Proteccion de datos

RGPD para centros educativos

Colegios, academias, universidades y centros de formación tratan datos de menores, familias y personal bajo un marco legal especialmente exigente. Si tienes apps educativas, plataformas en la nube o cámaras de vigilancia, el incumplimiento del RGPD no es una posibilidad remota: la AEPD ha sancionado centros educativos de todos los tamaños.

NormativaRGPD · LOPDGDD · Instrucción AEPD 1/2022
PerfilColegios, academias, FP, universidades, escuelas de idiomas
Plazo orientativo6-10 semanas para el ciclo completo de adecuación

El Reglamento General de Protección de Datos (RGPD, UE 2016/679) y la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) imponen obligaciones específicas cuando se tratan datos de menores de 14 años. En educación, eso es prácticamente el día a día: expedientes académicos, fotografías en actos escolares, plataformas digitales de aprendizaje (LMS), apps de comunicación con familias y sistemas de videovigilancia en pasillos o comedores. La Instrucción 1/2022 de la AEPD sobre dispositivos móviles en centros docentes añade una capa adicional de obligaciones que muchos centros todavía desconocen.

El problema no es sólo tener una política de privacidad publicada en la web. La AEPD ha investigado y sancionado centros por ceder imágenes de alumnos a terceros sin base legal, por usar plataformas de videollamada estadounidenses sin garantías de transferencia internacional adecuadas o por recabar datos biométricos (huellas para el comedor) sin evaluar su proporcionalidad. El riesgo reputacional es alto: una denuncia de una familia puede derivar en una inspección que paralice proyectos tecnológicos y dañe la imagen del centro ante la comunidad educativa.

Summum Consultoria trabaja desde 2007 con entidades de diversa naturaleza y entiende la casuística específica del sector educativo: la doble legitimación (padres/tutores para menores + propio alumno mayor de 14 años), la relación contractual con proveedores de tecnología educativa, la gestión de becas y datos socioeconómicos, o el tratamiento de datos de salud cuando hay alumnos con necesidades especiales. Nuestro equipo jurídico adapta el análisis a la realidad de cada centro, sin plantillas genéricas, y trabaja codo a codo con el equipo directivo para que el cumplimiento no entorpezca la actividad pedagógica.

El proceso de RGPD para centros educativos.

El proceso · cuatro tiempos
01

Diagnóstico inicial

Mapeamos todos los tratamientos de datos del centro: expedientes académicos, plataformas digitales (LMS, apps de comunicación, videoconferencia), cámaras de seguridad, datos de salud y necesidades especiales, registros de becas y datos económicos de familias. Identificamos las bases legales aplicables y las brechas respecto al RGPD, la LOPDGDD y la Instrucción 1/2022 de la AEPD.

02

Registro de actividades y análisis de riesgos

Redactamos el Registro de Actividades de Tratamiento (RAT) adaptado a la estructura del centro: diferenciamos los tratamientos con base en el contrato educativo, los de interés legítimo y los que requieren consentimiento expreso de los progenitores. Realizamos la Evaluación de Impacto (EIPD) cuando el tratamiento lo exige: videovigilancia, biometría, perfiles de rendimiento académico con tecnología predictiva.

03

Documentación legal y cláusulas

Elaboramos o revisamos: cláusulas informativas para matrícula y extraescolares, política de privacidad web, formularios de consentimiento parental diferenciados por tramo de edad, contratos de encargo de tratamiento con proveedores tecnológicos (Google Workspace for Education, Microsoft 365, plataformas LMS), y protocolos de actuación ante brechas de seguridad con los plazos de notificación a la AEPD (72 horas).

04

Formación y seguimiento

Formamos al equipo directivo y al claustro en las obligaciones prácticas del día a día: qué hacer cuando una familia solicita acceso o supresión de datos, cómo gestionar el uso de imágenes en redes sociales del centro, qué exigir a las plataformas educativas nuevas antes de implantarlas. Los centros docentes con enseñanzas regladas están obligados a designar un Delegado de Protección de Datos (DPO) según el artículo 34 de la LOPDGDD; desde Summum Consultoria podemos asumir esa función como DPO externo.

