La
Universidad de Zaragoza vendió datos personales de miles de alumnos
a empresas
La
Agencia de Protección de Datos alerta de la 'infracción muy
grave' al Defensor del Pueblo
BONIFACIO DE LA
CUADRA |
Madrid
La
Agencia de Protección de Datos (APD), organismo encargado de velar
por el cumplimiento de la legislación protectora de la intimidad,
ha resuelto que la Universidad de Zaragoza ha facilitado datos personales
de miles alumnos, 'a cambio de una compensación económica',
sin el consentimiento de los interesados, por lo que ha incurrido en una
infracción muy grave establecida en la Ley Orgánica de Protección
de Datos de Carácter Personal de 13 de diciembre de 1999. La APD
exige que cesen nuevas infracciones muy graves, como las cometidas, y alerta
al Defensor del Pueblo de las mismas.
Juan
Manuel Fernández López, director de la APD, en una resolución
de 18 de mayo último, declara que la Universidad de Zaragoza ha
cometido infracción muy grave de la mencionada ley en el precepto
que establece: 'Los datos de carácter personal objeto del tratamiento
sólo podrán ser comunicados a un tercero para el cumplimiento
de fines directamente relacionados con las funciones legítimas del
cedente y del cesionario con el previo consentimiento del interesado'.
En
consecuencia, Fernández López requiere a la Universidad de
Zaragoza 'para que adopte las medidas de orden interno que impidan que
en el futuro pueda producirse una nueva infracción' y le avisa de
que 'si el requerimiento fuera desatendido la Agencia de Protección
de Datos podrá inmovilizar el fichero'.
En
cumplimiento de dicha ley, la resolución -recurrible ante la Sala
de lo Contencioso-Administrativo de la Audiencia Nacional- ha sido notificada,
entre otras personas y entidades, al consejero de Educación y Ciencia
de la Comunidad Foral de Aragón, como 'órgano del que depende
jerárquicamente' el responsable del fichero, así como al
Defensor del Pueblo, como alto comisionado de las Cortes Generales para
la defensa de los derechos humanos.
Denuncia
de dos alumnos
Los
denunciantes, que dieron origen a la investigación de la APD, son
dos alumnos de la Universidad de Zaragoza, los hermanos Francisco y Sonia
Herrero Laborda, quienes a partir del 5 de julio de 2000 informaron de
supuestas irregularidades respecto a la cesión de sus datos personales,
que al menos afectaron a 6.856 alumnos del último curso de diversas
carreras que figuraban en un disquete. El total de alumnos de esta universidad
supera los 40.000.
Tras
la investigación, la Agencia de Protección de Datos declaró
probado que la Universidad de Zaragoza, a través del Centro de Cálculo,
proporciona a otras entidades, a cambio de una compensación económica,
datos personales de estudiantes matriculados y de titulados en los diferentes
estudios académicos, con arreglo a las condiciones que especifica
la Universidad de Zaragoza en un documento denominado Condiciones para
la solicitud de listados de estudiantes.
El
documento establece que los campos de información disponibles para
las entidades interesadas en la adquisición de datos son: centro,
curso académico, apellidos, nombre, nacionalidad, domicilio durante
el curso, domicilio familiar y sexo. En la inspección realizada
a la Escuela Superior de Gestión Comercial y Marketing (Esic), el
documento difería, ya que a esta entidad no se le ofrecía
como disponible la nacionalidad del alumno y excluía el sexo y la
fecha de nacimiento, mientras que preveía que se solicitaran 'otros
selectores que no estén incluidos en el documento, con el aumento
en el coste del 20% por cada selector requerido'.
En
el formulario de solicitud de matrícula del curso 1999/2000 figuraba:
'Autorizas a que la Universidad proporcione tu dirección a empresas
solventes que desean enviarte información escrita'. El alumno podía
marcar las opciones SI o NO. Francisco Herrero no cumplimentó el
apartado, pero en la hoja impresa apareció la inicial 'S'. Su hermana
Sonia sí lo cumplimentó, con una 'N', pero la Universidad
justificó la cesión de sus datos a la Escuela Europea de
Negocios, según alegó ante la APD, en que pudo tratarse de
un error, 'dado que en años anteriores la denunciante había
manifestado su autorización de cesión'.
La
APD considera que la Universidad de Zaragoza, además de a Esic,
facilitó datos de sus alumnos al Gabinete de Prevención de
Riesgos H&Co, SL, Centro de Estudios Superiores Técnico Empresariales,
Instituto Aragonés de Fomento y World Zaragoza, SA, Grupo IMSO Formación,
SL y Colegio Condes de Aragón, entre otras entidades.
Recargo
del 20%
La
resolución del director de la APD razona que, incluso aquellos alumnos
que autorizaron que la Universidad proporcionara su 'dirección'
a otras entidades, no fueron informados de que se iban a facilitar también
datos identificativos de sus estudios (curso, centro, titulación,
etcétera) y menos aún que existía la posibilidad de
facilitar otros datos que no se especifican en el documento de condiciones,
'a mera petición de las entidades interesadas con recargo del 20%
en el precio tasado por cada nuevo selector elegido'.
La
infracción cometida por la Universidad de Zaragoza, según
la resolución de la APD, a pesar de ser calificada de muy grave,
no origina la multa prevista, de 50 a 100 millones de pesetas, para los
infractores privados. Al tratarse de una Administración pública
no está prevista sanción pecuniaria, si bien además
del requerimiento al responsable del fichero, la potestad de inmovilizar
los ficheros y la comunicación al Defensor del Pueblo, el director
de la APD 'podrá proponer también la iniciación de
actuaciones disciplinarias, si procedieran'.
Esta
última posibilidad, que habría puesto en marcha el procedimiento
y las sanciones previstas en el régimen disciplinario de las Administraciones
públicas no ha sido utilizada por la APD. |