Ordenadores de la Conselleria d'Educació. | R.L.

TW
8

La Agencia Española de Protección de Datos ha sancionado a la Conselleria d'Educación por tener medidas de seguridad insuficientes a la hora de gestionar los correos electrónicos corporativos de los docentes. La sanción, que se traduce en una amonestación formal de la directora del organismo, se produce a raíz de la denuncia de un profesor de instituto por un intento de acceso a una cuenta de correo profesional que se le había adjudicado en un centro en el que ya no trabajaba.

El profesor recibió en diciembre de 2021 una alerta de Google que le avisaba de un intento de acceso en la cuenta que le había adjudicado el curso anterior el instituto para el que entonces trabajaba. A pesar de haber dejado el centro no se había dado de baja el perfil ni se habían cambiado las contraseñas. Acudió a la Agencia que inició un procedimiento sancionador. La Consellería argumentaba que, en ese momento se habían flexibilizado las normas de acceso a los correos corporativos para facilitar el trabajo en los cursos afectados por la pandemia. También aseguraba que el acceso, en realidad había sido una entrada del propio docente a una de las aplicaciones a las que tenía acceso. Sí admitía que, en ese momento, el centro daba instrucciones sobre seguridad informática de forma verbal y que, más tarde adoptó un protocolo escrito para garantizar la seguridad de los correos corporativos.

La Agencia concluye que existió una «falta de la debida diligencia» a la hora de cumplir con las medidas de seguridad que ya estaban establecidas y con la supervisión de las mismas. El mismo protocolo contemplaba la retirada del acceso a la cuenta de correo y un cambio de contraseña. «Se entiende que las medidas de seguridad implantadas eran insuficientes», añade.

La resolución recuerda que se produce una infracción tanto si el responsable del tratamiento de datos no adopta medidas como si estas no se cumplen de forma estricta. Para Protección de Datos la infracción cometida por la Conselleria d'Educació como responsable de los datos es «grave» si bien, considera suficiente imponer un apercibimiento sin llegar a sanción económica.