El colegio creó a una alumna, menor de 14 años una dirección de correo electrónico, sin haber recabado el consentimiento de los tutores para abrirla ni para trabajar con un perfil de la aplicación Classroom.
Alguien suplantó la identidad de la menor, escribiendo correos desde la cuenta, lo que fue comunicado al colegio.
Iniciada la investigación, se detecta además que las medidas de seguridad no eran las óptimas ya que la contraseña del correo electrónico para todos los niños y niñas eran las iniciales de la menor más la fecha de nacimiento de la madre, sin forzar el cambio de la misma, dando la posibilidad a una suplantación de identidad sin mucho esfuerzo.
Aunque el colegio argumenta que la creación de la dirección de correo electrónico responde a una necesidad educativa, y que se llevó a cabo durante la época excepcional del COVID19, ante la necesidad de adaptación rápida de los sistemas educativos existentes hasta el momento, la Agencia lo rechaza y señala que, en ningún caso, una situación de emergencia como la pandemia mundial del Covid legitima, por sí misma, el tratamiento de los datos personales sin el consentimiento de sus titulares o de los tutores.
Sorprende también a la Agencia que la falta del consentimiento del titular de los datos o, en el supuesto de menores de 14 años, del tutor, se haya suplido con una simple comunicación posterior por correo electrónico y, sorprende, aún más, que se le dé todo el valor del propio consentimiento por no constar impedimento o negativa por parte de dichos tutores.
Para la Agencia, el hecho de que la contraseña del correo electrónico creado por el Colegio para todos los niños y niñas del centro fueran las iniciales de la menor más la fecha de nacimiento de la madre, evidencia la debilidad y la falta de medidas de seguridad razonables y, con ello, un incumplimiento de las obligaciones del responsable del tratamiento en materia de protección de datos.
Y en todo caso, la adopción de medidas de seguridad con posterioridad al incidente denota una ausencia de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento. Lo determinante es que no había medidas suficientes o no se habían implantado correctamente en el momento que se produjo el incidente, - subraya la resolución-.
La formación y concienciación en materia de protección de datos del personal que presta sus servicios en el colegio entra dentro de la obligación del responsable del tratamiento de aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
Un colegio, en ejercicio de su actividad educativa y en el concreto tratamiento de datos personales de menores, debe tener especial cautela en el tratamiento de datos personales, y al no haberlo hecho, debe ser sancionado por ello, sin perjuicio de valorar sus ulteriores esfuerzos a la hora de cuantificar la sanción.