Multado un colegio por crear un correo electrónico a una alumna menor de edad sin el consentimiento de los padres

La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa administrativa total de 10.000 euros a un centro educativo privado que incumplió varias obligaciones del Reglamento General de Protección de Datos (RGPD), concretamente vulneró los artículos 6.1, 13 y 32 de la citada ley de la Unión Europea.

La resolución sancionadora (disponible en el botón ‘descargar resolución’) llega a raíz de que la madre una menor de 14 años, alumna del centro, interpusiera una reclamación contra el colegio ante la Agencia Española de Protección de Datos.

La reclamante manifestaba que el colegio había creado a su hija menor de edad un correo electrónico sin haber recabado el consentimiento de los tutores para ello, ni para trabajar con un perfil de Clasroom.

Asimismo, la progenitora informaba a la Agencia de que había tenido conocimiento —porque el colegio así se lo comunicó— de que alguien había suplantado la identidad de su hija y se había hecho pasar por ella, escribiendo correos desde la citada cuenta electrónica a diferentes personas, así como accediendo al contenido de su perfil en Clasroom y escribiendo en su nombre. No obstante, a pesar de que fue el colegio quien alertó a los padres de los hechos, el centro no había notificado la brecha de seguridad ni le había dado importancia alguna al hecho.

Igualmente, la reclamante destacaba que solicitaron los registros de eventos de Classroom con la IP y no se los habían facilitado.

(Imagen: E&J)

Además, en la reclamación se informaba a la Agencia de que las medidas de seguridad que tenía el colegio no eran las óptimas, ya que la contraseña del correo electrónico para todos los niños y niñas eran las iniciales de la menor más la fecha de nacimiento de la madre, sin forzar el cambio de la misma, dando la posibilidad a una suplantación de identidad sin mucho esfuerzo.

La parte reclamante también informaba a la AEPD que en la política de privacidad de la página web del colegio no constan los datos de contacto del Delegado de Protección de Datos (DPD) y, que si se busca el DPD en la página oficial de la AEPD, aparece un correo electrónico de contacto pero que dicho correo no existe. Para demostrar este último punto, la reclamante aportó junto a la reclamación el correo que había remitido a la dirección electrónica del DPD para comunicar la incidencia en Classroom y una impresión de que el email remitido a la dirección de correo electrónico del DPD no había podido ser entregado.

El colegio se defendió alegando que se trataba de una “necesidad educativa”

La AEPD dio traslado de la reclamación a la parte reclamada, es decir, al centro educativo. El colegio, por su parte, contestó a la Agencia que la creación de la dirección de correo electrónico para la menor de edad “respondió a una necesidad educativa, y que se llevó a cabo durante la época excepcional del Covid-19, ante la necesidad de adaptación rápida de los sistemas educativos existentes hasta el momento”.

En esta línea, el centro educativo aseguraba que la comunicación de creación de la dirección de correo electrónico se llevó a cabo mediante correos electrónicos con los tutores de los menores, y ante los cuales no existió impedimento o negativa por parte de la reclamante.

(Imagen: AEPD)

El consentimiento no se puede suplir con una simple comunicación por correo

La Agencia Española de Protección de Datos admitió a tramite la reclamación presentada y acordó iniciar procedimiento sancionador contra el centro educativo.

Respecto al proceso de creación del correo electrónico de la menor de edad, la AEPD señala que el colegio se limitó a comunicar la creación de las direcciones de correo electrónico mediante el envío de correos electrónicos a los tutores de los menores. Sin embargo, este proceso “en ningún caso y a efectos del artículo 6.1 del Reglamento General de Protección de Datos (RGPD), una situación de emergencia como ha sido la pandemia mundial del Covid -19 legitima, por sí misma, el tratamiento de los datos personales sin el consentimiento de sus titulares o de los tutores, en su caso”.

