Protección de Datos

1. La protección de datos personales en la UPM

Para el cumplimiento de las funciones que tiene encomendadas al servicio de la Sociedad, la UPM tiene que utilizar los datos de carácter personal pertenecientes a aquellas personas que establezcan algún tipo de relación con nuestra institución: estudiantes, personal docente e investigador, personal de administración y servicios, personas que solicitan información, personal de empresas y otros organismos, etc.

Como responsable del tratamiento de esos datos personales, la UPM debe procurar reducir, al máximo posible, el riesgo de que esa utilización pueda afectar negativamente a los derechos y libertades de sus titulares. Para ello, resulta necesario respetar los principios y cumplir las obligaciones que se derivan de la aplicación de todas aquellas normas relacionadas con la protección de los datos de carácter personal, entre las que se pueden destacar en la actualidad el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Aunque con carácter previo al tratamiento de los datos personales, la UPM informa a sus titulares de todas aquellas cuestiones relevantes en relación con el empleo de los mismos, en nuestra Política de Privacidad se contienen los principios generales a los que nos comprometemos y que orientan nuestra actuación a la hora de proteger los derechos y libertades de las personas que nos confían información que permite, directa o indirectamente, identificarlas.

En cumplimiento del RGPD y de la Ley Orgánica 3/2018, la UPM registra todos los tratamientos de datos personales que realiza, con la información correspondiente a los mismos, y los agrupa por actividades de idéntica naturaleza, publicando el correspondiente inventario, que puede consultarse a través del siguiente enlace: Registro de Actividades de Tratamiento.

Con el propósito de informar y asesorar en cuestiones relacionadas con la protección de datos personales, la Universidad ha designado la figura del Delegado de Protección de Datos, establecida en el RGPD, al que pueden dirigirse las personas interesadas en la dirección de correo electrónico proteccion.datos@upm.es, disponiendo de una mayor información en la página web de la Unidad de Protección de Datos de la UPM

Otras funciones asignadas a la Unidad de Protección de Datos de la UPM, a través de su Delegado de Protección de Datos, guardan relación con la cooperación, actuación y punto de contacto con la autoridad de control, que en el ámbito de nuestra Institución se corresponde con la Agencia Española de Protección de Datos (AEPD). Esta agencia es la autoridad pública independiente encargada de velar por la privacidad y la protección de datos de los ciudadanos, conteniendo la Sede electrónica de la AEPD, valiosa información sobre estas cuestiones que afectan a la protección de datos personales.

 

2. Registro de actividades de tratamiento de datos personales de la U.P.M

Mediante el presente documento, la Universidad Politécnica de Madrid hace público el inventario o registro de sus actividades de tratamiento de datos personales, en cumplimiento de la previsión contenida en el Artículo 31.2. de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. (LOPDGDD).

El carácter dinámico de este registro, implica que su contenido esté sometido a una revisión continua, con el propósito de plasmar las posibles adiciones, modificaciones o exclusiones que se produzcan. 

Con el propósito de mantener actualizado el presente inventario de actividades de tratamiento de datos personales, y con amparo en la propia LOPDGDD, se deberá comunicar al Delegado de Protección de Datos de la UPM, cualquier circunstancia que pueda influir en su contenido, utilizando para ello la siguiente dirección de correo electrónico: proteccion.datos@upm.es

Registro de Actividades de Tratamiento.

 

3. Ejercicio de derechos en materia de protección de datos

3.1. Derechos que se pueden ejercitar sobre los datos personales que trata la UPM

En el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), se contemplan una serie de derechos, que pueden ejercitar las personas interesadas frente al Responsable del Tratamiento de sus datos personales. Con carácter general, el derecho a la protección de datos personales permite a su titular ejercitar los siguientes derechos:

  • Acceso: Acceder a los datos de su propiedad, que estén siendo tratados por un responsable, y obtener una copia de dichos datos.
  • Rectificación: Rectificar los mismos cuando fueran inexactos o incompletos atendiendo a los fines del tratamiento.
  • Supresión: Suprimir la información personal que desee, si su tratamiento no se basa en alguna otra condición de licitud diferente a la del consentimiento de la propia persona interesada.
  • Oposición: Oponerse al tratamiento de sus datos personales, salvo que exista una obligación legal que lo impida o pueda el responsable acreditar motivos imperiosos que prevalezcan sobre los intereses, derechos y libertades del interesado o sean necesarios para la formulación, ejercicio o defensa de reclamaciones.
  • Limitación del tratamiento: Limitar el tratamiento de estos datos de carácter personal, en supuestos en los que se desee impugnar su exactitud; o se estén tratando de forma ilícita; se necesiten para la formulación, el ejercicio o la defensa de reclamaciones; o si se ha interpuesto una solicitud de oposición mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.
  • Portabilidad: Recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado. Este derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, supuestos en los que se pueden encuadrar gran parte de los tratamientos realizados por la UPM.
  • Derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en la persona interesada o le afecte significativamente de modo similar.

