O tratamento de datos faise de acordo co Regulamento da Unión Europea 2016/679, de 27 de abril, relativo á protección das persoas físicas no que respecta ao tratamento de datos persoais e á libre circulación destes datos e a Lei Orgánica 3/2018, de 5 de decembro, de Protección de Datos Persoais e garantía dos dereitos dixitais.

Así as cousas, este tratamento responde aos principios de licitude, lealdade, transparencia, limitación da finalidade, minimización dos datos, exactitude, limitación do prazo de conservación, integridade, confidencialidade e responsabilidade proactiva.

O rexistro de actividades de tratamento que fai o CISUG pode consultarse en http://www.cisug.gal/proteccion-datos/

En todo caso, o CISUG manterá un entendemento dinámico desta cuestión para adaptala ás novidades que xurdan, xa sexa na normativa, na xurisprudencia, nas decisións das autoridades de control ou nas prácticas neste campo. Isto pode aconsellar a modificación da presente política de privacidade e protección de datos, o que se anunciará coa debida antelación.

Noutros tratamentos a base de lexitimación é a necesidade na execución de contratos, o cumprimento de concretas previsións legais, ou o cumprimento dunha misión realizada en interese público ou en exercicio de poderes públicos. Todas estas condicións están en consonancia co artigo 6.1 do Regulamento europeo.

O tratamento de categorías especiais de datos farase tendo en conta as concretas medidas protectoras dos mesmos do artigo 9 do Regulamento europeo.

Poderanse facer cesións e transferencias de datos persoais de xeito excepcional ao abeiro dos programas universitarios de intercambio e colaboración académica, e tamén a administracións públicas con competencias educativas. En todo caso, as transferencias cumprirán co establecido nos artigos 44 e seguintes do Regulamento europeo. Tamén, conforme á normativa, se transfiren datos aos encargados de tratamento e nos supostos de obrigas legais.

Igualmente, poderanse empregar os datos con fins estatísticos ou para a xestión de incidencias e, preferentemente seudonimizados, para fins de investigación.

Os datos persoais proporcionados conservaranse durante o período en que se realice a finalidade para a que foron recollidos, ou o tempo necesario para cumprir coas obrigas legais. Cumprida a finalidade, os datos bloquearanse hasta que transcorran os prazos de prescrición aplicables.

Ademais, as persoas interesadas tamén posúen os dereitos que dan acceso a vías administrativas e xudiciais de garantía, contemplados no ordenamento xurídico con esa finalidade.

Deste xeito, entre estas medidas de seguridade, e de acordo co artigo 32 do Regulamento europeo, estarán a seudonimización e cifrado de datos persoais; a capacidade de garantir a confidencialidade, integridade, dispoñibilidade e resiliencia permanente dos sistemas e servizos de tratamento; a capacidade de restaurar a dispoñibilidade e o acceso aos datos persoais de forma rápida en caso de incidente; e un proceso de verificación, avaliación e valoración regulares da eficacia das medidas técnicas e organizativas.

Estas medidas responden ás obrigas legalmente establecidas, estando en función do estado da técnica, os costes de aplicación, e a natureza, contexto e fins de tratamento. Do mesmo xeito, hai que ter en conta os específicos riscos de gravidade e probabilidade que supón cada tipo de tratamento para os dereitos y liberdades das persoas.

As violación de seguridade dos datos persoais comunicaranse á autoridade de control e, eventualmente, e ás persoas interesadas con base no artigo 34 do Regulamento europeo.

O CISUG pon a disposición, como canal de comunicación de incidencias en materia de protección de datos, o correo electrónico do Delegado de Protección de Datos ( dpd cisug.gal ).