Dicen que la adolescencia ya es complicada de por sí, como para que además un adulto te “fabrique” un correo electrónico sin contárselo a tus padres. Si alguna vez has tenido que pelearte con contraseñas imposibles o con burocracia escolar, te sentirás identificado. En noviembre de 2022, unos padres de Madrid descubrieron que alguien se hacía pasar por su hija de 14 años enviando correos desde una cuenta que ni ella ni ellos sabían que existía. La guinda: la contraseña mezclaba las iniciales de la menor con la fecha de nacimiento de la madre… creatividad nivel patio de colegio. El caso aterrizó en la Agencia Española de Protección de Datos (AEPD) y acabó, el 22 de abril de 2025, con una sanción de 10.000 euros para el centro. ¿Por qué tanta contundencia? Porque se vulneraron tres artículos del RGPD de una tacada y se dejó a los menores vendidos frente a suplantadores y curiosos de Classroom.
¿Qué ocurrió exactamente en este colegio de Madrid?
Los padres presentaron la reclamación en 2023 tras descubrir la suplantación. En su escrito detallaron que el intruso accedió también al perfil de Classroom de la menor y estuvo campando a sus anchas sin que el colegio lo advirtiera. Para colmo, la dirección del centro restó importancia al asunto cuando se enteró. La AEPD recordó que, para menores de 14 años, el consentimiento debe darlo quien ostente la patria potestad. Aquí no hubo ni formulario, ni clic, ni «sí, acepto». Solo un email posterior diciendo “oye, que ya hemos creado los correos de los chavales”. Spoiler: eso no vale como consentimiento informado.
El colegio alegó que todo se hizo en plena urgencia pandémica y que «había prisa». La agencia respondió con un rotundo “no cuela”: la pandemia no legitima saltarse el RGPD, más bien exige reforzarlo. La clave era tan floja que cualquiera con un poco de paciencia en redes sociales podía adivinarla. Usar datos personales (incluso fechas de cumpleaños) está prohibido por las guías de seguridad. De hecho, la AEPD subraya que la debilidad de la contraseña evidencia «medidas de seguridad insuficientes».
¿Cuánto y por qué se paga?
La agencia impuso tres multas separadas, todas firmadas el 22 de abril de 2025, que suman los ya famosos 10.000 euros. El detalle se entiende mejor en la siguiente tabla:
| Artículo vulnerado (RGPD) | Motivo | Importe |
|---|---|---|
| 6.1 | Tratamiento sin consentimiento legítimo | 4 500 € |
| 32 | Falta de medidas de seguridad adecuadas | 4 500 € |
| 13 | Falta de información al interesado | 1 000 € |
Por cierto, la defensa del colegio se limitó a decir que habían dado “una formación” a sus empleados. La AEPD les recordó que la formación es necesaria, sí, pero no sustituye contraseñas robustas ni consentimientos formales.
Pasos a seguir si sospechas una suplantación de tu hijo
Antes de pasar a la acción, respira hondo y toma papel y boli. Estos cuatro movimientos suelen funcionar:
- Recopila pruebas: guarda correos, capturas de pantalla y cualquier rastro digital de la suplantación.
- Notifica al centro educativo: hazlo por escrito (correo certificado o registro electrónico) y pide respuesta en un plazo concreto.
- Cambia credenciales y activa doble factor: la clave nueva debe sumar al menos 12 caracteres y mezclar números, letras y símbolos.
- Recurre a la AEPD: si el colegio no actúa, presenta reclamación (portal de la AEPD) con la documentación recabada.
Actuar rápido reduce el riesgo de que terceros usen los datos de tu hijo para fines más serios, desde ciberacoso hasta fraudes.
