
No cabe duda de que el sector educativo es especialmente sensible en la materia de protección de datos. De hecho, la Agencia Española de Protección de Datos dedica una sección específica para la Educación y los Menores.
Por este motivo, queremos resaltar la importancia de la figura del Delegado de Protección de Datos en los centros educativos. Te explicamos las razones que lo fundamentan:
1. Es obligatorio por ley
Los centros docentes están obligados a designar un delegado de protección de datos (DPD) en los supuestos recogidos en el artículo 37 del Reglamento General de Protección de Datos (RGPD) y, en todo caso, cuando ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas, conforme lo estipula el artículo 34.1 de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
La Ley Orgánica 2/2006, de 3 de mayo, de Educación (LOE), en su disposición adicional 16ª “Denominación de las etapas educativas”, establece que “Las referencias, contenidas en la Ley Orgánica 8/1985, de 3 de julio, Reguladora del Derecho a la Educación, a los niveles educativos se entienden sustituidas por las denominaciones que, para los distintos niveles y etapas educativas y para los respectivos centros, se establecen en esta Ley”, que conforme a lo dispuesto en su artículo 3 son los siguientes:
a) Educación infantil.
b) Educación primaria.
c) Educación secundaria obligatoria.
d) Bachillerato.
e) Formación profesional.
f) Enseñanzas de idiomas.
g) Enseñanzas artísticas.
h) Enseñanzas deportivas.
i) Educación de personas adultas.
j) Enseñanza universitaria.
En consecuencia, los centros docentes que impartan alguna de estas enseñanzas habrán de designar un delegado de protección de datos.
Puedes ver la respuesta de la AEPD en el siguiente enlace.
2. Sensibilidad y múltiples tratamientos de datos
Los tratamientos de datos son de tal magnitud y variación, que resulta complejo hasta clasificarlos. Se podría decir que principalmente los datos que trata un centro educativo asociados a un alumno se resumen en:
- Desarrollo y resultados de su escolarización
- Calificaciones
- Asignaturas elegidas
- Listados de admisiones
- Beneficiarios de becas
- Origen familiar y situación de los padres
- La información de los progenitores debe estar siempre actualizada e informar de cualquier modificación
- Si los padres están separados o divorciados
- Quién tiene la patria potestad
- La información de los progenitores debe estar siempre actualizada e informar de cualquier modificación
- Datos de salud y condiciones personales
- En la matriculación: Discapacidades, enfermedades crónicas, TDAH, intolerancias alimentarias, alergias.
- Durante el curso: accidentes o indisposiciones sufridas en el centro, informes de psicólogos
- Captación y publicación de imágenes
- Para el expediente académico, actividades docentes
- Eventos celebrados en los centros educativos
- Excursiones y actividades fuera del centro
- Tratamiento de datos en internet
- Plataformas educativas
- Publicación de datos en la página web de los centros
- Publicación de datos en redes sociales
- Mensajería instantánea (como WhatsApp) y correo electrónico
- Del alumno
- De los padres
- Relación con las Asociaciones de madres y padres de alumnos (AMPA)
Puedes ver en mayor detalle qué tratamientos se pueden dar en la Guía para Centros Educativos de la AEPD.
También recomendamos las Orientaciones de la AEPD para el uso de plataformas educativas.
Y por último, te dejamos el reciente informe de la AEPD en el que analiza la utilización del reconocimiento facial para realizar exámenes.
3. Denuncias y sanciones a centros educativos
Por último queremos resaltar el incremento de denuncias a la AEPD realizadas en los últimos años y lo sencillo que es para cualquier persona (padres, en la mayoría de casos) presentar una reclamación a través de la sede electrónica de la AEPD describiendo los hechos detectados.

Y esto se ve reflejado en sanciones que ha interpuesto la AEPD y los centros educativos han sido protagonistas. Aquí algunos ejemplos:
– Sanción a un colegio infantil por publicar un listado de alumnos en una cristalera externa
– Sanción por tomar y publicar fotografías sin consentimiento previo
– Sanción por tirar documentos sin destruir previamente
– Sanción por no eliminar las imágenes de un menor de YouTube
Consideramos que es evidente la importancia y riesgos que existen sobre la protección de datos en el sector educativo, a lo que debemos sumarle la ciberseguridad y privacidad aplicada a los sistemas y dispositivos digitales utilizados.
Por ello, debe existir una figura (sea interna o externa) que se encargue de supervisar el cumplimiento, resolver las dudas, formar a los profesores y hacer de intermediario con los padres o los propios alumnos cuando sea necesario. Y esa figura es la del Delegado de Protección de Datos.