo cumplirse con el deber de informar previsto en el artículo 13 del RGPD, que deberá incluir los fines del tratamiento a que se destinan los datos personales.

7. Grabación de exámenes orales y de las sesiones de docencia

La grabación de exámenes orales precisa, para que sea legítima conforme a la normativa de protección de datos, que se encuentra amparada en una base legal para el tratamiento.

Si bien existen medios menos intrusivos para la privacidad, cuando la grabación esté encaminada a la obtención de un medio de prueba para que los alumnos puedan ejercer su derecho a revisión y para que los docentes puedan justificar la evaluación, siempre y cuando conforme a los Estatutos y normas de organización y funcionamiento que regulen estos procedimientos se prevean, el tratamiento será necesario para el cumplimiento de una misión realizada en interés público conforme al artículo 6.1 e) RGPD.

En el caso de las grabaciones de sesiones de docencia, la AEPD distingue en función de si el interesado en la grabación es un estudiante o un docente: • En el primer supuesto, la base que legitima la grabación por parte de un estudiante de una sesión de docencia, será el consentimiento, 6.1a) RGPD, que deberá recabar previamente del resto de estudiantes y el profesor. • Si la grabación es realizada por el profesor, siempre y cuando se efectúe exclusivamente en el ejercicio de la función educativa, no requerirá previo consentimiento de los asistentes a clase y será conforme al artículo 6.1 e) RGPD de acuerdo con la Ley Orgánica de Universidades.

Conviene advertir que, conforme a la citada finalidad, no se prevé la divulgación y la accesibilidad, ésta última, sólo podrá tener lugar con el consentimiento expreso de los participantes en dicha actividad y el profesor.

Si es la Universidad la que, con fines de control laboral, realiza grabaciones, el fundamento se encontraría en el artículo 6.1 b). RGPD.

8. Acceso a los datos de personas fallecidas, como podría ser la cuenta profesional de correo electrónico o las calificaciones académicas

La AEPD ha venido defendiendo que el derecho a la protección de datos, en cuanto derecho de la personalidad, se extingue por la muerte de la persona conforme al artículo 32 del Código Civil. Si bien, conforme al artículo 3 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de y garantía de los derechos digitales (LOPDGDD), los afectados tienen plena disposición sobre sus datos, puede haber prohibido el ejercicio de los derechos respecto a sus datos o haber designado a personas o instituciones que podrán ejercitarlos de acuerdo con sus instrucciones. En los casos en que no hayan expresado esta voluntad, se reconoce legitimación para actuar a cualquier persona vinculada por razones familiares o de hecho, así como a quienes resulten ser herederos.

No obstante, la intervención de los herederos, en cuanto al acceso a los datos del causante, sólo tendrá amparo conforme a la LO 1/1982, para proteger su memoria o en defensa de su derecho hereditario. En este sentido, tales accesos no podrán ser considerados como manifestaciones del derecho de acceso.

Aunque el derecho a la intimidad del fallecido se extinga con su muerte, puede subsistir el derecho a la intimidad de las terceras personas que se relacionaban con él o incluso, de aquellos que fueran citados en sus informaciones o mensajes.

Del mismo modo, el uso de cuentas profesionales de correo electrónico implica el uso de una herramienta de titularidad de la Universidad destinada a fines estrictamente laborales. Por tanto, el acceso al contenido de la cuenta de correo electrónico profesional de una persona fallecida, por quien acredite ser su heredero o heredera, no se facilitará cuando existan datos de terceras personas en los contenidos de los correos. En lo que respecta a calificaciones académicas o historiales administrativos, en base a lo previsto en el artículo 3 LOPDGDD, se facilitará el acceso, salvo que la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley.

9. Cesión de datos a organizaciones sindicales y representantes de los trabajadores

La amplitud de la casuística en cuanto a comunicaciones de datos a organizaciones sindicales y representantes de los trabajadores exige que se analice caso por caso, en atención a lo que disposiciones legales o convenios colectivos puedan establecer conforme indica el artículo 88.1 del RGPD.

