Un colegio recoge, cada curso escolar, centenares de datos de sus alumnos: nombre, domicilio, datos de salud para el comedor o la enfermería, fotografías para el anuario, calificaciones, informes psicopedagógicos y, en muchos casos, datos de familias separadas con restricciones de custodia. Todos esos datos pertenecen a menores de edad, la categoría de personas que el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) rodean de garantías reforzadas. El problema es que muchos centros —públicos y concertados— siguen actuando como si el régimen fuese el de la antigua LOPD de 1999: aviso legal en papel, consentimiento genérico en la matrícula y poco más. Ese modelo ya no es válido y expone al centro, a su titularidad y a su equipo directivo a sanciones de hasta 20 millones de euros o el 4 % del volumen de negocio anual.
Este artículo explica, de forma concreta, qué datos pueden tratarse, con qué base jurídica, qué obligaciones documentales son imprescindibles y qué errores cometen con más frecuencia los centros educativos. Si buscas implantar el cumplimiento desde cero o revisar el existente, en Summum Consultoria llevamos desde 2007 acompañando a organizaciones en el cumplimiento normativo; nuestro servicio de adecuación RGPD para centros educativos cubre el análisis inicial, la documentación completa y el mantenimiento continuo.
¿A qué centros obliga el RGPD?
El RGPD se aplica a cualquier organización que trate datos personales de personas físicas en la Unión Europea, independientemente de su tamaño. Eso incluye:
- Colegios públicos, cuyo responsable del tratamiento es la administración educativa autonómica (aunque el centro actúe de hecho).
- Centros concertados y privados, donde el responsable es la entidad titular (fundación, cooperativa, empresa, congregación religiosa).
- Escuelas infantiles (0-3 años) y centros de educación especial, con particularidades adicionales por la corta edad y la presencia habitual de datos de salud.
- Universidades y centros de formación profesional, aunque en este artículo nos centramos en la enseñanza no universitaria.
La LOPDGDD añade, en su artículo 7, que los menores de 14 años no pueden prestar consentimiento para el tratamiento de sus datos por sí mismos; son los titulares de la patria potestad o tutela quienes deben autorizarlo. Para mayores de 14 años, el propio menor puede consentir, salvo en casos de datos especialmente sensibles (salud, origen étnico, ideología, etc.), donde la cautela debe ser máxima.
Categorías de datos que trata un centro educativo
Antes de hablar de bases jurídicas, conviene saber con qué tipo de datos trabaja habitualmente un colegio. La tabla siguiente resume las categorías más frecuentes y su nivel de sensibilidad:
| Categoría de dato | Ejemplos concretos | Sensibilidad RGPD | Base jurídica habitual |
|---|---|---|---|
| Identificativos básicos | Nombre, apellidos, fecha de nacimiento, domicilio | Ordinaria | Relación contractual / misión educativa pública |
| Académicos | Calificaciones, informes de evaluación, expediente | Ordinaria (con restricciones de acceso) | Obligación legal (LOE / leyes autonómicas) |
| Salud | Alergias, medicación, discapacidades, informes médicos | Especialmente protegida (art. 9 RGPD) | Interés vital / obligación legal sanitaria |
| Psicopedagógicos | Informes de orientación, TDAH, NEE | Especialmente protegida | Obligación legal educativa + consentimiento |
| Imagen y voz | Fotos de clase, vídeos de actividades, grabaciones | Ordinaria (menores: reforzada) | Consentimiento expreso de progenitores |
| Familia y custodia | Datos de progenitores, régimen de visitas, órdenes judiciales | Ordinaria / judicial | Interés legítimo / obligación legal |
| Económicos | Cuenta bancaria para domiciliación de cuotas, becas | Ordinaria | Relación contractual |
| Conductual y disciplinario | Partes de incidencia, expedientes disciplinarios | Ordinaria (con restricciones) | Obligación legal (reglamentos de régimen interior) |
Bases jurídicas para el tratamiento de datos de menores
El error más frecuente es usar el consentimiento como base jurídica comodín para todos los tratamientos. El consentimiento es revocable en cualquier momento, lo que crearía situaciones absurdas (un progenitor retira el consentimiento y el centro ya no puede guardar las notas del alumno). El RGPD ofrece seis bases jurídicas; los centros educativos suelen apoyarse en tres:
1. Obligación legal
La Ley Orgánica 2/2006 de Educación (LOE) y las normativas autonómicas obligan a los centros a mantener el expediente académico, comunicar datos a la administración educativa y conservar los registros durante plazos determinados. Para estos tratamientos no hace falta consentimiento: la obligación legal justifica por sí sola el tratamiento. Intentar pedir consentimiento para algo que ya obliga la ley confunde a las familias y puede generar problemas cuando alguien lo retira.
