Skip to main content

Protección de datos en la App

Consideraciones generales

Respecto a los datos personales de los usuarios de la App, el acceso a los mismos por parte del Santander se realizará siempre como encargado del Tratamiento, tal y como se recoge en el epígrafe "Acuerdo de encargo del tratamiento de datos personales por parte del Santander como encargado y sus proveedores. Artículo 28 del RGPD", acceso motivado por la necesidad de prestar los servicios asociados a la App por parte del Santander y sin que por tanto pueda utilizar tales datos para fines distintos a los de prestar el servicio acordado y siempre bajo las instrucciones de la Universidad. Todo ello sin perjuicio de lo dispuesto en el apartado "Cesión de datos".

Acuerdo de encargo del tratamiento de datos personales por parte del Santander como encargado y sus proveedores. Artículo 28 del RGPD.

La Universidad y el Santander asegurarán y garantizarán que el uso de los datos personales facilitados por la Universidad como responsable del tratamiento a Santander como encargado del mismo para el desarrollo de la App es adecuado, pertinente y se ajustará en todo momento a la finalidad con la cual se facilitan dichos datos, de tal forma que sus actuaciones cumplan en todo momento la legislación de Protección de Datos de Carácter Personal, obligándose al cumplimiento de las medidas de seguridad y de toda la normativa de desarrollo.

El acceso a los datos personales de los estudiantes y demás miembros de la comunidad universitaria (PAS y PDI), titularidad de la Universidad, con motivo de su utilización del Área Universitaria de la App no tiene la consideración de comunicación o cesión de datos, sino de simple acceso a los mismos por parte de Santander, como encargado del tratamiento necesario para la prestación del servicio.

Los tratamientos que realizar Santander por cuenta del Cliente con respecto a los datos anteriormente mencionados serán los siguientes:

  • Recogida (captura de información donde existen datos de carácter personal) 
  • Registro (inscribir o grabar la información en algún tipo de sistema o dispositivo, automatizado o no automatizado, para su posterior tratamiento) 
  • Organización (ordenar y estructurar la información para facilitar su tratamiento) 
  • Conservación (mantener la información durante un determinado periodo de tiempo) 
  • Adaptación o modificación (alterar o cambiar la información) 
  • Extracción (obtener la información de un sistema o dispositivo original para su envío o traspaso a otro sistema o dispositivo) 
  • Consulta (buscar los datos sobre el sistema o dispositivo en el que se encuentra registrada) 
  • Utilización (usar la información para una finalidad concreta) 
  • Comunicación por transmisión (enviar los datos a otro destinatario desde su sistema o dispositivo origen a través de medios electrónicos) 
  • Difusión o cualquier otra forma de habilitación de acceso, cotejo, o interconexión, limitación (poner a disposición de otros usuarios o destinatarios la información registrada en un sistema o dispositivo) 
  • Supresión (eliminar, hacer desaparecer la información en el sistema o dispositivo en el que esté originalmente registrada) 
  • Y en general, aquellos otros que puedan resultar necesarios para la prestación del servicio de mantenimiento y funcionamiento de la App Crue.

 

Con respecto al tratamiento de tales datos, el Santander será considerado a efectos de lo establecido en el Reglamento 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, "RGPD"), como encargado del tratamiento. En este sentido y dando cumplimiento a lo establecido en el artículo 28 del RGPD, respecto de los tratamientos necesarios para el funcionamiento de la App, que constituyen la finalidad del mismo y que implican el tratamiento de datos de estudiantes, profesores y personal de administración y servicios que se descarguen la aplicación relativos a nombre, apellidos, número de teléfono, dirección de correo electrónico, documento de identidad, datos académicos (universidad a la que pertenece, estudios que realizan – carrera- y asignaturas), rol del usuario (alumno/PAS/PDI) datos docentes (asignaturas impartidas en su caso), el Santander se obliga a:
 

  • realizar el tratamiento de los Datos Personales sólo por cuenta de la Universidad y de conformidad con sus instrucciones. En este mismo sentido, Santander se compromete a informar inmediatamente a la Universidad en el caso en que una instrucción dirigida por esta pudiera infringir las disposiciones que resultasen aplicables en materia de protección de datos recogidas en el ordenamiento comunitario o de los Estados miembros.

    En particular, la Universidad instruye a Santander para que incorpore en la App el texto del "aviso legal y política de privacidad de la aplicación" que figura en el ANEXO B de este Adenda, siendo los términos y condiciones, que deberán ser informados para el uso de la App, en los términos recogidos en dicho anexo. Asimismo, la Universidad se obliga a incorporar este "aviso legal y política de privacidad de la aplicación" a su política general de protección de datos accesible en su página web y a informar de ella a sus usuarios cuando les comunique la puesta en funcionamiento de la App.

    El ANEXO B podrá ser modificado por la Universidad para adaptarlo a las modificaciones operativas que Santander comunique ser necesarias a la Universidad o a las exigencias legales que sean de aplicación en cada momento.

    La Universidad informará al interesado sobre lo establecido en los arts. 12 y siguientes del RGPD, sobre los derechos del interesado y el lugar de realización del tratamiento y del ejercicio de sus derechos, en dicho aviso legal.