El alcance del ejercicio de los derechos citados anteriormente puede estar limitado, aunque dicha limitación ha de respetar en lo esencial los derechos y libertades fundamentales y ser una medida necesaria y proporcionada en una sociedad democrática para salvaguardar otros derechos o intereses públicos o privados. Para una mayor información en relación con el ejercicio de estos derechos y sus posibles limitaciones puede acceder en el siguiente enlace al Procedimiento para la atención de ejercicio de derechos en protección de datos de carácter personal de la UPM, o contactar con la Unidad de Protección de Datos de la UPM, en la dirección de correo electrónico proteccion.datos@upm.es

3.2. Cómo ejercitar estos derechos en materia de protección de datos personales

Las personas interesadas, que deseen ejercitar alguno de los derechos existentes en materia de protección de datos personales, podrán presentar su solicitud, dirigida a la Unidad de Protección de Datos de la UPM:

  • A través del Registro de la Sede Electrónica de la UPM, preferentemente en el modelo que se pone a su disposición en la Sede Electrónica de la Institución en el siguiente enlace.
    Para poder presentar la solicitud por medios electrónicos, se deberá disponer de DNI electrónico o un certificado electrónico en vigor.
  • O mediante cualquiera de los medios establecidos en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. (Registros de la UPM, Oficinas de Correos, etc.) 

Para que la solicitud pueda ser correctamente tramitada, deberá dirigirse a la atención de la Unidad de Protección de Datos de la UPM. Calle Ramiro de Maeztu, nº7. 28040 Madrid, y contener:

  • Nombre y apellidos de la persona interesada, o los de la persona que la represente.
  • Indicación del medio electrónico, o lugar físico, elegido para recibir la notificación (la contestación de la UPM). Adicionalmente, se puede aportar una dirección de correo electrónico con el fin de que se pueda avisar a dicha dirección del envío de la notificación.
  • Los hechos, las razones y la petición en que se base la solicitud. Lo que se solicita tiene que quedar claro en el escrito que se presenta.
  • El lugar y la fecha de la presentación.
  • La firma o acreditación de la autenticidad de la voluntad expresada por cualquier medio. Si la solicitud se presenta físicamente deberá adjuntarse la fotocopia del DNI o documento de identificación equivalente.
  • También se puede adjuntar a la solicitud cualquier documento que se considere oportuno con el propósito de obtener un resultado satisfactorio en relación con la petición realizada.

Las solicitudes deben responderse en el plazo de 1 mes desde su recepción, pudiendo prorrogarse hasta dos meses más, teniendo en cuenta la complejidad o el número de solicitudes, pero en ese caso debe informarse al interesado de la prórroga en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.

El ejercicio de estos derechos es gratuito. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, la UPM podrá cobrar un canon razonable en función de los costes administrativos afrontados para realizar la actuación solicitada, o negarse a actuar respecto de la solicitud. Se podrá considerar repetitivo el ejercicio del derecho de acceso en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello.

Puede obtenerse una mayor información en relación con el modo de ejercer sus derechos en materia de protección de datos, visitando la página web de la AEPD o contactando con la Unidad de Protección de Datos de la UPM, en la dirección de correo electrónico proteccion.datos@upm.es

4. Adhesión de la UPM al Pacto Digital para la protección de las personas

La UPM se ha adherido al “Pacto Digital para la protección de las personas”, iniciativa pionera a nivel mundial, promovida por la Agencia Española de Protección de Datos (AEPD), con la que se pretende proporcionar a la ciudadanía una respuesta institucional rápida y eficaz a la problemática de la violencia digital, cada vez más habitual y con un fuerte impacto sobre la vida privada de las víctimas de este tipo de conductas, especialmente mujeres y jóvenes, pero también en otras situaciones especialmente graves, como el racismo y la homofobia.

Mediante la adhesión al PACTO DIGITAL, la UPM se compromete a implantar los principios y recomendaciones recogidos en el mismo, así como a difundir entre todas las personas pertenecientes a la comunidad universitaria el Canal prioritario para solicitar la eliminación urgente de contenidos sexuales y violentos en internet, así como otros recursos y herramientas para ayudar a la concienciar sobre el valor de la privacidad y la importancia del tratamiento de los datos personales.

El reconocimiento por la AEPD a la UPM como “Entidad adherida al Pacto Digital para la Protección de las Personas” se ha materializado el 27 de septiembre de 2022, después de la aprobación de esta iniciativa por el Consejo de Gobierno de la UPM el pasado 28 de junio.

