En data 12 d’abril de 2023 ha entrat en vigor la Llei orgànica 2/2023, de 22 de març, del sistema universitari (LOSU), que té per objecte la regulació del sistema universitari i dels mecanismes de coordinació, cooperació i col·laboració entre les administracions públiques amb competències en matèria universitària. Aquesta norma deroga la Llei orgànica 6/2001, de 21 de desembre, d’universitats (LOU), la qual havia estat modificada en virtut de la Llei orgànica 4/2007, de 12 d’abril, per la qual es modifica la Llei orgànica 6/2001, de 21 de desembre, d’universitats (LOMLOU).

Sorprenentment, la LOSU, a diferència de la seva predecessora, la LOMLOU, que dedicava a aquesta qüestió la disposició addicional vint-i-unena, titulada Protección de datos de carácter personal, no conté cap referència expressa a la protecció de dades personals en l’àmbit universitari.

En aquest marc, aquest post analitza la regulació de la protecció de dades personals que es feia a la LOMLOU per després examinar quins efectes té per a les universitats la derogació d’aquestes previsions. Finalment, es fan una sèrie de reflexions sobre l’oportunitat perduda en no haver tractat a la LOSU un aspecte transcendental en el dia a dia de totes les universitats, que, no ho oblidem, es tracta ni més ni menys que d’un dret fonamental.

Què deia la LOMLOU sobre la protecció de dades personals?

Abans d’entrar a parlar sobre la LOSU, i per tenir fixat el punt de referència a partir del qual la compararem, es considera important fer una breu referència a la regulació en matèria de protecció de dades que fins ara constava a la LOU i a la LOMLOU.

Si bé durant el procediment legislatiu de la LOU ja existia normativa de protecció de dades personals (no oblidem que la primera norma sobre protecció de dades personals que va entrar en vigor a Espanya va ser el Conveni 108, l’1 d’octubre de 1985; i, a més, el 14 de desembre de 1999 el BOE acabava de publicar la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal), en cap article de la LOU es feia esment a la protecció de dades personals. No va ser fins cinc anys i mig més tard que la LOMLOU va introduir una certa regulació en matèria de protecció de dades en l’àmbit universitari, mitjançant la seva disposició addicional vint-i-unena. Es podria pensar que, després de més de vint anys, finalment, el legislador havia adquirit certa sensibilitat en relació amb aquest dret fonamental quan va posar fil a l’agulla per regular l’àmbit universitari. Malauradament, no es pot acabar de compartir aquesta conclusió, atès que l’esmentada disposició addicional vint-i-unena no va ser introduïda en el procediment legislatiu de la LOMLOU fins a la seva tramitació pel Senat –esmena núm. 149, presentada pel grup parlamentari socialista (Senat, 2007). Aquesta disposició addicional vint-i-unena de la LOMLOU tenia el següent contingut:

1. Lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, será de aplicación al tratamiento y cesión de datos derivados de lo dispuesto en esta Ley Orgánica.

Las universidades deberán adoptar las medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, tratamiento o acceso no autorizados.

2. El Gobierno regulará, previo informe de la Agencia Española de Protección de Datos, el contenido de los currículos a los que se refieren los artículos 57.2 y 62.3.

3. No será preciso el consentimiento de los estudiantes para la publicación de los resultados de las pruebas relacionadas con la evaluación de sus conocimientos y competencias ni de los actos que resulten necesarios para la adecuada realización y seguimiento de dicha evaluación.

4. Igualmente no será preciso el consentimiento del personal de las universidades para la publicación de los resultados de los procesos de evaluación de su actividad docente, investigadora y de gestión realizados por la universidad o por las agencias o instituciones públicas de evaluación.

5. El Gobierno regulará, previo informe de la Agencia Española de Protección de Datos, el contenido académico y científico de los currículos de los profesores e investigadores que las universidades y las agencias o instituciones públicas de evaluación académica y científica pueden hacer público, no siendo preciso en este caso el consentimiento previo de los profesores o investigadores.

