Más allá de la finalidad educativa: la responsabilidad de los colegios en el uso de las plataformas tecnológica

-
I.- Responsabilidad colegios. II.- Los colegios y su responsabilidad tecnológica. III. La primera sanción a un colegio. III.- Consulta sobre Google Workspace for Education. IV.- Acción para orientar a los centros educativos y responsables de datos


I.- Responsabilidad colegios

En un artículo anterior hice referencia a la responsabilidad de los padres y/o tutores legales frente al uso de las redes sociales de los menores no emancipados, identificando tres casos concretos de una responsabilidad jurídica de la que poco se habla, desde mí experiencia, en los grupos whatsApp de colegios y reuniones escolares.

Los medios de comunicación, casi diariamente registran alguna noticia relacionada con los efectos psicológicos y/o sociales del uso de la tecnología en los niños, niñas y adolescentes, priorizando esos temas a uno en el cual la evidencia se transforma en una realidad tipificada en un Código Penal o un Código Civil que no puede ser negado o ignorado ante una realidad concreta en la que se vea afectada el interés y protección de los menores en su relación con la tecnología.

El 20 de marzo 2026 un titular de El Mundo llamó mi atención, el mismo decía: Primera sanción de Protección de Datos a un colegio por uso indebido de Google en las aulas: "Se emplea para fines que escapan del ámbito educativo" (1) en cuyo contenido se afirma que la Agencia de Protección de Datos, aún evidenciando que se había comunicado sobre el uso y almacenamiento de los datos a los padres, es decir sobre el tratamiento de datos, cuestionó los términos en que se realizó esa comunicación y la ausencia de confirmación formal de los padres de la información enviada, en consecuencia mediante Resolución(2) fijó responsabilidad y definió una multa al colegio denunciado.

La Resolución mencionada, define una multa de 20.000 euros, que luego por pronto pago se redujo a 12.000 euros, a un centro educativo concertado, en el cual uno de sus representantes denunció que los menores a través del portátil del colegio y aún restringiendo el uso a Google Workspace for Education podían entrar a Youtube y a videojuegos.

Por cierto una decisión muy similar a la que menciono fue adoptada por la Agencia Española de Protección de Datos, en el año 2022 cuando reclamó a la Consejería de Educación de Canarias(3), la información suficiente, no adecuada o incompleta a los interesados; un análisis de riesgo incompleto y una evaluación de impacto deficiente, además de una fundamentación legal que no se justificó correctamente, lo que es un tema sensible tratándose de menores; en este caso no hubo multa sino un apercibimiento, que es una comunicación a la institución exhortando a tomar las medidas correctivas y que es muy usual cuando se trata de instituciones públicas.

Esos y otros casos sobre la materia, exige revisar la responsabilidad tecnológica que asumen los colegios públicos, privados y concertados en España, para entonces valorar el nivel de preparación y capacitación existente para abordar las exigencias de las normas de protección de datos vigentes orientadas a prevenir los potenciales riesgos en el uso de la tecnología para fines educativos.

Para entender el marco en el que esa responsabilidad se desarrolla, hay que partir por el artículo 1903 del Código Civil español en el cual se establece expresamente que “las personas o entidades que sean titulares de un Centro docente de enseñanza no superior responderán por los daños y perjuicios que causen sus alumnos menores de edad durante los períodos de tiempo en que los mismos se hallen bajo el control o vigilancia del profesorado del Centro, desarrollando actividades escolares o extraescolares y complementarias.

Según el mismo artículo, esa responsabilidad cesará si se evidencia que se emplearon toda la diligencia de un buen padre de familia para prevenir el daño causado.

Pero más allá de esa norma, hay que tener presente que la Agencia Española de Protección de Datos (AEPD), aclara que la responsabilidad de los centros educativos va más allá del tema estrictamente educativo, pues “los centros educativos, en su tarea de hacer efectivo el derecho fundamental a la educación que constituye su razón de ser, también han de observar el derecho fundamental a la protección de los datos de carácter personal que, al no constituir su actividad principal, en ocasiones genera dudas sobre la interpretación y aplicación de su regulación.” (4)


II.- Los colegios y su responsabilidad tecnológica

¿Están los colegios públicos, privados y concertados en España, preparados para asumir la responsabilidad legal que supone introducir a la educación las herramientas tecnológicas?

