En junio de 2022 una viandante encontró una mochila en Villanueva del Pardillo, una localidad a unos 30 kilómetros de Madrid. Dentro había una cámara de vídeo. Cuando la mujer reprodujo su contenido, vio un grupo de niñas cambiándose de ropa y entregó la mochila a la Guardia Civil. Así empezó un caso que llevó a la detención de uno de los profesores y copropietario del Colegio Virgen de Europa, en la cercana Boadilla del Monte, que presuntamente había estado grabando a las alumnas durante más de una década.

El caso sigue a la espera de juicio en la vía penal, después de que hace un año la Guardia Civil localizara nuevas potenciales víctimas y grabaciones en la casa del detenido. El proceso que ya se ha cerrado es la reclamación que la familia de una de las menores interpuso contra el Colegio ante la Agencia de Protección de Datos (AEPD) por violar la privacidad de las niñas con esas grabaciones. El resultado ha sido una multa de 40.000 euros para el centro, que se ha reducido a 24.000 tras aceptar este la responsabilidad de las infracciones (20%) y proceder al pronto pago (reducción del 20% adicional).

La queja inicial se interpuso el 27 de septiembre de 2023, argumentando que la menor había sido grabada en vídeo y que estas grabaciones habían salido del control del Colegio. La familia consideraba que se habían violado los principios de integridad y confidencialidad de los datos personales de la menor (porque los vídeos salieron de forma no autorizada) y el principio de transparencia (porque las imágenes se captaron sin informar ni pedir consentimiento previo a los padres).

La AEPD admitió a trámite la reclamación elevó una serie de peticiones de información al Virgen de Europa sobre la obtención de las imágenes y su tratamiento.

En sus respuestas, primero el Colegio afirmó que obtenía el consentimiento de los padres para grabar imágenes de los alumnos en el momento de la matriculación, y que este consentimiento se revisaba anualmente. Como prueba, mostró un formulario de matrícula con una casilla para autorizar fotos y vídeos de los alumnos con fines de publicación en la web, anuarios, folletos, redes sociales y archivo del colegio.

Sin embargo, cuando el regulador de privacidad solicitó “repetidamente” las matrículas rellenadas y firmadas por las familias, el Virgen de Europa solo pudo aportar las correspondientes a tres de los últimos diez cursos.

Propósito docente

El Colegio cambió entonces su argumento: alegó que las imágenes se grababan con fines docentes, una excepción que hace innecesario el consentimiento. El profesor y copropietario del centro detenido, hijo de sus dos fundadores, también comunicó que las grabaciones que realizaba en el ejercicio de su labor tenían la finalidad de cumplir con el programa de docencia y para promocionar sus actividades.

A pesar de la insistencia del Colegio en la base legitimadora “propias de la función docente”, la AEPD fue contundente. El regulador concluyó que “en este caso concreto no se aprecia la existencia de base legal que ampare el tratamiento datos personales de la menor mediante la captación de imágenes con equipos de grabación”, a lo que se unía que el centro no pudo demostrar contar tampoco con el consentimiento para recoger datos personales de los alumnos para fines promocionales.

Brecha de seguridad: la pérdida del control de las imágenes

La reclamación inicial que dio origen al expediente de la AEPD señalaba que parte de los archivos de la menor fueron encontrados en una cámara hallada por un viandante en una carretera y otra parte en el domicilio personal del profesor. Esto llevó a la AEPD a considerar que se había producido una brecha de datos personales, ya que un tercero no autorizado había accedido a las imágenes de menores.

El Colegio insistió en que “la entidad dispone del control de las grabaciones” y que contaban con medidas como formaciones y concienciación del profesorado, además de otras medidas de seguridad. Sin embargo, la Agencia detectó que las formaciones al profesorado que había presentado el centro eran posteriores a los hechos.

Además, aunque las normas del Colegio indicaban que la salida de soportes con datos personales debía ser autorizada y registrada, la AEPD encontró que la autorización concedida al profesor detenido databa de 2018, era ilimitada en el tiempo, no especificaba la finalidad o el contenido, ni mencionaba las medidas de seguridad que debía adoptar. Más grave aún, el Colegio, requerido para aportar el registro de salidas y devoluciones de dispositivos, contradijo sus propias afirmaciones al asegurar que “no existe ninguna autorización que se haya otorgado para la salida y posterior devolución al docente” durante el periodo relevante, a pesar de que la autorización original de 2018 seguía vigente.

Tres sanciones con reducción

La resolución de la AEPD concluye con la imposición de tres sanciones económicas al Colegio Virgen de Europa por vulnerar distintos artículos del Reglamento General de Protección de Datos de manera “muy grave”.

El regulador considera probado que se produjo una brecha de seguridad que comprometió la integridad y confidencialidad de los datos personales de la menor, una infracción por la que impone una multa de 15.000 euros al centro. A su vez, también resuelve que el tratamiento de las imágenes fue ilícito al no contar con una base legal válida para hacerlo, imponiendo una segunda sanción de 20.000 euros.

Por último, la Agencia entiende que el centro tampoco informó debidamente a las familias del uso que hacía de las grabaciones, imponiéndole una tercera multa de 5.000 euros. La cuantía total, de 40.000 euros, se rebajó finalmente a 24.000 tras reconocer el Colegio su responsabilidad y optar por el pago voluntario.

La AEPD tuvo en cuenta varios factores agravantes para fijar la sanción: la naturaleza especialmente sensible de los datos tratados, la exposición de menores en situaciones comprometidas, la pérdida de control sobre las imágenes y la reiteración en la infracción, ya que el centro había sido sancionado por un incumplimiento similar menos de dos años antes.

Además de la multa, el regulador ha exigido al Colegio que adopte una serie de medidas correctivas en un plazo máximo de tres meses. Entre ellas, demostrar que ha implementado salvaguardas técnicas y organizativas para evitar accesos no autorizados a los datos personales, cesar el uso de grabaciones de menores sin una base jurídica adecuada y garantizar que toda la información exigida por la normativa se pone a disposición de las familias.

A falta de la resolución del caso penal, esta no es la primera multa a la que se enfrenta el Colegio Virgen de Europa por estos hechos. En febrero de 2024 el Tribunal Superior de Justicia de Madrid le obligó a indemnizar con 120.000 a la madre de una de las víctimas, que había ejercido como profesora en el centro durante años.