Última revisión
01/09/2023
Resolución de la Agencia Española de Protección de Datos PS-00447-2022 de 28 de abril de 2023
Relacionados:
Órgano: Agencia Española de Protección de Datos
Fecha: 28/04/2023
Num. Resolución: PS-00447-2022
Cuestión
1 / 16Expediente N.º: EXP202200993
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO : D. A.A.A. (en adelante, la parte reclamante), en fecha 15 de diciembre de
2021, interpuso...
Contestacion
1/16
? Expediente N.º: EXP202200993
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO: D. A.A.A. (en adelante, la parte reclamante), en fecha 15 de diciembre de
2021, interpuso reclamación ante la Agencia Española de Protección de Datos. La reclamación
se dirige contra la CONSEJERIA DE EDUCACION Y FORMACION PROFESIONAL
DEL GOBIERNO DE ILLES BALEARS, con NIF S0711001H (en adelante,
la parte reclamada). Los motivos en que basa la reclamación son los siguientes:
El reclamante manifiesta que durante el curso académico 2020/2021, estuvo ejerciendo
de profesor en el IES IES.1, de ***LOCALIDAD.1 (Illes Balears), siéndole asignada
una dirección de correo electrónico corporativo a la que dejó de tener acceso al finalizar
el curso académico. No obstante, en fecha 15 de diciembre de 2021, recibió comunicación
de GOOGLE informándole de un nuevo inicio de sesión en la referida cuenta
corporativa por lo que considera que podría haberse suplantado su identidad y vulnerado
sus derechos en torno a la protección de datos.
Junto a la notificación aporta captura de pantalla del mensaje recibido de GOOGLE
alertando del inicio de sesión en la cuenta.
SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales
(en adelante LOPDGDD), se dio traslado de dicha reclamación a la parte reclamada,
para que procediese a su análisis e informase a esta Agencia en el plazo de un mes,
de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa
de protección de datos.
El traslado, que se practicó mediante notificación electrónica, conforme a las normas
establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común
de las Administraciones Públicas (en adelante, LPACAP), fue recibido en fecha 4
de febrero de 2022, como consta en el acuse de recibo que obra en el expediente.
No se ha recibido respuesta a este escrito de traslado.
TERCERO: En fecha 15 de marzo de 2022, de conformidad con el artículo 65 de la
LOPDGDD, se comunica la admisión a trámite de la reclamación presentada por la
parte reclamante.
CUARTO: La Subdirección General De Inspección de Datos procedió a la realización
de actuaciones previas de investigación para el esclarecimiento de los hechos en
cuestión, en virtud de las funciones asignadas a las autoridades de control en el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/16
artículo 57.1 y de los poderes otorgados en el artículo 58.1 del Reglamento (UE)
2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de
conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la
LOPDGDD, teniendo conocimiento de los siguientes extremos:
Durante las presentes actuaciones se han investigado las siguientes entidades:
CONSEJERÍA DE EDUCACIÓN Y FORMACIÓN PROFESIONAL DEL GOBIERNO DE
ILLES BALEARS, con NIF S0711001H, y domicilio en CARRER DEL TER 16- 07009
PALMA (ILLES BALEARS).
RESULTADO DE LAS ACTUACIONES DE INVESTIGACIÓN
El reclamante aporta una captura de pantalla con contenido en lengua catalana en la
que GOOGLE informa que se ha producido un nuevo inicio de sesión en la cuenta
***EMAIL.1.
En fecha 3 de mayo de 2022, se solicitó información en relación con los hechos
denunciados a la CONSEJERÍA DE EDUCACIÓN Y FORMACIÓN PROFESIONAL
DEL GOBIERNO DE ILLES BALEARS, sin obtener respuesta.
En fecha 14 de julio de 2022, se recibe respuesta al requerimiento de información de
la Inspección de Datos, en el que se pone de manifiesto lo siguiente:
El reclamante ha sido docente del centro desde el día 1 de septiembre de 2020 hasta
el 31 de agosto de 2021.
Durante los primeros días de septiembre, se le facilitó una dirección de correo
electrónico corporativo, con finalidades exclusivamente académicas y profesionales
relacionadas con el mencionado centro docente.
Se ha detectado que accidentalmente no se le retiró el acceso a su cuenta de correo
electrónico en el mes de septiembre de 2021, como debería haberse hecho, que el
centro no ha cambiado la contraseña de la dirección de correo electrónico del
reclamante, en consecuencia, éste seguía teniendo acceso a ésta.
Se desconocen los motivos y personas que puedan haber tenido acceso a esta
cuenta, y que en ningún caso ha sido con conocimiento y consentimiento del equipo
directivo, que en todo momento se comunica al equipo docente que el uso de esta
cuenta es exclusivo para tareas académicas, jamás de uso personal, ya que es
propiedad de la administración educativa, y que como consecuencia de la detección
de la no retirada de acceso a la cuenta de correo electrónico corporativo, se le retira el
acceso.
