La AEPD sanciona a la Universidad de Málaga por vulnerar la seguridad de datos en su programa ICARO, pero evita multa al reconocer medidas correctivas.

El procedimiento AP/00004/2018 se originó a partir de una denuncia presentada por A.A.A., quien recibió más de cien correos electrónicos solicitando la baja de varias listas del programa de prácticas/empleo de la Universidad de Málaga, denominado ICARO. Estos correos incluían datos personales de terceros, como nombres, apellidos y direcciones de correo electrónico.

La denuncia se basó en que, debido a un error en la configuración de una lista de distribución de correo electrónico, los mensajes enviados por los usuarios para darse de baja fueron distribuidos a todos los suscriptores de la lista. Esto permitió que los datos personales de los remitentes fueran accesibles a otros usuarios, vulnerando así la seguridad y confidencialidad de los datos.

La Universidad de Málaga reconoció el error y tomó medidas inmediatas para corregirlo, eliminando la lista de suscriptores y modificando la configuración de la lista de distribución. Sin embargo, se determinó que la entidad había incumplido el principio de seguridad de los datos personales, establecido en el artículo 9 de la Ley Orgánica de Protección de Datos (LOPD), y había vulnerado el deber de secreto, conforme al artículo 10 de la misma ley.

La resolución declaró que la Universidad de Málaga había infringido ambos artículos, tipificadas como infracciones graves. No obstante, se reconoció que la entidad había adoptado medidas adecuadas para evitar que se repitiera la infracción en el futuro. Por lo tanto, no se impuso una sanción económica, pero se ordenó a la Universidad de Málaga que continuara implementando las medidas correctivas adoptadas.