La pérdida de datos personales constituye una de las vulneraciones más graves en materia de protección de datos, especialmente cuando afecta a colectivos vulnerables como los menores. Este tipo de incidentes no solo compromete la confidencialidad e integridad de la información, sino que también puede derivar en consecuencias legales, reputacionales y, en casos extremos, en daños personales. La siguiente resolución que vamos a analizar, versa sobre un caso en el que imágenes de alumnos fueron halladas fuera del control del centro educativo responsable, lo que evidenció fallos significativos en la custodia, seguridad y licitud del tratamiento de dichos datos.
El caso se inició a raíz de una reclamación con número de Expediente 02315180 dictada por la Agencia Española de Protección de Datos (en adelante AEPD), en la que se denunciaba una posible infracción del RGPD por parte del Centro reclamado, motivada por el hallazgo de grabaciones de menores fuera del centro escolar. Las imágenes se localizaron tanto en la vía pública —en una mochila con un dispositivo entregado por un viandante a la Guardia Civil— como en el domicilio particular de un docente del centro educativo.
A fecha de la reclamación, por estos hechos se estaba instruyendo un proceso judicial, con diligencias previas.
Según lo dispuesto en la reclamación, las grabaciones de los menores fueron obtenidas por el profesor sin seguir un protocolo riguroso de custodia y sin las garantías suficientes para asegurar su confidencialidad.
Así las cosas, la Agencia, concretamente la Subdirección General de Inspección de Datos, procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos, requiriendo información tanto al Centro como al profesor implicado.
La información obtenida en dichas actuaciones previas de investigación es la siguiente:
- El Colegio informa de que la obtención del consentimiento de los progenitores para la grabación de imágenes de los alumnos menores se lleva a cabo en el momento de reserva de plaza y matriculación y, por ello, el consentimiento resulta revisado como mínimo de forma anual. Adjunta a su respuesta un formulario de matriculación, que contiene una casilla de autorización de fotos y vídeos.
- En relación con la información sobre el tratamiento de datos personales facilitada a progenitores y profesorado, adjunta varios documentos y remite a información adicional en la página web.
- En cuanto a la finalidad de las grabaciones y motivos para conservación, aporta un informe con el título “INFORME CUMPLIMIENTO NORMATIVA DE PROTECCIÓN DE DATOS”.
También se requiere información al profesor implicado, el cual manifiesta lo siguiente:
- En relación con la finalidad de las grabaciones y su conservación, indica que “Las grabaciones que se realizaban en el ejercicio de mi labor (…) tenían la finalidad de cumplir con el programa de docencia, así como también para promocionar la actividad del centro. En la asignatura (…) se pretendía enseñar a los alumnos las siguientes competencias: – Competencia para aprender a aprender. – Competencia en comunicación lingüística. – Tratamiento de la información y competencia digital. – Autonomía e iniciativa personal. – Competencia artística y cultural…”
Las investigaciones revelaron que el profesor disponía de autorización escrita desde 2018 para extraer dispositivos del centro, pero dicha autorización no contenía limitaciones claras de finalidad, tiempo o uso. Tampoco se demostró la existencia de un sistema de registro de entradas y salidas de los soportes. Estas deficiencias facilitaron que parte de las imágenes se extraviaran y fueran accesibles por terceros.
El colegio aportó documentación relativa al consentimiento informado para la toma de imágenes, incluyendo formularios de matrícula y una política general sobre el uso de imágenes con fines docentes y promocionales. Sin embargo, muchas de las medidas organizativas —incluyendo formación al personal y revisión de procedimientos— se implementaron tras el inicio de la investigación.
Una vez revisados los hechos, pasamos a analizar los fundamentos de derecho:
1.- Obligaciones incumplidas:
Artículo 5.1.f) del RGPD: Nuestra autoridad de control hace referencia al artículo 5.1.f) del RGPD establece el principio de «integridad y confidencialidad«, que obliga a garantizar una seguridad adecuada de los datos personales. Esta garantía debe lograrse mediante medidas técnicas u organizativas apropiadas que protejan los datos contra el tratamiento no autorizado o ilícito, así como contra la pérdida accidental, destrucción o daño. Dicho articulo lo relacionan con el considerando 39 RGPD.
