- Interesado o persona física titular de sus propios datos de carácter personal.
- Responsable del tratamiento, en este es caso la Universidad de Granada.
- Encargado de tratamiento.
Por ejemplo, se considera cesión el supuesto en que una persona no autorizada pueda visualizar los datos que muestra nuestra pantalla de ordenador, aunque no se haya producido el acto físico o electrónico de la entrega o la conexión.
En el caso de que sean para funciones o atribuciones no conferidas puede consultar el apartado número 17 de este documento.
Normalmente, la relación entre responsable y encargado del tratamiento se formaliza a través de un contrato o acto jurídico, en el que se regulará, entre otras cuestiones, las instrucciones del responsable del tratamiento que deberá cumplir el encargado, así como lo establecido en el Reglamento (UE) 2016/679, General de Protección de Datos (en adelante, RGPD) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales (en adelante, LOPDGDD).
Se les considera destinatarios, y no terceros a los efectos del RGPD.
En el caso de que no sean para funciones o atribuciones no conferidas puede consultar el apartado número 17 de este documento.
Para que una comunicación o cesión de datos sea lícita, es preciso que se de alguna de las siguientes causas:
En el supuesto de acreditación de interés legítimo, no tratándose de datos especialmente protegidos, se habrá de realizar la ponderación prevista en el art. 15.3 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno. Dicha ponderación se hará, teniendo en cuenta, entre otros, los siguientes criterios:
También es lícito el tratamiento por las Administraciones Públicas de datos con fines de archivo en interés público, investigación científica, histórica o estadística, sin perjuicio de que esté sujeto a garantías adecuadas, para lo cual se dispondrá de medidas técnicas y organizativas, como la seudonimización , que permitirán, por un lado, que los datos personales tratados sean los estrictamente necesarios para estos fines y, por otro, que en la consecución de estos fines, por el tratamiento a efectuar, no sea posible su identificación.
Por su parte, cuando se solicite el acceso a información pública que pueda contener datos personales o se pretenda la comunicación fundamentada en el interés legítimo de un tercero, se concederá un plazo de quince días para que el titular de los datos personales, si lo estima oportuno, formule las correspondientes alegaciones.
Sí, la comunicación de datos que revelen el origen étnico o racial, las opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, así como el tratamiento de datos genéticos, biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud, vida sexual u orientaciones sexuales de una persona física, será posible cuando:
No obstante, La LOPDGDD ha establecido un estatuto particular para determinados datos de categoría especial puesto que, respecto de aquellos datos cuya finalidad principal sea identificar la «ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico», no bastará el solo consentimiento del afectado para levantar la prohibición del tratamiento de datos, si bien nada impide que puedan ser tratados al amparo de los restantes supuestos contemplados, y que se han detallado en este apartado.
En el caso de las Fuerzas y Cuerpos de Seguridad del Estado cuando actúen en funciones de policía judicial o, sin hacerlo, haya una justificación de riesgo para la seguridad pública, sus datos podrán ser comunicados por la Universidad de Granada para cumplir con la citada obligación legal.
Se trata de un documento sujeto a cambios, ya que progresivamente se irán añadiendo y/o modificando actividades según evolucionen los tratamientos o la dinámica de actuación de la Universidad de Granada.
Puede consultar la información tanto básica como adicional en el siguiente enlace: https://secretariageneral.ugr.es/pages/proteccion_datos
Antes de dar su consentimiento, el interesado será informado de ello.
Si la comunicación de datos es motivada por el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos u obedece al cumplimiento de una obligación legal, no se admite la revocación del consentimiento.
Para más información puede consultar como ejercer éste derecho aquí
Sí, cuando es Ud. quien nos proporciona sus datos personales, previamente a la recogida o registro, en el momento en que se les solicita, se le informará acerca de:
Si se ha previsto ceder o comunicar legítimamente los datos personales que se recogen, se le informará acerca de la identidad de los destinatarios si están claramente predeterminados o de las categorías de destinatarios, si estos no están determinados previamente. También de la existencia de encargados de tratamiento, especialmente en los casos en que impliquen transferencias a terceros países, así como de la existencia o ausencia de una decisión de adecuación de la Comisión respecto del tercer país u organización internacional al que se vaya a transferir los datos.
