Un colegio concertado no es una empresa cualquiera. Trata a diario datos de salud, expedientes académicos, información familiar, imágenes de menores y comunicaciones con tutores. Todo eso es datos personales de categoría especial en el sentido del artículo 9 del Reglamento (UE) 2016/679 (RGPD) y de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Y el incumplimiento tiene nombre y apellidos: multas de hasta 20 millones de euros o el 4 % del volumen de negocio global, según el artículo 83.5 del RGPD, además de la responsabilidad específica que para los centros educativos establece la AEPD.
Este artículo explica qué obliga al colegio concertado a designar un Delegado de Protección de Datos (DPO) externo, qué flujos de datos generan mayor riesgo y cómo debe organizarse el cumplimiento para que el centro pueda acreditar, en cualquier inspección de la Agencia Española de Protección de Datos, que tiene la casa en orden.
¿Está el colegio concertado obligado a tener DPO?
La respuesta directa es sí, y la base legal es doble. En primer lugar, el artículo 37.1 b) y c) del RGPD obliga a designar DPO a cualquier organización que trate datos de categoría especial a gran escala o que efectúe una observación sistemática de personas a gran escala. En segundo lugar, el artículo 34.1 a) de la LOPDGDD amplía esa obligación de forma expresa a los centros docentes que utilicen o custodien datos personales de menores.
Un colegio concertado medio con 300 o más alumnos entra de lleno en ambas categorías: gestiona expedientes académicos con datos de salud (alergias, informes psicopedagógicos, necesidades educativas especiales), sistemas de videovigilancia en el recinto, plataformas digitales de comunicación con familias y, en muchos casos, sistemas biométricos de control de acceso. La AEPD ha confirmado en múltiples resoluciones que ese perfil de tratamiento activa la obligación de DPO.
Qué datos trata un colegio concertado y por qué son de alto riesgo
El inventario de tratamientos de un centro educativo concertado es más extenso de lo que parece a primera vista. Conviene agruparlo para entender dónde se concentra el riesgo:
| Categoría de datos | Ejemplos concretos | Base legal principal | Nivel de riesgo RGPD |
|---|---|---|---|
| Datos académicos | Notas, informes de evaluación, historial de matriculación | Misión de interés público (art. 6.1.e RGPD) | Medio |
| Datos de salud y necesidades especiales | Alergias, medicación, informes psicopedagógicos, NEAE | Interés vital o consentimiento explícito (art. 9.2 RGPD) | Alto |
| Datos de imagen | Videovigilancia, fotos de actividades, publicaciones en web o redes | Interés legítimo o consentimiento (con matices para menores) | Alto |
| Datos de familias y tutores | Contacto, domicilio, situación de custodia, nivel socioeconómico | Relación contractual (art. 6.1.b RGPD) | Medio-Alto |
| Datos del personal docente y no docente | Nóminas, bajas, datos sindicales, sanciones disciplinarias | Contrato laboral y obligación legal | Medio-Alto |
| Datos biométricos | Huellas o reconocimiento facial para control de acceso o comedor | Consentimiento explícito (art. 9.2.a RGPD) | Muy alto |
| Plataformas digitales educativas | Google Workspace for Education, Microsoft 365, apps de terceros | Encargo de tratamiento (art. 28 RGPD) | Alto (cesiones internacionales) |
Cada una de estas categorías requiere una base legal distinta, un período de retención concreto y, en los casos de alto riesgo, una Evaluación de Impacto en la Protección de Datos (EIPD) previa al tratamiento, tal como exige el artículo 35 del RGPD.
El régimen especial de los datos de menores en centros educativos
La LOPDGDD dedica el artículo 7 a los menores, fijando en 14 años la edad a partir de la cual el menor puede prestar su propio consentimiento. Por debajo de esa edad, el consentimiento debe ser de los padres o tutores legales. Sin embargo, la Ley Orgánica 8/2021, de protección integral a la infancia y la adolescencia frente a la violencia (LOPIVI), añade una capa adicional: impone al centro la obligación de garantizar la privacidad del menor frente a situaciones de violencia, lo que incluye restricciones en el acceso a datos sobre situaciones de guarda y custodia en casos conflictivos.
La AEPD publicó en 2023 el «Informe sobre el tratamiento de datos personales de menores en el ámbito educativo», donde señala explícitamente que la publicación de fotografías o vídeos de alumnos en redes sociales del colegio sin consentimiento expreso de los tutores constituye una infracción grave. Muchos centros concertados han seguido haciéndolo por inercia, sin comprender que una sola imagen publicada en Instagram sin el consentimiento adecuado puede dar lugar a una denuncia ante la AEPD.
Otro punto crítico es el uso de plataformas educativas digitales con sede fuera del Espacio Económico Europeo. Cuando el colegio contrata Google Workspace for Education o Microsoft 365 Education, convierte a esas compañías en encargados del tratamiento según el artículo 28 del RGPD. El contrato de encargo debe estar firmado, y las transferencias internacionales deben ampararse en las Cláusulas Contractuales Tipo (CCT) adoptadas por la Comisión Europea en 2021, actualización que obliga a revisar los contratos firmados con anterioridad a esa fecha.
