La Agencia Española de Protección de Datos (AEPD) atendió una reclamación contra el colegio Virgen de Europa, por la creación de una dirección electrónica para una menor de 14 años sin su consentimiento y la habilitación para ella de un perfil en Google Classroom. Posteriormente, se suplantó la identidad de esta menor, accediendo a dicho perfil y enviando mensajes en su nombre sin autorización.

La parte reclamante señaló deficiencias en la seguridad y la inexistencia de contacto efectivo con el delegado de protección de datos (DPD).

Según la respuesta del colegio, la creación del correo fue una necesidad excepcional por la pandemia del COVID-19, y que se comunicó a los tutores sin recibir objeción. Alegó haber implantado medidas correctivas, como formación del personal, revisión de protocolos y mejora en los procedimientos de consentimiento y transparencia.

Sin embargo, la Agencia Española de Protección de Datos (AEPD) rechazó esos argumentos afirmando que:

  • La situación de emergencia no exime del cumplimiento del artículo 6.1 del RGPD, que exige consentimiento expreso.
  • Informar por correo no equivale a obtener un consentimiento válido y verificable, como exige el artículo 7 del RGPD.
  • Para menores de 14 años, la LOPDGDD exige expresamente el consentimiento de los titulares de la patria potestad.

La AEPD concluye que no se acredita el consentimiento válido ni se garantiza que los tutores conocieran de forma clara los fines del tratamiento, lo que vulnera el RGPD. Y, aunque reconoce las medidas alegadas, subraya que no fueron suficientes. En particular, critica que las contraseñas creadas se formaban con datos fácilmente deducibles (iniciales + fecha de nacimiento de la madre) y no se forzó su cambio, lo que facilitó la suplantación de identidad. Por tanto, considera que existió una falta de diligencia y un incumplimiento de las obligaciones de seguridad que exige el RGPD al responsable del tratamiento, y que se habían vulnerado los artículos 6.1, 13 y 32 del RGPD. Propuso las siguientes multas:

  • 4500 € por infracción «muy grave» del artículo 6.1 (tratar datos personales de una menor de 14 años sin el consentimiento de sus tutores legales), con agravantes:
    • Negligencia: El colegio no actuó con la diligencia exigible, dado su manejo continuo de datos personales.
    • Actividad habitual con datos: Se destaca que el colegio trata datos sensibles de alumnos y docentes, como nombres y fechas de nacimiento.
    • Afectación a menores: La vulneración de derechos de una menor de edad refuerza la gravedad del caso.
  • 1000 € por infracción «muy grave (formal)» del artículo 13 (deber de información). La AEPD considera que existió negligencia, ya que el colegio maneja datos personales de manera constante.
  • 4500 € por infracción «grave» del artículo 32 (seguridad insuficiente del tratamiento de los datos).
    • Este artículo se vincula con el principio de responsabilidad activa (art. 5.2 y 24 RGPD): no basta con reaccionar ante brechas de seguridad; se debe prevenir activamente los riesgos durante todo el ciclo de vida de los datos.
    • Obliga a adoptar medidas reales y eficaces, no meramente formales, que aseguren la protección de los datos personales frente a accesos no autorizados, pérdidas o alteraciones. Exige que, al obtener datos personales del interesado, el responsable del tratamiento debe proporcionarle información completa: identidad del responsable, contacto del DPD, fines del tratamiento, base jurídica, destinatarios, etc.
    • La política de privacidad del colegio no incluía los datos de contacto del delegado de protección de datos (DPD), lo que supone incumplimiento del deber de información.
    • El colegio fue declarado responsable de no haber aplicado medidas de seguridad técnicas y organizativas adecuadas al riesgo, al crear cuentas de correo electrónico para menores usando contraseñas predecibles.

Fuente: https://www.aepd.es/documento/ps-00502-2023.pdf

░ Imagen de RDNE Stock project en Pexels