2. Consentimiento expreso
Es la base correcta para tratamientos no obligatorios por ley: publicar fotografías en la web del colegio o en redes sociales, enviar imágenes del alumno a medios de comunicación, utilizar datos para fines de marketing de la entidad (p. ej., enviar el boletín corporativo a las familias), o ceder datos a empresas de transporte escolar o actividades extraescolares externas. El consentimiento debe ser libre, específico, informado e inequívoco. En menores de 14 años, lo prestan los progenitores o tutores legales; entre 14 y 18 años, puede prestarlo el propio menor, pero la prudencia aconseja también informar a los progenitores cuando se traten datos sensibles.
3. Interés vital
Justifica tratar datos de salud sin consentimiento cuando existe riesgo para la vida del alumno (p. ej., una emergencia médica en el patio). Se aplica de forma puntual y excepcional, no como regla general.
Obligaciones documentales imprescindibles
El RGPD se basa en el principio de responsabilidad proactiva (accountability): no basta con cumplir, hay que poder demostrarlo. Estas son las piezas documentales mínimas que todo centro educativo debe tener operativas:
Registro de Actividades de Tratamiento (RAT)
Documento interno que lista todos los tratamientos de datos del centro: qué datos se tratan, con qué finalidad, qué base jurídica los ampara, cuánto tiempo se conservan y si se ceden a terceros. La AEPD ha publicado modelos orientativos para el sector educativo. El RAT no se entrega a nadie de forma rutinaria, pero debe estar disponible si la autoridad de control lo solicita en una inspección.
Cláusulas informativas (arts. 13 y 14 RGPD)
En el momento de recoger los datos (matrícula, formularios, apps escolares), el centro debe informar a los progenitores —y, cuando proceda, al propio alumno— de: identidad y datos de contacto del responsable, finalidades y bases jurídicas, plazo de conservación, derechos ejercitables y, si los hay, datos de contacto del Delegado de Protección de Datos. Las cláusulas en letra pequeña al pie de un formulario de papel ya no son suficientes si no son legibles y comprensibles.
Delegado de Protección de Datos (DPO)
El artículo 37 del RGPD establece que ciertos responsables deben designar un DPO de forma obligatoria. Los centros educativos públicos quedan claramente obligados, al ser autoridades públicas. Para los centros concertados y privados, la obligación depende de la escala del tratamiento de datos especialmente sensibles; en la práctica, cualquier colegio que maneje datos de salud o psicopedagógicos de decenas o cientos de alumnos entra en la obligación. El DPO puede ser una persona interna con formación específica o un servicio externo especializado. Su función no es ejecutar el cumplimiento sino supervisarlo y asesorar, actuando como punto de contacto con la AEPD.
Contratos con encargados del tratamiento
Toda empresa externa que acceda a datos de alumnos en nombre del centro —plataforma digital educativa, empresa de comedor, servicio de transporte, proveedor de software de gestión académica— actúa como encargado del tratamiento y debe firmar un contrato (o cláusula contractual) que regule qué puede hacer con esos datos, durante cuánto tiempo y con qué medidas de seguridad. Sin ese contrato, el centro es responsable solidario de las infracciones que cometa el proveedor.