Respecto a la documentación requerida sobre las políticas de seguridad del correo
electrónico corporativo, normas de uso e información que se facilita a los empleados y
usuarios y normas de cancelación de las cuentas de correo electrónico del personal
cesante, manifiestan que se dispone de un sistema de seguridad denominado de
doble verificación. Este sistema añade una capa de seguridad adicional en el caso de
robo de contraseña y por seguridad envía un correo electrónico a la misma cuenta de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/16
***URL.1 en el momento que detecta una entrada desde un dispositivo diferente del
habitual. El sistema informa con un mensaje al titular de la cuenta para comprobar que
no se trata de un intruso que pretende un acceso indebido.
CONCLUSIONES:
-El reclamante ha sido docente del centro desde el día 1 de septiembre de 2020 hasta
el 31 de agosto de 2021, y como consecuencia se le facilitó una dirección de correo
electrónico corporativo, con finalidades exclusivamente académicas y profesionales
relacionadas con el mencionado centro docente.
-El día 15 de diciembre de 2021, hubo un acceso a la cuenta de correo corporativa del
reclamante, desconociéndose los motivos y personas que puedan haber tenido acceso
a esta cuenta.
-Como consecuencia de la detección de la no retirada de acceso a la cuenta de correo
electrónico corporativo, a partir de esta reclamación, se le retira el acceso.
-No aportan documentación acreditativa de las políticas de seguridad del correo
electrónico corporativo, normas de uso e información que se facilita a los empleados y
usuarios y normas de cancelación de las cuentas de correo electrónico del personal
cesante.
QUINTO: En fecha 23 de noviembre de 2022, la Directora de la Agencia Española de
Protección de Datos acordó iniciar procedimiento sancionador a la parte reclamada,
con arreglo a lo dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de octubre,
del Procedimiento Administrativo Común de las Administraciones Públicas (en
adelante, LPACAP), por la presunta infracción del artículo 32 del RGPD, tipificada en
el artículo 83.4 del RGPD.
El acuerdo de inicio fue enviado, conforme a las normas establecidas en la Ley
39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas (en adelante, LPACAP), mediante notificación electrónica,
siendo recibido en fecha 25 de noviembre de 2022, como consta en el certificado que
obra en el expediente.
SEXTO: Notificado el citado acuerdo de inicio conforme a las normas establecidas en
la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas (en adelante, LPACAP), la parte reclamada presentó escrito
de alegaciones en el que, en síntesis, aporta un informe técnico elaborado por el
Servicio de Tecnologías de la Información en la Educación de la Dirección General de
primera Infancia y Comunidad Educativa.
En dicho informe se pone de manifiesto que, en las Islas Baleares, los centros
educativos tienen consolas propias ya sea de Google Workspace o de Microsoft (en el
caso de un centro), debido a la necesidad que surgió durante la pandemia de poseer
entornos digitales en los que poder continuar con la educación del alumnado ante los
escenarios de confinamiento y semipresencialidad.
Desde la Consejería de Educación y Formación Profesional, a través del CEP
IBSTEAM, se realizaron formaciones específicas para la gestión de estas consolas
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/16
educativas en las cuáles se plantearon las políticas de seguridad y protección de
datos.
Asimismo, se indica que, ante la baja por cualquier motivo de un trabajador, las
cuentas se suspenden, no se eliminan, a fin de que si el trabajador vuelve a estar en
activo (situación frecuente en personal docente) pueda acceder a los correos
electrónicos (con documentación de trabajo) de cursos anteriores.
No obstante, se recomienda que el tiempo entre el cese y la suspensión de la cuenta
sea de un mes, si bien los centros educativos aplicaron una política más laxa en
cuanto a fechas de suspensión de usuarios por las implicaciones de la pandemia de
COVID-19 permitiendo un mayor tiempo a los docentes para transferir material a
nuevas cuentas.
En relación con el caso concreto que ha generado la reclamación, manifiesta su
sorpresa por la aceptación como prueba para tramitar la denuncia, de la captura de
pantalla del correo electrónico en la que no consta la fecha.
El Servicio de Tecnologías de la Información en la Educación, con la colaboración del
centro IES IES.1, han comprobado la actividad de la cuenta mediante las herramientas
de auditoría e investigación de la consola Workspace del IES IES.1.
Resultado de dichas comprobaciones, considera necesario que se tenga en cuenta lo
siguiente:
-A pesar de lo que manifiesta el reclamante, se observa que no ha habido ningún
cambio de contraseña. Ni el propietario de la cuenta realizó nunca un cambio de esta
desde el momento de la creación. Además, la única actividad posterior a la creación
de la cuenta fue su suspensión con fecha 15 de junio de 2022.