Qué incluye

Qué incluye RGPD para centros educativos.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Registro de Actividades de Tratamiento

    RAT completo y actualizado con todos los tratamientos del centro: matrícula, expedientes, salud, videovigilancia, plataformas digitales y comunicaciones con familias.

  • Evaluación de Impacto (EIPD)

    Análisis de riesgo para tratamientos de alto riesgo: biometría en el comedor, perfiles académicos automatizados, videovigilancia en zonas sensibles o uso de IA en el aula.

  • Cláusulas y formularios legales

    Textos informativos para matrícula, consentimientos parentales diferenciados por edad (menores de 14 y mayores), autorizaciones de imagen y modelos para extraescolares y actividades.

  • Contratos con proveedores tecnológicos

    Revisión y firma de los contratos de encargo de tratamiento con Google, Microsoft, plataformas LMS, apps de comunicación y cualquier proveedor que acceda a datos de alumnos o personal.

  • Protocolo de brechas de seguridad

    Procedimiento interno para detectar, contener y notificar incidentes en los plazos legales. Plantillas de comunicación a la AEPD y a los afectados según la gravedad.

  • DPO externo o asesoría continua

    Delegado de Protección de Datos externo: obligatorio para todos los centros docentes con enseñanzas regladas según el artículo 34 de la LOPDGDD, independientemente del tamaño. También ofrecemos modalidad de asesoría permanente para consultas del equipo directivo.

Preguntas frecuentes sobre RGPD para centros educativos.

¿Qué edad mínima exige la ley española para que un menor consienta por sí mismo?

El artículo 7 de la LOPDGDD fija los 14 años. Por debajo de esa edad, el consentimiento debe prestarlo el titular de la patria potestad o tutela. Por encima de los 14, el menor puede consentir directamente, aunque conviene que el centro informe también a la familia como buena práctica. Esta regla se aplica tanto al uso de plataformas educativas como a la publicación de imágenes en la web o redes sociales del centro.

¿Está prohibido usar plataformas de videoconferencia estadounidenses como Google Meet o Zoom?

No están prohibidas, pero su uso requiere que el proveedor ofrezca garantías adecuadas para la transferencia internacional de datos. Desde la entrada en vigor del Marco de Privacidad UE-EE. UU. en julio de 2023 (Decisión de Adecuación de la Comisión Europea), proveedores certificados bajo ese marco pueden considerarse válidos. El centro debe suscribir el contrato de encargo de tratamiento con el proveedor y revisar sus cláusulas de subencargo antes de usar la plataforma con datos de alumnos.

¿Los centros educativos están obligados a nombrar un Delegado de Protección de Datos?

Sí, con carácter general. El artículo 34 de la LOPDGDD obliga expresamente a designar DPO a todos los centros docentes que impartan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como a las universidades públicas y privadas. La obligación es independiente del tamaño del centro y se cumple tanto con DPO interno como externo, debiendo comunicarse el nombramiento a la AEPD. Para los centros públicos, varias comunidades autónomas han designado un DPO compartido para sus centros dependientes. Summum Consultoria puede ejercer de DPO externo o acompañar en el proceso de nombramiento.

¿Qué pasa si instalamos cámaras en el centro escolar?

La videovigilancia en colegios está expresamente regulada: las cámaras deben limitarse a zonas de acceso general (entradas, pasillos, aparcamientos) y nunca apuntar a zonas donde el alumno tenga expectativa de privacidad (aseos, vestuarios). Se exige cartelería informativa normalizada, conservación máxima de 30 días salvo que exista causa penal o disciplinaria, y un análisis de proporcionalidad. Si las grabaciones se tratan con reconocimiento facial u otras técnicas de análisis biométrico, se convierte en un tratamiento de categoría especial que requiere EIPD.

¿Con qué frecuencia hay que actualizar la documentación de protección de datos?

El RAT y las evaluaciones de impacto deben revisarse cada vez que el centro incorpore un nuevo proveedor tecnológico, cambie la finalidad de un tratamiento existente o sufra una brecha de seguridad. Como mínimo, se recomienda una revisión anual completa y una revisión puntual antes de cada inicio de curso, que es cuando habitualmente se incorporan nuevas plataformas o se cambian proveedores de gestión escolar.