El informe jurídico de la AEPD con número 0190/2005 aborda la cuestión de si es conforme a la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, la comunicación de datos al Defensor Universitario. Este informe se centra en la transmisión de datos necesarios para el ejercicio de las funciones del Defensor Universitario, tanto por parte del propio centro universitario como por terceras entidades.
El Defensor Universitario es una figura establecida por la Ley Orgánica 6/2001 y la Ley 15/2003 de Universidades de Andalucía, cuya misión es velar por el respeto a los derechos y libertades de los miembros de la comunidad universitaria. Sus actuaciones deben regirse por los principios de independencia y autonomía, y su régimen de funcionamiento se establece en los estatutos de cada universidad.
El informe destaca que la transmisión de datos al Defensor Universitario solo tendrá la consideración de cesión o comunicación de datos cuando provenga de una tercera entidad distinta de la propia universidad. En este caso, se aplicarán las normas del artículo 11 de la Ley Orgánica 15/1999. Sin embargo, dentro del marco de la universidad, la transmisión de datos no se considera una cesión, sino una comunicación interna.
El artículo 4.1 de la Ley Orgánica 15/1999 establece que los datos de carácter personal solo pueden ser recogidos y tratados si son adecuados, pertinentes y no excesivos en relación con las finalidades determinadas y legítimas para las que se hayan obtenido. Además, el artículo 6.1 de la misma ley indica que el tratamiento de datos requiere el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.
El informe concluye que la transmisión de datos al Defensor Universitario será lícita si está vinculada a las funciones atribuidas a este, si la transmisión se produce dentro del marco del centro universitario, o si la cesión está amparada por la Ley Orgánica 15/1999 en caso de proceder los datos de terceras entidades.
El artículo 11.2 de la Ley Orgánica 15/1999 permite la cesión de datos sin consentimiento del afectado en ciertos casos, como cuando la cesión está autorizada por una ley o cuando el destinatario es el Defensor del Pueblo, el Ministerio Fiscal, los Jueces o Tribunales, o instituciones autonómicas con funciones análogas. Sin embargo, el Defensor Universitario no puede ser incluido en esta lista tasada de cesionarios, dado que carece de personalidad jurídica y está integrado en la estructura organizativa de la universidad.
No obstante, la comunicación de datos podría estar amparada por una norma con rango de ley, como la disposición adicional decimocuarta de la Ley Orgánica 6/2001 y la disposición adicional sexta de la Ley andaluza 15/2003, que delimitan las funciones del Defensor Universitario. Estos preceptos permiten al Defensor Universitario recabar cuantos antecedentes o datos resulten necesarios para el ejercicio de sus funciones, siempre que estos datos sean adecuados, pertinentes y no excesivos en relación con las finalidades establecidas.
En resumen, el informe concluye que el Defensor Universitario puede recabar datos de otros órganos de la universidad y de entidades encargadas del tratamiento, siempre que estos datos sean necesarios para el ejercicio de sus funciones y estén amparados por la ley. La comunicación de datos por terceras entidades también puede estar amparada por el artículo 11.2 a) de la Ley Orgánica 15/1999, en conexión con las disposiciones legales mencionadas. En todo caso, los datos deben ser adecuados, pertinentes y no excesivos, y solo pueden ser tratados para las finalidades establecidas por la ley.