DPO externo para colegios: guía práctica

·

Los centros docentes que ofrecen enseñanzas en los niveles regulados por la legislación educativa deben designar delegado de protección de datos. En los centros públicos suele designarlo la Administración educativa competente; en los centros privados o concertados debe confirmarse qué entidad es responsable. El DPO externo debe intervenir en plataformas, menores, imágenes, expedientes, orientación, dispositivos, proveedores e incidentes, con independencia y acceso a dirección.

Por qué el DPO es obligatorio en centros docentes

El artículo 37 del RGPD regula los supuestos generales de designación de delegado de protección de datos. El artículo 34.1 de la LOPDGDD incluye, en todo caso, a los centros docentes que ofrecen enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como a las universidades públicas y privadas.

La AEPD lo confirma en sus preguntas frecuentes: la obligación no depende de que el colegio sea grande ni de que haya sufrido una brecha de seguridad.

Antes de avanzar, debe identificarse quién realiza la designación en cada caso:

Tipo de centroAnálisis inicial
Centro públicoLa Administración educativa suele nombrar DPO para los centros de su ámbito.
PrivadoLa entidad titular debe designarlo y comunicarlo.
ConcertadoLa titularidad privada suele asumir los tratamientos propios; hay que coordinar con la Administración.
Grupo educativoPuede existir un DPO común si resulta accesible y dispone de recursos suficientes.
Academia no regladaDebe analizarse el artículo 37 del RGPD y la naturaleza real de la actividad; no cabe asumir automáticamente el artículo 34 educativo.

La estructura concreta y la normativa autonómica aplicable deben comprobarse en cada caso.

Funciones y posición del DPO

El DPO informa y asesora, supervisa el cumplimiento, participa en las evaluaciones de impacto (EIPD), coopera con la autoridad de control y actúa como punto de contacto. Debe ser consultado desde el diseño de cada tratamiento, no cuando la plataforma ya está contratada o el incidente ya se ha publicado.

Su independencia exige:

El DPO no sustituye al responsable del tratamiento. La dirección decide los fines, los medios y la aceptación de riesgos.

Mapa de tratamientos educativos

Un colegio suele tratar datos en, al menos, estos ámbitos:

Cada tratamiento necesita finalidad, base jurídica, datos, destinatarios, plazo de conservación, medidas de seguridad y responsable identificado. La función educativa puede legitimar los datos necesarios, incluidas determinadas categorías especiales, pero no permite reutilizarlos para marketing o para perfiles ajenos a esa finalidad.

Menores: protección reforzada sin bloquear la educación

La edad no convierte el consentimiento en la base jurídica de todo. El centro puede tratar la información necesaria para la función docente, por obligación legal, por protección de intereses vitales u otras bases aplicables. La publicación promocional de imágenes, las aplicaciones opcionales o las finalidades no necesarias requieren un análisis separado.

La información debe adaptarse a la edad y a la capacidad de comprensión. Familias y alumnado necesitan saber qué se recoge, para qué, quién accede, cuánto tiempo se conserva y cómo ejercer sus derechos.

Debe distinguirse patria potestad, representación y madurez del menor. El acceso de los progenitores a la información escolar puede verse afectado por resoluciones judiciales, situaciones de violencia o el interés superior del menor. Los casos sensibles deben escalarse al DPO y al equipo jurídico o de protección.

Plataformas educativas: contratar antes de pulsar «aceptar»

En marzo de 2026, las autoridades españolas de protección de datos publicaron unos principios básicos para la contratación y el uso de plataformas educativas digitales. El centro o la Administración sigue siendo responsable de los datos que entrega a la plataforma.

Antes de contratar conviene revisar:

  1. Finalidad y necesidad pedagógica.
  2. Datos y permisos requeridos.
  3. Roles de responsable y encargado del tratamiento.
  4. Publicidad, perfiles y usos propios del proveedor.
  5. Subencargados y transferencias.
  6. Seguridad, cifrado y autenticación.
  7. Conservación, exportación y borrado.
  8. Accesibilidad y alternativas.
  9. Analítica, inteligencia artificial y decisiones automatizadas.
  10. Plan de salida.

No debe imponerse una aplicación que recoja más datos de los necesarios o que obligue a las familias a aceptar usos comerciales.

Contrato y evidencia

El contrato del artículo 28 debe cubrir instrucciones, confidencialidad, medidas de seguridad, subencargados, derechos, incidentes, auditoría y devolución o supresión de los datos. También conviene conservar la evaluación del proveedor, la versión de las condiciones aceptadas y la decisión de aprobación.

Las cuentas gratuitas de consumo no suelen ser adecuadas para tratar expedientes educativos sin una evaluación y un contrato previos.

Imágenes, grabaciones y redes sociales

No es lo mismo fotografiar una actividad para documentación interna que publicarla en una red social abierta. Deben separarse las finalidades y los canales.

Un sistema bien diseñado debería registrar:

El consentimiento, cuando sea la base jurídica, debe ser libre, específico, informado y revocable. No se puede condicionar la participación educativa a aceptar la promoción de la imagen. La retirada no obliga a lo imposible, pero sí a cesar los usos futuros y a retirar el contenido cuando sea viable.

El centro debe tener reglas claras tanto para las fotografías tomadas por las familias en los eventos como para la publicación por parte del personal. No todo lo visible en un acto escolar es libremente reutilizable.

Salud y necesidades educativas

Los datos de alergias, discapacidad, informes psicopedagógicos o medicación son categorías especiales. Solo debe acceder a ellos quien necesita actuar. El profesorado puede necesitar instrucciones prácticas, pero no siempre el informe clínico completo.