Medidas de seguridad técnicas y organizativas
No hay un catálogo cerrado de medidas obligatorias; el RGPD exige que sean apropiadas al riesgo. En un colegio, las medidas mínimas razonables incluyen: control de acceso por perfiles a la plataforma de gestión académica, cifrado de dispositivos portátiles con datos de alumnos, protocolo de destrucción segura de documentos físicos (trituradora certificada), formación anual al personal sobre protección de datos, y un protocolo de gestión de brechas de seguridad (saber qué hacer y a quién notificar en las primeras 72 horas si se produce una incidencia).
Los diez errores más frecuentes en centros educativos
En los proyectos de adecuación que hemos llevado a cabo, estos son los fallos que aparecen con mayor frecuencia:
- Usar grupos de WhatsApp de clase con datos de alumnos y familias sin base jurídica ni aviso de privacidad.
- Publicar fotos de alumnos en redes sociales sin consentimiento escrito firmado por ambos progenitores (o el que tiene custodia exclusiva).
- No tener contrato con la plataforma de gestión académica (Alexia, Raíces, Clickedu, etc.) como encargado del tratamiento.
- Conservar expedientes indefinidamente sin aplicar los plazos de supresión establecidos en la normativa educativa.
- No informar al alumno de sus propios derechos cuando tiene 14 años o más.
- Enviar boletines de notas por correo electrónico sin cifrado ni comprobación de que el destinatario es el progenitor correcto.
- Compartir listas de alumnos con alergias en el comedor con el servicio externo sin contrato de encargo.
- No registrar ni notificar brechas de seguridad: un portátil robado con notas de alumnos debe notificarse a la AEPD en 72 horas si conlleva riesgo para los afectados.
- Ceder datos a la AMPA sin base jurídica clara (la AMPA es una entidad independiente; la cesión requiere consentimiento o habilitación legal específica).
- No tener DPO designado cuando es obligatorio, o tenerlo sin que esté registrado ante la AEPD.
El caso especial de las plataformas digitales educativas
La digitalización acelerada del sector educativo —impulsada en parte por el Plan de Digitalización del Sistema Educativo 2021-2025 del Ministerio— ha multiplicado el uso de plataformas de videoconferencia, aulas virtuales, aplicaciones de gamificación y herramientas de seguimiento del aprendizaje. Muchas de estas herramientas, especialmente las de origen norteamericano, plantean problemas desde el primer momento:
- Transferencias internacionales de datos fuera del Espacio Económico Europeo que pueden no estar debidamente amparadas.
- Políticas de privacidad que permiten al proveedor usar los datos de los alumnos para mejorar sus modelos o para publicidad.
- Ausencia de contratos de encargo adaptados al RGPD europeo.
La Agencia Española de Protección de Datos (AEPD) publicó en 2023 una guía específica sobre protección de datos en el ámbito educativo que aborda el uso de estas herramientas y establece criterios para evaluar si su uso es compatible con el RGPD. Antes de implantar cualquier plataforma digital que procese datos de alumnos menores, el centro o la administración educativa debe realizar una Evaluación de Impacto en Protección de Datos (EIPD) cuando el tratamiento conlleve riesgo elevado.
Sanciones y expedientes recientes de la AEPD
La AEPD ha sancionado a centros educativos y a administraciones por incumplimientos relacionados con datos de menores. Entre los casos más ilustrativos de los últimos años:
- Centros que publicaron listados de alumnos con datos de salud (alergias) en tablones accesibles a terceros no autorizados.
- Colegios que instalaron sistemas de videovigilancia en espacios escolares sin la preceptiva información a la comunidad educativa.
- Plataformas de gestión contratadas sin clausulado de encargo conforme al artículo 28 RGPD.
- Cesión de imágenes de menores a medios de comunicación sin consentimiento expreso de los progenitores.
Las sanciones en el sector educativo suelen oscilar entre los 3.000 y los 300.000 euros dependiendo de la gravedad, aunque para entidades públicas la AEPD puede apercibir en lugar de multar (artículo 77 LOPDGDD). En cualquier caso, el daño reputacional para un centro educativo —cuya relación con las familias se basa en la confianza— puede ser más costoso que la multa en sí.
