El alumno que denunció la vulnerabilidad de los datos de la página de la Universitat de València, en la que en 2009 y 2010 se podían preinscribir en un master, cursos o becas, ha recibido la resolución favorable de la Agencia Española de Protección de Datos, en la que se le da la razón. De hecho, con un DNI podía acceder a información personal de otros compañeros

La agencia declara que la Universitat infringió la protección de datos de carácter personal pero no procede requerimiento alguno porque "ha quedado acreditado que en el transcurso de la inspección realizada se procedió a la eliminación de los accesos indebidos de los master de Profesorado de Educación Secundaria de los años 2009 y del 2010" señala la resolución. De hecho, en la actualidad, es necesario introducir varios datos para poder acceder (contraseña, nombre del solicitante o fecha de nacimiento).

El estudiante matriculado en este curso observó que para inscribirse en el mismo, la web solicitaba el número de DNI y visualizaba datos personales como el nombre, apellidos, domicilio, teléfonos y dirección electrónica.

En opinión del denunciante, "únicamente con el número del carnet de identidad, dato que se puede obtener muy fácilmente ya que la propia Conselleria de Educación expone este dato en muchas listas públicas como la de admitidos y excluidos de becas disponibles en tablones de anuncios y en Internet o la misma Universidad publica las notas en tablones, no se debería poder acceder al resto de la información".

Ante los hechos probados, y tras la investigación, alegaciones y escritos correspondientes, la Agencia Nacional de Protección de Datos considera que la Universitat "en calidad de responsable del tratamiento" debió adoptar las medidas necesarias para "impedir, de forma efectiva, el acceso de los estudiantes a información de otros" y, sin embargo, "tales medidas no fueron adoptadas en el presente caso".

Por tanto, aunque se reconoce que ha adoptada medidas posteriores para subsanar este error, éstas son "insuficientes". Así, la Universitat está obligada como "deudora de seguridad" en esta materia por lo que debe dar una explicación razonable de "cómo los datos han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros".

También ha quedado acreditado que la institución académica vulneró el deber de secreto de los datos.