-El reclamante, en contra de lo que manifiesta, mantuvo el acceso a la cuenta hasta
junio de 2022. Los centros educativos aplicaron una política más laxa en cuanto a
fechas de suspensión de usuarios por las implicaciones de la pandemia de COVID-19
permitiendo un mayor tiempo a los docentes para transferir material a nuevas cuentas.
-En lo que respeta a los accesos, existe un acceso de fecha 15 de diciembre de 2021,
para realizar el cambio de propiedad de una clase de Classroom. Este acceso se
realizó a petición por el propio reclamante. Al acceder a la aplicación Classroom, el
aviso se produce de la misma forma que si fuera directamente a la aplicación de
correo.
-El centro dispone de un protocolo de uso de las cuentas corporativas para las cuentas
nuevas, aprobado en septiembre de 2022. Se aporta el protocolo original y su
traducción. Con anterioridad a esta fecha la información se daba de forma oral.
Se aporta con este informe documentación acreditativa de las políticas de seguridad
del correo corporativo, en las que se está trabajando a nivel de Consejería además de
las propias del centro.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/16
SÉPTIMO: En fecha 6 de febrero de 2023 se formuló propuesta de resolución,
proponiendo:
CONSEJERIA DE EDUCACION Y FORMACION PROFESIONAL DEL GOBIERNO
DE LAS ISLAS BALEARES, con NIF S0711001H, por una infracción del artículo 32 del
RGPD, tipificada en el artículo 83.4 del RGPD, una sanción de apercibimiento.>>
La citada propuesta de resolución fue enviada, conforme a las normas establecidas en
la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas (en adelante, LPACAP), mediante notificación electrónica,
siendo recibida en fecha 6 de febrero de 2023, como consta en el certificado que obra
en el expediente.
OCTAVO: En fecha 14 de febrero de 2023, la parte reclamada presentó escrito de
alegaciones a la Propuesta de Resolución, en el que, en síntesis, manifiesta que:
Respecto del primer hecho declarado probado, en el que el reclamante considera que
podría haberse suplantado su identidad y vulnerado sus derechos en torno a la
protección de datos, alega que es una manifestación totalmente hipotética, puesto que
tal y como consta en el Informe técnico de 13 de febrero de 2023, la comunicación que
recibió el reclamante de Google en fecha 15 de diciembre de 2021, informándole de un
nuevo inicio de sesión en su cuenta corporativa, solo prueba que recibió un aviso de
alerta de seguridad de que se había detectado un intento de acceso a la cuenta que se
realiza de forma automática por Google y que del análisis realizado a la consola del
IES IES.1, se observó que este intento de acceso se produjo por la acción realizada
por el propio reclamante al hacer el cambio de propiedad en el Classroom.
Por tanto, solo hubo un acceso a su cuenta corporativa que fue el día 15 de diciembre
de 2021, para realizar el cambio de propiedad de una clase de Classroom, y este
acceso se realizó por el propio reclamante. En ningún momento se ha probado en el
expediente sancionador que hubo un acceso real de otra persona a la cuenta del
reclamante, ni que se haya suplantado su identidad.
Respecto del segundo hecho declarado probado, manifiesta que el Servicio de
Tecnologías de la Información en la Educación con la colaboración del centro IES
IES.1, comprobaron la actividad de la cuenta mediante las herramientas de auditoría e
investigación de la consola Workspace del IES IES.1, resultando que no hubo ningún
cambio de contraseña en la cuenta desde el momento de la creación, por parte del
usuario ni del administrador, y así ha quedado registrado en la herramienta de
auditoría de la consola de Google Workspace.
Respecto del tercer hecho declarado probado, indica que la no suspensión de la
cuenta del reclamante, que mantuvo el acceso hasta junio de2022, en ningún caso
implica un problema de seguridad, dado que se mantienen las medidas técnicas de la
cuenta.
Expone que debe tomarse en consideración que la Consejería de Educación y
Formación Profesional está aplicando medidas de mejora continua en cuanto a las
políticas de seguridad y protección de datos. Así a través del CEP IBSTEAM, se han
realizado formaciones específicas para la gestión de las consolas educativas
Workspace desde el 2020. En este caso en concreto, el IES IES.1 aprobó un Protocolo
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/16
de uso de la cuenta corporativa para el profesorado en septiembre de 2022, y
actualmente se está trabajando en la unificación de todas las consolas en una sola,
gestionada directamente por el Servicio de Tecnologías de la Información en
Educación.
Alega que el hecho de que la Consejería se encuentre en un proceso de mejora para
unificar la aplicación de medidas de seguridad no equivale a que la situación anterior
supusiera un nivel de seguridad bajo. Por tanto, se puede afirmar que dichas cuentas
de correo electrónico corporativo, cuyo uso es exclusivo para tareas académica por
ser propiedad de la administración educativa, están dotadas de sistemas de seguridad
suficientes y eficientes para evitar el acceso indebido de personas ajenas a las
autorizadas en las cuentas de correo electrónico, al disponer de doble verificación para
el acceso desde dispositivos diferentes del habitual.