Será fundamental que las comunicaciones, a los representantes de los trabajadores pertenecientes a la representación sindical, de datos que resulten procedentes en la medida en que sean necesarios, bien para la negociación de las condiciones de trabajo de los trabajadores representados, bien para la emisión de informes, bien para informar a los trabajadores, o bien para ejercer el control de legalidad, se produzcan de forma disociada sin poder referenciar los datos a personas identificadas o identificables y atendiendo a los principios expuestos en el artículo 5.1 RGPD. En caso contrario, deberá recabarse el consentimiento de los interesados.

De existir esta obligación con motivo de una norma legal que la ampare, la legitimación vendrá dada por el artículo 6.1 c) RGPD.

En cuanto a las facultades de vigilancia o control, si se refieren a un sujeto concreto que haya formulado una queja ante el órgano de representación, será posible la cesión de los datos específicos de dicha persona. En los demás supuestos, la cesión al órgano de representación de información debidamente disociada, cumplirá con la finalidad de la función de control.

Las comunicaciones relativas a nóminas, en los supuestos que el Convenio Colectivo de aplicación contemple la cesión de dicha relación, podrá fundamentarse en el artículo 6.1 b) del RGPD, siempre y cuando se atienda al principio de minimización y limitación de la finalidad.

En el caso de cesión de los datos de trabajadores laborales, únicamente podría entenderse amparada en caso de que se produjera en el ámbito de las funciones desarrolladas por los Delegados de Personal o el Comité de Empresa, al encontrarse reconocido por el Estatuto de los Trabajadores el derecho de los representantes de los trabajadores (Delegados de Personal o Comité de Empresa) a acceder a determinados datos de los trabajadores en el ámbito de sus competencias. En caso contrario, será necesario el consentimiento del interesado para proceder a la comunicación de sus datos

Los datos de la relación o catálogo de puestos de trabajo que consistan únicamente en aquellos que deban figurar en éstas junto con el nombre y apellidos de la persona que ocupa dicho puesto, no son más que datos meramente identificativos relacionados con la organización, funcionamiento o actividad pública del órgano (art. 15.2 LTAIBG), y en atención al derecho de las personas interesadas a identificar al personal que tramita los respectivos procedimientos conforme al art. 53.1.b de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. El tratamiento se encuentra amparado en el artículo 6.1 c) RGPD.

10. Investigaciones que se enmarcan en proyectos de investigación institucionales desarrolladas por universidades o centros públicos de investigación en ámbitos no relacionados con el campo de conocimiento de la salud

Determinar qué base aplicable legitima el tratamiento de datos personales dependerá del caso concreto y de la existencia de normativa especial aplicable.

En cualquier caso, siempre y cuando en la investigación se traten categorías especiales de datos, habrá que tener en cuenta que, el artículo 9.2. j) RGPD, permite levantar la prohibición de su tratamiento conforme a lo que se establezca por el Derecho de la Unión o de los Estados Miembros según la normativa especial que resulte de aplicación. Por ejemplo, la Ley 16/1985, de 25 de junio, reguladora del Patrimonio Histórico Español, entre otras. Esta exención, no exime para que un tratamiento sea lícito, que concurra alguna de las bases jurídicas previstas en el artículo 6.1. RGPD.

El tratamiento de datos lícitamente obtenidos para otra finalidad por la cual se recabaron, en atención al artículo 5.1 b), cuando se trate de investigación científica e histórica no se considerará incompatible con los fines iniciales y no precisará de una base jurídica distinta de la que permitió la obtención de los datos personales.

En cambio, si son datos obtenidos por primera vez, deberá concurrir alguna de las bases del artículo 6.1, entre las que se podría encontrar la letra e) con respecto de las investigaciones incluidas en los planes de investigación científica regulados por la Ley 14/2011, de 1 de junio, de la Ciencia, la Tecnología y la Innovación.