4.1. Preguntas Más Frecuentes (FAQs), respondidas por la AEPD, sobre el Canal Prioritario para solicitar la eliminación urgente de contenidos sexuales y violentos en internet.

  • ¿En qué consiste el canal prioritario en caso de difusión ilegítima de contenidos sensibles?

    Nuestra imagen es un dato personal y, por tanto, la difusión de fotografías y vídeos en los que aparecemos debe hacerse de manera lícita. Sin embargo, en la práctica se ha comprobado que la proliferación de dispositivos móviles y el acceso generalizado a Internet están propiciando la difusión, en muchas ocasiones de manera ilegítima e incontrolada, de nuestros datos personales a través de perfiles en redes sociales y otros sitios web.

    En este contexto, es cada vez más frecuente que se publiquen en Internet o se difundan a través de las redes sociales imágenes o vídeos de mujeres víctimas de violencia por razón de género, de menores de edad y de otros colectivos vulnerables. En la actualidad, la grabación y difusión de imágenes personales es uno de los instrumentos más utilizados en los casos de acoso, tanto en el entorno laboral como en el escolar -bullying y su versión a través de internet, cyberbullying- y de acoso sexual a menores -grooming o sexting-. En último término, toda persona, hombre o mujer, de cualquier edad, puede llegar a verse afectada por este tipo de situaciones.

    Con el objetivo de actuar con celeridad e intentando evitar la difusión masiva de este tipo de contenidos, la Agencia Española de Protección de Datos pone a disposición de los ciudadanos un canal específico para la atención prioritaria de estos casos.

  • ¿En qué casos puedo acudir a este canal?

    Este canal se ha habilitado para la atención de situaciones excepcionalmente delicadas, cuando los contenidos (fotografías o vídeos) tengan carácter sexual o muestren actos de agresión y se estén poniendo en alto riesgo los derechos y libertades de los afectados, siempre que éstos sean personas españolas o se encuentren en España, especialmente si se trata de menores de edad o de víctimas de violencia por razón de género. Pueden acudir a este canal tanto el afectado como cualquier persona que tenga conocimiento de la difusión de este tipo de contenidos.

    En este sentido, debes tener en cuenta que, con carácter general, la actividad de los ciudadanos en las redes sociales está excluida de la aplicación de la normativa de protección de datos, siempre que se trate de actividades exclusivamente personales o domésticas. Por ello, podrás acudir a este canal sólo en casos excepcionales en los que, por tratarse de datos especialmente sensibles, la privacidad de la persona afectada se esté poniendo en grave peligro.

  • ¿En qué casos no puedo acudir a este canal?

    No podremos ayudarte a través de este canal si no eres ciudadano español o no te encuentras en España, ni en aquellos casos en que la difusión se esté produciendo mediante servicios de mensajería instantánea (por ejemplo, Whatsapp o Telegram), ni por medio de correo electrónico, sin perjuicio de las competencias de la AEPD para iniciar un procedimiento sancionador contra quien difunda o replique este contenido utilizando dichos medios. Tampoco podremos ayudarte a través de este canal si no se trata de una situación de excepcional gravedad de las señaladas en la anterior FAQ. No obstante, fuera de estos supuestos existen otras vías para solicitar la retirada de contenidos. Puedes obtener más información al respecto en este enlace, sabiendo que el primer paso es hacer uso de los mecanismos y formularios que los buscadores, foros, blogs y redes sociales más populares ofrecen para comunicarles la vulneración de la privacidad o la publicación de contenidos inapropiados.

    Asimismo, siempre tienes la posibilidad de dirigirte al Delegado de Protección de Datos del responsable, poniendo en su conocimiento esta situación. En el siguiente enlace puedes consultar los datos de contacto de los Delegados de Protección de Datos que han sido comunicados a la Agencia Española de Protección de Datos: https://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/consultaDPD.jsf

  • ¿Qué información necesito aportar a la AEPD cuando haga uso de este canal?

    En primer lugar, deberás describir detalladamente las circunstancias en que se ha producido la difusión no consentida de los contenidos, indicando en particular si la persona afectada es víctima de violencia de género, abuso o agresión sexual o acoso y si pertenece a cualquier otro colectivo especialmente vulnerable: menores de edad (especificando si es menor de catorce años), personas con discapacidad o enfermedad grave o en riesgo de exclusión social u otros.

