Logotipo Servicios Integrales Para Pymes
Cita online

Criterios AEPD para el tratamiento de datos personales en centros educativos

Introducción

En un centro educativo se tratan datos personales de forma intensa y continuada, y además suelen ser datos de menores: matrícula, expediente, evaluación, tutoría, orientación, convivencia, comedor, transporte, plataformas digitales, imágenes y, en ocasiones, salud o necesidades educativas específicas. Esto obliga a aplicar con rigor los principios del RGPD y a poder demostrar el cumplimiento (“responsabilidad proactiva”), especialmente cuando intervienen proveedores EdTech, se usan dispositivos personales o se publican contenidos en Internet.

La AEPD ha difundido un documento operativo con “criterios para el tratamiento de datos personales en centros educativos” que ayuda a aterrizar decisiones del día a día: qué base jurídica usar, cómo informar, cómo comunicar con familias y qué cautelas adoptar cuando hay imágenes, videovigilancia o herramientas digitales.

Qué dice la “Circular” de la AEPD

Resumen operativo orientativo (según ese documento):

  • El centro (o la Administración educativa en centros públicos) actúa normalmente como Responsable del tratamiento y debe fijar directrices internas y formar al personal.
  • Para la función educativa ordinaria, el centro suele basarse en una base jurídica distinta del consentimiento (según el caso), pero debe informar de forma clara y accesible.
  • Para finalidades diferentes (p. ej., difusión de imágenes en web o redes sociales), puede ser necesario consentimiento expreso, separado por finalidades.
  • Se recomienda que las comunicaciones centro–familias–alumnado se realicen por medios corporativos o plataformas oficiales. El uso ordinario de mensajería instantánea (p. ej., WhatsApp/Telegram) no es recomendable; puede contemplarse de forma excepcional en situaciones vinculadas al interés superior del menor (por ejemplo, una emergencia en salida escolar), comunicando solo a las familias afectadas.

Contexto y alcance

Roles

  • Responsable del tratamiento: centro (privado/concertado) o Administración educativa/centro (público, según organización).
  • Encargados del tratamiento: plataformas educativas, comedor, transporte, apps de comunicación, mantenimiento IT, hosting/cloud, editoriales digitales, etc.
  • Corresponsables: si dos entidades deciden conjuntamente fines y medios (por ejemplo, acuerdos donde ambos determinan la lógica y finalidades de una plataforma).

Categorías de datos típicas

  • Identificativos y contacto (alumno y familia), académicos y evaluaciones, asistencia, tutoría, convivencia/disciplinarios.
  • Salud/NEE (alergias, adaptaciones), datos sociales (según contexto).
  • Imágenes y voz (fotos, vídeo, streaming de eventos).
  • Credenciales, logs, trazas de uso, metadatos de plataforma.
  • Geolocalización (rutas de transporte) cuando exista.
  • Datos de menores (por definición, requieren cautela reforzada por el impacto).

Principios RGPD (art. 5)

  • Minimización: pedir y usar solo lo necesario.
  • Limitación de finalidad: no reutilizar para fines incompatibles.
  • Exactitud, conservación limitada, integridad y confidencialidad.
  • Licitud, lealtad y transparencia.

Criterios para el tratamiento de datos en centros educativos (ejemplos por casos de uso)

Nota: la base jurídica concreta puede variar según titularidad, normativa educativa aplicable y diseño del servicio.

Tratamiento (caso)

Base jurídica habitual (art. 6 RGPD)

Riesgos frecuentes

Mitigaciones recomendables

¿EIPD (art. 35)?

Matrícula, expediente, evaluación

6.1.e (interés público/poderes públicos) en públicos; 6.1.b (relación educativa/servicio) en privados; 6.1.c si hay obligación legal aplicable

Accesos indebidos, datos excesivos, copias locales

Perfiles de acceso, minimización, información (arts. 12–13), retención definida

Normalmente no

Plataforma educativa / LMS

6.1.e o 6.1.b + contrato de encargo (art. 28)

Transferencias internacionales, explotación de datos, brechas

Due diligence del proveedor, DPA, control de subencargados, MFA, políticas de contraseñas

Depende (analítica avanzada/IA/escala)

