CAPÍTULO I DA FIGURA DE DELEGADO OU DELEGADA DE PROTECCIÓN DE DATOS

Artigo 1. Configuración do cargo de Delegado ou Delegada de Protección de Datos

1. O Delegado ou Delegada de Protección de Datos (DPD) é a persoa garante do cumprimento da normativa de protección de datos na Universidade e nas entidades dependentes ou adscritas a ela.

2. A figura de DPD configúrase como un cargo académico da Universidade de Santiago de Compostela (USC), asimilable ao de Valedor da Comunidade Universitaria no relativo á súa autonomía de funcionamento, co réxime de redución docente e de retribución que se determina no regulamento da USC que rexe nesta materia.

Artigo 2. Nomeamento

1. A persoa DPD será nomeada polo Consello de Goberno, previa proposta do reitor ou reitora.

O nomeamento será comunicado pola Secretaría Xeral á autoridade de control nos termos e prazos establecidos legalmente.

2. A persoa proposta terá que ter vinculación permanente coa Universidade, ser titulada en Dereito e acreditar experiencia formativa e práctica en materia de protección de datos.

Artigo 3. Cese

A persoa DPD unicamente cesará por algunha das seguintes causas:

a) Por incapacidade sobrevida, constatada segundo as normas aplicables en materia de emprego público.

b) Por dimisión, unha vez aceptada polo reitor ou reitora.

c) Por neglixencia grave no exercicio das súas funcións, logo do correspondente procedemento contraditorio.

CAPÍTULO II DO ESTATUTO PERSOAL DA FIGURA DE DPD

Artigo 4. Independencia e ausencia de conflito de intereses

1. A persoa DPD desempeña as súas funcións con plena autonomía e independencia, non podendo recibir instrucións de ningunha autoridade académica, órgano de goberno ou de xestión da Universidade.

2. A condición de DPD é compatible co desempeño doutras funcións e cometidos na estrutura universitaria, nomeadamente, das funcións de docencia, investigación e transferencia así como das de xestión que se lle encomenden.

A persoa DPD non pode ter encomendadas actividades ou responsabilidades que impliquen a determinación dos fins e medios do tratamento de datos.

3. Correspóndelle ao reitor ou reitora velar pola ausencia de conflito de intereses nas actividades que desempeñe a persoa DPD.

Artigo 5. Garantías no exercicio das súas funcións

1. A persoa DPD non poderá ser sancionada nin sufrir ningún trato desfavorable polas súas opinións nin polos actos que realice no exercicio das competencias propias do seu cargo.

2. Quen exerza a función de DPD non será persoalmente responsable dos incumprimentos da normativa de protección de datos que se poidan producir na Institución, sen que estes poidan ser causa de cese aos efectos do disposto no artigo 3, letra c) do presente acordo.

Artigo 6. Deber de colaboración

1. Os órganos de goberno da Universidade garantirán que a persoa DPD poida participar de forma axeitada e en tempo oportuno nas decisións relativas á protección de datos, nomeadamente, nas normativas e organizativas.

2. As unidades administrativas da Universidade e os membros da comunidade universitaria teñen a obriga de auxiliar á persoa DPD con carácter preferente e urxente nas actuacións que leve a cabo e, en particular, atender os seus requirimentos de información. Os órganos de goberno da USC velarán polo cumprimento desta obriga nos seus respectivos ámbitos de actuación.

3. No exercicio das súas funcións e para o desenvolvemento máis eficaz destas, a persoa DPD terá acceso aos datos persoais e procesos de tratamento, non podendo opórselle a existencia de calquera deber de confidencialidade ou segredo.

En particular, a persoa DPD poderá esixir dos responsables ou encargados dos distintos servizos da Universidade a exhibición dos documentos ou datos que considere necesario coñecer para o exercicio das súas funcións.

4. Os órganos, unidades e membros da comunidade universitaria deberán informar á persoa DPD das actuacións levadas a cabo en cumprimento das súas recomendacións ou decisións.

Artigo 7. Obrigas

A persoa DPD:

a) Estará obrigada a manter o segredo ou a confidencialidade sobre os datos ou información que coñeza no exercicio das súas funcións.

b) Renderá conta das súas actuacións directamente ao reitor ou reitora e informará da súa actividade polo menos trimestralmente. En particular, deberá informar da intención de elevar consultas á Axencia Española de Protección de Datos e das respostas que reciba ao respecto.

c) Deberá manter actualizados os seus coñecementos especializados, para o cal recibirá os recursos necesarios.

d) Desenvolverá as súas funcións prestando a debida atención aos riscos asociados ás operacións de tratamento de datos, tendo en conta a natureza, o alcance, o contexto e os fins dos tratamentos.

e) A través dos sistemas informáticos que se determinen deixará constancia da súa actividade de xeito que esta poida ser consultada polo responsable do tratamento. Na mesma aplicación conservarase a documentación que sexa precisa para acreditar o cumprimento da normativa en materia de privacidade e protección de datos.

f) Informará á Secretaría Xeral, a solicitude desta, dos criterios que aplica nas súas funcións de asesoramento e control e dos que emprega para valorar a avaliación e seguimento dos riscos e análises de impacto.

g) Colaborará coa Secretaría Xeral nas actuacións de difusión, comunicación de criterios e formación en materia de protección de datos.