Por todo lo expuesto anteriormente, considera que no se ha vulnerado lo dispuesto en
el artículo 32 del RGPD, que a pesar de haberse producido un incidente de seguridad
en sus sistemas, debido al hecho de que no se retiró al reclamante el acceso a su
cuenta de correo electrónico como debería haberse hecho, al igual que pasó con otros
usuarios ante las dificultades de la situación derivada de la pandemia de COVID 19, en
ningún momento durante la tramitación del expediente sancionador se han probado los
hechos imputados que integran la infracción por parte de la AEPD, y no aprecia que
haya pruebas que sostengan el acceso a esta cuenta corporativa por parte de una
tercera persona, ni que se haya suplantado su identidad, y por consiguiente, que
realmente se haya producido un riesgo efectivo para las garantías de los derechos y
libertades de los interesados en relación con el tratamiento de datos personales, por lo
que solicita se proceda al archivo del expediente sancionador, con la consiguiente
declaración de ausencia de responsabilidad.
Se aporta Informe Técnico del Servicio de Tecnologías de la Información en la
Educación, de 13 de febrero de 2023.
A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos
en el presente procedimiento se consideran hechos probados los siguientes,
HECHOS PROBADOS
PRIMERO: Consta que en fecha 15 de diciembre de 2021, la parte reclamante interpuso
reclamación ante la Agencia Española de Protección de Datos, en la que ponía de
manifiesto que durante el curso académico 2020/2021, estuvo ejerciendo de profesor
en el IES IES.1, de ***LOCALIDAD.1 (Illes Balears), siéndole asignada una dirección
de correo electrónico corporativo a la que dejó de tener acceso al finalizar el curso
académico.
No obstante, en fecha 15 de diciembre de 2021, recibió comunicación de GOOGLE, informándole
de un nuevo inicio de sesión en la referida cuenta corporativa por lo que
considera que podría haberse suplantado su identidad y vulnerado sus derechos en
torno a la protección de datos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/16
SEGUNDO: Consta en las actuaciones previas, que la AEPD requirió a la parte reclamada
información relacionada con la incidencia, confirmándose lo señalado en el escrito
de reclamación, al manifestar la parte reclamada que accidentalmente no se le
retiró el acceso a su cuenta de correo electrónico como debería haberse hecho, y que
el centro no cambió la contraseña de la dirección de correo electrónico del reclamante
por lo que éste seguía teniendo acceso a ésta, desconociendo los motivos y personas
que han podido tener acceso a la cuenta.
TERCERO: Del resultado de la comprobación de la actividad de la cuenta mediante
herramientas de auditoría e investigación de la consola Workspace del IES IES.1,
efectuada por el Servicio de Tecnologías de la Información en la Educación, con la
colaboración del centro IES IES.1 consta que, el reclamante que fue docente del
centro desde el día 1 de septiembre de 2020 hasta el 31 de agosto de 2021, mantuvo
el acceso a la cuenta hasta junio de 2022, es decir, más de un mes después del cese
del reclamante como docente del centro.
FUNDAMENTOS DE DERECHO
I
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679
(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada
autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
Garantía de los Derechos Digitales (en adelante, LOPDGDD), es competente para
iniciar y resolver este procedimiento, la Directora de la Agencia Española de
Protección de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos
tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto
en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos."
II
Cuestiones previas
La Consejería de Educación y Formación Profesional del Gobierno de Illes Balears,
como cualquier otra entidad pública, está obligada al cumplimiento del Reglamento
(UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo
a la protección de las personas físicas en lo que respecta al tratamiento de datos personales
y a la libre circulación de estos datos -RGPD-, y de la LO 3/2018, de 5 de diciembre
, de Protección de Datos Personales y Garantía de los Derechos Digitales -LOPDGDD-
con respecto a los tratamientos de datos de carácter personal que realicen,
entendiendo por dato de carácter personal, ?toda información sobre una persona física
identificada o identificable?.
Se considera persona física identificable aquella cuya identidad pueda determinarse,
directa o indirectamente, en particular mediante un identificador, como por ejemplo un
nombre, un número de identificación, datos de localización, un identificador en línea o
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/16
uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica,
económica, cultural o social de dicha persona.
En el caso concreto que se examina, la dirección de correo electrónico corporativa
creada en el contexto de la actividad laboral, compuesta por el nombre y apellido de la
persona a la que se le ha atribuido, constituye un dato de carácter personal en el sentido
del artículo 4.1 del RGPD, y, por tanto, datos relacionados con una persona física
identificada o identificable.
