La digitalización educativa ha dejado de ser una promesa para convertirse en una realidad. Hoy, buena parte de la actividad docente pasa por plataformas en la nube que organizan clases, almacenan trabajos, canalizan comunicaciones y registran el progreso del alumnado. Pero cuando el aula se traslada al entorno digital, no solo cambia la forma de enseñar: también cambia la escala, la intensidad y los riesgos del tratamiento de los datos personales.
Esa es la idea de fondo del documento “Principios básicos para la contratación y uso de plataformas educativas digitales por las administraciones educativas y centros docentes”, publicado en marzo de 2026 por la Agencia Española de Protección de Datos (AEPD), la Autoritat Catalana de Protecció de Dades (APDCAT), la Autoridad Vasca de Protección de Datos y el Consejo de Transparencia y Protección de Datos de Andalucía.
La guía parte de una premisa esencial: estas plataformas afectan de forma masiva a menores, se insertan en un contexto de uso no verdaderamente voluntario y exigen un escrutinio reforzado desde la óptica del Reglamento General de Protección de Datos.
La implantación de plataformas educativas digitales no puede analizarse como una simple decisión técnica o de eficiencia organizativa. En realidad, supone diseñar un entorno estable de tratamiento de datos personales de menores, con implicaciones en la base jurídica, la transparencia, la configuración por defecto, la seguridad, las transferencias internacionales y la delimitación de responsabilidades entre centros, administraciones y proveedores tecnológicos.
Menores, función educativa y base jurídica
El documento identifica con claridad por qué el contexto educativo digital merece una atención específica. Los principales afectados son menores de edad, que gozan de una protección reforzada en el RGPD, como recuerda expresamente su considerando 38. Además, el uso de estas plataformas no suele ser opcional para el alumnado y sus familias, sino que se integra en la propia prestación del servicio educativo.
Por eso, en este ámbito, la lógica jurídica no puede descansar sin más en el consentimiento, sino que debe partir de la función pública o institucional que desempeña el centro; lo que remite, con carácter general, al artículo 6.1.e RGPD: la misión realizada en interés público.
Ahora bien, afirmar que la actividad educativa encuentra cobertura en el artículo 6.1.e RGPD no resuelve por sí solo todos los problemas. En este sentido, el decálogo pone de manifiesto que las plataformas educativas no suelen limitarse a ofrecer un aula virtual, un espacio de almacenamiento o un sistema de mensajería. Con frecuencia incorporan servicios añadidos, como motores de búsqueda, contenidos audiovisuales, analítica avanzada o incluso herramientas basadas en inteligencia artificial.
El límite de los servicios adicionales
De ello se desprende una conclusión jurídica evidente: no todo lo técnicamente disponible queda automáticamente absorbido por la finalidad educativa. La misión en interés público ampara lo necesario para la función docente, no cualquier capa adicional que el proveedor decida ofrecer dentro del ecosistema digital. Por eso, el documento subraya que los servicios adicionales u optativos que no respondan a una finalidad estrictamente educativa no deberían activarse en un entorno institucional dirigido a menores.
Durante años, muchas organizaciones han asumido que contratar una plataforma equivalía a aceptar, en bloque, todo lo que esta incorporaba. Sin embargo, desde la óptica del RGPD, esa aproximación es difícilmente compatible con los principios del artículo 5 RGPD: limitación de la finalidad, minimización de datos y limitación del plazo de conservación. Una plataforma educativa no puede convertirse en una puerta de entrada para tratamientos ajenos al proceso de enseñanza y aprendizaje.
Cuando el proveedor es más que un encargado del tratamiento
También resulta especialmente relevante el análisis que hace la guía sobre el papel jurídico del proveedor. En la práctica, uno de los errores más frecuentes consiste en tratar al prestador tecnológico como si fuese siempre y en todo caso un mero encargado del tratamiento. Pero la realidad suele ser más compleja.
El proveedor puede actuar simultáneamente como encargado del tratamiento y responsable del tratamiento. Puede hacerlo como encargado respecto de determinados datos y servicios básicos, siguiendo las instrucciones del centro o de la administración educativa, y al mismo tiempo asumir la condición de responsable respecto de otros tratamientos, especialmente cuando utiliza datos generados automáticamente por la plataforma para fines propios o cuando presta servicios ajenos a la función educativa.
En este punto, la referencia al artículo 33.2 LOPDGDD resulta especialmente útil: quien actúa en nombre propio o utiliza los datos para finalidades propias no deja de ser responsable por el mero hecho de aparecer formalmente como encargado.
