La Agencia Española de Protección de Datos (AEPD) en el expediente sancionador https://www.aepd.es/documento/ps-00502-2023.pdf impuso una multa de 10.000 euros a un centro educativo privado por diversas infracciones del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
La reclamación fue presentada por el padre de una alumna menor de edad, quien denunció que el centro había creado una cuenta de correo electrónico institucional y un perfil en una plataforma educativa sin haber recabado el consentimiento de los tutores legales, tal como exige la normativa en el caso de menores de 14 años. Se produjo además un incidente de suplantación de identidad, por una seguridad deficiente: la contraseña que se utilizó no cumplía con las medidas de seguridad adecuadas.
La AEPD determinó las siguientes infracciones: tratamiento de datos sin una base legítima; falta de información sobre el Delegado de Protección de Datos en la política de privacidad y aplicación de medidas de seguridad inadecuadas.
IMPORTANTE
Tratar datos personales sin una base jurídica válida conforme al artículo 6 del RGPD constituye una infracción grave según la LOPDGDD.