Asimismo, debe entenderse por tratamiento ?cualquier operación o conjunto de operaciones
realizadas sobre datos personales o conjuntos de datos personales, ya sea por
procedimientos automatizados o no, como la recogida, registro, organización, estructuración
, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación
por transmisión, difusión o cualquier otra forma de habilitación de acceso,
cotejo o interconexión, limitación, supresión o destrucción?.
Teniendo en cuenta lo anterior, la Consejería de Educación y Formación Profesional
del Gobierno de las Islas Baleares presta una serie de servicios públicos, para los cuales
trata datos de carácter personal de sus empleados y ciudadanos.
Realiza esta actividad en su condición de responsable del tratamiento, dado que es
quien determina los fines y medios de tal actividad, en virtud del artículo 4.7 del RGPD:
«responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad
pública, servicio u otro organismo que, solo o junto con otros, determine los fines y
medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina
los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos
para su nombramiento podrá establecerlos el Derecho de la Unión o de los
Estados miembros.
El artículo 4 apartado 12 del RGPD define, de un modo amplio, las ?violaciones de seguridad
de los datos personales? (en adelante brecha de seguridad) como ?todas
aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración
accidental o ilícita de datos personales transmitidos, conservados o tratados de
otra forma, o la comunicación o acceso no autorizados a dichos datos.?
En lo que respecta a la aplicación de la normativa de protección de datos al supuesto
planteado, debe tenerse en cuenta que el RGPD, en su artículo 32, exige a los responsables
del tratamiento, la adopción de las correspondientes medidas de seguridad necesarias
que garanticen que el tratamiento es conforme a la normativa vigente, así
como garantizar que cualquier persona que actúe bajo la autoridad del responsable o
del encargado y tenga acceso a datos personales, solo los pueda tratar siguiendo instrucciones
del responsable.
III
Alegaciones Aducidas al Acuerdo de Inicio
En respuesta a las alegaciones presentadas por la entidad reclamada se debe señalar
lo siguiente:
Alega la parte reclamada que, ante la baja por cualquier motivo de un trabajador, las
cuentas se suspenden, no se eliminan, a fin de que si el trabajador vuelve a estar en
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/16
activo (situación frecuente en personal docente) pueda acceder a los correos
electrónicos (con documentación de trabajo) de cursos anteriores.
Asimismo, se indica la recomendación de que el tiempo entre el cese y la suspensión
de la cuenta sea de un mes por lo que, en este sentido, procede señalar entonces que
las medidas de seguridad no se estaban cumpliendo en el momento de los hechos.
Del resultado de la comprobación de la actividad de la cuenta mediante herramientas
de auditoría e investigación de la consola Workspace del IES IES.1, efectuada por el
Servicio de Tecnologías de la Información en la Educación, con la colaboración del
centro IES IES.1 consta que, el reclamante, que fue docente del centro desde el día 1
de septiembre de 2020 hasta el 31 de agosto de 2021, mantuvo el acceso a la cuenta
hasta junio de 2022, es decir, mucho más de un mes después del cese del reclamante
como docente de dicho centro.
De todo ello se deduce una falta de la debida diligencia tanto en el cumplimiento de las
medidas de seguridad establecidas, así como en la supervisión o comprobación de su
observancia y/o de la idoneidad de estas.
De hecho, tal y como consta en las actuaciones previas, la AEPD requirió a la parte reclamada
información relacionada con la incidencia, confirmándose lo señalado en el
escrito de reclamación, al manifestar la parte reclamada que accidentalmente no se le
retiró el acceso a su cuenta de correo electrónico como debería haberse hecho, y que
el centro no cambió la contraseña de la dirección de correo electrónico del reclamante
por lo que éste seguía teniendo acceso a ésta, desconociendo los motivos y personas
que han podido tener acceso a la cuenta.
A este respecto, debe señalarse que el artículo 32 del RGPD se infringe tanto si no se
adoptan por el responsable las medidas de índole técnica y organizativas apropiadas
que garanticen la seguridad de los datos personales, como si, establecidas éstas, las
mismas no se observan.
Se entiende que las medidas de seguridad implantadas eran insuficientes,
susceptibles de ser mejoradas; lo que se pone de manifiesto con la afirmación de que,
hasta septiembre de 2022, el centro no dispuso de un protocolo de uso de las cuentas
corporativas para las cuentas nuevas.
En consecuencia, las alegaciones deben ser desestimadas, significándose que las
argumentaciones presentadas no desvirtúan el contenido esencial de la infracción que
se declara cometida ni suponen causa de justificación o exculpación suficiente.
IV
Alegaciones Aducidas a la Propuesta de Resolución
En respuesta a las alegaciones presentadas por la entidad reclamada a la Propuesta
de Resolución, se debe señalar lo siguiente:
Alega la parte reclamada que solo hubo un acceso a la cuenta corporativa que fue el
día 15 de diciembre de 2021, para realizar el cambio de propiedad de una clase de
Classroom, y este acceso se realizó por el propio reclamante y que en ningún
momento se ha probado en el expediente sancionador que hubo un acceso real de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/16
otra persona a la cuenta del reclamante, ni que se haya suplantado su identidad.
