La Universidad de Zaragoza vendió datos personales de miles de alumnos a empresas
La Agencia de Protección de Datos alerta de la 'infracción muy grave' al Defensor del Pueblo
Juan Manuel Fernández López, director de la APD, en una resolución de 18 de mayo último, declara que la Universidad de Zaragoza ha cometido infracción muy grave de la mencionada ley en el precepto que establece: 'Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado'.
En consecuencia, Fernández López requiere a la Universidad de Zaragoza 'para que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción' y le avisa de que 'si el requerimiento fuera desatendido la Agencia de Protección de Datos podrá inmovilizar el fichero'.
En cumplimiento de dicha ley, la resolución -recurrible ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional- ha sido notificada, entre otras personas y entidades, al consejero de Educación y Ciencia de la Comunidad Foral de Aragón, como 'órgano del que depende jerárquicamente' el responsable del fichero, así como al Defensor del Pueblo, como alto comisionado de las Cortes Generales para la defensa de los derechos humanos.
Denuncia de dos alumnos
Los denunciantes, que dieron origen a la investigación de la APD, son dos alumnos de la Universidad de Zaragoza, los hermanos Francisco y Sonia Herrero Laborda, quienes a partir del 5 de julio de 2000 informaron de supuestas irregularidades respecto a la cesión de sus datos personales, que al menos afectaron a 6.856 alumnos del último curso de diversas carreras que figuraban en un disquete. El total de alumnos de esta universidad supera los 40.000.
Tras la investigación, la Agencia de Protección de Datos declaró probado que la Universidad de Zaragoza, a través del Centro de Cálculo, proporciona a otras entidades, a cambio de una compensación económica, datos personales de estudiantes matriculados y de titulados en los diferentes estudios académicos, con arreglo a las condiciones que especifica la Universidad de Zaragoza en un documento denominado Condiciones para la solicitud de listados de estudiantes.
El documento establece que los campos de información disponibles para las entidades interesadas en la adquisición de datos son: centro, curso académico, apellidos, nombre, nacionalidad, domicilio durante el curso, domicilio familiar y sexo. En la inspección realizada a la Escuela Superior de Gestión Comercial y Marketing (Esic), el documento difería, ya que a esta entidad no se le ofrecía como disponible la nacionalidad del alumno y excluía el sexo y la fecha de nacimiento, mientras que preveía que se solicitaran 'otros selectores que no estén incluidos en el documento, con el aumento en el coste del 20% por cada selector requerido'.
En el formulario de solicitud de matrícula del curso 1999/2000 figuraba: 'Autorizas a que la Universidad proporcione tu dirección a empresas solventes que desean enviarte información escrita'. El alumno podía marcar las opciones SI o NO. Francisco Herrero no cumplimentó el apartado, pero en la hoja impresa apareció la inicial 'S'. Su hermana Sonia sí lo cumplimentó, con una 'N', pero la Universidad justificó la cesión de sus datos a la Escuela Europea de Negocios, según alegó ante la APD, en que pudo tratarse de un error, 'dado que en años anteriores la denunciante había manifestado su autorización de cesión'.
La APD considera que la Universidad de Zaragoza, además de a Esic, facilitó datos de sus alumnos al Gabinete de Prevención de Riesgos H&Co, SL, Centro de Estudios Superiores Técnico Empresariales, Instituto Aragonés de Fomento y World Zaragoza, SA, Grupo IMSO Formación, SL y Colegio Condes de Aragón, entre otras entidades.
Recargo del 20%
La resolución del director de la APD razona que, incluso aquellos alumnos que autorizaron que la Universidad proporcionara su 'dirección' a otras entidades, no fueron informados de que se iban a facilitar también datos identificativos de sus estudios (curso, centro, titulación, etcétera) y menos aún que existía la posibilidad de facilitar otros datos que no se especifican en el documento de condiciones, 'a mera petición de las entidades interesadas con recargo del 20% en el precio tasado por cada nuevo selector elegido'.
La infracción cometida por la Universidad de Zaragoza, según la resolución de la APD, a pesar de ser calificada de muy grave, no origina la multa prevista, de 50 a 100 millones de pesetas, para los infractores privados. Al tratarse de una Administración pública no está prevista sanción pecuniaria, si bien además del requerimiento al responsable del fichero, la potestad de inmovilizar los ficheros y la comunicación al Defensor del Pueblo, el director de la APD 'podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran'.
Esta última posibilidad, que habría puesto en marcha el procedimiento y las sanciones previstas en el régimen disciplinario de las Administraciones públicas no ha sido utilizada por la APD.
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.
