La reciente resolución dictada por la Agencia Española de Protección de Datos (en adelante, AEPD), de fecha 10 de julio de 2025, impone una sanción económica de 10.000 euros a un centro educativo privado por infracción del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (en adelante, RGPD), con ocasión de la creación de una cuenta de correo electrónico institucional y un perfil en la plataforma educativa “Classroom” a una alumna de 14 años, sin haber recabado el consentimiento previo y explícito de sus representantes legales.
I. Vulneración del principio de licitud del tratamiento (art. 6.1 RGPD)
La conducta infractora reside en la ausencia de base legitimadora válida para el tratamiento de datos personales de la menor. En efecto, el artículo 6.1 del RGPD exige que, para que un tratamiento de datos personales resulte lícito, deba concurrir alguna de las bases jurídicas previstas, entre ellas, el consentimiento del interesado —o, tratándose de menores de 14 años, conforme al artículo 7 de la LOPDGDD, el de sus progenitores o representantes legales—.
El colegio, sin embargo, procedió unilateralmente a la creación de la cuenta, notificando con posterioridad dicha actuación a los tutores legales mediante correo electrónico, sin otorgar opción alguna a manifestar su oposición previa o consentimiento expreso. La AEPD descarta que esta comunicación posterior pueda entenderse como consentimiento tácito o válido, en tanto que vulnera frontalmente el principio de “licitud, lealtad y transparencia” previsto en el artículo 5.1.a) RGPD.
II. Insuficiencia de las medidas de seguridad (art. 32 RGPD)
En segundo lugar, se constató la existencia de una brecha de seguridad en la cuenta de la menor, tras acceder un tercero no autorizado que suplantó su identidad y remitió mensajes en su nombre. La clave asignada por el centro consistía en las iniciales de la alumna y la fecha de nacimiento de la madre, sin prever su modificación obligatoria ni doble autenticación.
A juicio de la AEPD, ello constituye una infracción del artículo 32 RGPD, al no haberse aplicado medidas técnicas y organizativas adecuadas al nivel de riesgo. En particular, se incumple la obligación de garantizar la confidencialidad e integridad de los datos personales tratados, especialmente sensibles por afectar a una menor de edad.
III. Incumplimiento del deber de información (art. 13 RGPD)
Asimismo, el centro fue sancionado por incumplir el deber de información derivado del artículo 13 RGPD, al no incluir en su política de privacidad una dirección electrónica válida del Delegado de Protección de Datos (DPD). La única referencia incluida en la página web institucional dirigía a un correo inexistente, sin ofrecer alternativas accesibles de contacto.
Tal omisión impide al interesado —o a sus representantes legales— ejercer sus derechos reconocidos en los artículos 15 a 22 RGPD, vulnerando así el principio de transparencia y el derecho a la tutela efectiva de los datos personales.
IV. Irrelevancia de la situación de emergencia sanitaria como causa justificativa
El colegio alegó que la creación de cuentas digitales respondía a una necesidad derivada de la pandemia por COVID‑19 y el consecuente uso generalizado de plataformas de educación a distancia. No obstante, la AEPD recuerda que la excepcionalidad de la situación no exime del cumplimiento de las exigencias legales en materia de protección de datos, ni autoriza a obviar la obtención del consentimiento en los términos del artículo 6.1.a) RGPD.
El estado de necesidad o la existencia de una finalidad legítima (educativa) no ampara un tratamiento automatizado y sin garantías mínimas, mucho menos en el caso de menores de edad.
V. Consideraciones finales
Esta resolución refuerza el criterio mantenido por la AEPD en cuanto a la prevalencia del principio de responsabilidad proactiva (art. 5.2 RGPD) y la especial protección de los datos de los menores. Los centros educativos, como responsables del tratamiento, deben adoptar políticas claras de privacidad, garantizar la seguridad técnica de sus plataformas y, especialmente, verificar el consentimiento parental en todos aquellos tratamientos que afecten a menores de 14 años.
La creación de cuentas digitales, perfiles educativos o acceso a plataformas virtuales en el contexto escolar no puede ejecutarse sin base jurídica adecuada, y menos aún sin ofrecer a las familias la posibilidad de ejercer su autonomía informativa con carácter previo.