La conclusió que es podria extreure dels anteriors procediments legislatius, i de la redacció de la disposició transcrita, és que se n’ha après i que, per tant, es pot esperar que el legislador deu haver tingut en compte la normativa de protecció de dades des de l’inici del procediment legislatiu de la nova normativa de l’àmbit universitari, a la vista de la major popularitat que ha pres la regulació d’aquest dret fonamental des de l’entrada en aplicació del Reglament general de protecció de dades, el passat 25 de maig de 2018. Sorprenentment, si s’examina el text aprovat per les Corts Generals, es pot veure que no es fa cap esment ni a la protecció de dades personals ni a les dades personals.

Un pas endarrere?

Tenint en compte que, com ja hem dit, la LOSU ha comportat la derogació de la LOU i de la LOMLOU i, amb ella, de la disposició addicional vint-i-unena, ens referirem a continuació als efectes que comporta aquest buit en l’actual normativa d’universitats.

Pel que fa a l’apartat primer de la disposició addicional vint-i-unena, que efectuava una remissió a la LOPD, la seva derogació no comporta cap conseqüència, perquè tant el Reglament general de protecció de dades com la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (LOPDGDD), són aplicables a les universitats, amb independència del que digui la normativa que regula aquest àmbit sectorial. Així mateix, l’obligació que s’han d’adoptar les mesures tècniques i organitzatives que garanteixin la seguretat de les dades es troba prevista a l’article 32 de l’RGPD.

Quant a l’apartat segon, ens trobem davant d’un mandat al Govern per tal que estableixi el contingut del currículum dels membres de les comissions d’acreditació i de selecció del professorat que han de ser objecte de publicació, el qual no s’ha arribat a complir. Ara bé, cal tenir en compte que els articles 69 i 71 de la LOSU ja no preveuen l’obligació de publicar els currículums esmentats, que sí que preveien els articles 57.2 i 62.3 de la LOU. Per tant, la derogació d’aquest apartat no té implicacions.

Respecte a l’apartat tercer, relatiu a la publicació de les qualificacions obtingudes pels estudiants, ens trobem davant d’una qüestió més delicada. Fins ara, en virtut d’aquesta disposició addicional, no hi havia cap dubte que les universitats podien publicar les qualificacions dels seus estudiants.[i] Precisament, aquesta previsió es va incloure per donar empara legal a una tradició de les universitats (Martínez, 2016). Amb la LOSU, ens trobem que cada universitat haurà d’examinar si disposa d’una base jurídica que faci lícita aquesta comunicació de dades. Així doncs, ens podem acabar trobant que hi hagi interpretacions diferents i, en conseqüència, que algunes universitats considerin que les qualificacions es poden continuar publicant i d’altres que considerin que només es poden notificar individualment als estudiants.

En relació amb l’apartat quart, relatiu a la publicació dels resultats de l’avaluació de l’activitat docent, de recerca i de gestió del personal docent i investigador, també es preveia que es poguessin publicar sense el seu consentiment. Així doncs, en el mateix sentit que en el paràgraf anterior, si les universitats volen continuar realitzant aquesta publicació en relació amb les avaluacions que duguin a terme del personal docent i investigador, caldrà que examinin si disposen d’una altra base jurídica que la faci lícita. Per tant, estem davant d’una altra situació en què s’ha perdut seguretat jurídica i ens podem trobar davant d’interpretacions divergents.

Finalment, i pel que fa a l’apartat cinquè, la seva derogació no té conseqüència, atès que l’apartat 3 de la disposició addicional novena de la Llei 14/2011, d’1 de juny, de la ciència, la tecnologia i la innovació preveu el mateix.

En conclusió, la derogació de la disposició addicional 21a de la LOMLOU comporta que, des de la perspectiva de la protecció de dades personals, s’hagi perdut seguretat jurídica en relació amb la licitud de la publicació de les qualificacions dels estudiants i de la publicació dels resultats de l’avaluació del PDI.

