La Universidad de Santiago de Compostela (USC) protege y garantiza el derecho fundamental a la protección de datos y se muestra especialmente sensibilizada por la salvaguarda de la privacidad de las personas. El tratamiento de datos se hace de acuerdo con el Reglamento de la Unión Europea 2016/679, de 27 de abril, relativo a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Así las cosas, este tratamiento responde a los principios de licitud, lealtad, transparencia, limitación de la finalidad, minimización de los datos, exactitud, limitación del plazo de conservación, integridad, confidencialidad y responsabilidad proactiva.

El registro de actividades de tratamiento que hace la USC puede consultarse en:

http://www.usc.es/gl/normativa/protecciondatos/index.html

En todo caso, la USC mantendrá un entendimiento dinámico de esta cuestión para adaptarla a las novedades que surjan, ya sea en la normativa, en la jurisprudencia, en las decisiones de las autoridades de control o en las prácticas en este campo. Esto puede aconsejar la modificación de la presente política de privacidad y protección de datos, lo que se anunciará con la debida antelación.

Responsable

La responsabilidad genérica del tratamiento de datos recae en la Universidad de Santiago de Compostela, con domicilio la estos efectos en el Rectorado de la USC, Praza do Obradoiro s/n, 15782- Santiago de Compostela (España). El teléfono es 881811000. Contacto on line informal puede establecerse a través de

www.usc.es/gl/web/contacto.html.

Las solicitudes concretas deben realizarse a través de la Sede Electrónica de la USC

https://sede.usc.es/sede/publica/index.htm

La USC como responsable genérico se concreta, según el tratamiento, en los responsables de cada tratamiento: la Secretaría General, en los Vicerrectorados o en la Gerencia, tal y como consta en la información particular de cada tratamiento.

DPD

El Delegado de Protección de Datos es José Julio Fernández Rodríguez, y su cuenta de mail es dpd@usc.es

Bases de legitimación

La base de legitimación primordial del tratamiento que hace la USC es la prestación del servicio público de la educación superior. También puede ser base del tratamiento el consentimiento dado por las personas interesadas en aquellos casos que así lo autoricen.

En otros tratamientos la base de legitimación es la necesidad en la ejecución de contratos, el cumplimiento de concretas previsiones legales, o el cumplimiento de una misión realizada en interés público o en ejercicio de poderes públicos. Todas estas condiciones están en consonancia con el artículo 6.1 del Reglamento europeo.

Finalidades de tratamiento

Las finalidades de tratamiento de los datos personales por la USC es cumplir con sus obligaciones y responsabilidades en el campo de la docencia, estudio e investigación, lo que incluye gestión de los servicios administrativos propios de una administración pública universitaria y la gestión de solicitudes de información y actuaciones de divulgación académica e institucional. Cada tratamiento en concreto especifica estas finalidades.

Origen de los datos, uso y conservación

El origen de los datos personales está en las propias  personas interesadas, obtenidos por diversas vías, como solicitudes, formularios y cuestionarios digitales o analógicos. Para estos efectos, la manifestación de voluntad del consentimiento será libre, específica, informada e inequívoca. En algunos casos los datos se obtienen de otras administraciones educativas.

El tratamiento de categorías especiales de datos se harán habida cuenta las concretas medidas protectoras de los mismos del artículo 9 del Reglamento europeo.

Se podrán hacer cesiones y transferencias de datos personales de manera excepcional al amparo de los programas universitarios de intercambio y colaboración académica, y también con las administraciones públicas con competencias educativas. En todo caso, las transferencias cumplirán con el establecido en los artículos 44 y siguientes del Reglamento europeo. También, conforme a la normativa, se transfieren datos a los encargados de tratamiento y en los supuestos de deberes legales.

Igualmente, se podrán emplear los datos con fines estadísticos o para la gestión de incidentes y, preferentemente seudonimizados, para fines de investigación.

Los datos personales proporcionados se conservarán durante el período en que se realice la finalidad para la que fueron recogidos, o el tiempo necesario para cumplir con las obligaciones legales. Cumplida la finalidad, los datos se bloquearán hasta que transcurran los plazos de prescripción aplicables.

Derechos

Las personas interesadas tienen los derechos de transparencia en la información, acceso a sus datos personales, rectificación de los datos inexactos, supresión de los mismos cuando sea posible, limitación del tratamiento, portabilidad, oposición, derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado que le afecte significativamente, derecho a retirar el consentimiento en cualquier momento y derecho a presentar una reclamación ante la Agencia Española de Protección de Datos. Estos derechos podrán ejercerse ante lo responsable de tratamiento, previa identificación del solicitante a través de la Sede Electrónica de la USC.

La USC facilitará su ejercicio mediante formulario electrónico en

https://sede.usc.es/sede/publica/catalogo/procedimiento/55/ver.htm

Además, las personas interesadas también poseen los derechos que dan acceso a las vías administrativas y judiciales de garantía, contempladas en el ordenamiento jurídico con esa finalidad.

Seguridad

La USC, desde una posición de proactividad, adopta todas las medidas técnicas y organizativas necesarias para garantizar el tratamiento de datos y la intimidad y privacidad de las personas. Asume, así, un total compromiso con la garantía de los derechos fundamentales, que incluye una protección de datos desde lo diseño y por defecto.

De este modo, entre estas medidas de seguridad, y de acuerdo con el artículo 32 del Reglamento europeo, estarán la seudonimización y cifrado de datos personales; la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento; la capacidad de restaurar la disponibilidad  y el acceso a los datos personales de forma rápida en caso de incidente; y un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas.

Estas medidas responden a los deberes legalmente establecidos, estando en función del estado de la técnica, los costes de aplicación, y la naturaleza, contexto y fines de tratamiento. Del mismo modo, hay que tener en cuenta los específicos riesgos de gravedad y probabilidad que supone cada tipo de tratamiento para los derechos y libertades de las personas.

Las violaciones de seguridad y de los datos personales se comunicarán a la autoridad de control y, eventualmente, a las personas interesadas con base en el artículo 34 del Reglamento europeo.

La USC ponen la disposición un canal de comunicación de incidentes en materia de protección de datos en:

http://www3.usc.es/uscincidencias/informeincidencialopd.asp