Qué es comunicación de datos
¿Qué es una cesión o comunicación de datos?
Por comunicación de datos o cesión entendemos toda comunicación por transmisión y/o difusión de datos de carácter personal que se realiza a un tercero, bien sea persona física o jurídica, pública o privada, autoridad pública, servicio u organismo diferente del:
- Interesado o persona física titular de sus propios datos de carácter personal.
- Responsable del tratamiento, en este es caso la Universidad de Zaragoza.
- Encargado de tratamiento.
Tratamiento de datos es cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción (art. 4 del Reglamento General de Protección de Datos).
Por tanto, la cesión de datos y la comunicación son una forma de tratamiento, al que deberán aplicarse los principios y garantías establecidos en la normativa sobre protección de datos personales.
Es preciso que ese tercero tenga un interés legítimo y que el interesado haya manifestado previamente su consentimiento para la comunicación de sus datos o bien que, de no haberlo manifestado con anterioridad, la Universidad estime que ese interés legítimo puede prevalecer sobre los derechos de la persona a la que pertenecen los datos. En este segundo supuesto será necesario que la Universidad evalúe meticulosamente los intereses y los derechos fundamentales en conflicto.
¿Y si los datos los pide una Unidad, Servicio o Centro perteneciente a la Universidad de Zaragoza?
El tratamiento de datos por otras unidades de la misma Universidad no tiene la consideración jurídica de “cesión” en términos de protección de datos. En estos casos nos encontramos con comunicaciones internas, las cuales se considerarán lícitas siempre que se respete y se limite el acceso a aquellas personas en la medida en que lo necesiten para el estricto cumplimiento de las funciones que tienen atribuidas.
No obstante, esto no implica que no tenga que explicarse en la solicitud de comunicación interna de datos el motivo de la petición, con qué finalidad se realiza, cuáles son los datos que se precisan y de qué personas o colectivo.
En cualquier caso, se deben respetar los principios que garantizan la protección de los datos personales, establecidos en el art. 5 del RGPD (licitud, lealtad, trasparencia, limitación de la finalidad, minimización, exactitud, limitación del plazo de conservación, integridad y confidencialidad).
Es importante tener en cuenta que la cesión o comunicación de datos personales, cuando exista base jurídica para ello (de acuerdo con el art. 6 del RGPD), debe limitarse a aquellos que sean adecuados, pertinentes y estrictamente necesarios para alcanzar la finalidad perseguida.
Se deberá ponderar si la finalidad coincide con la que en su día motivó la recogida de datos y, en cualquier caso, se documentará tanto la petición como la información entregada.
•Minimización: los datos deberán ser adecuados, pertinentes y limitados, en cualquier caso, a lo estrictamente necesario para alcanzar los fines que se persiguen (art. 5.1 c) del RGPD).
•Limitación de la finalidad: los datos facilitados deberán ser tratados exclusivamente para la finalidad específica para la que han sido autorizados. Por tanto, no podrán ser tratados ulteriormente para fines incompatibles (art. 5.1 b) del RGPD).
•Compromiso de no comunicación a terceros: deberá guardarse estricta confidencialidad de los datos obtenidos (art. 5.1 f) del RGPD).
•Base jurídica que legitima el tratamiento: la comunicación de datos debe cumplir alguna de las condiciones previstas en el art. 6 del RGPD.
¿Y si los datos los pide un investigador o un grupo de investigación perteneciente a la Universidad de Zaragoza?
Si la investigación está avalada por la propia Universidad será preciso que el investigador principal haya solicitado previamente al Gerente autorización para realizar el tratamiento de datos.
(Os explicamos cómo hacerlo en el siguiente enlace: https://protecciondatos.unizar.es/procedimiento-autorizacion)
Una vez autorizado el tratamiento se solicitará la comunicación de datos. Podéis ver el formulario aquí
¿Y cuándo es un investigador particular o un alumno?
Al igual que en el caso anterior se ponderará la finalidad y los motivos e interés legítimo aducidos así como la existencia de consentimiento previo y, de no tenerlo, se pondrá en conocimiento del interesado la petición para que éste indique si está de acuerdo con la cesión o no y el gerente valorará y decidirá en consecuencia.
Junto con la solicitud será preciso suscribir la Carta de Condiciones.
Podéis ver el formulario aquí // Podéis ver la Carta de Condiciones aquí