La Agencia Española de Protección de Datos (AEPD) ha sancionado alcolegio Nuestra Señora de la Caridad del Cobre después de que a la directora pedagoga le robaran su ordenador portátil, el cual contenía información sensible de padres y alumnos del centro. Un «error humano» de la directora que supone un quebrantamiento de la protección de datos por parte del centro escolar.
El 21 de marzo de 2023, la directora pedagoga del colegio Nuestra Señora de la Caridad del Cobre salía de su despacho, sin cerrar la puerta con llave. Un momento en el que le era sustraído su ordenador portátil.
Ordenador que contenía«información sobre datos identificativos de padres/madres y/o tutores legales, y datos correspondientes al expediente académico de los alumnos, que incluyen datos de salud».
Un «error humano», según justificaba el colegio, que afectaba a un total de 450 personas, de las cuales 150 eran menores de edad.
Una brecha de datos que se informaba a los afectados en el mes de mayo. Y que el colegio también comunicaba a la AEPD, explicando que esta situación se había producido por un error humano, y no debido a falta de medidas de protección por parte del centro escolar.
Así, explicaba el colegio que existen medidas «destinadas a evitar los accesos no autorizados en los dispositivos», con bloqueos automáticos pasados diez minutos de inactividad, o medidas que obligan a los trabajadores a «cerrar con llave» las puertas al final de la jornada laboral o cuando se produzcan ausencias del lugar.
«La directora se tuvo que ausentar de su despacho dejando la puerta cerrada, pero sin llave, como causa de un descuido relacionado con un error humano, pero nunca con la falta de un procedimiento establecido por el Colegio», insistía la entidad educativa.
Algo que, sin embargo, no era suficiente para evitar el expediente sancionador de la Agencia.
5.000 € de sanción por un ordenador robado
«Por parte de esta Agencia, se considera que haber puesto en peligro la confidencialidad, disponibilidad o integridad de los datos referidos a padres/madres y/o tutores legales, datos que corresponden al expediente académico de los alumnos y, sobre todo, datos tan importantes como los de la salud, no pueden considerarse riesgo bajo», expone la AEPD.
Una valoración en la que la Agencia expone que los datos contenidos en el ordenador «no estaban cifrados». Y, del mismo modo, que se tardó más de un mes en informar a los afectados del robo de sus datos.
Situación que supone una infracción de los artículos 32 y 34 del RGPD. Por un lado, debido a la infracción sobre la «seguridad del tratamiento» de los datos. Por otro, la vulneración de «las comunicaciones de las violaciones de seguridad de los datos personales a los interesados».
Hechos ante los que la AEPD procedía a imponer al colegio Nuestra Señora de la Caridad del Cobre una multa de 3.000 y 2.000 euros, respectivamente, por cada una de las infracciones, sumando un total de 5.000 euros de sanción.
Del mismo modo, estipulaba la Agencia que, en el plazo de 6 meses, el colegio deberá acreditar la implantación de medidas de protección técnicas y organizativas. También medidas de control de acceso, para evitar la sustracción de datos personales. Especialmente, los más sensibles en relación a menores.
