Seu Electrònica

El denunciant es queixa que la Universitat va utilitzar els resultats de convocatòries anteriors d'ICREA per denegar el suport a una persona candidata. L'entitat denunciada argüeix que el tractament és necessari per determinar la conveniència o no de futurs suports a les persones candidates i evitar la reiteració de suports a candidatures que en anteriors ocasions no van superar els estàndards. L'Autoritat considera que el tractament està justificat i disposa de base jurídica. Tot això sens perjudici que les persones afectades puguin exercir en qualsevol moment el dret de supressió de les seves dades personals davant el responsable del tractament.

D’acord amb la normativa de protecció de dades, la jurisprudència del TJUE i les directrius del CEPD, la transferència de dades personals a una universitat xinesa no pot basar-se en les garanties adequades de l’article 46 de l’RGPD, ja que el marc normatiu xinès no garanteix un nivell de protecció essencialment equivalent al de la UE. Sense perjudici d’això, la universitat ha de realitzar una avaluació individualitzada (TIA) per valorar si circumstàncies específiques o canvis normatius podrien modificar aquesta conclusió. En absència d’una decisió d’adequació o de garanties adequades, cal recórrer al règim excepcional de l’article 49 de l’RGPD, principalment el consentiment explícit, específic i informat, precedit d’una informació completa sobre els riscos. Es recomana, a més, incloure clàusules contractuals tipus i mesures complementàries com a salvaguardes addicionals.

Una persona demana a un Departament l’accés a un llistat dels professors i professors col·laboradors amb la seva dedicació horària, d’uns cursos i períodes concrets. L’Autoritat informa que des del punt de vista de la protecció de dades no hi ha cap impediment en facilitar les dades identificatives de nom i cognoms del professorat i professorat col·laborador i del període lectiu sol·licitat, atès que es tracta d’informació vinculada a l’exercici de les seves funcions de docència i fetes publiques a la pàgina web de la universitat. Pel que fa a les dades relatives a la dedicació horària individualitzada d’aquest personal docent, en base al principi de minimització i en absència d’una base jurídica suficient que ho legitimi, com ara el consentiment de les persones afectades, una obligació legal específica o un interès públic degudament justificat, cal denegar l’accés.

El juliol de l’any 2023, l'entitat denunciada va publicar a internet l’informe de la Comissió de Reclamacions sobre el desenvolupament de les reclamacions en matèria de concursos d’accés de PDI a la Universitat de Barcelona, corresponent a l’any 2022. A l'informe hi constaven els noms i cognoms de 12 persones que van presentar reclamacions contra les resolucions de les comissions d'accés o de contractació.

La universitat va enviar un correu electrònic a 1.567 destinataris que formaven part d'una llista de correus, en què adjuntava un fitxer Excel que contenia les mateixes 1.567 adreces electròniques. Així, va difondre entre els receptors l'adreça electrònica i, en alguns casos, el nom i cognoms i la institució amb la qual tenen alguna vinculació, dada deduïble fàcilment a partir del domini corporatiu de determinades adreces. S'imputa vulneració del principi de confidencialitat.

En el marc de les investigacions dutes a terme per l'Autoritat, s'ha constatat que la FUOC ofereix a l'alumnat de l'assignatura d'Anglès B2.2 la possibilitat d'examinar-se per mitjà de l'eina de monitoratge "Smowl", que incorpora reconeixement facial, o bé per mitjà d'una avaluació oral síncrona amb el professor. També s'ha constatat que la Universitat ha realitzat una avaluació d'impacte en matèria de protecció de dades personals, per tal d'adoptar mesures que mitiguin els riscos del tractament; que la FUOC va informar el seu alumnat; i que l'alumnat és lliure d'acceptar un mitjà d'avaluació o altre. En aquestes circumstàncies, no s'aprecia cap infracció de la normativa de protecció de dades personals.

S'envia un missatge de correu electrònic a l'adreça dpd@uic.es en què s’exerceix el dret de supressió, sense que la petició s'hagués atès en termini. La UIC al·lega que no va rebre el missatge. L’Àrea TSI de l'APDCAT informa que és possible que fos un correu brossa, atès que era un reenviament de correu promocional de la UIC i passats 30 dies podria no ser visible. Es recomana al DPD de la UIC que revisi periòdicament la bústia de correu brossa. Posteriorment, la UIC ha satisfet el dret de supressió.

La denunciant es queixava que el seu nom i cognoms apareixien juntament amb una sèrie de valoracions sobre aspectes psicològics en un treball publicat en el repositori de la UOC. Es sanciona l'entitat amb una multa econòmica per la vulneració del principi de minimització, per haver publicat en el repositori de la universitat un treball de fi de grau (TFG) que contenia nombroses dades, algunes d'especial protecció, que fan referència als alumnes de dues aules d'un IES. S'arxiva pel que fa a l'extracció de dades per part de l'IES, ja que es va produir l'any 2000 i, en cas d'infracció, hauria prescrit. També s'arxiva per una 2a publicació acadèmica elaborada a partir de l'estudi controvertit, ja que no s'ha acreditat que en aquesta hi constin dades sense anonimitzar. Sanció imposada: 13.000€

La normativa de protecció de dades no impedeix l’accés de la persona reclamant a les dades que li són pròpies, així com a la documentació relativa a la valoració dels mèrits i documents justificatius de la resta d’aspirants que van obtenir millor puntuació o posició en els processos selectius, per tractar-se d’informació rellevant per al control del procés i per a la defensa dels seus interessos, sempre que no impliqui l’accés a dades especialment protegides.

Pel que fa a l’accés a les reclamacions o recursos interposats en els processos selectius, la normativa no impedeix facilitar aquells en els quals la persona reclamant fos part interessada. En altre cas, caldria analitzar cas per cas la informació personal que es veu afectada d’acord amb els termes que han estat exposats.

El reclamant té dret a rebre una resposta del responsable del tractament, en què confirmi si està tractant o no les seves dades personals i li faciliti la informació relativa a l'article 15.1 de l'RGPD en relació amb els tractaments que estigui fent sobre les seves dades. El reclamant també té dret a accedir a la informació/documentació que contingui les seves dades personals o faci referència a la seva persona, sempre i quan aquesta informació existeixi i es conservi en poder del responsable del tractament (art. 15.3 RGPD). Això, tret que consideri que hi concorre alguna circumstància que pugui limitar aquest dret.