Por lo tanto, habrá que valorar en el caso concreto si la investigación afecta o no a categorías especiales de datos, si los datos objeto de la misma ya se habían obtenido para otros fines o se obtienen por primera vez, si resulta de aplicación la Ley 14/2011 o si se establecen normas especiales en las leyes que regulen el tratamiento, los datos concretos o las fuentes de procedencia.

11. Publicación de la evaluación de los tramos de investigación del personal de las universidades

En este supuesto, el tratamiento se encuentra amparado en lo previsto en la letra e) del artículo 6.1 del RGPD, al ser la educación universitaria un servicio público que precisa, para garantizar la calidad como fin esencial de la política universitaria, contar con los profesionales mejor cualificados, tal y como se deduce de los artículos 31.1, 39.1 y 40.1 de la Ley Orgánica de Universidades.

12. Calificaciones obtenidas por los alumnos al amparo de lo previsto en la disposición adicional vigésimo primera de la Ley Orgánica 4/2007, de 12 de abril, por la que se modifica la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades.

La publicación de las calificaciones universitarias tiene su base de legitimación en el art. 6.1.e) RGPD pero también puede encontrarse en el art. 6.1.f) RGPD porque como sostiene la AEPD: “aun no tratándose los procedimientos de evaluación de procedimientos de concurrencia competitiva, las calificaciones obtenidas van a tener incidencia […] en el otorgamiento de las matrículas de honor limitadas a un número de estudiantes, así como también en la concesión de premios extraordinarios, por lo que también podría apreciarse un interés legítimo de los alumnos del grupo en el conocimiento de las calificaciones de sus compañeros”.

La forma apropiada de publicar las calificaciones conforme a la normativa de protección de datos ha sido desarrollada en la Universidad de Granada y puede consultarse en: “Publicación de calificaciones del estudiantado Universidad de Granada” .

13. Acceso a imágenes de cámaras de seguridad por incidente en un vehículo.

Las peticiones de terceros de acceso a determinadas imágenes grabadas por las cámaras de videovigilancia con el fin de entablar acciones judiciales y/o contractuales deben entenderse desde la óptica de solicitud de comunicaciones de datos o cesión de datos y no como ejercicio del derecho de acceso.

En cualquier caso, siempre y cuando la comunicación resulte necesaria para su presentación en juicio, se podría considerar la existencia de un interés legítimo conforme al artículo 6.1 f) del RGPD, en el que el derecho a la tutela judicial efectiva y de defensa de la persona prevalecería sobre el derecho a la protección de datos del afectado. La cesión o comunicación, habrá de limitarse al mínimo necesario o imprescindible para la finalidad pretendida en atención al principio de minimización.

En los supuestos en que, la cesión sea solicitada por las Fuerzas y Cuerpos de Seguridad del Estado, actuando como Policía Judicial, siempre que exista mandamiento judicial o requerimiento de la Fiscalía, la base de legitimación será el artículo 6.1 c) al tratarse de una obligación legal que exige un deber de colaboración con los Juzgados y Tribunales o con el Ministerio Fiscal según dispone el artículo 236 quáter de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial y el artículo cuarto apartado cinco de la Ley 50/1981, de 30 de diciembre, por la que se regula el Estatuto Orgánico del Ministerio Fiscal.

No sería factible, sin embargo, autorizar la cesión de datos si tuviese por objeto o fin algo distinto de las finalidades para las que se recogieron los datos, contraviniendo la legislación de protección de datos.

14. Comunicación de los datos a las entidades aseguradoras

Quien sea solicitante, debería acreditar uno de los títulos habilitantes de los recogidos en el art. 6 RGPD, como podría ser el cumplimiento de una relación contractual o el cumplimiento de una obligación legal, conforme al artículo 6.1 apartados b) y c) RGPD, respectivamente.

15. Publicación listados con identificación de participantes en procedimientos de concurrencia competitiva

La publicación de listados con identificación de participantes en procedimientos de concurrencia competitiva se ampara en lo dispuesto en la letra c) del artículo 6.1.del RGPD, al venir impuesta por el artículo 45.1 de la Ley 39/2015, de 1 de octubre, de procedimiento Administrativo Común de las Administraciones Públicas.