Funciones del DPO externo en un colegio concertado
El DPO externo para centros educativos no es un asesor que elabora documentación y desaparece. El artículo 39 del RGPD le asigna funciones permanentes e irrenunciables:
- Supervisión continuada del cumplimiento del RGPD y de la LOPDGDD, con acceso directo a la dirección del centro y a la titularidad de la entidad concertada.
- Mantenimiento del Registro de Actividades de Tratamiento (RAT), documento obligatorio según el artículo 30 del RGPD que debe reflejar todos los tratamientos del colegio, incluyendo los de videovigilancia, plataformas digitales y datos de salud.
- Asesoramiento en EIPDs: cuando se vaya a implantar un sistema biométrico, ampliar el circuito de videovigilancia o integrar una nueva plataforma digital educativa, el DPO debe emitir dictamen previo.
- Punto de contacto con la AEPD: el nombre y datos del DPO deben comunicarse a la Agencia (art. 37.7 RGPD) y figurar en la política de privacidad del centro.
- Gestión de derechos: canalizar y responder en plazo (un mes, prorrogable dos más) las solicitudes de acceso, rectificación, supresión y portabilidad que presenten familias, alumnos mayores de 14 años o personal del centro.
- Notificación de brechas de seguridad: si se produce un incidente (pérdida de un dispositivo con datos de alumnos, acceso no autorizado al sistema de gestión académica), el DPO coordina la notificación a la AEPD en 72 horas y, si procede, a los afectados.
- Formación al claustro y al equipo directivo: el personal docente maneja datos a diario; sin formación periódica, los errores son inevitables.
DPO interno vs. DPO externo: qué conviene al colegio concertado
El RGPD permite que el DPO sea un empleado del propio centro o un profesional externo. Para la mayoría de colegios concertados, la opción interna plantea problemas estructurales: el secretario o el administrador del centro carece de la formación jurídica y técnica que exige el perfil; además, el artículo 38.3 del RGPD prohíbe que el DPO reciba instrucciones en el ejercicio de sus funciones, lo que genera conflictos de interés cuando el DPO es también quien ejecuta los tratamientos que debe supervisar.
| Criterio | DPO interno | DPO externo |
|---|---|---|
| Independencia funcional | Difícil de garantizar: depende jerárquicamente del centro | Alta: relación contractual externa, sin dependencia orgánica |
| Conocimiento normativo actualizado | Requiere formación continua a cargo del centro | El proveedor asume la actualización permanente |
| Disponibilidad ante la AEPD | Puede verse limitada por otras funciones del puesto | Cobertura garantizada por contrato de servicio |
| Coste | Salario + formación + tiempo dedicado | Cuota de servicio (sin coste de estructura) |
| Continuidad ante bajas o vacaciones | El servicio queda desatendido | El proveedor garantiza sustitución |
| Adecuado para | Grandes grupos educativos con equipo legal propio | Colegios concertados independientes o agrupaciones de hasta 5-6 centros |
Casos de uso reales: incidentes frecuentes en centros educativos
La casuística de la AEPD en el sector educativo muestra patrones repetitivos que un DPO activo podría haber prevenido:
Publicación de imágenes sin consentimiento
Un colegio publica en su página de Facebook fotos del festival de Navidad en las que aparecen alumnos identificables, sin haber recabado el consentimiento expreso de todas las familias. La AEPD ha sancionado este tipo de conductas al considerarlas cesión de datos a terceros (los usuarios de la red social) sin base legal suficiente. La solución no es eliminar las redes sociales del colegio: es implantar un protocolo de consentimiento diferenciado para uso de imagen en medios externos.
Control de acceso biométrico al comedor
Un centro implanta un sistema de huella dactilar para que los alumnos accedan al comedor sin ficha. Los datos biométricos son categoría especial del artículo 9.1 RGPD; requieren consentimiento explícito del tutor legal y una EIPD previa. Varios centros españoles han recibido requerimientos de la AEPD por implantar estos sistemas sin cumplir esos requisitos. El DPO debe dictaminar antes de la contratación, no después.
Brecha de seguridad en plataforma de gestión académica
Un ataque de ransomware cifra el servidor donde el centro guarda expedientes de 400 alumnos. Sin un protocolo de notificación activo, el centro tarda 10 días en informar a la AEPD, cuando el plazo es de 72 horas desde que se tiene conocimiento de la brecha (art. 33 RGPD). La multa por la brecha en sí puede ser menor que la impuesta por la notificación tardía.
Comunicación de datos a terceros sin encargo formalizado
El colegio contrata a una empresa de actividades extraescolares que accede al listado de alumnos y sus datos de contacto a través del sistema de gestión. No existe contrato de encargo del artículo 28 RGPD. Si esa empresa sufre una brecha o usa los datos para fines propios, la responsabilidad recae también sobre el centro educativo.