Artigo 8. Funcións

1. A persoa DPD terá as seguintes funcións:

a) Controlar o cumprimento do establecido na normativa sobre protección de datos persoais.

b) Participar na elaboración das normas que poidan ter impacto significativo en materia de protección de datos persoais e supervisar as políticas de tratamento, incluíndo a asignación de responsabilidades no organigrama e nos instrumentos de ordenación do traballo en relación con esta materia.

c) Asesorar na realización e aplicación de avaliacións de impacto sobre a protección de datos.

d) Orientar aos órganos e unidades da Universidade respecto das súas obrigas en materia de protección de datos, a través das canles establecidas pola Secretaría Xeral.

e) Informar a todos os membros da comunidade universitaria das súas obrigas e dereitos en materia de protección de datos, mediante a organización de accións divulgativas en coordinación coas unidades competentes da Universidade.

f) Impulsar a formación do persoal que participa nas operacións de tratamento de datos.

g) Cooperar coa autoridade de control.

h) Actuar como interlocutor e punto de contacto da autoridade de control para as cuestións relativas aos tratamentos, incluída a consulta previa.

i) Realizar as consultas oportunas á autoridade de control.

l) Calquera outra que se lle asigne pola normativa da Universidade, cos límites do establecido no artigo 4 do presente acordo.

2. Para o exercicio das súas funcións a persoa DPD contará coa asistencia dunha Comisión de asesoramento, como órgano deliberativo. Os seus membros serán nomeados polo reitor ou reitora a proposta da DPD.

CAPÍTULO III DO PROCEDEMIENTO DE AUDITORIA E CONTROL

Artigo 9. Iniciación dos procedementos de auditoría e control

1. A persoa DPD poderá iniciar, de oficio ou previa solicitude, calquera investigación ou actuación conducente a comprobar e garantir o óptimo cumprimento da normativa de protección de datos da Universidade e das entidades dependentes desta.

2. A persoa DPD garantirá a confidencialidade en relación á identidade das persoas que presenten queixas.

Artigo 10. Terminación dos procedementos de auditoría e control

1. Se a persoa DPD apreciase a existencia dunha vulneración en materia de protección de datos comunicaraa de inmediato ao órgano responsable e á Secretaría Xeral para a adopción das medidas oportunas. No caso de tratarse dunha vulneración relevante deberá documentala oportunamente.

2. En todo caso, a persoa DPD poderá emitir as recomendacións que estime convenientes no ámbito das súas funcións.

CAPÍTULO IV DOS MEDIOS PERSOAIS, ECONÓMICOS E MATERIAIS

Artigo 11. Medios persoais

A persoa DPD, para o desempeño das súas funcións, disporá dos medios persoais necesarios, con dedicación exclusiva ou parcial e dependencia funcional del.

Artigo 12. Medios económicos

A persoa DPD disporá dos recursos económicos necesarios para o desenvolvemento das súas funcións. A dotación económica necesaria poderá consignarse nunha partida específica do orzamento anual da Universidade ou subsumirse na doutro órgano desta.

Artigo 13. Medios materiais

A USC deberá facilitar á persoa DPD os espazos físicos e os medios e instrumentos tecnolóxicos necesarios para o adecuado desempeño das funcións que lle competen.

CAPÍTULO V DA TRAMITACIÓN DE SOLICITUDES, RECLAMACIÓNS E REQUIRIMENTOS

Artigo 14. Solicitudes

Os membros da comunidade universitaria poderán poñerse en contacto coa persoa DPD a través do seu enderezo de correo electrónico (dpd@usc.es) para obter o oportuno asesoramento sobre o exercicio dos seus dereitos en materia de protección de datos, así como en relación coas funcións que se lle atribúen no artigo 8 deste acordo.

Artigo 15. Actuacións previas á presentación de reclamacións ante a autoridade de control

1. As persoas interesadas poderán, con carácter previo á presentación dunha reclamación ante a autoridade de control, dirixirse á persoa DPD. A reclamación presentarase a través da sede electrónica seguindo o procedemento establecido para o efecto.

2. Recibida unha reclamación, darase contestación motivada sobre a súa admisión ou non a trámite no prazo máximo de quince días.

3. Admitida a reclamación, a persoa DPD promoverá a oportuna investigación para o esclarecemento dos feitos que a motivaron.

4. O procedemento rematará mediante unha decisión na que mostrará o seu parecer sobre a reclamación presentada e realizará as recomendacións que considere pertinentes sobre o xeito de actuar de órganos, servizos ou membros da USC. Estas recomendacións tamén serán remitidas á Secretaría Xeral para que vele polo seu cumprimento.

5. A devandita decisión deberá ser comunicada á persoa interesada no prazo máximo de dous meses a contar dende a recepción da reclamación.

6. No caso de desconformidade coa decisión as persoas interesadas poderán dirixirse á autoridade de control.

Artigo 16. Resposta a requirimentos da autoridade de control

No caso de que a persoa DPD reciba un requirimento para atender unha reclamación presentada ante a autoridade de control, aquel deberá darlle resposta no prazo máximo dun mes.