El Informe 0376/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda cuestiones relacionadas con el nivel de seguridad exigible a los ficheros de alumnos de una universidad, especialmente en lo que respecta a datos sensibles como el grado de minusvalía y la condición de víctima de violencia de género. Este informe es relevante para la gestión de datos personales en el ámbito educativo y establece directrices claras sobre cómo proteger la información sensible de los estudiantes.
El informe comienza señalando que, según la Ley Orgánica 6/2001 de Universidades y su modificación por la Ley Orgánica 4/2007, los datos relacionados con el grado de minusvalía y la condición de víctima de violencia de género son considerados sensibles. Por lo tanto, se deben aplicar medidas de seguridad de nivel alto a los ficheros que contengan estos datos. Sin embargo, el artículo 81.6 del Reglamento de desarrollo de la Ley Orgánica 15/1999 permite la implantación de medidas de seguridad de nivel básico en ficheros que contengan datos relativos a la salud, específicamente el grado de discapacidad o la declaración de la condición de discapacidad o invalidez, siempre que estos datos se utilicen para el cumplimiento de deberes públicos.
En el caso específico de la universidad consultante, se plantea que los ficheros que contengan datos sobre la discapacidad de los alumnos, utilizados para el otorgamiento de becas o exenciones, pueden estar sujetos a medidas de seguridad de nivel básico. No obstante, si estos ficheros también incluyen datos relacionados con la violencia de género, se deben aplicar medidas de seguridad de nivel alto, ya que no existe excepción para estos datos según el Reglamento.
El informe sugiere varias alternativas para garantizar el cumplimiento de las medidas de seguridad exigibles. Una posible solución es no incluir en el fichero de alumnos matriculados la causa específica de la beca o exención, limitándose a indicar la condición de becado o exento. De esta manera, el fichero podría sujetarse a medidas de nivel básico. Otra opción es incluir los datos sensibles en un fichero separado, dedicado exclusivamente a la tramitación de becas o exenciones, evitando así la necesidad de extender las medidas de seguridad de nivel alto al fichero general de alumnos.
Además, el informe subraya la importancia de notificar correctamente el nivel de seguridad aplicable al fichero en el Registro General de Protección de Datos. No se puede declarar un nivel de seguridad distinto al que se va a implantar, y las excepciones a la aplicación de las medidas deben estar claramente especificadas en el documento de seguridad.
Finalmente, el informe aborda la posibilidad de ficheros «mixtos», que combinan partes automatizadas y no automatizadas. En estos casos, si solo una parte del fichero requiere medidas de seguridad de nivel alto, esa parte puede segregarse y aplicar las medidas correspondientes, siempre que se delimiten claramente los datos afectados y los usuarios con acceso a ellos. Sin embargo, el fichero «mixto» en su conjunto se encontrará sometido a las medidas de seguridad de nivel alto, aunque se puedan aplicar medidas de nivel básico a la parte no segregada.
En resumen, el Informe 0376/2008 proporciona directrices claras sobre cómo manejar y proteger datos sensibles de estudiantes en el ámbito universitario, asegurando el cumplimiento de la normativa de protección de datos y garantizando la seguridad de la información personal.