En el presente caso, la Agencia constató que se produjo una brecha de seguridad, al haberse encontrado imágenes de menores fuera del centro educativo, concretamente en una mochila abandonada y en el domicilio del docente. Esta circunstancia evidencia que no existían controles efectivos de custodia ni medidas adecuadas para prevenir la salida no autorizada de dispositivos con información sensible. A pesar de que el colegio afirmaba tener medidas implementadas, como protocolos internos y un sistema de autorizaciones, no se aportó documentación probatoria suficiente ni registros que acreditaran su existencia o eficacia en el momento de los hechos.
La resolución también señala que la autorización otorgada al profesor para llevarse dispositivos fuera del centro carecía de limitaciones temporales, de finalidad y de control documental, lo que constituye una actuación negligente. La ausencia de trazabilidad en la salida y retorno de los soportes demuestra que el colegio no cumplió con su deber de proteger adecuadamente los datos personales tratados. Este incumplimiento del principio de integridad y confidencialidad se agrava por tratarse de imágenes de menores, un colectivo especialmente vulnerable, lo cual refuerza la gravedad de la infracción y justifica la propuesta sancionadora.
- La propuesta de sanción para esta infracción se tipifica en el artículo 83.5.a del RGPD en relación con el artículo 72.1.a de la LOPDGDD, calificada como muy grave que origina una sanción pecuniaria de 20.000 euros.
Artículo 6 del RGPD: dicho artículo establece los requisitos que deben cumplirse para que el tratamiento de datos personales sea lícito. Entre ellos se incluyen, por ejemplo, la necesidad de contar con el consentimiento explícito del interesado o la existencia de una base jurídica válida, como el cumplimiento de una obligación legal, la ejecución de un contrato o el ejercicio de una misión de interés público. En el caso del Colegio reclamado, el centro alegó que la base jurídica para la grabación de imágenes de los alumnos era el artículo 6.1.e del RGPD, es decir, el cumplimiento de una misión realizada en interés público en el ámbito educativo.
Sin embargo, nuestra autoridad de control consideró que esa justificación no era suficiente ni adecuada en el contexto concreto del caso. La grabación de imágenes por parte del docente incluía escenas sensibles, como alumnos en bañador, que no guardaban relación directa con una función educativa esencial. Además, no se acreditó que los progenitores hubieran sido informados previamente de ese tratamiento ni que hubieran prestado su consentimiento de forma específica, clara y documentada. Por tanto, la AEPD concluyó que el centro no cumplió con el principio de licitud del tratamiento, ya que no demostró haber actuado con una base legal sólida para ese uso concreto de los datos personales.
El incumplimiento del artículo 6 del RGPD se agrava al tratarse de datos personales de menores, lo que exige un nivel más alto de protección y cautela por parte del responsable del tratamiento. La utilización de una base jurídica genérica no exonera al centro de su deber de aplicar el resto de los principios fundamentales del RGPD, como la minimización de datos, la transparencia y la limitación de la finalidad. En este caso, la falta de información clara y el carácter indiscriminado de las grabaciones revelan una actuación desproporcionada e ilegítima. Como consecuencia, la AEPD consideró esta conducta como una infracción muy grave junto a la vulneración del principio de integridad y confidencialidad.
- La propuesta de sanción para esta infracción se tipifica en el artículo 83.5.a del RGPD en relación con el artículo 72.1.b de la LOPDGDD, calificada como muy grave que origina una sanción pecuniaria de 10.000 euros.
Artículo 13 del RGPD: dicha estipulación obliga al responsable del tratamiento a informar de forma clara, accesible y específica a los interesados en el momento en que se recaban los datos personales. Esta información debe incluir, entre otros aspectos, la identidad del responsable, la finalidad del tratamiento, la base jurídica, los destinatarios de los datos, los plazos de conservación y los derechos que asisten al interesado. En el caso del Centro reclamado, la Agencia comprobó que el centro no cumplió con esta obligación de manera efectiva, especialmente en lo que respecta a las imágenes captadas de menores.
