AD 86/2018
ABSTRACT:
Este artículo se presenta como una primera aproximación a la adaptación y cumplimiento del Reglamento General de Protección de Datos (RGPD) desde la perspectiva de las Universidades Públicas. ¿Cómo tratamos los datos personales de los miembros de la Comunidad Universitaria y de terceras personas que se relacionan con la Universidad? ¿Informamos de forma correcta de los derechos que les asisten a los interesados? ¿Adoptamos las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, de conformidad a lo estipulado en el RGPD?. Mucho se está hablando del cumplimiento del Reglamento por parte de las empresas privadas, sin embargo, ¿Y las Universidades Públicas? ¿Cómo debemos actuar?
PALABRAS CLAVES:
Imaginemos pues, en una Universidad como la mía, de pequeñas dimensiones, en la que forman parte de la Comunidad Universitaria aproximadamente unos 19.000 alumnos (de Grado, Màster, programas de doctorado, estudios propios, cursos de especialización, etc), unas 1400 personas en su condición de personal docente e investigador (PDI), 500 personas de personal de administración y Servicios (PAS), asimismo, terceros (empresas, fundaciones, asociaciones etc.) que se relacionan, en el día a día, con la Universidad. Mucho tratamiento de datos personales, ¿verdad? A diario se reciben consultas en relación a la solicitud de datos personales de los distintos miembros de la Comunitat Universitaria o peticiones de personal investigador preocupado por el tratamiento de datos que se consideran de especial protección. Y, en este sentido, ¿Cuáles son, a nivel estadístico, las preguntas del millón?: ¿Debemos pedir consentimiento para un tipo u otro de tratamiento de datos, por ejemplo, el consentimiento explícito del alumnado para tratar datos personales entre distintas Universidades? ¿Cómo debemos publicar las notas de nuestros alumnos? En un proyecto de investigación ¿Debo anonimizar los datos personales? ¿Se pueden ceder datos para finalidades estadísticas sin consentimiento del alumnado? ¿Podemos implementar un sistema de huella digital para el fichaje de nuestro Personal de Administración y Servicios (PAS) con la nueva normativa europea de protección de datos? ¿Se pueden utilizar imágenes de las cámaras de videovigilancia como prueba en un procedimiento judicial por despido de un trabajador? Surgen mil dudas!!! Y las respuestas suelen ser muy variadas en función del caso concreto al que nos enfrentamos y las medidas técnicas y organizativas que se han ido adoptando por parte de cada institución. ¿QUÉ PASABA Y QUE ESTÁ PASANDO? A pesar de todas esas incógnitas que se están suscitando actualmente, aquellos que llevábamos años trabajando en todo este entramado de la protección de datos, en su momento, con la creación de la figura del responsable de seguridad en materia de protección de datos y los grupos de trabajo y comités de seguridad, formados por juristas y personal con perfil técnico, ahora, nos preguntamos: Y con anterioridad a la plena y directa aplicabilidad del RGPD y con la vigente Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD) y su reglamento de desarrollo por Real Decreto 1720/2007, de 21 de diciembre ¿No se debían tomar las mismas precauciones de seguridad para la protección de nuestros datos personales? ¿Cómo estábamos protegiendo los datos personales?. Ciertamente, y, en esta tesitura, debemos preguntarnos de nuevo: ¿Cómo dar trámite a las distintas peticiones de tratamiento de datos personales? ¿Cómo realizar un correcto tratamiento de los datos personales de especial protección? ¿Cómo dar, pues, extricto cumplimiento a las prescripciones establecidas en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en cuanto al tratamiento de datos personales y a la libre circulación de estos datos (RGPD)? Llegados a este punto, las Universidades están inmersas en un profundo proceso de adaptación al RGPD. Por requerimiento normativo se están nombrando e informando a la Agencia Española de Protección de Datos (AEPD), de forma obligatoria, Delegados de Protección de Datos (DPO/DPD).* Así lo dispone expresamente el apartado b) del artículo 34 del Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal en los términos siguientes: “Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades: b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas. ” *Actualmente han nombrado oficialmente, a fecha de elaboración del artículo, DPO/DPD las siguientes Universidades: Universidad a Coruña y Vigo, Universidad Autonoma de Madrid, Universidad Carlos III, Universidad de Alcalá de Henares, Universidad de Almeria, Universidad de Cádiz, Universidad de Córdoba, Universidad de Granada, Universidad de Huelva, Universidad de la Laguna, Universidad de Murcia, Universidad de Salamanca, Universidad de Santiago de Compostela, Universidad de Sevilla, Universidad de Valencia, Universidad de Valladolid, Universidad de Zaragoza, Universidad de les Illes Balears, Universidad Jaime I, Universidad Miguel Hernández, Universidad Pablo Olavide, Universidad Politécnica de Madrid, Universidad Politécnica de Valencia, Universidad Pompeu y Fabra, Universidad Pública de Navarra. Principalmente, y así lo hemos consensuado diversos DPDs/DPOs de Universidades Públicas: 1. la revisión de la normativa interna de protección de datos y de la normativa y procedimientos para el ejercicio de derechos de los ciudadanos, 2. el análisis de las bases legales de los tratamientos, 3. el diseño y publicación del registro de actividades de tratamiento, 4. el diseño de un protocolo interno para la creación y modificación de actividades de tratamiento así como la revisión y actualización del registro de encargados de tratamiento, 5. la elaboración del modelo de información por capas de los distintos tratamientos – información básica e información adicional– e implementación del mismo y de las cláusulas de consentimiento tanto en los tratamientos automatizados como en los que se realizan en papel, 6. la elaboración de la cláusulas a incluir en los contratos que lleven aparejado el tratamiento de datos personales, 7. la elaboración de modelos de contrato de encargado de tratamiento, 8. La formación específica y periódica del personal que conforma la institución, 9. La elaboración conjunta