Protección de menores: la escuela sancionada y la rendija digital que exige cerrar

La resolución de la Agencia Española de Protección de Datos contra Holy Mary Catholic School no es un hecho aislado ni una anécdota administrativa: es un aviso sonoro. La autoridad concluye que el centro permitió un tratamiento de datos de menores que excede la mera gestión académica y administrativa, comunicó de forma insuficiente a las familias y presentó una evaluación de impacto incompleta. Tres infracciones del Reglamento General de Protección de Datos que desembocan en una sanción ejemplar.

No se trata solo de nombres y apellidos en una base de datos: la plataforma Google Workspace for Education, utilizada en muchos colegios, recopila datos de uso vinculados a los perfiles de alumnado —información de dispositivos, accesos a contenidos, direcciones IP— y, según la resolución, el centro no informó a las familias de estas prácticas ni de las transferencias internacionales de datos. Es decir, datos de menores viajan fuera del Espacio Europeo y ello no fue explicitado con la claridad exigible.

La Agencia también deja claro que la evaluación de impacto no abordó adecuadamente ni los tipos de datos ni las transferencias, ni analizó los riesgos reales ni la proporcionalidad del tratamiento. Es una constatación técnica con consecuencias prácticas: la protección jurídica de los niños demanda diligencia, transparencia y rigor cuando se incorpora tecnología ajena a la comunidad educativa.

El propio expediente pone de manifiesto una cuestión adicional de sensibilidad: el dominio de correo del colegio, ligado a su condición de centro docente religioso, puede revelar convicciones religiosas de los alumnos de forma indirecta. La Agencia incluye ese aspecto entre los elementos que motivan la multa.

Este caso llega en un contexto social ya tenso: familias por toda España cuestionan la digitalización acelerada de las aulas, hay movimientos para retrasar la entrega del móvil a los hijos y propuestas legislativas —la llamada Ley Antipantallas en trámite parlamentario— que buscan regular el uso individual de ordenadores y tabletas en los centros. Algunas comunidades, como Murcia y la Comunidad de Madrid, ya han limitado ese uso y otras autonomías preparan normativa. Padres y madres han presentado reclamaciones ante la Agencia y han pedido amparo al Defensor del Pueblo.

El colegio ha pagado la sanción reducida en el periodo voluntario, lo que la Agencia interpreta como reconocimiento de responsabilidad, y se le han impuesto medidas para subsanar las infracciones con un plazo de tres meses antes de que pueda iniciarse un nuevo procedimiento sancionador. Es la combinación de sanción y medidas la que debe obligar a la reflexión institucional y escolar: la tecnología puede ser herramienta pedagógica, pero su uso exige control, información y protección efectiva de los derechos de los menores.

No es hora de excusas tecnológicas ni de apelaciones genéricas a la modernización: transparencia, evaluaciones de impacto rigurosas y respeto escrupuloso a las garantías europeas son condiciones ineludibles para que las aulas digitales no se conviertan en vías de exposición y externalización de datos infantiles. La sanción es una llamada de atención a centros, familias y administraciones: la defensa de la intimidad y la seguridad de nuestros niños debe prevalecer sobre la comodidad de soluciones externas.