La Consejería de Educación y Formación Profesional del Gobierno de las Illas Baleares ha sido sancionada por una infracción del artículo 32 del RGPD (vulneración de la seguridad del tratamiento).
Los hechos se remontan al curso académico 2020/2021, en donde el denunciando estuvo ejerciendo de profesor en un IES, siéndole asignada una dirección de correo electrónico corporativo a la que debía dejar de tener acceso al finalizar el curso académico.
El 15 de diciembre de 2021, ya finalizada la relación laboral, el profesor recibió una comunicación de Google informándole de un nuevo inicio de sesión en la cuenta de correo que había tenido en el IES, por lo que decidió poner una reclamación por si se había suplantado su identidad en dicha cuenta.
Una vez iniciada la investigación por la Agencia Española de Protección de Datos (AEPD), se determinó que lo que había sucedido es que la comunicación se le había realizado porque seguía teniendo acceso a la cuenta de correo electrónico corporativa; pudiendo acceder a datos personales e información del centro.
El IES, pues, no había cambiado la contraseña de correo electrónico ni había tomado medidas de limitación de acceso, motivo por el cual la AEPD señala que el centro es el responsable del tratamiento, por lo que es quien debe establecer las medidas técnicas y organizativas necesarias.
________________________
Pídenos una valoración sin compromiso para asesorarte con la protección de datos de tu empresa.
