La Agencia Española de Protección de Datos (AEPD) ha sancionado con 20.000 euros a la Universidad Nebrija por obligar a un alumno a que le envíe el DNI completo para que pudiera expedir su título de Máster.
La autoridad pública considera que no existe justificación suficiente para exigir la remisión íntegra del documento de identidad, vulnerando el principio de minimización de datos del artículo 5.1.c) del RGPD.
Un alumno envió su DNI pixelado a la Universidad para la expedición de su título
Un estudiante de la Universidad Nebrija inició el trámite para expedir un título oficial de un Máster. Para realizar dicho trámite, la Universidad le solicitó la remisión de copia completa de su DNI.
El antiguo alumno le remitió a la entidad universitaria el DNI pixelado, ocultando los datos que consideraba que no eran necesarios. Sin embargo, la Universidad respondió que debía enviar el DNI completo, al considerar que era la única manera de acreditar fehacientemente la identidad del solicitante.
Tras varios intercambios de correos electrónicos en los que la Universidad insistía en la remisión de la copia completa del DNI, el alumno recibe el 21 de diciembre de 2023 un escrito remitido por la Asesoría Jurídica de la Universidad en el que amparaba su solicitud en el Real Decreto 1002/2010, de 5 de agosto, sobre expedición de títulos universitarios oficiales.
«En su artículo 14 relativo al Procedimiento de Expedición de Títulos y en su artículo 17 relativo a la Personalización del Título, establecen la necesidad de acreditación de los datos de identidad del interesado y la necesaria inclusión en el título de los siguientes datos», señaló en dicho correo electrónico la asesoría jurídica.
Entre ellos, nombre y apellidos de la persona interesada, lugar y fecha de nacimiento. Este tira y afloja acabó en la AEPD.
El debate sobre la existencia de tratamiento de datos
Mientras el estudiante reclama a la Agencia que la Universidad sea sancionada con 50.000 euros por la vulneración del artículo 5 y 84 del Reglamento de Protección de Datos (RGPD), la entidad educativa mantiene la inexistencia del tratamiento de datos personales, dado que se limitó a pedir el DNI y que al no aportarlo no puede existir ni recogida ni tratamiento de datos.
Además, la Universidad de Nebrija señala un error fáctico en la propuesta de resolución, pues su solicitud del envío del DNI por correo electrónico no era un requisito ni exclusivo ni obligatorio, porque había obtenido el alumno su título por otro canal.
La AEPD rechaza los argumentos de la Universidad
Sin embargo, los argumentos de la Universidad decaen. En primer lugar, la AEPD recuerda que la solicitud de datos personales es una fase del tratamiento y constituye el inicio de la recogida de estos. Por tanto, la infracción se llevaría a cabo en el momento en que se exige un dato que no es necesario, proporcional o lícito para la finalidad perseguida.
«En este supuesto, el hecho de que el reclamante no enviara su DNI por correo electrónico para obtener su título académico no implica que no se esté vulnerando el principio de minimización del artículo 5.1.c) del RGPD al requerir la reclamada la copia completa del DNI. Una infracción no puede depender de lo que haga o deje de hacer la parte reclamante, sino
de lo que hace la parte reclamada que es la responsable del tratamiento», señala la AEPD.
Sobre la valoración de que la solicitud del DNI no tenía carácter obligatorio o exclusivo la AEPD reprocha a la universidad que en el intercambio de correos electrónicos había señalado que el documento adjuntado pixelado no era suficientemente seguro y que en ningún momento la Universidad ofreció alguna alternativa segura para trasladar los datos de carácter personal.
La minimización de datos como eje de la sanción
Por último, la Agencia señala que el artículo 14 del RD 1002/2010, de 5 de agosto, permite exigir la acreditación de los datos de identidad de los solicitantes de título, pero «sin necesidad de que se tenga que requerir y almacenar la imagen del documento de identidad».
En este sentido, subraya que deben buscarse alternativas que permitan cumplir la normativa sin vulnerar el principio de minimización de datos.
La AEPD señala que dicha acreditación podría haberse realizado mediante la simple verificación de los datos, máxime cuando el solicitante ya había estado previamente matriculado en la Universidad, que disponía de su información identificativa y podía cotejarla.
Por lo que la Agencia aprecia que la Universidad ha vulnerado la infracción del artículo 5.1c) del RGPD, pero rebaja la multa de 30.000 a 20.000 euros «en atención a que solo ha quedado acreditada la afectación a un estudiante, que se ha visto afectado por este procedimiento de envío de documentación», indica.