    Cualquier tratamiento de los datos que no se ajuste a lo dispuesto en el presente acuerdo, será responsabilidad exclusiva de Santander frente a terceros y frente a la Universidad, ante la que responderá por los daños y perjuicios que le hubiere podido causar, siendo considerado también responsable del tratamiento a estos efectos
  • implantar las medidas de seguridad técnicas y organizativas que resulten adecuadas y pertinentes, con el fin de garantizar la integridad, seguridad, confidencialidad y disponibilidad de los datos. Estas medidas se extenderán a los tratamientos realizados en los centros de tratamiento, locales, equipos y sistemas, durante el desarrollo del tratamiento acordado, y hasta el momento en que los Datos Personales sean devueltos a la Universidad, de conformidad con lo previsto en este apartado. Se implantarán las medidas que el Responsable disponga y en todo caso las siguientes: 
  • Santander tiene nombrado y comunicado a la autoridad de control española un Delegado de Protección de Datos (DPO) cuya dirección electrónica de contacto es Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
  • Establecimiento de funciones y responsabilidades del personal que trate datos de carácter personal.
  • Comunicación entre el personal de las funciones y responsabilidades definidas asociadas al cumplimiento de la normativa en materia de protección de datos.
  • Definición de roles y perfiles para los usuarios de las aplicaciones y sistemas donde se traten dichos datos de acuerdo a las funciones y responsabilidades establecidas, de forma que se evite el acceso a datos o recursos distintos de los autorizados. Este sistema de control de acceso deberá garantizar adecuados mecanismos de identificación y autenticación de los usuarios, como por ejemplo a través del uso de contraseñas que han de ser renovadas de forma periódica, uso de datos biométricos, bloqueo automático de usuario ante intentos sucesivos fallidos de acceso, etc.
  • Medidas automatizadas que limiten el acceso a información para usuarios no autorizados o fuera del plazo de conservación determinado, como por ejemplo mediante técnicas de borrado o de seudonimización de datos.
  • Procedimientos que limiten el acceso físico a las instalaciones donde se encuentren ubicados los sistemas de información o los soportes físicos.
  • Registros de control y acceso sobre soportes que contengan datos de carácter personal, que además deberán contar con mecanismos de acceso limitado (p.e. cintas de backup, USBs, dossieres, CDs, etc.).
  • Procedimientos de recuperación de datos de carácter personal ante su posible destrucción, pérdida o alteración, bajo la supervisión y aprobación del responsable en materia de protección de datos.
  • Procedimientos de detección, evaluación y notificación, en caso de ser necesario, de incidentes de seguridad que puedan afectar a los derechos y libertades de los interesados.
  • Ejecución de revisiones periódicas de cumplimiento y de definición y ejecución de los planes de acción para la mitigación de los riesgos detectados.
    Santander responderá frente a terceros y frente a la propia Universidad de los daños y perjuicios que pudieran generarse en caso de incumplimiento de esta obligación de medidas de seguridad. 
  • no comunicar o ceder los Datos Personales a ninguna persona o institución, ni siquiera para su conservación salvo en los casos establecidos por la Ley y los autorizados expresamente por la Universidad como Responsable del Tratamiento. Esta obligación de guardar secreto permanecerá incluso después de cesar en su relación con la Universidad, cualquier que fuera la causa, y se extenderá respecto de los empleados y personal autorizado por Santander para acceder a la información responsabilidad de la Universidad.

     
  • garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad, durante la realización del tratamiento y con posterioridad a la terminación por cualquier causa de esta Adenda; Santander mantendrá a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en este apartado.

     
  • una vez finalizada la prestación de los servicios de la App CRUE, devolver a la Universidad todos los datos de carácter personal que hayan sido objeto de tratamiento, así como todos los soportes o documentos donde conste algún dato de carácter personal. Asimismo, de conformidad con lo dispuesto en la normativa aplicable en materia de protección de datos, Santander podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con la Universidad;

     
  • en el supuesto de que los titulares de los datos soliciten ejercitar sus derechos en materia de protección de datos ante Santander, actuando en tanto que encargado del tratamiento, trasladará a la Universidad, cualquier solicitud de ejercicio de derechos de acceso, rectificación o supresión, o la limitación de su tratamiento, oposición y portabilidad de los datos, que hubiese recibido por parte de los interesados cuyos datos sean objeto de tratamiento en el marco de la prestación del servicio, a fin de que sea resuelta por la Universidad de Internacional de Andalucía.
    Dicho traslado deberá ser inmediato, Santander deberá remitir la solicitud a la Universidad de Internacional de Andalucía en el plazo máximo de 5 días desde la recepción de la misma, de forma que permita a la Universidad respetar los plazos legalmente establecidos de atención al ejercicio de sus derechos por parte de los interesados, asumiendo Santander la responsabilidad que se pueda derivar del incumplimiento de dichos plazos por causa imputable a la falta o tardanza en su comunicación a la Universidad de Internacional de Andalucía.
    Cualesquiera interesados podrán ejercitar sus derechos de acceso, rectificación, o supresión, limitación, oposición y portabilidad solicitándolo por escrito dirigido a la Universidad de Internacional de Andalucía, y/o a su delegado/a de Protección de datos. 
     