Comunicación con familias

6.1.e / 6.1.b según contexto

Exposición de teléfonos, grupos masivos, reenvíos

Canales oficiales (portal/correo), listas con acceso restringido, reglas internas

Normalmente no

Imágenes en web/RRSS

Frecuente 6.1.a (consentimiento) si es difusión no imprescindible

Difusión no controlada, indexación, reutilización

Consentimiento expreso y granular, no etiquetar, limitar visibilidad, “listas de exclusión”

Depende (escala/vulnerabilidad)

Videovigilancia

6.1.e o 6.1.f + LOPDGDD art. 22

Vigilancia excesiva, captación de vía pública

Señalización, zonas justificadas, acceso restringido, plazos limitados

Depende (analítica/IA)

Biometría (acceso/comedor)

Puede implicar art. 9 (categorías especiales) y alto riesgo

Intrusión, irreversibilidad, sesgos

Justificación de necesidad, alternativa no biométrica real, EIPD, medidas reforzadas

Siempre sí

Geolocalización (transporte/app)

6.1.e / 6.1.b

Seguimiento del menor, accesos indebidos

Ventanas temporales, roles estrictos, expiración, logs de acceso

Probable si monitorización sistemática

Proctoring/exámenes online con monitorización

6.1.e / 6.1.b, pero con alto escrutinio de proporcionalidad

Intrusión en domicilio, falsos positivos, perfilado

Alternativas menos intrusivas, EIPD, límites y transparencia reforzada

Muy probable sí

Beneficios y riesgos: seguridad vs privacidad

La digitalización puede mejorar la seguridad (menos papeles sueltos, trazabilidad, control de accesos), pero también aumenta el riesgo de exposición (credenciales, pantallazos, reenvíos, accesos no autorizados). Ejemplos verosímiles:

  • Un grupo no oficial de mensajería expone teléfonos y fotos de perfil; además, es difícil garantizar confidencialidad, conservación y control de acceso.
  • Publicar fotos en una web abierta facilita su indexación y reutilización.
  • Un proveedor sufre ransomware y se ven afectados expedientes: la selección y supervisión del encargado, junto con medidas del art. 32 RGPD, resultan críticas.

Bases de legitimación y obligaciones RGPD/LOPDGDD

Obligaciones legales (RGPD/LOPDGDD)

  • Principios y cumplimiento: art. 5 RGPD.
  • Base jurídica: art. 6 RGPD (y, si procede, art. 9 RGPD para categorías especiales como salud/NEE).
  • Transparencia e información: arts. 12–14 RGPD y enfoque por capas (art. 11 LOPDGDD).
  • Responsabilidad proactiva: art. 24 RGPD.
  • Privacidad desde el diseño y por defecto: art. 25 RGPD.
  • Encargados y contratos: art. 28 RGPD.
  • Registro de actividades: art. 30 RGPD.
  • Seguridad: art. 32 RGPD.
  • Brechas: arts. 33–34 RGPD.
  • EIPD: art. 35 RGPD.
  • DPD: art. 37 RGPD y obligación específica en centros docentes (art. 34 LOPDGDD).
  • Menores y consentimiento: referencia general en España 14 años cuando el tratamiento se base en consentimiento del menor (art. 7 LOPDGDD).
  • Deber de confidencialidad: art. 5 LOPDGDD.
  • Videovigilancia: art. 22 LOPDGDD.

Criterios/recomendaciones AEPD (orientativas)

  • Priorizar canales corporativos y soluciones oficiales del responsable para comunicaciones.
  • Evitar mensajería instantánea como canal ordinario; reservarla a supuestos excepcionales y acotados.
  • Separar finalidades cuando se solicite consentimiento (por ejemplo, imágenes en web vs redes).

Buenas prácticas

  • Política interna de comunicaciones (docentes/familias/alumnado) con alternativas seguras.
  • “Portal de familias” con trazabilidad y roles.
  • Plantillas de información por capas y consentimientos granulares.
  • Revisión periódica de proveedores EdTech y permisos de las apps.
  • Formación anual y recordatorios prácticos (“qué no enviar”, “cómo compartir actas”, etc.).