de códigos de conducta, y, por último y no menos importante, digamos que todo lo contrario, la demostración del principio de Accountability que tendría su traducción en la Responsabilidad proactiva (esto es, no únicamente dar cumplimiento a las prescripciones del RGPD sino también evidenciar y poder acreditar que lo cumplimos). ¿Y en materia de seguridad de los datos? En esta disciplina las Universidades deben dar cumplimiento al Esquema Nacional de Seguridad que recoge las medidas que debe aplicar el sector público para cumplir con los requisitos del RGPD en este ámbito, dado que el Esquema Nacional de Seguridad regulado por el Real Decreto 3/2010 , de 8 de enero, que determina la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos y el RGPD establecen la obligación de que las Administraciones Públicas realicen un análisis de riesgos para determinar el posible impacto de los tratamientos de datos sobre los derechos y libertades de las personas y las medidas de seguridad aplicables. Asimismo, las Universidades Públicas estamos inmersas en la implementación de la ISO 27001 de Seguridad de la Información. Y todo este tipo de actuaciones (excluyendo, eso sí, las novedades introducidas por el RGPD), ¿No se estaban llevando a cabo con anterioridad en aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD) y su reglamento de desarrollo por Real Decreto 1720/2007, de 21 de diciembre? La respuesta debería ser, en todo caso, afirmativa. CONSIDERACIONES FINALES Llegados a este punto, lo cierto es que el RGPD, a lo largo de su articulado, da un tratamiento especial a las Administraciones públicas, y, entiendo, en particular, a las Universidades. Como botón de muestra si analizamos específicamente el contenido del artículo 5 del citado Reglamento, se indica que los datos deben ser recogidos con finalidades determinadas, explícitas y legítimas, y no serán tratados ulteriormente de manera incompatible con estas finalidades. Ahora bien, se debe de tener presente que el tratamiento ulterior de los datos personales con finalidades de archivo en interés público, finalidades de investigación científica e histórica o finalidades estadísticas no se considerará incompatible con las finalidades iniciales. No obstante lo anterior, en el Considerando 33 del RGPD, en relación a las investigaciones científicas, se protege a los interesados cuando se dispone: «Con frecuencia no es posible determinar totalmente la finalidad del tratamiento de los datos personales con fines de investigación científica en el momento de su recogida. Por consiguiente, debe permitirse a los interesados dar su consentimiento para determinados ámbitos de investigación científica que respeten las normas éticas reconocidas para la investigación científica. Los interesados deben tener la oportunidad de dar su consentimiento solamente para determinadas áreas de investigación o partes de proyectos de investigación, en la medida en que lo permita la finalidad perseguida.». Finalmente, y a tener muy presente, en referencia a los proyectos de investigación, el contenido del Considerando 26 del RGPD cuando indica: «[…] los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación.» Ello guarda relación con la habitual aplicación de la seudonimización** de los datos personales en los estudios y proyectos de investigación puesto que puede reducir considerablemente los riesgos para los interesados afectados y ayudar a los responsables y a los encargados del tratamiento a cumplir sus obligaciones de protección de los datos. **Entendida como el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable. (Art.4.5 RGPD) Ciertamente una de las problemáticas más comunes de las Universidades Públicas se centra en las actividades que desarrollan nuestros investigadores – tanto a título individual como grupos propios o mixtos de investigación, en el marco de contratos vía artículo 83 de la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades (LOU) –, o bien, mediante su integración en centros de investigación, propios o mixtos. Ha sido objeto de análisis y por ello debe recibir un tratamiento singular la definición de las figuras de responsables, corresponsables y encargados del tratamiento, y ello, atendiendo a que en algunos casos se puede ver comprometida la propia imagen de la Universidad, y, además, en determinados supuestos pueden intervenir en la gestión otras entidades instrumentales creadas o participadas mayoritariamente por nuestras instituciones. En definitiva, en relación a ese tratamiento especial y a las excepciones previstas en el RGPD en materia de investigación científica y las peculiaridades de las normativas sectoriales en función del ámbito al que afecte la investigación se hace preciso que esta temática deba ser estudiada y debatida en profundidad. Por su parte, y en cuanto a las novedades introducidas por el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal se incorpora una modificación que afecta a las Universidades, en concreto, la Disposición final octava (nueva). Modificación de la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades, en relación a los Derechos de los estudiantes, determina: “Se incluye una nueva letra l) en el apartado 2 del artículo 46 de la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades, con el contenido siguiente: «l) La formación en el uso y seguridad de los medios digitales y en la garantía de los derechos fundamentales en Internet”. Finalmente, anunciar que el grupo de trabajo de Gabinetes Jurídicos de la CRUE (asociación que agrupa a las universidades públicas y privadas –50 públicas y 26 privadas–), se encuentra inmerso en la elaboración de un catálogo de buenas prácticas en relación a la transparencia y la protección de datos y recientemente se ha informado en su plenario de la intención de crear de forma inminente un grupo de DPOs/DPDs así como de la elaboración de un curso de tres niveles para la formación específica en materia de protección de datos para el personal de las universidades. Numerosas cuestiones e interrogantes quedan por resolver… si me lo permiten… TO BE CONTINUED…. Palma de Mallorca 15 de noviembre de 2018.
Como Universidades públicas, ¿Qué cometido tenemos, pues, encomentado para adaptarnos a la norma europea?
