Nos hacemos eco en este artículo de la respuesta del Gabinete Jurídico de la Agencia Española de Protección de Datos, a una consulta relacionada con la publicación de las calificaciones de los alumnos en asignaturas impartidas en los estudios de Grado.
La AEPD pone de manifiesto que la publicación de las calificaciones de los alumnos, en la medida que contiene datos personales relativos a personas físicas, queda sometida a lo dispuesto en el RGPD.
Durante la vigencia de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, la AEPD se pronunció sobre la necesidad del consentimiento inequívoco de los alumnos para poder proceder a la publicación de las calificaciones. Lo hizo en su informe 469/2002 sobre «Publicación en mostradores de las calificaciones de alumnos universitarios» en el que llegaba a la conclusión de que la difusión de las notas a través de los tablones de anuncios de la universidad, constituía una cesión de datos de carácter personal de los alumnos no autorizada por una ley, por lo que era necesario que cada alumno diera su consentimiento para poder publicar las calificaciones.
Esta situación se modificó con la disposición Adicional vigésima primera de la Ley Orgánica 4/2007, del 12 de abril, de modificación de la Ley Orgánica 6/2001, de 21 de diciembre, donde se estableció que no era necesario el consentimiento de los estudiantes para la publicación de los resultados de las pruebas relacionadas con la evaluación de sus conocimientos y competencias. Posteriormente, la AEPD consideró en su informe 178/2014, que el legislador estaba reconociendo la posibilidad de que las universidades pudieran apreciar la existencia de un interés público en el conocimiento generalizar los resultados de las evaluaciones, que prevalecería sobre la voluntad de los alumnos, y permitiría su publicación sin la necesidad del consentimiento de los interesados.
Con la aplicación del RGPD, las causas de legitimación en los tratamientos de datos se han ampliado, y en cuanto a este concreto tratamiento, dado que el legislador ha reconocido la existencia de un interés público en la publicación de las calificaciones universitarias, esta publicación tendría su base jurídica en lo previsto en el artículo 6.1.e) del RGPD: el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, derivada de una competencia atribuida por una norma con rango de ley; tal como prevé también el artículo 8.2 de la LOPDGDD, que remite al RGPD.
Pero también podrían aplicar otra causa de legitimación, porque las calificaciones obtenidas pueden tener incidencia en el otorgamiento de las matrículas de honor limitadas a un número de estudiantes, así como también en la concesión de premios extraordinarios, por lo que también se podría apreciar un interés legítimo de los alumnos del grupo en el conocimiento de las calificaciones de sus compañeros, al amparo de lo previsto en la letra f) del artículo 6.1. del RGPD.
En cuanto al tiempo en que se ha de mantener esta publicación, la AEPD argumenta que los datos deberán ser mantenidas de forma que se permita la identificación de los interesados durante el tiempo estrictamente necesario para cumplir con la finalidad del tratamiento de las datos personales, tal como prevé el artículo 5.1.e) RGPD. Por tanto, en el caso de las calificaciones provisionales deberían mantenerse hasta que transcurra el plazo para presentar reclamaciones, y las calificaciones definitivas durante el tiempo imprescindible que garantice su conocimiento por todos los interesados.
En todo caso, la AEPD concluye que en virtud de la autonomía universitaria reconocida en el artículo 27 de la Constitución Española y en la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades, y ostentando la Universidad consultando la condición de responsable del tratamiento conforme al RGPD, corresponderá a la Universidad apreciar la necesidad de proceder a la publicación de las calificaciones y la forma en que se debe hacer, en aplicación del principio de responsabilidad proactiva en que se fundamenta la vigente normativa en materia de protección de datos personales.