En la actualidad, debido a la evolución tecnológica que estamos viviendo en nuestra sociedad, cada vez es más común que en los centros escolares se utilicen dispositivos electrónicos y plataformas digitales para llevar a cabo la función educativa. Este hecho no acarrea ningún problema en lo que a protección de datos se refiere siempre y cuanto no se recaben datos personales o si se recaben se cumpla con la normativa de aplicación al respecto:
En el presente artículo nos centraremos en analizar una resolución sancionadora de la Agencia Española de Protección de Datos (AEPD) relacionada con lo indicado, PS-00502-2023:
El procedimiento se inicia puesto que el 20 de noviembre de 2022, una persona descubrió que alguien había suplantado la identidad de su hija utilizando su cuenta de correo para enviar mensajes y acceder a su perfil en Classroom, escribiendo en su nombre. Estos hechos fueron comunicados al centro, el cual se considera el responsable de la creación de dichas cuentas, pero, según la parte reclamante, el centro no notificó la brecha de seguridad ni tomó medidas al respecto. También se solicitó sin éxito el registro de eventos con la IP. Se alega que las contraseñas eran fácilmente predecibles (iniciales del menor y fecha de nacimiento de la madre) y no se exigía cambiarlas, facilitando la suplantación. Además, se señala que en la política de privacidad del centro no figura el contacto del Delegado de Protección de Datos (DPD). A dicha reclamación se adjuntan los correos enviados al centro y el intento fallido de contactar con el DPD.
Tras estas alegaciones de la reclamante, la AEPD notifica al centro reclamado para que en el plazo de un mes presente sus alegaciones de respuesta al respecto, a lo cual el centro responde con la siguiente información:
Causas de la incidencia:
La incidencia se originó a raíz del aviso del tutor de unas alumnas menores de edad sobre un posible acceso indebido a la plataforma educativa del centro.
Medidas adoptadas:
El centro ha implementado varias acciones para evitar que se repitan incidentes similares:
- Concienciación y formación del personal sobre la gestión adecuada de datos personales.
- Revisión periódica de cláusulas legales, formularios y comunicaciones conforme al RGPD (art. 13 y 14).
- Refuerzo en el procedimiento de consulta de la política de privacidad.
- En 2022, se inició un programa formativo sobre protección de datos dirigido al personal encargado de las comunicaciones. El programa incluyó seis unidades temáticas relacionadas con el RGPD, fundamentos del tratamiento de datos, roles de responsables y encargados, derechos de los interesados y medidas de responsabilidad activa.
- Los procesos de protección de datos se encuentran en constante revisión para garantizar el cumplimiento normativo.
Notificado por la AEPD el acuerdo de inicio de procedimiento contra la parte reclamante, esta presenta un escrito de alegaciones indicando lo siguiente:
La creación de las cuentas de correo electrónico escolares se realizó durante la pandemia de COVID-19 como una medida urgente para continuar con la educación a distancia. Esta creación fue comunicada a los tutores legales, sin que hubiera objeción por parte del tutor de la menor mencionada en la reclamación. Posteriormente, se adaptaron los procedimientos para cumplir con los requisitos legales sobre consentimiento. También se implementaron medidas de seguridad conforme a los artículos 24 y 32 del Reglamento General de Protección de Datos (RGPD), y se proporcionó información según el artículo 13 del mismo reglamento.
El centro afirma que solo trata los datos personales estrictamente necesarios y ha adaptado sus sistemas al RGPD y a la Ley Orgánica 3/2018. Además, comunica que se han tomado medidas específicas a raíz del incidente ocurrido.
A mayor abundamiento, a posteriori el centro afirma que sí que se cuenta con un Delegado de Protección de Datos y que este se encuentra identificado en toda su documentación en materia de protección de datos, al contrario de lo que alegaba la parte reclamante.
En base a lo expuesto tanto por la parte reclamante como por la parte reclamada y la investigación realizada por la autoridad de control (AEPD) se estima que se incumplen por el centro los siguientes preceptos normativos:
- Licitud del tratamiento-Infracción del artículo 6.1 del RGPD;
“1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
- el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos (…).”
