Multa de 10.000 euros a un colegio por crear una cuenta de correo a una menor sin el consentimiento de sus padres

La Agencia Española de Protección de Datos (AEPD) ha sancionado con 10.000 euros a un centro educativo por la creación de una cuenta de correo electrónico a una alumna de 14 años sin contar con la autorización previa de sus padres.

El caso salió a la luz cuando los progenitores descubrieron que la identidad de su hija había sido suplantada en Classroom, por lo que decidieron interponer una denuncia.

Según la resolución, la madre de la menor notó que otras personas estaban escribiendo en el perfil de su hija tanto en el correo como en la plataforma educativa. Al alertar al colegio sobre la situación, los padres descubrieron que las contraseñas de los alumnos eran la iniciales de los menores y la fecha de nacimiento de la madre.

Así, en el documento oficial de la AEPD recoge que “en ningún momento se forzó el cambio de la misma, dando la posibilidad a una suplantación de identidad sin mucho esfuerzo”. Además, los padres solicitaron los registros de eventos de Classroom con la dirección IP, pero el colegio no les proporcionó la información.

Deficiencias en la gestión de contraseñas

El caso pone de manifiesto la debilidad de la gestión del centro y la falta de medidas de seguridad adecuadas. La AEPD detalló que no se implementaron las medidas técnicas y organizativas necesarias para proteger los datos personales de los alumnos.

En su defensa, el colegio argumentó que la creación de las cuentas de correo correspondía a una necesidad educativa derivada de la pandemia de Covid-19.

“La comunicación de creación de la dirección de correo electrónico se realizó mediante correos electrónicos con los tutores de los menores, y ante los cuales, no existió impedimento o negativa por parte del tutor de la menor”, explicó el centro.

Sin embargo, la AEPD subrayó que, pese a las circunstancias excepcionales, la situación de emergencia no justifica la falta de consentimiento previo por parte de los padres, tal y como estipula el Reglamento General de Protección de Datos (RGPD).

La AEPD insiste en la necesidad de medidas de seguridad

La AEPD dejó claro que, conforme al artículo 32 del RGPD, el responsable del tratamiento de datos debe garantizar la confidencialidad e integridad de las contraseñas, además, de asegurar que estas sean almacenadas de manera cifrada o mediante procedimientos que las hagan intangibles.

“El responsable del tratamiento debe demostrar que ha adoptado medidas de seguridad adecuadas al riesgo del tratamiento de datos personales”, señaló la AEPD, que también criticó la falta de protocolos para cambiar las contraseñas.

Asimismo, “el responsable de tratamiento debe ser capaz de demostrar que los titulares de la patria potestad o tutela de la menor consintieron el tratamiento de los datos personales, conforme a lo establecido en el artículo 7 del RGPd”, indicó el informe.

Sentencia

Finalmente, la AEPD resolvió el caso poniendo varias multas al colegio: 4.500 euros por la infracción del artículo 6.1 del RGPD, que regula el consentimiento para el tratamiento de datos personales; 1.000 euros por no proporcionar la información requerida sobre el tratamiento de datos (artículo 13); y otros 4.500 euros por no adoptar las medidas de seguridad adecuadas (artículo 32).

En total, la sanción ascendió a 10.000 euros.