Un colegio fue sancionado tras la denuncia de los progenitores de una menor de 14 años, por crear una cuenta de correo electrónico y un perfil de Google Classroom sin el consentimiento expreso de sus progenitores.
Además, las contraseñas asignadas en la creación de la cuenta eran fáciles de deducir: iniciales de la menor + fecha de nacimiento de la madre y no se obligaba al cambio de contraseña en el primer acceso, como medida de seguridad extra para evitar brechas, lo que facilitó el acceso indebido y la suplantación por parte de un tercero de la cuenta de la menor, por lo que, las medidas de seguridad implementadas por el centro sobre la cuenta de correo, tampoco eran las adecuadas.
La AEPD impuso una sanción al centro y medidas adicionales como:
- Un Programa de formación en Protección de Datos para empleados.
- Actualización de procedimientos en los que debe de constar el consentimiento expreso de tutores de los niños y niñas menores de edad.
- Revisión de Políticas de Privacidad y Seguridad Interna.
La sanción impuesta al centro fue de un total de 10.000 euros:
- 4.500 € → por tratamiento de datos sin consentimiento (art. 6.1 RGPD).
- 1.000 € → por falta de transparencia y datos del DPD (art. 13 RGPD).
- 4.500 € → por no aplicar medidas de seguridad adecuadas (art. 32 RGPD).
CONCLUSIONES
- No basta con comunicar la creación de la cuenta: se debe obtener y guardar la evidencia de la obtención del consentimiento expreso de sus progenitores para crear la cuenta de correo a un menor.
- Las medidas de seguridad deben ser reales y efectivas sobre los medios tecnológicos propiedad del colegio.
- La transparencia en la información al usuario (incluyendo al DPD) debe estar a disposición de los titulares de los datos.
Redactado por Julia Peñamedrano, a fecha 23 de junio de 2025.