En este sentido el organismo señala en la resolución que le “sorprende mucho que la falta del consentimiento del titular de los datos o, en el supuesto de menores de 14 años, del consentimiento otorgado por el tutor de los mismos, se haya suplido con una simple posterior comunicación por correo electrónico a los tutores de los menores y, sorprende, aún más, que se le dé todo el valor del propio consentimiento por no constar impedimento o negativa por parte de dichos tutores”.

Por tanto, dado que la hija de la reclamante es menor de edad, el colegio debería haber recabado el consentimiento o autorización de los titulares de la patria potestad o tutela de la menor para crear el correo electrónico y llevar a cabo tal tratamiento de sus datos personales; consentimiento que no fue recabado por el centro educativo. En consecuencia, el colegio vulneró el artículo 6.1 del RGPD y por dicha infracción la AEPD le ha sancionado con 4.500 euros.

(Imagen: E&J)

Las medidas de seguridad implantadas eran insuficientes

En lo que respecta a las medidas de seguridad, la suplantación de la identidad de la menor se llevó a cabo de manera sencilla debido a que la contraseña del correo electrónico eran las iniciales de la menor más la fecha de nacimiento de la madre, sin forzar el cambio de la misma.

Para la Agencia Española de Protección de Datos, el hecho de que la contraseña del correo electrónico creado por el colegio para todos los niños y niñas del centro fueran las iniciales del menor más la fecha de nacimiento de la madre, sin forzar el cambio de la misma, “evidencia la debilidad y la falta de dichas medidas de seguridad razonables y, en consecuencia, un incumplimiento de las obligaciones del responsable del tratamiento en materia de protección de datos”.

En este escenario donde se ha producido una brecha de seguridad, el colegio es responsable del incidente por cuanto no contaba con las medidas técnica y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento de los datos personales realizados.

Lo expuesto lleva a evidenciar a la AEPD que, o “no había medidas de seguridad suficientes, o no se habían implantado correctamente en el momento que se produjo el incidente”.

Por tanto, como el centro educativo no contaba con medidas de seguridad adecuadas y proporcionadas al riesgo detectado, vulneró lo establecido en el artículo 32 del RGPD, pues es su obligación adoptar todas las medidas técnicas y organizativas impuesta por el citado precepto legal para garantizar la seguridad del tratamiento.

“En el momento de producirse los hechos, consta que el colegio no disponía de las medidas de seguridad razonables en función de los posibles riesgos estimados, sobre todo al tratarse de una vía de comunicación del colegio con sus alumnos y al ser estos menores de edad”, señala la AEPD, “el hecho de que la contraseña del correo electrónico para todos los niños y niñas del colegio fueran las iniciales de la menor más la fecha de nacimiento de la madre, sin forzar el cambio de la misma, evidencia la falta de dichas medidas de seguridad razonables”.

En consecuencia, por vulnerar el artículo 32 del RGPD, la Agencia ha sancionado al centro educativo con 4.500 euros.

(Imagen: E&J)

El contacto del DPD es una obligación legal

Respecto al hecho de que la página web de la entidad reclamada no tuviera en el apartado correspondiente a la política de privacidad, los datos de contacto del Delegado de Protección de Datos, la AEPD ha señalado que ello constituye una infracción por incumplimiento del artículo 13 del Reglamento General de Protección de Datos.

“Una política de privacidad (privacy policy) es una presentación por escrito de todas las medidas que aplica una empresa u organización para garantizar la seguridad y el uso lícito de los datos personales de los usuarios o clientes que recoge y trata en el contexto de cualquier relación, ya sea comercial o prestacional. El contenido de la política de privacidad debe ajustarse a la información que debe facilitarse cuando los datos se obtengan del interesado.”, recuerda al respecto la Agencia en la resolución.

En el presente caso, por la infracción cometida al vulnerar lo establecido en el artículo 13 del RGPD, la AEPD ha sancionado con 1.000 euros al centro educativo.