El Informe 0634/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda dos cuestiones principales relacionadas con el tratamiento y cesión de datos personales en el ámbito de una universidad. A continuación, se presenta un resumen de dicho informe.
### Cesión de Datos Personales
La primera cuestión planteada es si es posible la remisión de listados de alumnos y personal a diversas unidades de la universidad para informarles sobre asuntos de su competencia. La AEPD define la cesión de datos como «toda revelación de datos realizada a una persona distinta del interesado». Según la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD), los datos solo pueden ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario, con el previo consentimiento del interesado.
El informe destaca que la finalidad de la cesión es un pilar esencial en la protección de datos. Si la cesión se realiza para una finalidad diferente a la que sirvió para la recogida de los datos, será necesario obtener el consentimiento previo e informado de los afectados. Además, se menciona que las cesiones entre Administraciones Públicas tienen un régimen específico y solo pueden realizarse cuando concurran ciertas condiciones, como el ejercicio de competencias sobre la misma materia.
### Expedientes Administrativos y Ficheros
La segunda cuestión se refiere a si los expedientes administrativos en soporte papel constituyen un fichero y si es necesario modificar un fichero ya inscrito en el Registro de Ficheros Públicos debido a cambios en el sistema de tratamiento de datos. Según la LOPD, un fichero es «todo conjunto organizado de datos de carácter personal, cualquiera que fuera su forma o modalidad de creación, almacenamiento, organización o acceso».
El informe aclara que si los expedientes están estructurados y organizados de manera que permitan un acceso fácil a los datos, se consideran ficheros en soporte papel. En cuanto a la modificación de ficheros inscritos, si las bases de datos de los departamentos constituyen nuevos conjuntos de datos organizados, será necesario inscribir un nuevo fichero o modificar el existente. Sin embargo, si el fichero está descentralizado o repartido de forma funcional o geográfica, no se considera una modificación del fichero.
### Sistema de Tratamiento
El informe también aborda la necesidad de notificar cambios en el sistema de tratamiento de datos. Si la modificación afecta al sistema de tratamiento utilizado para organizar el fichero, será necesario dictar una disposición de modificación y su posterior inscripción en el Registro. La disposición debe incluir la estructura básica del fichero y el sistema de tratamiento utilizado.
En resumen, el Informe 0634/2009 de la AEPD subraya la importancia de la finalidad y el consentimiento en la cesión de datos personales, así como la necesidad de inscribir y modificar ficheros de acuerdo con la LOPD y su reglamento de desarrollo. Estas directrices buscan garantizar la protección de los datos personales y el cumplimiento de la normativa vigente en materia de protección de datos.