La autoridad de control ha impuesto a un colegio varias sanciones (cuyo importe total asciende a 10.000 euros) por la infracción de los artículos 6.1 -licitud del tratamiento-, 13 – Información que deberá facilitarse cuando los datos personales se obtengan del interesado- y 32 -seguridad del tratamiento- del RGPD.
La parte reclamante puso de manifiesto que el Colegio tomó la decisión de crear a una alumna, menor de 14 años, un correo electrónico a efectos de comunicarse con ella y de abrir un perfil en la aplicación “Classroom”, sin haber recabado el consentimiento expreso de sus tutores o representantes legales. En relación con esta cuestión, se ha declarado probado que las contraseñas que el colegio estableció para acceder al correo electrónico consistían en las iniciales de la menor seguido de la fecha de nacimiento de la madre, sin que se estipulara un plazo para modificar las mismas.
Posteriormente, los padres (reclamantes) tuvieron conocimiento de que un tercero había suplantado la identidad de la menor enviando correos desde esta cuenta y accediendo al perfil en la aplicación indicada. Sin embargo, el colegio no ha notificado este incidente, ni le ha dado mayor importancia (a pesar de habérselo comunicado por ellos).
Con ocasión de lo anterior, los representantes legales de la menor interpusieron reclamación ante la autoridad de control. En la misma, adicionalmente, se hacía constar que en la política de privacidad del colegio no se incluían los datos de contacto del DPO, ni existía en realidad el correo que se indicaba en la web de la AEPD como tal (al dirigir un correo electrónico a dicha dirección, el mismo resultó devuelto por “error en el envío”).
Una vez notificada la resolución, el colegio presentó escrito de alegaciones en el que se ponía de manifiesto, entre otras cuestiones, que la creación de la cuenta de correo se había efectuado en el contexto de la crisis sanitaria del Covid debido a una necesidad educativa; que había medidas de seguridad adecuadas implementadas; que sus sistemas de tratamiento de información personal están adaptados a la normativa vigente, informando de todas las cuestiones relevantes a los titulares de los datos; así como que se adoptaron nuevas medidas para evitar que el incidente pudiera volver a tener lugar.
Una vez incoado el procedimiento sancionador, la autoridad de control dio respuesta a las alegaciones planteadas por la parte reclamada del siguiente modo:
- En relación con la creación de la cuenta de correo en el contexto del Covid, se afirmaba por el Colegio que la comunicación de su creación se efectuó mediante email a los tutores de los menores, sin que existiera impedimento o negativa por su parte (en este sentido, se exponía que “La finalidad de creación de esta cuenta responde a la propia ejecución y desarrollo de la formación, no siendo posible, debido a la falta de presencialidad, la ejecución y asistencia de los alumnos/as a través de otras vías que no fuesen las habilitadas en ese momento excepcional”). La AEPD ha declarado que una situación de emergencia (como la que tuvo lugar durante el Covid) no puede legitimar por sí sola el tratamiento de datos sin el consentimiento expreso de sus titulares, cuando ello sea necesario (como sucede en este caso, por encontrarnos ante una menor de 14 años). En este sentido, con carácter adicional, se expone que resulta sorprendente (siendo erróneo) que dicha falta de consentimiento se haya suplido con una mera comunicación electrónica a los titulares (sin que estos se opusieran) otorgándole el mismo valor que a un consentimiento expreso.
- Respecto a las medidas de seguridad que el colegio afirmaba que habían sido adecuadamente implementadas, si bien la autoridad de control “celebra su implementación”, declara que el hecho de que la contraseña estuviera establecida del modo explicado, sin que se exigiera su cambio, “evidencia la debilidad y la falta de dichas medidas de seguridad razonables y, en consecuencia, un incumplimiento de las obligaciones del responsable”.
- En relación con la adaptación de los sistemas de tratamiento de datos y la información facilitada a los afectados, afirma la AEPD que ello es una obligación legal impuesta a todos los responsables, por lo que no puede ser tenida en consideración como argumento. Adicionalmente, se indica que en la política de privacidad no se hacían constar los datos de contacto de su DPO, por lo que no se facilitaba toda la información exigida por el RGPD.
- Por último, en respuesta a las alegaciones sobre las medidas implementadas por el Colegio con posterioridad al incidente, la autoridad de control ha declarado que estas “denotan una ausencia de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento”, siendo evidente que las medidas previamente adoptadas resultaban insuficientes. En este sentido, se cita la Sentencia de la Audiencia Nacional de 9 de febrero de 2023 en la que se declara que “Las medidas de seguridad implementadas con posterioridad, no afectan a la comisión de la infracción y contrariamente a lo pretendido por la actora no pueden amparar la aplicación de una eximente”.
En conclusión, el tratamiento de datos personales de menores exige una diligencia reforzada por parte de cualquier entidad o profesional. Es por ello por lo que resulta imprescindible recabar el consentimiento expreso de este (cuando sea mayor de catorce años) o de los padres o tutores legales y, muy especialmente, conservar prueba documental de haberlo obtenido de forma válida. No hacerlo puede implicar un riesgo sancionador relevante.
Puede acceder a la resolución sancionadora dictada por la autoridad de control aquí.
