Multan con 10.000 euros a un colegio por abrirle una cuenta de correo a una alumna menor de 14 años sin permiso de sus padres

Dos años ha tardado la Agencia Española de Protección de Datos (AEPD) en resolver un caso que tiene como origen la creación de una cuenta de correo electrónico a una alumna de 14 años por parte del colegio donde estudiaba. ¿Problema? Hacerlo sin consentimiento previo de sus padres, que supieron de la decisión al descubrir que habían suplantado la identidad de su hija. Se hacían pasar por ella y escribían correos desde su email a diferentes personas y también en su perfil en Classroom. Fue el detonante de un conflicto que ha acabado con una sanción de 10.000 euros al centro educativo por vulnerar la normativa referida al tratamiento de datos.

Según consta en la resolución consultada por este periódico, una vez tuvieron conocimiento de que se habían hecho pasar por la menor, los progenitores advirtieron al colegio de que las medidas de seguridad «no eran las óptimas», ya que la contraseña del correo electrónico para todos los alumnos eran las iniciales de los menores, más la fecha de nacimiento de la madre. «En ningún momento se forzó el cambio de la misma, dando la posibilidad a una suplantación de identidad sin mucho esfuerzo», recoge el documento. «No le dieron ninguna importancia al hecho», subraya, ni notificaron la brecha de seguridad. Los padres llegaron a solicitar los registros de eventos de Classroom con la IP, pero tampoco se los facilitaron.

Ante esta situación, reclamaron ante la Agencia Española de Protección de Datos que finalmente acordó iniciar un procedimiento sancionador. Frente al mismo, el centro educativo se defendió alegando que la dirección de correo electrónico respondió a una necesidad educativa, y que se llevó a cabo durante la época excepcional del Covid-19, ante la necesidad de adaptación rápida de los sistemas educativos existentes hasta el momento. «Por ello, la comunicación de creación de la dirección de correo electrónico se realizó mediante correos electrónicos con los tutores de los menores, y ante los cuales, no existió impedimento o negativa por parte del tutor de la menor referida en la reclamación. Si bien, tras este momento de adaptación excepcional, adaptaron sistemas a la hora de recabar el consentimiento, con los requisitos establecidos por el legislador».

Pero Protección de Datos resaltó que, en ningún caso y a efectos del artículo 6.1 del RGPD, una situación de emergencia como ha sido la pandemia mundial del Covid-19 legitima por sí misma el tratamiento de los datos personales sin el consentimiento de sus titulares o de los tutores. «Sorprende mucho a este organismo que la falta del consentimiento del titular de los datos o, en el supuesto de menores de 14 años, del consentimiento otorgado por el tutor de los mismos se haya suplido con una simple posterior comunicación por correo electrónico a los tutores de los menores y, sorprende, aún más, que se le dé todo el valor del propio consentimiento por no constar impedimento o negativa por parte de dichos tutores».

El organismo argumenta que el centro educativo debe asegurar la debida adecuación de los permisos de acceso a datos personales según el perfil de cada usuario. Para ello, la plataforma educativa debe colaborar para facilitar la adecuada asignación de perfiles. El responsable del tratamiento tiene que garantizar la confidencialidad e integridad de las contraseñas tanto en la asignación, como en su distribución y almacenamiento. El almacenamiento de las contraseñas debe realizarse cifrado o utilizar un procedimiento que permita que las contraseña se almacenen de forma ininteligible.

Si bien, el hecho de que la contraseña del correo electrónico creado por el colegio para todos los alumnos del centro fueran las iniciales de la menor, más la fecha de nacimiento de la madre -sin forzar el cambio de la misma- «evidencia la debilidad y la falta de dichas medidas de seguridad razonables y, en consecuencia, un incumplimiento de las obligaciones del responsable del tratamiento en materia de protección de datos».

Denota, expresa la AEPD, una ausencia de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento. «El artículo 32 del RGPD no establece un listado de las medidas de seguridad que sean de aplicación de acuerdo con los datos que son objeto de tratamiento, sino que establece que el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas que sean adecuadas al riesgo que conlleve ese tratamiento».

A la vista de lo sucedido, infieren que puesto que la hija era menor de 14 años cuando le crearon la cuenta de correo electrónico, debería constar el consentimiento o autorización de los titulares de la patria potestad o tutela de la menor para hacerlo, «debiendo ser el responsable del tratamiento capaz de demostrar que los titulares de la patria potestad o tutela de la menor consintieron el tratamiento de los datos personales de la menor, conforme a lo establecido en el artículo 7 del RGPD, circunstancia ésta que no consta en el expediente». Por eso, consideran que los hechos acaecidos son constitutivos de una infracción, imputable al colegio por vulneración del artículo 6.1 del RGPD.

«En definitiva, nos encontramos ante una obligación del responsable del tratamiento consistente en la adopción de medidas de seguridad de índole técnica y organizativa y que corresponde a dicho responsable demostrar su implantación y su adecuación en atención al riesgo derivado del tratamiento», expresa el organismo. Y en este caso, no consta que el colegio dispusiese de las medidas de seguridad «razonables» en función de los posibles riesgos estimados, sobre todo al tratarse de una vía de comunicación del colegio con sus alumnos al ser estos menores de edad.

Finalmente, Protección de Datos acordó de acuerdo a la legislación aplicable y valorados los criterios de graduación de las sanciones imponer varias multas: por la infracción del artículo 6.1 del RGPD, tipificada en el artículo 83.5 de dicha norma (4.500 euros); por la infracción del artículo 13 del RGPD, tipificada en el artículo 83.5 de dicha norma (1.000 euros), y por la infracción del artículo 32 del RGPD, tipificada en el artículo 83.4 de dicha norma (4.500 euros).

• Temas
• Agencia Española de Protección de Datos
• Covid-19