Administración: preguntas frecuentes

La LOPDGDD incluye en el apartado 1º de su DA 7ª cómo debe identificarse a los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos. Con carácter general, cuando sea necesaria la publicación de un acto administrativo que contuviese datos personales del afectado, se identificará al mismo mediante el nombre y apellidos, añadiendo cuatro cifras del documento oficial de identidad y pseudoanonimizando el resto de las cifras con asteriscos.

En ningún caso, debe publicarse el nombre y apellidos de manera conjunta con el número completo del documento nacional de identidad o documento equivalente.

Puede consultar aquí cómo anonimizar el DNI en excel.

En atención a la situación específica de ciertos colectivos que requiere de una especial protección (p.ej. víctimas de violencia de género, víctimas del terrorismo, etc.) se requiere adoptar las medidas oportunas para limitar el acceso a la publicación y garantizar que dicha divulgación no afecte a su seguridad o integridad física. Por ello, se recomienda disociar o anonimizar los datos personales publicados en la web (nombre, apellidos y del documento oficial de identidad) para que la persona interesada -y solo ella- pueda identificarse garantizando su confidencialidad, intimidad y anonimato al resto de los interesados.

Preferiblemente la publicación se realizará en la intranet o web con acceso restringido al que tan solo tengan acceso los interesados. Solo en casos justificados como pueden ser procesos selectivos o de concurrencia competitiva, se procederá a su publicación en abierto adoptando las medidas técnicas y organizativas apropiadas para que suponga la menor injerencia posible en los derechos de los interesados.

De acuerdo con el principio de limitación del plazo de conservación de los datos, el tiempo que deberá mantenerse dicha publicación es el tiempo imprescindible que garantice su conocimiento por todos los interesados o el plazo para presentar las reclamaciones o recursos correspondientes. Una vez transcurrido estos plazos, la publicación debe suprimirse y no estar accesible en la web.

Ponderando los distintos intereses en conflicto, a saber: el derecho a la intimidad y protección de datos de la persona interesada con el interés legítimo de la Universidad en acceder a las bases de datos del equipo del empleado/a, se permite el acceso al contenido del equipo o dispositivo  en la medida que se cumplan los requisitos exigidos por el Tribunal Europeo de Derechos Humanos en Sentencia Barbulescu I y II (Grado de intromisión del empresario; Concurrencia de una razón legítima empresarial para la monitorización; Existencia o no de otros medios menos intrusivos; Destino dado por la empresa al resultado del control; La previsión de garantías para el trabajador) para validar el control empresarial de los dispositivos informáticos puestos a disposición de sus trabajadores para el desempeño del puesto de trabajo.

Se considera que el ordenador es un instrumento o herramienta del que es titular la UAM y que pone a disposición del trabajador para el ejercicio de las tareas que tiene encomendadas en su puesto de trabajo y, por tanto, en el ejercicio de sus facultades de autoorganización, dirección y control empresarial puede fijar las condiciones de su utilización, que incluyen lógicamente el acceso y examen de su contenido para garantizar su integridad según prevé el art 87 de la LOPGGDD.

No se precisa del consentimiento del trabajador o extrabajador para acceder al equipo o dispositivo porque la base de legitimación se encontraría bien en la existencia de la relación laboral o contractual (art 6.1b) o incluso en el interés legítimo perseguido por el responsable del tratamiento (art 6.1f) del RGPD).

No obstante, el acceso y control del ordenador debe realizarse adoptando las siguientes garantías para preservar la intimidad y privacidad del trabajador:

1. El acceso al equipo tiene como única finalidad garantizar la integridad y disponibilidad de la información y no se utilizará su control o monitorización para otros fines incompatibles.
2. El acceso queda restringido o limitado a los archivos o carpetas con información corporativa de la que es titular la Universidad, como responsable del tratamiento de los datos, y en ningún caso a archivos o ficheros que contengan o pueda deducirse que contengan información personal o privada que sea titular del empleado/a guardados en el ordenador (p.ej. documentos, imágenes, videos, música, etc.).
3. No se accederá a su correo electrónico o historial de navegación
4. Al ordenador o dispositivo accederá un técnico autorizado de TI o CAU que deberá verificar, diferenciar y separar la información privada de la corporativa, realizando una copia de seguridad.
5. Una vez realizada la copia de seguridad se procederá a eliminar o formatear el disco duro o bloquear el perfil para que la información no pueda ser recuperada ni manipulada por terceras personas.

La comunicación y divulgación de los datos de contacto, imagen y de la trayectoria académica y profesional del personal de la UAM en el directorio publicado en la página web constituye un tratamiento de datos personales y, como tal, está sujeto a la normativa de protección de datos.

En virtud de la exigencia de transparencia e información a los interesados así como para facilitar la atención al alumnado y ciudadanos, la universidad publica en su web los datos de contacto y, en su caso, los relativos a la función o puesto desempeñado de sus empleados. La base que legitima el tratamiento y comunicación de los datos profesionales de los empleados en el directorio web se fundamenta en una obligación legal -art. 6.1.c) RGPD - o bien en el interés legítimo –art. 6.1.f) RGPD- por lo que no se requiere el consentimiento de los empleados tal y como se prevé en el art 19 de la LOPDGDD relativo al tratamiento de datos de contacto de las personas físicas que presten servicios en una persona jurídica.

No obstante, atendiendo a los principios de minimización y de limitación de la finalidad, se recomienda publicar solo los datos de contacto, la función, cargo o puesto desempeñado así como, en su caso, un breve currículum académico o profesional que se consideren estrictamente necesarios para atender los fines académicos, investigación o de gestión en la universidad. Por tanto, los interesados pueden oponerse por razones debidamente acreditadas a la publicación en el directorio de aquellos datos personales que considere excesivos o no pertinentes. La solicitud de ejercicio del derecho de oposición debe presentarse ante la Delegada de protección de datos de la UAM delegada.protecciondedatos@uam.es, quien resolverá según el procedimiento establecido al efecto.

La instalación y uso de videocámaras está justificado por la necesidad de garantizar la seguridad de las personas, bienes e instalaciones y, por tanto, existe un interés público que habilita el tratamiento de las imágenes (art 6.1.e) RGPD), lo único que se debe guardar las medidas apropiadas para proteger los derechos de los afectados.

En particular:

• Derecho de información: se deben colocar carteles informativos en los espacios videovigilados
• Limitación de la finalidad: las imágenes captadas no se utilizarán para otros fines que no estén relacionados estrictamente con la seguridad de las de las personas, bienes e instalaciones
• Minimización en la recogida de los datos: preferiblemente se llevará a cabo la visualización o grabación de las imágenes sin sonido y solo en los espacios habilitados (laboratorios, biblioteca, cafetería, etc.) en los que sea necesario y esté debidamente justificado por razones de seguridad
• Accesibilidad y tratamiento de los datos: se limitará el acceso y visualización de las imágenes al personal de seguridad y, en ningún caso, a terceras personas no autorizadas.
• Conservación: Las imágenes se borrarán en el plazo máximo de un mes, salvo en aquellos supuestos en que se deban conservar más tiempo para acreditar la comisión de actos delictivos o tengan que estar a disposición de las Fuerzas y Cuerpos de Seguridad o de los Jueces y Tribunales.
• Se deberán adoptar las medidas de seguridad establecidas en el Esquema Nacional de Seguridad para garantizar la confidencialidad, la integridad y disponibilidad de las imágenes.