El consentimiento para el tratamiento de datos personales, según el considerando 32 del RGPD, debe darse mediante un acto afirmativo claro que refleje una voluntad libre, específica, informada e inequívoca. No se acepta el silencio, las casillas premarcadas ni la inacción como formas válidas de consentimiento. Además, este debe otorgarse para todas las actividades de tratamiento con el mismo fin, y si hay varios fines, debe haber consentimiento para cada uno. Si la solicitud se realiza por medios electrónicos, debe ser clara.
A mayor abundamiento, en relación con el consentimiento, según el artículo 7 de la LOPDGDD, los menores de 14 años no pueden dar por sí solos su consentimiento para el tratamiento de sus datos personales; este debe provenir de sus tutores legales. En el caso descrito, el centro creó una cuenta de correo electrónico para una menor de esa edad sin contar con el consentimiento de sus tutores. Por tanto, el centro, como responsable del tratamiento, debió haber recabado y poder demostrar dicho consentimiento, lo cual no consta en el expediente.
En consecuencia, se considera por parte de la AEPD que los hechos acaecidos son constitutivos de una infracción, imputable al centro reclamado, por vulneración del artículo 6.1 del RGPD.
- Principio de información-Articulo 13 del RGPD;
“1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:
- la identidad y los datos de contacto del responsable y, en su caso, de su representante; (…)”
Una política de privacidad es una presentación por escrito de todas las medidas que aplica una empresa u organización para garantizar la seguridad y el uso lícito de los datos personales de los usuarios o clientes que recoge y trata en el contexto de cualquier relación, ya sea comercial o prestacional. El contenido de la política de privacidad debe ajustarse a la información que debe facilitarse cuando los datos se obtengan del interesado.
En el presente caso, en la política de privacidad del centro reclamado no constaban los datos de contacto del delegado de protección de datos, tal y como ya se puso de manifiesto en el acuerdo de inicio de este procedimiento.
En consecuencia, los hechos conocidos son constitutivos de una infracción, imputable al centro, por vulneración del artículo 13 del RGPD.
- Seguridad del tratamiento-Articulo 32 RGPD;
“1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
- la seudonimización y el cifrado de datos personales; (…)”
El responsable del tratamiento debe adoptar medidas técnicas y organizativas de seguridad adecuadas según el riesgo. En este caso, el centro no cumplía con estas medidas razonables, especialmente porque la comunicación era con menores. Usar contraseñas fáciles y comunes para todos los alumnos, sin obligar a cambiarlas, demuestra claramente la falta de seguridad adecuada.
En consecuencia, los hechos conocidos son constitutivos de una infracción, imputable al centro, por vulneración del artículo 32 del RGPD.
En base a los incumplimientos expuestos anteriormente, la AEPD estima las siguientes sanciones al centro reclamado:
- Por la infracción del artículo 6.1 del RGPD, multa administrativa de cuantía 4.500 euros.
- Por la infracción del artículo 13 del RGPD, multa administrativa de cuantía 1.000 euros.
- Por la infracción del artículo 32 del RGPD, multa administrativa de cuantía 4.500 euros.
Por lo tanto, como se desprende de la resolución analizada en el presente artículo, si como centro escolar quieres crear cuentas de correo electrónico a tus alumnos, independientemente de que nos encontremos en una situación de pandemia o no, no debes olvidar cumplir con los siguientes mínimos.
- Solicita el consentimiento del interesado, en el caso de menores de 14 años obligatoriamente ha de ser el consentimiento de sus padres/representantes legales.
- Cumple con el principio de información, no olvides incluir toda la información necesaria estipulada en el artículo 13 RGPD en todos tus textos legales en materia de protección de datos.
- Asegúrate de cumplir con las medidas de seguridad establecidas en el artículo 32 RGPD.
De esta manera podrás evitar cuantiosas sanciones económicas para tu centro como la que hemos analizado en la presente entrada de nuestro blog. Si quieres conocer más información al respecto puedes visualizar entradas anteriores pinchando aquí y aquí.