Por otro lado, si los datos personales no se hubieran obtenido por su aportación, bien por proceder de alguna comunicación legítima, o de fuentes de acceso público, le proporcionaremos la información básica anterior y además le informaremos de:
Dentro de un plazo razonable pero en cualquier caso:
En ambos casos, se le indicará una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.
Únicamente no será necesario informarle cuando ya disponga Ud. de la información. Tampoco, en el caso de que los datos no procedan de Ud. si:
Los responsables y encargados del tratamiento podrán realizar transferencias internacionales de datos sin necesidad de una autorización de la Agencia Española de Protección de Datos siempre que el tratamiento de datos observe lo dispuesto en el RGPD y en la LOPDGDD, y el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate, garanticen un nivel de protección adecuada. Hasta la fecha los países o territorios considerados por la Comisión Europea con nivel de protección adecuado (Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay, Nueva Zelanda, Japón, Estados Unidos y las entidades certificadas en el marco del Escudo de Privacidad UE-EEUU)
A falta de decisión de la Comisión el responsable o el encargado del tratamiento solo podrán transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas como:
- Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos;
- Normas corporativas vinculantes;
- Cláusulas tipo de protección de datos adoptadas por la Comisión que siguen siendo válidas;
- Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión;
- Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados;
- Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.
En defecto de su adecuación y de garantías adecuadas únicamente se podrán realizar si se cumple alguna de las condiciones que hacen que el tratamiento sea lícito:
a) Que el interesado haya dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos;
b) Sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado;
c) Sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica;
d) Sea necesaria por razones importantes de interés público;
e) Para la formulación, el ejercicio o la defensa de reclamaciones;
f) Para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento;
g) Se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo.
Como excepción, se podrá llevar a cabo una transferencia si no es repetitiva, afecta solo a un número limitado de interesados, es necesaria a los fines de interés legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado, y éste evalúe todas las circunstancias concurrentes en la trasferencia de datos y ofrezca garantías apropiadas
Las transferencias internacionales de datos a países u organizaciones internacionales que no cuenten con decisión de adecuación aprobada por la Comisión o que no se amparen en alguna de las garantías previstas en la LOPDGDD y el RGPD, requerirán una previa autorización de la AEPD o autoridades autonómicas de protección de datos, que podrá otorgarse:
• Cuando la transferencia pretenda fundamentarse en la aportación de garantías adecuadas con fundamento en cláusulas contractuales que no correspondan a las cláusulas tipo RGPD.
• Cuando la transferencia se lleva a cabo por alguno de los responsables o encargado y se funde en disposiciones incorporadas a acuerdos internacionales no normativas con otras autoridades u organismos públicos de terceros Estados, que incorporen derechos efectivos y exigibles para los afectados, incluidos los memorandos de entendimiento.
Cualquier comunicación de datos efectuada a un país que no sea miembro del Espacio Económico Europeo o sobre el que no se haya declarado un nivel adecuado de protección por la Agencia Española de Protección de Datos o la Comisión Europea, requerirá la previa supervisión de la Delegada de Protección de Datos y el posterior pronunciamiento de la Secretaría General de la Universidad de Granada.
Cuando la comunicación se refiera a datos disociados no se encontrará sujeta a la normativa de protección de datos al no ser reversible hacer identificadas o identificables las personas a las que se refiere la información.
Cuando la comunicación se refiera a datos “seudonimizados” se encontrará sujeta a la normativa de protección de datos.
Esto implica, que los datos cifrados, seguirán siendo inoperantes para terceros no autorizados aun cuando tengan conocimiento de la clave pública e intercepten la comunicación.
Esta medida forma parte de otras adoptadas que siguen las recomendaciones del Esquema Nacional de Seguridad y las mínimas establecidas por la Universidad de Granada. Puede consultarlas a través del siguiente enlace