Cómo implantar el cumplimiento RGPD en un colegio concertado paso a paso
El proceso de puesta en conformidad de un centro educativo sigue una secuencia lógica. Desde Summum Consultoría, con más de 15 años acompañando a organizaciones en cumplimiento normativo y presencia en cinco oficinas (Valladolid, Burgos, Palencia, Aranda de Duero y Las Palmas), hemos depurado un método que parte siempre del inventario real de tratamientos:
- Auditoría inicial de tratamientos: identificar todos los flujos de datos del centro, incluyendo plataformas digitales, proveedores, sistemas de vigilancia y comunicaciones con familias.
- Registro de Actividades de Tratamiento (RAT): documentar cada tratamiento con su finalidad, base legal, plazos de conservación y destinatarios.
- Análisis de brechas y plan de acción: comparar la situación actual con los requisitos del RGPD y la LOPDGDD, priorizar los tratamientos de mayor riesgo.
- EIPDs en tratamientos de alto riesgo: biometría, videovigilancia ampliada, plataformas con transferencias internacionales.
- Adecuación documental: cláusulas de información (art. 13-14 RGPD) en matrículas, contratos de encargo con proveedores, política de privacidad del sitio web, protocolos internos.
- Formación al personal: sesión inicial al claustro y equipo directivo; actualización anual.
- Designación y registro del DPO: comunicación a la AEPD del nombre y datos de contacto del Delegado.
- Supervisión continua: revisión periódica del RAT, gestión de derechos, notificación de brechas y adaptación a cambios normativos.
Si el colegio pertenece a una congregación religiosa o a un grupo educativo con varios centros, el servicio de DPO externo compartido permite extender la cobertura a todos los centros del grupo bajo un mismo contrato, con adaptación individualizada a cada sede.
Riesgos de no cumplir: sanciones y consecuencias reputacionales
La AEPD dispone de potestad sancionadora directa sobre los centros educativos. Las infracciones del RGPD se clasifican en tres niveles:
- Infracciones de primer nivel (art. 83.4 RGPD): hasta 10 millones de euros o el 2 % del volumen de negocio global. Incluyen incumplimientos de obligaciones como el RAT, la designación del DPO o la formalización de contratos de encargo.
- Infracciones graves (art. 83.5 RGPD): hasta 20 millones de euros o el 4 % del volumen de negocio. Incluyen tratar datos sin base legal, vulnerar los principios del artículo 5 RGPD o transferir datos a terceros países sin garantías.
Más allá de la multa económica, las consecuencias reputacionales de una sanción publicada en el BOE son devastadoras para un centro cuya principal activo es la confianza de las familias. La AEPD publica sus resoluciones con nombre del responsable del tratamiento y descripción de los hechos. En el sector educativo, esa publicidad puede traducirse en pérdida de matriculaciones.
Preguntas frecuentes
¿Un colegio concertado pequeño con menos de 100 alumnos también necesita DPO?
Sí, si trata datos de categoría especial (salud, necesidades educativas especiales, datos biométricos) o realiza videovigilancia del recinto. El artículo 34.1 a) de la LOPDGDD no establece un umbral mínimo de alumnos para los centros docentes: la obligación nace del tipo de datos tratados, no del tamaño del centro. La AEPD ha confirmado esta interpretación en resoluciones recientes. Un DPO externo resulta especialmente rentable para centros pequeños, porque el coste se distribuye entre varios clientes del proveedor.
¿Puede el director del colegio ejercer como DPO?
En teoría el RGPD no lo prohíbe expresamente, pero en la práctica genera un conflicto de interés que la AEPD ha observado con preocupación. El DPO debe supervisar los tratamientos del responsable y puede entrar en colisión con decisiones del propio director. Además, el director carece habitualmente de la formación jurídica y técnica que exige el perfil del Delegado. El Comité Europeo de Protección de Datos (EDPB) recomienda en sus directrices 07/2020 que el DPO sea externo cuando existan riesgos reales de conflicto de interés, como ocurre en los centros educativos.
¿Qué plazo tiene el colegio para responder a una solicitud de acceso de un padre o alumno?
El artículo 12.3 del RGPD fija un plazo de un mes desde la recepción de la solicitud. Ese plazo puede prorrogarse dos meses más cuando la solicitud sea compleja o numerosa, pero el responsable debe informar al solicitante de la prórroga dentro del primer mes. La falta de respuesta en plazo es en sí misma una infracción del RGPD denunciable ante la AEPD, independientemente de si el tratamiento subyacente es correcto o no.
¿Necesita el colegio una EIPD para instalar cámaras de videovigilancia en el patio?
Depende del alcance. La AEPD publicó en 2018 la lista de tratamientos que requieren EIPD preceptiva, e incluye la videovigilancia en espacios donde se traten datos de categorías especiales o donde los afectados sean especialmente vulnerables, como los menores. Un circuito de videovigilancia que cubra patios, comedores y pasillos de un colegio entra en esa categoría. La EIPD debe realizarse antes de instalar el sistema, no después; y si el resultado arroja un riesgo residual alto, debe consultarse previamente a la AEPD (art. 36 RGPD).