    Si el contenido está siendo difundido actualmente a través de Internet, te solicitaremos que copies y pegues la dirección o direcciones web de acceso o identifiques claramente el perfil social a través del que se están difundiendo.
    También necesitaremos conocer si has llevado a cabo acciones para denunciar los hechos ante las instancias policiales (detallando, en tal caso, las instancias administrativas o judiciales concretas y la referencia de los procedimientos que se estén tramitando) o para limitar la difusión de los datos personales, identificando claramente, en tal caso, a los prestadores de servicios (la red social, el portal de vídeo o de blogs…) a los que te has dirigido.

    Podrás adjuntar los documentos que consideres relevantes para la tramitación de la reclamación, particularmente una copia de la pantalla o del dispositivo donde pueda apreciarse claramente el servicio (la red social, el portal de vídeo o de blogs…) a través del cual se están difundiendo las imágenes.

  • ¿Cómo puedo acceder a este canal?

    Hemos habilitado un canal específico en nuestra sede electrónica: DIFUSIÓN ILEGÍTIMA DE IMÁGENES ESPECIALMENTE SENSIBLES. Es importante que, en estos casos, hagas uso de este canal para que analicemos tu reclamación de forma prioritaria y podamos actuar con rapidez.

    Podrás presentar tu solicitud a través de la sede electrónica si dispones de un certificado válido o de cualquiera de los medios de autenticación soportados. Asimismo, puedes recibir notificaciones electrónicas en la Dirección Electrónica Habilitada Única (DEHú) y en la Dirección Electrónica Habilitada (DEH).

    Si no dispones de medios de autenticación, podrás imprimir el formulario generado al final del proceso y presentarlo en cualquier oficina de asistencia en materia de registros, en las oficinas de correos o en las representaciones diplomáticas y oficinas consulares de España, si te encuentras en el extranjero. En este enlace encontrarás un buscador de oficinas donde puedes acudir:

    https://administracion.gob.es/pag_Home/atencionCiudadana/encuentraTuOficina.html.

  • ¿Qué sucederá después de solicitar la retirada ante la AEPD?

    Analizaremos la reclamación de forma prioritaria y, en su caso, ordenaremos la retirada del contenido al prestador del servicio o plataforma donde se esté difundiendo. Además, si hay indicios de delito, lo pondremos en conocimiento de la Fiscalía. En tales circunstancias, te informaremos de estos pasos. Si procede, la investigación continuará para tramitar un procedimiento sancionador contra las personas responsables de la difusión.

  • ¿En qué responsabilidades puede incurrir quien difunda ilegítimamente contenidos sensibles de terceros?

    Quien difunda ilegítimamente contenidos sensibles de terceros puede incurrir en distintos tipos de responsabilidades:

    • Responsabilidad en materia de protección de datos: la difusión de datos sensibles de una persona física (en contenidos tales como imágenes, audios o vídeos que permitan identificarla), publicados en diferentes servicios de internet sin consentimiento se considera una infracción de la normativa de protección de datos personales. La AEPD es competente para sancionar estas conductas con multas que, en los casos más graves, pueden alcanzar los 20.000.000 de euros o, tratándose de una empresa, una cuantía equivalente al 4% del volumen de negocio total anual global del ejercicio financiero anterior.
    • Responsabilidad penal:  la difusión y la cesión a terceros de imágenes o vídeos sin consentimiento, que menoscaben la intimidad de una persona física, son constitutivas de delito castigado con pena de prisión de tres meses a un año o multa de seis a doce meses en aquellos casos en que se hayan obtenido con la anuencia de la persona afectada en cualquier lugar fuera de la mirada de terceros. Asimismo, podrían constituir un delito contra la integridad moral, castigado con pena de prisión de seis meses a dos años.

    Cuando los responsables sean menores de edad, se les podrá sancionar con la realización de servicios en beneficio de la     comunidad, o tareas socio educativas, pudiendo llegar a la libertad vigilada e incluso a la privación de libertad (internamiento en centros o permanencia de fin de semana).  

    • Responsabilidad en el ámbito laboral: el acoso sexual en el ámbito laboral, cualquiera que sea el responsable, constituye una infracción muy grave, por la que se podrá sancionar al empresario con multas desde 6.251 y hasta 187.515 euros.

    Asimismo, constituye una infracción grave, sancionable con multas desde 626 a 6.250 euros, cualquier acción u omisión del empresario que cause un daño a los trabajadores, bien por no haber evaluado el riesgo laboral adecuadamente, incluidos los denominados riesgos psicosociales, o por no haber adoptado las medidas de prevención adecuadas.

    Por su parte, los trabajadores que lleven a cabo estas conductas incurrirán en responsabilidad disciplinaria, que, en el caso de faltas muy graves, podrá acarrear el despido.

    • Responsabilidad civil: se deberá responder por los daños y perjuicios causados a la persona afectada, tanto los de carácter patrimonial como los de carácter moral.

    Puedes obtener más información en el siguiente documento


Documentos