La Agencia Española de Protección de Datos (AEPD) ha resuelto un caso que involucra a un centro educativo privado y el tratamiento inadecuado de imágenes de estudiantes menores de edad. El procedimiento sancionador EXP202315180 se inició tras una denuncia presentada en septiembre de 2023.
Los Hechos
El caso se originó cuando los padres de una menor tuvieron conocimiento, a través de la Guardia Civil, de que su hija había sido grabada. Los archivos fueron encontrados en dos ubicaciones: parte de ellos en una carretera, en una cámara encontrada por un viandante, y otra parte en el domicilio personal de un profesor del centro educativo.
Según la reclamación, la captura de imágenes fue realizada sin conocimiento ni consentimiento de los progenitores y sin la observancia del más mínimo protocolo de custodia de los archivos. Los denunciantes consideraron que se había vulnerado el principio de transparencia del tratamiento al haberse captado las imágenes sin informar previamente a los afectados.
La Investigación
Durante las actuaciones de investigación, la AEPD realizó múltiples requerimientos de información al centro educativo entre febrero y agosto de 2024. El colegio informó que la obtención del consentimiento de los progenitores para la grabación de imágenes se llevaba a cabo en el momento de reserva de plaza y matriculación, revisándose como mínimo de forma anual.
El centro aportó un documento de autorización fechado en 2018 que permitía a un profesor la salida de soportes informáticos de las instalaciones del centro. Esta autorización se concedía “hasta comunicación expresa en contrario” y establecía que las salidas debían quedar registradas.
Sin embargo, cuando se solicitó el registro de salidas y devoluciones de dispositivos entre determinadas fechas, el colegio afirmó que “no existe ninguna autorización que se haya otorgado para la salida y posterior devolución al docente” durante esos ejercicios.
Las Infracciones Identificadas
La AEPD identificó tres infracciones del Reglamento General de Protección de Datos (RGPD):
Violación del principio de integridad y confidencialidad (Artículo 5.1.f): Se produjo una brecha de datos personales en la medida en que un tercero no autorizado accedió a las imágenes de menores contenidas en un dispositivo de grabaciones audiovisuales que fue extraviado y encontrado por un viandante.
Falta de base legal para el tratamiento (Artículo 6.1): El colegio no acreditó las matrículas con los correspondientes consentimientos de varios cursos académicos, lo que supone que el consentimiento no fue demostrado por el responsable.
Información insuficiente a los interesados (Artículo 13): En los formularios de inscripción no se mencionaba el plazo de conservación de los datos, la posibilidad de retirar el consentimiento, ni la referencia a la posibilidad de presentar una reclamación ante una autoridad de control.
La Resolución
El colegio procedió al pago voluntario de la sanción por un importe de 24.000 euros, haciendo uso de las reducciones previstas por reconocimiento de responsabilidad y pago anticipado. La sanción inicial propuesta había sido de 40.000 euros, distribuidos entre las tres infracciones.
Además de la multa económica, la AEPD ordenó al centro que en un plazo de tres meses adopte medidas para garantizar la seguridad de los datos, cese el tratamiento sin base legal adecuada y ponga a disposición la información exigida por la normativa de protección de datos.
El expediente refleja un volumen de negocio del centro educativo de 11.181.007 euros en 2023, factor que se tuvo en cuenta para el cálculo de la sanción junto con la gravedad de afectar a menores de edad y la actividad habitual de tratamiento de datos personales del centro.