Asimismo, manifiesta que no hubo ningún cambio de contraseña en la cuenta desde el
momento de la creación, por parte del usuario ni del administrador, y así ha quedado
registrado en la herramienta de auditoría de la consola de Google Workspace.
A este respecto, procede señalar que la apertura del presente Procedimiento
Sancionador no se debió al acceso a la cuenta corporativa por parte de una tercera
persona, o que se hubiere suplantado la identidad del reclamante, sino al hecho de
haber tenido conocimiento de que se mantuvo el acceso a la cuenta hasta junio de
2022, es decir, mucho más de un mes después del cese del reclamante como docente
del centro, a pesar de que la recomendación era que el tiempo entre el cese y la
suspensión de la cuenta fuera de un mes.
Así, del análisis de la documentación aportada, la propia reclamada reconoce haberse
producido un incidente de seguridad en sus sistemas, debido a que no se retiró al
reclamante el acceso a su cuenta de correo electrónico como debería haberse hecho,
al igual que pasó con otros usuarios ante las dificultades de la situación derivada de la
pandemia de COVID 19. Es más, fue a partir de la reclamación, cuando se le retiró el
acceso a la cuenta de correo electrónico corporativo.
En este sentido, debe recordarse que el 32 del RGPD, incide en la necesidad de que
el responsable del tratamiento adopte medidas técnicas y organizativas apropiadas
para aplicar de forma efectiva los principios de protección de datos y garantizar un
nivel de seguridad adecuado al riesgo, sin que pueda aceptarse como justificación la
circunstancia de la emergencia sanitaria.
Aduce la parte reclamada que no se han probado los hechos imputados que integran
la infracción. En este sentido, se significa que la responsabilidad proactiva conlleva
que responsables y encargados tienen la obligación de cumplir con el RGPD y
demostrar (acreditar) el cumplimiento del RGPD en el tratamiento de los datos
personales, incluida la eficacia de las medidas, documentando adecuadamente todas
las decisiones que adopte al objeto de poder demostrarlo.
En este sentido el Considerando 74 establece que:
?Debe quedar establecida la responsabilidad del responsable del tratamiento por
cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En
particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces
y ha de poder demostrar la conformidad de las actividades de tratamiento con el
presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener
en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el
riesgo para los derechos y libertades de las personas físicas.?
En el caso concreto que se examina, se constata que no se habían adoptado las
medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad
adecuado al riesgo, toda vez que, hasta septiembre de 2022, el centro no dispuso de
un protocolo de uso de las cuentas corporativas para las cuentas nuevas. De hecho,
con anterioridad a esta fecha, la información se daba de forma oral.
Al continuar accediendo a la cuenta de correo electrónico, a su vez continúa pudiendo
acceder a datos personales e información a la que ya no debería tener acceso por no
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/16
trabajar en ese centro. Este riesgo debe ser tenido en cuenta por el responsable del
tratamiento quien debe establecer las medidas técnicas y organizativas necesarias y
que aumenta la exigencia del grado de protección en relación con la seguridad y salvaguarda
de estos datos.
En cuanto a las medidas de mejora continua que la Consejería manifiesta haber
adoptado en cuanto a las políticas de seguridad y protección de datos, aunque refleja
una conducta positiva, no desvirtúa los hechos constatados y que son constitutivos de
una infracción, imputable a la parte reclamada, por vulneración del artículo 32 RGPD.
En consecuencia, las alegaciones deben ser desestimadas, significándose que las
argumentaciones presentadas no desvirtúan el contenido esencial de la infracción que
se declara cometida ni suponen causa de justificación o exculpación suficiente.
V
Artículo 32 del RGPD
Establece el artículo 32 del RGPD, seguridad del tratamiento, lo siguiente:
?1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza
, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad
y gravedad variables para los derechos y libertades de las personas físicas, el responsable
y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas
para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya
, entre otros:
a) la seudonimización y el cifrado de datos personales;
a) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y
resiliencia permanentes de los sistemas y servicios de tratamiento;
a) la capacidad de restaurar la disponibilidad y el acceso a los datos personales
de forma rápida en caso de incidente físico o técnico;
b) un proceso de verificación, evaluación y valoración regulares de la eficacia
de las medidas técnicas y organizativas para garantizar la seguridad del
tratamiento.
2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta
los riesgos que presente el tratamiento de datos, en particular como consecuencia
de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos
, conservados o tratados de otra forma, o la comunicación o acceso no autorizados
a dichos datos.
3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo
de certificación aprobado a tenor del artículo 42 podrá servir de elemento para
demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente
artículo.
4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que
cualquier persona que actúe bajo la autoridad del responsable o del encargado y ten-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/16
ga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones
del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de
los Estados miembros?.