¿Cuándo es necesaria una EIPD? (art. 35 RGPD)

Árbol simple de decisión:

  1. ¿Usas biometría, proctoring, IA, analítica avanzada o tecnología novedosa? → Si sí, sigue.
  2. ¿Hay monitorización sistemática, tratamiento a gran escala o impacto significativo sobre menores? → Si sí, probable EIPD.
  3. ¿Tratas categorías especiales (salud/NEE) con alcance relevante o perfilas conductas/rendimiento? → Si sí, EIPD muy probable.
  4. Si el tratamiento es ordinario, limitado, con bajo impacto y controles sólidos, puede no ser necesaria; aun así, documenta el análisis de riesgos.

Triggers típicos: biometría, videovigilancia con analítica, geolocalización continua, perfilado, decisiones automatizadas, transferencias internacionales complejas, integración masiva de múltiples fuentes.

Medidas de proporcionalidad y buenas prácticas

  • Definir finalidad y necesidad; documentar alternativas menos intrusivas (test de proporcionalidad).
  • Minimizar datos, permisos y accesos (art. 5).
  • Informar por capas (arts. 12–13 + art. 11 LOPDGDD).
  • Control de accesos por roles, MFA, gestión de identidades, segregación (art. 32).
  • Contratos con encargados (art. 28): subencargados, ubicación, seguridad, borrado/retorno.
  • Registro de actividades (art. 30) y evidencias de cumplimiento (art. 24).
  • Plan de brechas (arts. 33–34): detección, respuesta, comunicación.
  • Retención y borrado: plazos y purgas; copias cifradas y probadas.

Señales de alerta (red flags)

  • Pedir consentimiento “para todo” sin analizar base jurídica.
  • Apps gratuitas con permisos excesivos o fines comerciales no claros.
  • Biometría “por comodidad” sin alternativa equivalente.
  • Grupos no oficiales masivos con teléfonos visibles.
  • Cámaras con analítica/IA sin evaluación de necesidad y sin EIPD.

Quick wins (acciones en 30 días)

  1. Inventario mínimo de tratamientos y proveedores (art. 30).
  2. Publicar contacto del DPD y canal de derechos.
  3. Política de “canales oficiales” y transición desde mensajería instantánea no controlada.
  4. Revisión exprés de contratos de encargo (art. 28) y ubicación de datos.
  5. Actualizar textos informativos por capas (matrícula, plataforma, imágenes).

FAQ (5)

  1. ¿El centro puede tratar datos sin consentimiento?

    A menudo sí para la función educativa (art. 6), pero debe informar (arts. 12–13) y respetar principios (art. 5).

  2. ¿Cuándo necesito consentimiento expreso?

    Suele ser necesario cuando la finalidad es “difusión” o no es imprescindible para la función educativa (por ejemplo, publicar imágenes en web/RRSS), según el caso.

  3. ¿WhatsApp está prohibido?

    No es la vía recomendada como canal ordinario. Si se usa, debe justificarse y acotarse; para emergencias puede contemplarse de forma excepcional y limitada.

  4. ¿Es obligatorio un DPD en un centro docente?

    Sí, el art. 34 LOPDGDD lo establece para centros docentes.

  5. ¿Cuándo hago una EIPD?

    Cuando sea probable alto riesgo (biometría, proctoring, monitorización sistemática, tecnologías novedosas, perfilado), art. 35.

Conclusión

La clave en centros educativos no es “recoger consentimientos”, sino definir finalidades, escoger bien la base jurídica, controlar proveedores y aplicar proporcionalidad con medidas técnicas y organizativas. Si quieres reducir riesgo y fricción operativa, empieza por una auditoría de tratamientos, revisión de contratos de encargo y un plan de canales oficiales para comunicación e imágenes.

Esto no es asesoramiento legal

Este contenido es informativo y general. Conviene consulta específica si hay biometría, videovigilancia avanzada/IA, proctoring, perfilado, transferencias internacionales, tratamientos a gran escala de menores, incidentes de seguridad o dudas relevantes sobre base jurídica/EIPD.

Si tiene dudas, contacte con nosotros

Facebook
Twitter
LinkedIn
Email
WhatsApp
Telegram
Skype
Print
Imagen de admin
admin

Boletin informativo

Suscríbete al boletín informativo para estar al día

Por favor, antes de enviar tus datos lee la política de privacidad

Últimas publicaciones