Una oportunitat perduda?

Des del punt de vista d’aquest autor, no només s’ha fet un pas endarrere, sinó que també s’ha perdut l’oportunitat de fer un pas endavant per facilitar la recerca científica.

Si s’examina l’RGPD es pot veure que l’objectiu del legislador europeu ha estat facilitar la recerca científica preveient un règim favorable que eximeix de determinades obligacions. Entre d’altres, es permet que el consentiment es pugui atorgar amb un caràcter més ampli, per tal que les dades personals es puguin utilitzar en el marc de diversos projectes de recerca que pertanyin a un mateix àmbit de la recerca científica (Considerant 33 RGPD), i també es permet que els estats membres puguin establir excepcions a l’exercici de determinats drets quan les dades són tractades amb finalitats de recerca científica (article 89 RGPD).

A més, és rellevant destacar que l’article 9.2 j) de l’RGPD preveu que les categories especials de dades es puguin tractar sense requerir el consentiment explícit de les persones interessades quan es doni la següent condició:

El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

Doncs bé, el precepte esmentat requereix, pel que ara interessa, el següent:

a) que aquesta possibilitat estigui regulada en el dret de la UE o dels estats membres, i

b) que s’estableixin les mesures adequades i específiques per protegir els interessos i drets fonamentals de les persones interessades.[ii]

Actualment, ens trobem que la disposició addicional 17a de la LOPDGDD desenvolupa l’article 9.2 j) de l’RGPD en relació amb la utilització de les dades relatives a la salut amb finalitats de recerca científica en l’àmbit de la salut. Aquesta disposició addicional preveu uns supòsits determinats en què, si concorren determinades garanties, es poden utilitzar les dades relatives a la salut amb finalitats de recerca científica sense necessitat de disposar del consentiment previ de les persones. Ara bé, aquesta disposició només estableix aquesta habilitació per a les dades relatives a la salut en l’àmbit de la recerca científica en salut i, per tant, no es disposa d’un habilitació legal similar en relació amb la resta de categories especials de dades per a la resta d’àmbits de la recerca científica.

L’aprovació de la LOSU ha estat, per tant, una oportunitat perduda per ampliar aquesta habilitació en relació amb la resta de categories de dades personals en tots els àmbits de la recerca científica. És indiscutible la importància que té per a la societat la recerca científica en l’àmbit de la salut (i més després d’haver viscut una pandèmia mundial), però en el si de la universitat també es fa altra recerca científica, que té la seva rellevància acadèmica i social, que podria gaudir del règim més favorable previst a l’RGPD.

Ruben Ortiz Uroz
Doctorand del programa de doctorat de Dret i Ciència Política de la Universitat de Barcelona i delegat de protecció de dades de la Universitat de Barcelona

---

Referències

Martínez Martínez, Ricard. (2016, 4 de setembre). ¿Trasparencia en las notas universitarias? LOPD y Seguridad.

Senat. (2007). Esmenes presentades al Projecte de llei orgànica per la qual es modifica la Llei orgànica 6/2001, de 21 de desembre, d’Universitats. (Butlletí Oficial de les Corts Generals, núm. 83, 19.02.2007)

---

[i] Per entendre el tenor d’aquest apartat és rellevant tenir en compte que l’anterior normativa de protecció de dades personals establia que, com a regla general, les dades només es podien comunicar amb el consentiment de la persona afectada i, excepcionalment, quan estigués habilitada per una llei (article 11 de la LOPD). És per aquest motiu que aquest apartat 3 es pronunciava en el sentit que no calia el consentiment dels estudiants.

[ii] Sobre el concepte de mesures adequades per protegir els interessos i drets fonamentals en una norma amb rang de llei, es recomana la lectura de la Sentència del Tribunal Constitucional 76/2019, de 22 de maig (recurs d’inconstitucionalitat 1405-2019).