El considerando 75 del RGPD enumera una serie de factores o supuestos asociados a
riesgos para las garantías de los derechos y libertades de los interesados:
?Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad
variables, pueden deberse al tratamiento de datos que pudieran provocar daños
y perjuicios físicos, materiales o inmateriales, en particular en los casos en los que
el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad
o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de
datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o
cualquier otro perjuicio económico o social significativo; en los casos en los que se prive
a los interesados de sus derechos y libertades o se les impida ejercer el control sobre
sus datos personales; en los casos en los que los datos personales tratados revelen
el origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la
militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o
datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad
conexas; en los casos en los que se evalúen aspectos personales, en particular
el análisis o la predicción de aspectos referidos al rendimiento en el trabajo, situación
económica, salud, preferencias o intereses personales, fiabilidad o comportamiento,
situación o movimientos, con el fin de crear o utilizar perfiles personales; en los casos
en los que se traten datos personales de personas vulnerables, en particular niños; o
en los casos en los que el tratamiento implique una gran cantidad de datos personales
y afecte a un gran número de interesados.?
De la documentación obrante en el expediente se ofrecen indicios evidentes de que la
parte reclamada ha vulnerado el artículo 32 del RGPD, al producirse un incidente de
seguridad en sus sistemas, al no retirar al reclamante acceso a su cuenta de correo
electrónico como debería haberse hecho.
Hay que señalar que el RGPD en el citado precepto no establece un listado de las medidas
de seguridad que sean de aplicación de acuerdo con los datos que son objeto de
tratamiento, sino que establece que el responsable y el encargado del tratamiento aplicarán
medidas técnicas y organizativas que sean adecuadas al riesgo que conlleve el
tratamiento, teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza
, alcance, contexto y finalidades del tratamiento, los riesgos de probabilidad y
gravedad para los derechos y libertades de las personas interesadas.
Asimismo, las medidas de seguridad deben resultar adecuadas y proporcionadas al
riesgo detectado, señalando que la determinación de las medidas técnicas y organizativas
deberá realizarse teniendo en cuenta: la seudonimización y el cifrado, la capacidad
para garantizar la confidencialidad, integridad, disponibilidad y resiliencia, la capacidad
para restaurar la disponibilidad y acceso a datos tras un incidente, proceso de
verificación (que no auditoría), evaluación y valoración de la eficacia de las medidas.
En todo caso, al evaluar la adecuación del nivel de seguridad se tendrán particularmente
en cuenta los riesgos que presente el tratamiento de datos, como consecuencia
de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmi-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/16
tidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados
a dichos datos y que pudieran ocasionar daños y perjuicios físicos, materiales o inmateriales.
En este mismo sentido el considerando 83 del RGPD señala que:
?(83) A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en
el presente Reglamento, el responsable o el encargado deben evaluar los riesgos
inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas
deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad,
teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a
los riesgos y la naturaleza de los datos personales que deban protegerse. Al evaluar el
riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos
que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o
alteración accidental o ilícita de datos personales transmitidos, conservados o tratados
de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles
en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales?.
En el presente caso, tal y como consta en las actuaciones previas, la AEPD requirió a
la parte reclamada información relacionada con la incidencia, confirmándose lo señalado
en el escrito de reclamación, al manifestar la parte reclamada que accidentalmente
no se le retiró el acceso a su cuenta de correo electrónico como debería haberse hecho
, y que el centro no cambió la contraseña de la dirección de correo electrónico del
reclamante por lo que éste seguía teniendo acceso a ésta, desconociendo los motivos
y personas que han podido tener acceso a la cuenta.
La responsabilidad de la parte reclamada viene determinada por la quiebra de seguridad
puesta de manifiesto en la reclamación y documentación aportada, ya que es responsable
de tomar las decisiones destinadas a implementar de manera efectiva las
medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad
adecuado al riesgo para asegurar la confidencialidad de los datos, restaurando su disponibilidad
e impedir el acceso a los mismos en caso de incidente físico o técnico.
En consecuencia, se considera que los hechos acreditados son constitutivos de
infracción, imputable a la parte reclamada, por vulneración del artículo 32 RGPD.
VI
Tipificación de la infracción del artículo 32 del RGPD
La citada infracción del artículo 32 del RGPD supone la comisión de las infracciones tipificadas
en el artículo 83.4 del RGPD que bajo la rúbrica ?Condiciones generales para
la imposición de multas administrativas? dispone:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose
de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de
negocio total anual global del ejercicio financiero anterior, optándose por la de mayor
cuantía:
a) las obligaciones del responsable y del encargado a tenor de los artículos 8,
11, 25 a 39, 42 y 43; (?)?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/16
A este respecto, la LOPDGDD, en su artículo 71 ?Infracciones? establece que ?Constituyen
infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6
del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a
la presente ley orgánica?.
