Sancionan a un colegio con 10.000 euros por crear una cuenta de correo a una menor sin consentimiento

Children sit at computers in the classroom.

FORLOPDjunio 23, 2025/inCIBERSEGURIDAD, ProtecciónDatos

Disponer de una cuenta de correo electrónico es habitual en entornos educativos. Sin embargo, su gestión debe ajustarse al marco legal vigente, especialmente cuando involucra a menores de edad. Recientemente, la Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 10.000 euros a un centro educativo por crear una cuenta de correo a una menor sin el consentimiento de sus padres.

Vulneración del derecho a la protección de datos de una menor

El caso salió a la luz cuando los padres de una alumna descubrieron que su hija había sido suplantada en la plataforma Google Classroom, utilizando la cuenta de correo institucional. Personas ajenas habían accedido y publicado contenido en su nombre. Al contactar con el centro, los progenitores constataron que las contraseñas utilizadas eran fáciles de adivinar y no contaban con mecanismos de seguridad robustos, lo que facilitó el acceso no autorizado.

Además, el colegio no facilitó los registros de actividad ni la dirección IP solicitados por los padres, lo que agravó la falta de transparencia en la gestión de los datos personales.

Incumplimiento de la normativa de protección de datos y derechos del menor en el colegio

La AEPD concluyó que el centro educativo:

No solicitó el consentimiento expreso de los padres para la creación de la cuenta.

No garantizó la seguridad de las contraseñas, incumpliendo el artículo 32 del Reglamento General de Protección de Datos (RGPD).

Tampoco se proporcionó la información solicitada sobre el tratamiento de los datos personales, violando principios de transparencia y responsabilidad proactiva.

Pese a que el centro argumentó que la medida se tomó durante la pandemia para asegurar la continuidad educativa, la AEPD recordó que el estado de emergencia no exime del cumplimiento del RGPD, especialmente cuando se trata de menores.

Ley de protección a la infancia y datos personales

La Ley Orgánica de Protección Integral a la Infancia y la Adolescencia frente a la Violencia (LOPIVI) y el RGPD establecen que los menores son un colectivo vulnerable y requieren una protección especial de sus datos personales. La creación de perfiles digitales, correos electrónicos o cualquier tipo de identificación digital sin autorización parental, constituye una infracción grave.

¿Está cumpliendo con la normativa de protección de datos el centro educativo?

Este caso es un claro recordatorio de la importancia de cumplir con la Ley de Protección de Datos y la legislación sobre protección a la infancia. La gestión de plataformas digitales, correos electrónicos escolares y servicios online debe ir acompañada de:

Consentimiento informado y verificable de los padres o tutores legales.

Políticas de privacidad claras y accesibles.

Medidas técnicas adecuadas: cifrado de contraseñas, autenticación segura, y acceso limitado.

Registros de actividad fácilmente auditables.

¿Cómo debe gestionarse la seguridad de contraseñas en entornos educativos?

Las contraseñas deben cumplir con requisitos de:

Complejidad (letras, números, símbolos)
Renovación periódica
Cifrado y almacenamiento seguro
Autenticación en dos pasos (2FA), cuando sea posible

En Forlopd ayudamos a organizaciones, instituciones y empresas de diferentes sectores a cumplir con las normativas en materia de protección de datos. De modo que evitan incurrir en posibles sanciones de la Agencia Española de Protección de Datos. Puedes solicitarnos más información a través del formulario de contacto.