Sin embargo, deberá ajustarse a las exigencias del principio de minimización, en particular si “el órgano competente apreciase que la notificación por medio de anuncios o la publicación de un acto lesiona derechos o intereses legítimos”. En este caso deberá limitarse la publicación a una mera indicación del contenido del acto, lugar donde los interesados deberán comparecer, el plazo indicado y el contenido integrado del mencionado acto, evitando en las referencias expresas al tipo de discapacidad o el grado.

Las indicaciones para la publicación de calificaciones universitarias son aplicables a estos supuestos para enmascarar apropiadamente el documento nacional de identidad, número de identidad extranjero, pasaporte o documento equivalente. Igualmente es aplicable a los centros electorales que publica la Universidad.

La UGR coordina la elaboración de una Guía de Buenas Prácticas en Materia de Transparencia y Protección de Datos de la CRUE Universidades Españolas (Protección de Datos Personales - 25 de septiembre de 2019)

La publicación de la Ley 19/2013, de Transparencia,Acceso a la Información Pública y Buen Gobierno en diciembre de 2013; el Reglamento General de Protección de Datos, de plena aplicación desde mayo de 2018, así como la de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales, el pasado mes de diciembre, hicieron necesario la posibilidad de contar con una Guía de buenas prácticas que recogiera las principales cuestiones recibidas en las Universidades sobre temas de transparencia y protección de datos.

A lo largo de 13 apartados, la Guía pretende ofrecer a las universidades respuestas fundadas jurídicamente, a tenor de la legislación vigente, de la jurisprudencia y de los criterios establecidos por los distintos órganos de control en materia de Transparencia y/o Protección de Datos. El texto se contempla como un documento abierto –sujeto a aportaciones, revisiones y modificaciones–, que podrá ser objeto de actualización y ampliación a través del Grupo de Trabajo de Protección de Datos de Crue–Secretarías Generales. En definitiva, se trata de una herramienta viva que irá evolucionando según vayan progresando desde el punto de vista jurídico las diferentes materias que se contemplan como puedan ser los cambios normativos, las nuevas sentencias o las nuevas resoluciones de las agencias de control.

Informe sobre publicación de calificaciones de asignaturas de Grado (Protección de Datos Personales - 30 de mayo de 2019)

La Agencia Española de Protección de Datos (AEPD) ha emitido un informe jurídico en relación con la publicación de las calificaciones de asignaturas impartidas en los estudios de Grado.

La AEPD concluye que es lícita la publicación de las notas obtenidas en los estudios de Grado de conformidad con los dispuesto en el Reglamento General de Protección de Datos (RGPD), al estar amparada en la existencia de un interés público (art. 6.1.e RGPD), al que debe sumarse un interés legítimo de los alumnos del grupo en el conocimiento de las calificaciones de sus compañeros (art. 6.1.f RGPD).

En todo caso deberán respetarse los principios recogidos en el artículo 5 del RGPD, especialmente los de limitación de la finalidad, minimización de datos, limitación del plazo de conservación, integridad y confidencialidad, realizando la publicación de modo que suponga la menor injerencia en los derechos y libertades de los interesados, lo que excluye la posibilidad de un conocimiento generalizado de las calificaciones o su publicación en internet. De ahí que se considere preferente proceder a dicha publicación a través de una intranet o aula virtual en la que estuviera limitado el acceso a los profesores y compañeros del grupo. En el caso de que no fuera posible, podrá realizarse en los tablones de anuncios del centro, siempre que no se encuentren en las zonas comunes de los centros, se garantice el acceso restringido a dichas personas y se adopten las medidas necesarias para evitar su público conocimiento por quienes carecen de interés.