Algunos controles recomendables:

Las comunicaciones deben ser discretas. Un listado de alergias visible puede cumplir una función urgente, pero debe diseñarse para no exponer información innecesaria.

Dispositivos, correo y aprendizaje digital

El centro debe definir cuentas institucionales, contraseñas, autenticación multifactor cuando sea adecuado, instalación de aplicaciones, actualizaciones, copias de seguridad y baja de usuarios. Los dispositivos compartidos necesitan perfiles separados y borrado entre usos.

No se debe pedir al alumnado que utilice cuentas personales para herramientas obligatorias sin un análisis previo. Debe existir un inventario de aplicaciones autorizadas. El profesorado no debería instalar por iniciativa propia servicios que tratan datos de la clase.

Si se incorpora inteligencia artificial generativa, deben establecerse los usos permitidos, los datos prohibidos, la revisión de las salidas y la transparencia hacia familias y alumnado. Los expedientes o las necesidades educativas no deben copiarse a servicios públicos sin contrato y sin autorización.

Videovigilancia y control de acceso

Las cámaras requieren finalidad, necesidad, proporcionalidad, información, ubicación adecuada y un plazo de conservación definido. Deben evitarse los espacios especialmente sensibles y la captación excesiva. El acceso a las imágenes debe limitarse y registrarse.

La videovigilancia no debe utilizarse como sustituto general de la supervisión ni para controlar de forma continua el desempeño docente. Si se investiga un incidente, deben preservarse únicamente las imágenes pertinentes y gestionar las solicitudes con protección de terceros.

El control biométrico exige un análisis especialmente estricto por tratar categorías especiales de datos cuando identifica de forma unívoca. La comodidad no basta: deben evaluarse alternativas menos intrusivas y realizar una EIPD cuando proceda.

Expediente, conservación y salida del centro

No todo se conserva durante el mismo tiempo. Debe existir una tabla de conservación por categoría:

Al cambiar de centro o terminar la relación, deben revocarse las cuentas, recuperarse los dispositivos, transferirse los documentos por un canal autorizado y eliminarse las copias auxiliares. Los datos sujetos a una obligación legal se conservan o se bloquean según corresponda.

Derechos y solicitudes familiares

El centro necesita un canal visible y un registro de solicitudes. Debe verificar la identidad de forma proporcionada y responder dentro de plazo.

Una solicitud de acceso puede incluir datos de otras personas, anotaciones protegidas o información cuyo acceso afecte al menor. No debe entregarse sin revisión un expediente íntegro que exponga a terceros.

El derecho de supresión no permite borrar calificaciones o documentos que deben conservarse legalmente. La respuesta debe explicar la base jurídica y las limitaciones aplicables.

Brechas y protección del menor

Algunos incidentes habituales:

El procedimiento debe coordinar privacidad, seguridad, dirección y protección del menor. Debe contener el incidente, preservar la evidencia, evaluar el riesgo, decidir la notificación y la comunicación, y activar canales urgentes cuando exista contenido que cause daño.

Toda brecha debe documentarse. El proveedor debe avisar al centro sin dilación indebida.

Plan anual del DPO externo

Inicio de curso

Durante el curso

Final de curso

Evaluación de proveedores

CriterioPreguntaEvidencia
Necesidad¿Es imprescindible para la función?Informe pedagógico/técnico
Datos¿Recoge solo lo necesario?Inventario y configuración
Uso propio¿Publicidad, perfiles o entrenamiento?Contrato y política
Seguridad¿Cifrado, MFA, logs e incidentes?Documentación y pruebas
Subencargados¿Quién accede y dónde?Lista y cambios
Salida¿Exporta y borra?Prueba de reversibilidad
Menores¿Diseño y transparencia adecuados?Interfaz e información

Errores frecuentes

  1. Nombrar DPO pero no consultarlo.
  2. Usar el consentimiento para toda la actividad educativa.
  3. Aceptar plataformas gratuitas sin contrato.
  4. Instalar aplicaciones por iniciativa individual.
  5. Publicar imágenes con una autorización genérica.
  6. Compartir informes completos con quien solo necesita instrucciones.
  7. Usar cuentas personales para tratar expedientes.
  8. Mantener accesos activos después de la baja.
  9. Entregar expedientes sin proteger a terceros.
  10. Conservar indefinidamente cuentas y copias.

Checklist del centro

Preguntas frecuentes

¿Todos los colegios necesitan DPO?

Los centros que ofrecen enseñanzas de los niveles regulados están incluidos expresamente en la LOPDGDD.

¿Puede compartir DPO un grupo de centros?

Sí, si resulta accesible, independiente y dispone de recursos suficientes para todos.

¿El consentimiento familiar legitima cualquier plataforma?

No. El centro debe evaluar la necesidad, el contrato, la seguridad y los derechos. El consentimiento no corrige una plataforma desproporcionada.

¿Puede el profesorado usar una aplicación gratuita?

No debería hacerlo con datos del alumnado sin autorización y evaluación previas del responsable.

¿Puede publicarse una imagen de una actividad?

Depende de la finalidad, la base jurídica, la información facilitada y el canal. La publicación promocional debe separarse de la documentación educativa.

¿El DPO decide qué plataforma comprar?

Asesora y supervisa; la dirección decide y debe documentar cómo atiende los riesgos y las recomendaciones recibidas.

Fuentes oficiales consultadas

Summum Consultoría puede asumir la función de DPO externo y articular un plan anual adaptado al centro. La dirección conserva la responsabilidad y debe integrar la privacidad con la función educativa y la protección del menor. Si quieres valorar cómo encajaría en tu centro, nuestro servicio de DPO externo y nuestra propuesta de RGPD para centros educativos están pensados para acompañar exactamente este proceso.