Protección de Datos

Las autoridades de protección de datos ponen el foco en las plataformas educativas digitales: no todo vale en el entorno escolar

Las autoridades de protección de datos españolas han dado un paso relevante al publicar una guía conjunta sobre el uso y contratación de plataformas educativas digitales en centros docentes y administraciones públicas. Y, sinceramente, era necesario.

El documento, publicado en marzo de 2026, no se limita a recordar el RGPD. Va más allá. Pone el acento donde realmente están los problemas: en cómo se están utilizando estas plataformas en la práctica y en los riesgos reales que afectan, sobre todo, a menores.

Un contexto incómodo: uso masivo, control limitado

La guía parte de una realidad que muchos profesionales ya intuíamos. Las plataformas educativas no son simples herramientas. Son ecosistemas complejos, con múltiples servicios, proveedores y flujos de datos que, en muchos casos, escapan al control efectivo del responsable del tratamiento.

Y aquí aparece la primera advertencia clara:
el hecho de que una plataforma sea “gratuita” para la administración no puede traducirse en una cesión encubierta de datos o en una rebaja del nivel de protección.

Dicho de otra forma, si no pagas con dinero, probablemente estás pagando con datos.

Menores: el verdadero centro del problema

El documento insiste, con acierto, en algo que a veces se diluye en la operativa diaria: los principales afectados son menores de edad.

Esto cambia completamente el enfoque jurídico. No estamos ante tratamientos estándar. El RGPD exige un nivel reforzado de protección cuando hay menores, y la guía lo aterriza de forma bastante directa: cualquier tratamiento debe evaluarse desde el interés superior del menor como criterio prioritario.

Y además hay un matiz importante. El uso de estas plataformas no es voluntario. El alumno no elige. Eso, en términos de legitimación, condiciona todo.

Roles difusos: cuando el proveedor deja de ser “encargado”

Uno de los puntos más interesantes es el análisis de roles.

La guía rompe con una idea cómoda pero muchas veces incorrecta: que el proveedor de la plataforma es siempre encargado del tratamiento. No es así.

Puede ser encargado… pero también responsable.
Especialmente cuando:

trata datos para fines propios
analiza comportamientos de uso
activa servicios adicionales no vinculados a la función educativa

Este matiz es clave, porque cambia completamente las obligaciones y la responsabilidad jurídica.

Servicios adicionales: el gran caballo de Troya

Aquí la guía es especialmente clara, incluso diría que valiente.

Los servicios adicionales (IA, buscadores, herramientas externas, etc.) que no son necesarios para la función educativa no deberían activarse en entornos escolares.

Y tiene lógica. No puedes convertir una herramienta educativa obligatoria en una puerta de entrada a servicios comerciales o de explotación de datos.

Además, el interés legítimo del proveedor, en el contexto de menores, difícilmente supera el test de ponderación para este tipo de tratamientos.

Evaluación de impacto: no es opcional

Otro mensaje directo:
la EIPD no es recomendable, es obligatoria.

El tratamiento a gran escala de datos de menores, mediante tecnologías en la nube, encaja de lleno en los supuestos del artículo 35 RGPD.

Y no basta con hacerla una vez. La guía insiste en algo que muchas organizaciones olvidan: debe revisarse cuando cambien las condiciones del tratamiento, los servicios o los riesgos.

Contratos y control real: basta de documentación decorativa

En materia contractual, el mensaje es bastante contundente.

No sirve un contrato de encargo formalmente correcto si:

las condiciones están dispersas
el proveedor puede modificarlas unilateralmente
no hay control real sobre subencargados
las auditorías son meramente “de papel”

El responsable debe poder entender, controlar y, si es necesario, oponerse. Si no, el cumplimiento es ficticio.

Transferencias internacionales: el punto crítico silencioso

La guía recuerda algo que sigue generando muchos problemas en la práctica:
no se puede implantar una plataforma sin conocer exactamente dónde van los datos.

Y si hay transferencias internacionales:

deben estar justificadas
documentadas
y evaluadas con garantías equivalentes

La falta de claridad en los flujos de datos, por sí sola, puede ser motivo suficiente para no utilizar la plataforma.

Conclusión: responsabilidad real, no formal

Si hay una idea que atraviesa toda la guía es esta:

La administración educativa y los centros no pueden delegar su responsabilidad en el proveedor.

Ni técnica, ni jurídica.

Esto obliga a cambiar el enfoque. Ya no vale con “implantar la herramienta”. Hay que entenderla, controlarla y, en muchos casos, limitarla.

Porque en el fondo, y esto no se dice expresamente pero se deduce con claridad, el problema no es la tecnología.
Es cómo se está utilizando.

¿Hablamos?

Información Básica de Protección de Datos

Responsable : Asociación Profesional de Consultores en Protección de Datos
Finalidad: Gestión de la solicitud y posterior prestación del servicio
Legitimación: Consentimiento del interesado y/o prestación de un servicio
Destinatarios: Entidades colaboradoras para la prestación del servicio.
Derechos: Tiene derecho a acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la información adicional.
Información adicional: Puede consultar la información adicional y detallada pulsando en el siguiente enlace