En cuanto a los datos a publicar, atendiendo al principio de minimización, deberán limitarse al nombre y apellidos del alumno y la calificación obtenida. Solo en el caso de que hubiera alumnos con los mismos nombres y apellidos, deberá publicarse para ellos el número del DNI, aplicando lo previsto en el apartado 1 párrafo primero de la disposición adicional séptima de la LOPDGDD.

Finalmente, en cuanto al tiempo en el que deberá mantenerse dicha publicación, los datos deberán ser mantenidos durante no más tiempo del necesario para los fines del tratamiento de los datos personales (artículo 5.1.e. del RGPD). Por tanto, en el caso de las calificaciones provisionales, mientras transcurre el plazo para presentar reclamaciones, y las calificaciones definitivas durante el tiempo imprescindible que garantice su conocimiento por todos los interesados.

Listado de tratamientos en los que es obligatorio realizar una evaluación de impacto (Protección de Datos Personales - 8 de mayo de 2019)

El Reglamento General de Protección de Datos (RGPD) establece en su artículo 35.1 que, en aquellos casos en los que sea probable que los tratamientos entrañen un alto riesgo para los derechos y libertades de las personas físicas, incumbe al responsable del tratamiento realizar una evaluación de impacto (EIPD) relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad del riesgo. Por otro lado, el apartado 4 de ese mismo artículo prevé que cada autoridad de control establezca y publique una lista de los tipos de operaciones de tratamiento que requieran de una evaluación de impacto.

La Agencia Española de Protección de Datos (AEPD) ha publicado el listado de tratamientos de datos personales en los que es obligatoria la realización de una evaluación de impacto. Esta lista tiene, por tanto, la finalidad de ofrecer seguridad a los responsables respecto a cuáles son los tratamientos en que siempre se considerará que es probable que exista un alto riesgo. También de acuerdo con lo previsto por el RGPD, la lista ha sido comunicada al Comité Europeo de Protección de Datos, que ha emitido un dictamen favorable sobre ella, siguiendo los criterios establecidos en la valoración de todas las listas remitidas por las autoridades nacionales.

La Agencia Española de Protección de Datos (AEPD) advierte que será necesario realizar una EIPD en la mayoría de los casos en los que en los que el tratamiento cumpla con dos o más criterios de la lista, entre los que se encuentran la realización de perfilado; observación, geolocalización o control de forma sistemática y exhaustiva; el uso de datos biométricos para identificar de forma unívoca a una persona; datos que permitan determinar la solvencia patrimonial o procesamiento de identificadores únicos que permitan identificar usuarios de servicios de la sociedad de la información como pueden ser los servicios web, televisión interactiva o aplicaciones móviles, entre otros tratamientos. Cuantos más criterios reúna el tratamiento en cuestión, mayor será el riesgo que entrañe y mayor la certeza de la necesidad de realizar una evaluación de impacto.

Orientación para la aplicación provisional de la Disposición Adicional 7.ª de la LOPDGDD (Protección de Datos Personales - 8 de mayo de 2019)

La Agencia Española de Protección de Datos (AEPD) ha publicado unas orientaciones para promover la protección de los datos personales de los ciudadanos cuando las Administraciones Públicas realizan publicaciones de actos administrativos. El documento se publica en coordinación con la Autoridad Catalana de Protección de Datos, la Agencia Vasca de Protección de Datos y el Consejo de Transparencia y Protección de Datos de Andalucía.

La Ley Orgánica 3/2018 de Protección de Datos de Carácter Personal y garantía de los derechos digitales (LOPDGDD) incluye en el apartado 1º de su Disposición Adicional 7ª cómo debe identificarse a los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos.

El criterio, provisional hasta que los órganos de gobierno y las administraciones públicas competentes aprueben disposiciones para la aplicación de la Disposición, pretende evitar que la adopción de otras fórmulas pueda dar lugar a la publicación de cifras numéricas de los documentos identificativos de las personas en posiciones distintas, posibilitando la recomposición íntegra de dichos documentos. Para ello, se ha seleccionado aleatoriamente un grupo de cuatro cifras numéricas, que deberían ser las mismas en todas las publicaciones.