Si tu centro necesita una revisión del estado actual o una implantación completa, nuestro equipo de cumplimiento RGPD para el sector educativo trabaja con centros de Castilla y León y Canarias desde 2007, con más de 200 proyectos de adecuación normativa acompañados. El proceso parte de un diagnóstico de situación, continúa con la elaboración de toda la documentación obligatoria y culmina en la formación del claustro y el equipo directivo.
Preguntas frecuentes
¿Puede el colegio publicar fotos de alumnos en su web o Instagram sin pedir permiso?
No. La imagen de una persona es un dato personal protegido por el RGPD. En el caso de menores de 14 años, la publicación de fotografías —ya sea en la web del centro, en redes sociales o en medios de comunicación— requiere el consentimiento expreso y por escrito de quienes ejerzan la patria potestad o tutela. Este consentimiento debe ser específico para cada canal y finalidad: no vale un consentimiento genérico en la matrícula que diga «autorizo el uso de imágenes». La Instrucción 1/2006 de la AEPD sobre videovigilancia y los criterios de la propia agencia son claros al respecto. Si hay un conflicto de custodia, el colegio debe actuar con especial cautela y solicitar la documentación judicial que regule el régimen de visitas y comunicaciones.
¿Qué información mínima debe incluir el sobre o formulario de matrícula?
En el momento de recoger los datos, el responsable del tratamiento debe informar, como mínimo, de: (1) identidad y datos de contacto del responsable y, si existe, del DPO; (2) finalidades del tratamiento y base jurídica que lo ampara; (3) destinatarios o categorías de destinatarios a los que se cederán los datos; (4) plazo previsto de conservación o criterios para determinarlo; (5) derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición, y cómo ejercerlos; (6) derecho a presentar una reclamación ante la AEPD. Esta información puede entregarse en formato de capa simplificada (resumen legible) con remisión a una política de privacidad completa en la web.
¿Puede el colegio compartir datos de un alumno con su médico de cabecera o con servicios sociales?
Depende del supuesto concreto. La comunicación a servicios sanitarios o de protección de menores puede estar amparada por obligación legal (protocolos de detección de situaciones de riesgo o maltrato) o por interés vital del menor en situaciones de emergencia. En estos casos, no se necesita consentimiento de los progenitores, aunque sí debe documentarse la comunicación. Lo que no está amparado es compartir datos académicos o de conducta con terceros no vinculados a la protección del menor (por ejemplo, con otro colegio al que el alumno podría trasladarse) sin que haya una base jurídica clara, un contrato de encargo o una cesión autorizada.
¿Cuánto tiempo debe conservar el colegio el expediente académico de un alumno?
La normativa educativa establece que el expediente académico tiene valor permanente y debe conservarse indefinidamente por la administración educativa (o por el centro en nombre de ella). Sin embargo, otros documentos —partes de conducta, autorizaciones de actividades extraescolares, informes puntuales— tienen plazos mucho más cortos. Como regla general, una vez que el alumno abandona el centro, los datos de mera gestión administrativa deben suprimirse o anonimizarse en un plazo razonable (habitualmente entre 3 y 5 años, o el tiempo necesario para atender posibles reclamaciones). El RAT debe recoger estos plazos de forma expresa.
¿Qué pasa si un progenitor solicita el acceso a los datos de su hijo?
El derecho de acceso puede ser ejercido por los progenitores en nombre de sus hijos menores de 14 años; a partir de esa edad, el propio menor puede ejercerlo por sí mismo. En caso de separación o divorcio, ambos progenitores con patria potestad compartida tienen derecho de acceso, salvo resolución judicial en contrario. El centro debe responder en el plazo de un mes desde la solicitud (prorrogable a tres meses en casos complejos, notificando la prórroga). La negativa a facilitar acceso o la demora injustificada puede dar lugar a una reclamación ante la AEPD.