  • Si en algún momento del tratamiento es necesario que Santander recoja directamente datos, en el momento de la recogida de datos debe facilitar la información relativa a los tratamientos de datos que se van a realizar. La redacción y el formato se deberán consensuar con la Universidad antes del inicio de la recogida de datos.

     
  • Ayudará el Responsable del Tratamiento a dar cumplimiento a sus deberes respecto a la realización de cualesquiera evaluaciones de impacto en materia de protección de datos (en adelante, "Data Protection Impact Assessment", o "PIA", indistintamente) que estuviera obligado a llevar a cabo, así como en las consultas previas reguladas en el art. 36 RGPD.
  • Llevar un registro por escrito y en formato electrónico de todas las categorías de actividades de tratamiento efectuadas que incluirá como mínimo la siguiente información:
  • Nombre y datos de contacto del encargado en materia de protección de datos del encargado del Tratamiento y, en su caso, los del Delegado de Protección de Datos.
  • Categoría del tratamiento.
  • En caso de transferencia internacional, identificación del tercer país y la documentación de garantías adecuadas.
  • Descripción de las medidas técnicas, organizativas, físicas y administrativas de seguridad, cuando sea posible.

     
  • Notificar a la Universidad, en su calidad de responsable del tratamiento, en el plazo de 24 horas desde que tenga constancia cualquier incidente de seguridad de los datos personales, de conformidad con la naturaleza de los datos tratados, los riesgos asociados a la pérdida, destrucción o alteración de dichos datos de carácter personal y la información de que disponga Santander, a fin de que la Universidad tome las decisiones oportunas con respecto al incidente de seguridad producido, las cuales serán trasladadas, por otra parte, a Santander.

     

    En dicha notificación, si fuera posible, Santander informará de lo descrito a continuación:
  • De la naturaleza de la violación de la seguridad de los datos, así como, si fuera posible, las categorías y el número aproximado de los interesados afectados, y las categorías y el número aproximado de registros de datos personales afectado.
  • De los datos de contacto de la persona que puede facilitar más información sobre el incidente de seguridad.
  • De las posibles consecuencias del mismo.
  • De las medidas adoptados o propuestas para remediar a la brecha de la seguridad y/o para mitigar los posibles efectos negativos.

     

    Si en un primer momento Santander no fuera capaz de informar de todas las cuestiones indicadas con anterioridad, las comunicará tan pronto tenga conocimiento de las mismas.

     
  • la Universidad autoriza expresamente a Santander para que pueda subcontratar la prestación de servicios de mantenimiento, alojamiento, actualización, desarrollo y gestión de la App con la sociedad Universia España Red de Universidades, S.A. (en adelante Universia) o con terceros que actuarán en condición de Sub Encargados de Tratamiento.

     

    Santander se obliga a formalizar con los Sub Encargados que pueda tener en cada momento un contrato de encargo de tratamiento de datos de carácter personal, trasladándole las mismas obligaciones recogidas en este contrato ante la Universidad. El contrato o acto jurídico formalizado por escrito con los extremos señalados, estará a disposición de la Universidad.

En el caso de que los Sub Encargados subcontraten también, se obliga a informar a la Universidad de los subcontratistas existentes y a exigir que dichas ambas partes formalicen un contrato de encargo de tratamiento de datos de carácter personal, en el que se pacten las mismas obligaciones recogidas en este contrato. El contrato o acto jurídico formalizado por escrito con los extremos señalados, estará a disposición de la Universidad.

Santander mantendrá a disposición de la Universidad información actualizada sobre los Sub Encargados que intervengan en cada momento en la prestación de los servicios, a través de la página web http://tic.crue.org/app-crue/.

.

En caso de que la Universidad no esté de acuerdo con la subcontratación de algún Sub Encargado podrá cancelar la presente adenda y el correspondiente servicio de la App Crue mediante notificación a Santander.

  1. A realizar el tratamiento de los datos dentro de la Unión Europea (UE). En el caso de que se realizará fuera de la UE, se dará cumplimento a lo dispuesto en los artículos 45 y siguientes del RGPD.

     
  2. Poner a disposición de la Universidad toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas anteriormente, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte de la Universidad o de otro auditor autorizado por dicha Universidad.

     

Cesión de datos

 

Las Partes acuerdan que la Universidad, como Responsable del Tratamiento de los datos personales de los usuarios de la App, comunicará a Santander y a Universia determinados datos personales de los usuarios que utilicen el Área de Ventajas, de la App, siempre que los consentimientos para estas cesiones se presten por los usuarios, la cual se deberá prestar la primera vez que éstos accedan a las ofertas de Universia o de Santander dentro de la sección de "Ventajas". Estos consentimientos se prestarán por los usuarios en los términos señalados en el ANEXO C.

El Santander se responsabiliza de que la App sea diseñada de modo que se pueda verificar la prestación del consentimiento de los usuarios de manera que se conserve constancia verificable del mismo