Aunque el colegio aportó formularios de matrícula que incluían una cláusula de autorización para el uso de imágenes, dicha cláusula no contenía toda la información exigida por el artículo 13. Faltaban elementos fundamentales como la indicación de los plazos de conservación de las imágenes, los destinatarios o categorías de destinatarios, y los criterios que se aplicarían para determinar si las imágenes serían difundidas públicamente, por ejemplo, en redes sociales o en medios externos al ámbito escolar. Además, muchos de los documentos aportados estaban descontextualizados, redactados en términos vagos o genéricos, y no estaban dirigidos de forma individualizada a los padres o tutores legales de los menores.
La AEPD también constató que el colegio no estaba en condiciones de acreditar que dicha información hubiera sido efectivamente proporcionada a todos los progenitores, ni que se hubiera actualizado conforme cambiaban los medios y las finalidades del tratamiento (como la introducción de nuevas plataformas digitales, el uso de redes sociales o la participación en actividades externas). La falta de trazabilidad documental y la carencia de registros que evidenciaran el cumplimiento del deber de información llevaron a la AEPD a concluir que se había infringido el artículo 13 del RGPD. Esta infracción es especialmente grave por su impacto directo en la transparencia del tratamiento y en el derecho de los interesados a decidir libremente sobre el uso de sus datos personales.
- La propuesta de sanción para esta infracción se tipifica en el artículo 83.5.b) del RGPD en relación con el artículo 74.a) de la LOPDGDD, calificada como grave que origina una sanción pecuniaria de 10.000 euros.
Asimismo, la Agencia impone una serie de medidas correctivas que el centro deberá adoptar para poner fin a los incumplimientos anteriormente descritos:
La AEPD exige al centro educativo que, en su calidad de responsable del tratamiento, adopte las medidas necesarias para garantizar que cualquier tratamiento de datos personales —en especial los relativos a menores— se ajuste a las exigencias del artículo 5.1.f) del RGPD (integridad y confidencialidad). Esto implica la obligación de establecer controles efectivos sobre la salida de dispositivos electrónicos del centro, implementar protocolos de custodia documentados y garantizar que exista trazabilidad sobre qué datos salen, por qué motivo, quién los gestiona, y durante cuánto tiempo.
Asimismo, se le requiere que cumpla adecuadamente con los artículos 6 y 13 del RGPD. Es decir, debe revisar y documentar de forma clara y precisa la base jurídica que legitima el tratamiento de imágenes de menores, y proporcionar a los interesados toda la información exigida en el artículo 13. Esta información debe ser comprensible, accesible y estar disponible en el momento de la recogida de datos, incluyendo: identidad del responsable, finalidades concretas, base legal, destinatarios, plazos de conservación o criterios para determinar el mismo y mecanismos para ejercer los derechos.
La Agencia también indica que estas medidas correctivas deberán ser comunicadas y demostradas en el procedimiento correspondiente, bajo advertencia de posibles acciones legales adicionales en caso de incumplimiento. La ejecución de estas medidas es independiente de la sanción económica impuesta, y responde al principio de responsabilidad proactiva. El objetivo no es solo corregir el incumplimiento pasado, sino instaurar una cultura real de protección de datos dentro del centro, con garantías verificables y sostenibles en el tiempo.
Finalmente, el Colegio reclamado se acogió al procedimiento de pago voluntario con reconocimiento de responsabilidad. Esta decisión permitió al centro beneficiarse de una reducción del 40 % en la cuantía total de la sanción, quedando finalmente fijada en 24.000 euros, en lugar de los 40.000 euros inicialmente propuestos por la AEPD.
Como conclusión, cualquier centro o entidad que trate datos personales, especialmente de menores, debe establecer medidas organizativas y técnicas que aseguren el cumplimiento de los artículos 5.1.f, 6 y 13 del RGPD. Esto implica implementar controles efectivos sobre el acceso y la salida de dispositivos que contengan datos, documentar adecuadamente la base jurídica que legitima cada tratamiento, y garantizar que los interesados reciban información clara, completa y actualizada sobre cómo se utilizarán sus datos. Estas medidas no solo deben existir formalmente, sino estar activas, registradas y disponibles para su verificación en cualquier momento por la autoridad competente. Si quieres saber más sobre centros educativos y protección de datos pincha aquí https://www.prodat.es/blog/creacion-de-correos-electronicos-a-menores-de-edad-en-centros-escolares-es-necesario-el-consentimiento-de-los-padres-sancion-de-la-aepd/