A efectos del plazo de prescripción, el artículo 73 ?Infracciones consideradas graves?
de la LOPDGDD indica:
?En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran
graves y prescribirán a los dos años las infracciones que supongan una vulneración
sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
f) La falta de adopción de aquellas medidas técnicas y organizativas que resulten
apropiadas para garantizar un nivel de seguridad adecuado al riesgo del
tratamiento, en los términos exigidos por el artículo 32.1 del Reglamento (UE)
2016/679.?
VII
Responsabilidad
Establece la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, en
el Capítulo III relativo a los ?Principios de la Potestad sancionadora?, en el artículo 28
la bajo la rúbrica ?Responsabilidad?, lo siguiente:
?1. Sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa
las personas físicas y jurídicas, así como, cuando una Ley les reconozca capacidad de
obrar, los grupos de afectados, las uniones y entidades sin personalidad jurídica y los
patrimonios independientes o autónomos, que resulten responsables de los mismos a
título de dolo o culpa.?
La falta de adopción de medidas técnicas y organizativas que resulten apropiadas para
garantizar un nivel de seguridad adecuado al riesgo del tratamiento constituye el elemento
de la culpabilidad.
VIII
Sanción
El artículo 83 ?Condiciones generales para la imposición de multas administrativas? del
RGPD en su apartado 7 establece:
?Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo
58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede
, y en qué medida, imponer multas administrativas a autoridades y organismos públicos
establecidos en dicho Estado miembro.?
Asimismo, el artículo 77 ?Régimen aplicable a determinadas categorías de responsables
o encargados del tratamiento? de la LOPDGDD dispone lo siguiente:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/16
?1. El régimen establecido en este artículo será de aplicación a los tratamientos de los
que sean responsables o encargados:
(?)
c) La Administración General del Estado, las Administraciones de las comunidades autónomas
y las entidades que integran la Administración Local.
2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen
alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica
, la autoridad de protección de datos que resulte competente dictará resolución
sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las
medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la
infracción que se hubiese cometido.
La resolución se notificará al responsable o encargado del tratamiento, al órgano del
que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición
de interesado, en su caso.
3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de
datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios
suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar
serán las establecidas en la legislación sobre régimen disciplinario o sancionador que
resulte de aplicación.
Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se
acredite la existencia de informes técnicos o recomendaciones para el tratamiento que
no hubieran sido debidamente atendidos, en la resolución en la que se imponga la
sanción se incluirá una amonestación con denominación del cargo responsable y se
ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.
4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que
recaigan en relación con las medidas y actuaciones a que se refieren los apartados
anteriores.
5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas
de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas
al amparo de este artículo.
6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos,
esta publicará en su página web con la debida separación las resoluciones referidas a
las entidades del apartado 1 de este artículo, con expresa indicación de la identidad
del responsable o encargado del tratamiento que hubiera cometido la infracción.
Cuando la competencia corresponda a una autoridad autonómica de protección de
datos se estará, en cuanto a la publicidad de estas resoluciones, a lo que disponga su
normativa específica.?
En el presente caso se estima adecuado sancionar con apercibimiento a la parte
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/16
reclamada, por la infracción del artículo 32 del RGPD, por la falta de adopción de
aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un
nivel de seguridad adecuado al riesgo del tratamiento.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de
graduación de las sanciones cuya existencia ha quedado acreditada, la Directora de la
Agencia Española de Protección de Datos RESUELVE:
PRIMERO: SANCIONAR con APERCIBIMIENTO a la CONSEJERIA DE EDUCACION
Y FORMACION PROFESIONAL DEL GOBIERNO DE LAS ISLAS BALEARES, con
NIF S0711001H, por una infracción del artículo 32 del RGPD, tipificada en el artículo
83.4 del RGPD.
SEGUNDO: NOTIFICAR la presente resolución a CONSEJERIA DE EDUCACION Y
FORMACION PROFESIONAL DEL GOBIERNO DE LAS ISLAS BALEARES.
TERCERO: COMUNICAR la presente resolución al Defensor del Pueblo, de
conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la
LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los
interesados podrán interponer, potestativamente, recurso de reposición ante la
Directora de la Agencia Española de Protección de Datos en el plazo de un mes a
contar desde el día siguiente a la notificación de esta resolución o directamente
recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se
podrá suspender cautelarmente la resolución firme en vía administrativa si el
interesado manifiesta su intención de interponer recurso contencioso-administrativo.
De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante
escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través
del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb
/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la
citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la
documentación que acredite la interposición efectiva del recurso contenciosoadministrativo.
Si la Agencia no tuviese conocimiento de la interposición del recurso
contencioso-administrativo en el plazo de dos meses desde el día siguiente a la
notificación de la presente resolución, daría por finalizada la suspensión cautelar.
938-181022
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es