| Resolución | PS-00502-2023 |
| Firmado | 2025-04-22T00:00:00Z |
| Enlace | 📋 |
El Colegio Virgen de Europa, S.L. fue sancionado por varias infracciones relacionadas con la protección de datos personales de sus estudiantes. La reclamación se originó cuando los padres de una alumna menor de 14 años denunciaron que el colegio había creado un correo electrónico para su hija sin obtener el consentimiento de los tutores. Además, se descubrió que alguien había suplantado la identidad de la menor utilizando esta cuenta de correo.
El colegio fue acusado de no notificar la brecha de seguridad y de no implementar medidas de seguridad adecuadas. Las contraseñas de los correos electrónicos de los estudiantes eran débiles y fácilmente predecibles, lo que facilitó la suplantación de identidad. Además, la política de privacidad del colegio no incluía los datos de contacto del Delegado de Protección de Datos (DPD), lo cual es una obligación legal.
El colegio alegó que la creación de las cuentas de correo fue una respuesta a la necesidad educativa durante la pandemia de COVID-19 y que se comunicó a los tutores mediante correos electrónicos. Sin embargo, esta comunicación no se consideró suficiente para obtener el consentimiento válido. El colegio también argumentó que había implementado medidas de seguridad y formación para el personal, pero estas acciones fueron consideradas insuficientes y tardías.
Como resultado, el colegio fue sancionado con multas por las siguientes infracciones:
1. **Infracción del artículo 6.1 del RGPD**: No se obtuvo el consentimiento válido de los tutores para la creación de las cuentas de correo. Multa de 4.500 euros.
2. **Infracción del artículo 13 del RGPD**: La política de privacidad no incluía los datos de contacto del DPD. Multa de 1.000 euros.
3. **Infracción del artículo 32 del RGPD**: No se implementaron medidas de seguridad adecuadas para proteger los datos personales. Multa de 4.500 euros.
Las sanciones reflejan la gravedad de las infracciones y la necesidad de que las instituciones educativas cumplan con las normativas de protección de datos, especialmente cuando se trata de menores de edad.