Ese desdoblamiento de roles no es una cuestión meramente teórica; tiene consecuencias prácticas inmediatas. Afecta, en concreto, a la información que debe facilitarse a alumnado, familias y profesorado; a la correcta identificación de la base jurídica de cada tratamiento; al ejercicio de derechos; y, por supuesto, a la negociación contractual entre las partes.
Evaluar antes de implantar
Desde un punto de vista estrictamente jurídico, el debate no se limita a identificar una base legitimadora del artículo 6 RGPD, sino que obliga a revisar si la solución respeta los principios del artículo 5 RGPD, si ha sido configurada conforme al artículo 25 RGPD, si el encargo cumple el artículo 28 RGPD, si el tratamiento ha sido evaluado ex ante conforme al artículo 35 RGPD y si los eventuales flujos internacionales encuentran cobertura suficiente en el Capítulo V del RGPD.
Precisamente por ello, el documento insiste en la necesidad de realizar una evaluación de impacto relativa a la protección de datos antes de implantar la plataforma. Dicha exigencia es coherente, pues estamos ante tratamientos a gran escala de datos de menores, realizados mediante tecnologías en la nube y con una arquitectura muchas veces compleja y cambiante.
La evaluación de impacto no debe entenderse como un mero trámite documental, sino como la herramienta que permite determinar roles, riesgos, bases de licitud, medidas de seguridad y límites funcionales del servicio. Y, como recuerda la guía, el delegado de protección de datos debe intervenir desde las fases iniciales de estudio, selección e implantación de la plataforma.
Relaciones contractuales, transparencia y transferencias internacionales
Otro de los puntos fuertes del decálogo se encuentra en el plano contractual. El artículo 28 RGPD no puede cumplirse a través de una suma desordenada de políticas, anexos, condiciones dispersas y cláusulas sujetas a cambios unilaterales por parte del proveedor.
Si el responsable no puede conocer con claridad qué datos se tratan, para qué fines, qué subencargados intervienen, desde qué ubicaciones operan o bajo qué garantías se producen los accesos y comunicaciones internacionales, no existe un verdadero control jurídico del tratamiento. Y sin control, la responsabilidad proactiva del artículo 5.2 RGPD queda vacía de contenido.
En esta misma línea, la guía pone el foco en dos cuestiones que a menudo se minusvaloran: la transparencia y las transferencias internacionales.
- Por un lado, recuerda que la información ofrecida a alumnado, familias y profesorado debe ser completa, accesible y comprensible, en línea con los artículos 12, 13 y 14 RGPD, y que no basta con remitir a políticas genéricas, fragmentadas o redactadas en términos poco inteligibles.
- Por otro, exige analizar con carácter previo todos los flujos internacionales de datos vinculados a la plataforma, incluidos los derivados de subencargados o de tratamientos automáticos, y verificar que disponen de un mecanismo válido conforme al Capítulo V del RGPD. La indeterminación sobre el destino efectivo de los datos o la insuficiencia de garantías puede ser, por sí sola, motivo suficiente para no autorizar el uso de la solución tecnológica.
Protección de datos desde el diseño
Tampoco debe pasarse por alto la relevancia del artículo 25 RGPD en este ámbito. La protección de datos desde el diseño y por defecto significa, en la práctica, que la plataforma debe estar previamente configurada para tratar solo los datos estrictamente necesarios para la finalidad educativa.
Los servicios adicionales deben estar desactivados por defecto, la recogida automática de información debe limitarse al mínimo imprescindible y el responsable debe disponer de capacidad real para mantener esa configuración en el tiempo. De lo contrario, el control se desplaza desde el centro hacia el proveedor, y con él se diluye la capacidad de garantizar efectivamente los derechos del alumnado.
Una decisión tecnológica con importantes consecuencias jurídicas
En realidad, el mensaje de las autoridades de control va más allá de una simple advertencia técnica. La contratación de plataformas educativas tiene grandes consecuencias jurídicas y ya no puede abordarse como una decisión meramente funcional, presupuestaria o técnica. Es una decisión jurídica, organizativa y de gobernanza digital.
Cuando una plataforma trata datos de menores a gran escala, incorpora servicios adicionales, genera metadatos, articula relaciones complejas entre responsable, encargado y subencargados, y puede incluso implicar transferencias internacionales. En consecuencia, el centro educativo no puede limitarse a “aceptar las condiciones”; debe, previamente, entender qué contrata, con qué base jurídica, para qué fines y bajo qué garantías. Ese es, en el fondo, el verdadero alcance de este nuevo decálogo.