En tal sentido hay que partir por entender varias cosas que todo padre debería saber sobre su colegio y los niveles de responsabilidad con el que asumen el uso de la tecnología, a saber:

1.- Designación de un delegado de protección de datos. 

Según la ley, todo centro educativo, sea público o privado debe tener un delegado designado por el responsable de tratamiento de datos, que en principio debe ser el titular del centro educativo que corresponda, o la Administración Educativa del Centro Escolar.

2.- Existencia de una evaluación de impacto sobre los riesgos. 

El Reglamento de Protección de Datos, exige que el responsable del tratamiento de los datos, con el apoyo y colaboración del encargado del tratamiento, si lo hubiere, y, en su caso, con el delegado de protección de datos del centro escolar (5), deben realizar una evaluación de impacto, entendida como la herramienta preventiva, prevista en el mencionado Reglamento, que permite determinar de forma previa el nivel de riesgo de un tratamiento de datos, con el objetivo de establecer medidas de control más adecuadas para reducir el riesgo en su tratamiento efectivo, hasta un nivel aceptable, como afirma en un artículo sobre la materia, la experta en seguridad de la información Sorada De Caso (6).

Al abordar el tema es importante tener presente que por tratamiento se hace referencia a cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Además, es importante entender que por datos personales, se refiere el ordenamiento jurídico español en la materia a toda información sobre una persona física identificada o identificable, por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

III. La primera sanción a un colegio

La Resolución de la Agenda Española de Protección de Datos, que se ha anunciado como la primera sanción a un colegio de esa naturales, tiene que ver con la la forma como se gestionó en un colegio el tratamiento de los datos relacionados con el uso del Google Workspace for Education desde el 2022 cuando el centro educativo multado empezó a utilizar la herramienta web.

La Agencia Española de Protección de Datos reconoce que la evaluación realizada por el Colegio se presentó formalmente en su oportunidad, pero reclama que la misma, no cumple con algunos aspectos para ser conforme con lo dispuesto en el artículo 35 del Reglamento de Protección de Datos vigente, en el cual se desarrolla las normas sobre la evaluación del tratamiento de datos cuando pueda implicar un alto riesgo para la debida protección, en ese caso del uso de la tecnología por parte de los menores del centro educativo multado.

Entre los motivos de ese incumplimiento se pueden mencionar:

1.- No refleja un análisis del impacto específico de las transferencias internacionales de datos, en el caso de la herramienta Google Workspace for Education, la Resolución afirma que es Google quien decide donde alojar los datos, lo cual permite entender que los mismos pueden ser almacenados en países que no sean del Espacio Económico Europeo, y en ese sentido no hay en la Evaluación presentada ningún análisis de riesgos sobre los datos.

2.- La evaluación realizada se limita a reproducir los términos del acuerdo con el proveedor, pero no se refleja allí la posición del colegio.

3.- En esa evaluación cuando se aborda la necesidad y la proporcionalidad del tratamiento, se limita a indicar que es “necesario para garantizar el correcto funcionamiento de las actividades educativas”, sin mencionar alternativas a dicha plataforma o en qué medida la creación de cuentas en esa plataforma es necesaria.

En conclusión, no fue completa la evaluación en la identificación de elementos esenciales del tratamiento (tipo de datos y transferencias), ni se analizaron los riesgos reales, además, faltó incluir un análisis de proporcionalidad acorde con lo exigido por el artículo 35 ya mencionado previamente.

Por último, sobre el caso, en relación a la multa, la Resolución nos permite conocer que la misma es la suma de 3 infraciones y en total son 20 mil euros pero a través de la opción del pronto pago o pago voluntario, se redujo a 12.000 euros; creo importante destacar, que según lo destaca la misma Resolución, el hecho de pagar voluntariamente o realizar pronto pago, supone un reconocimiento de la responsabilidad en relación a los hechos y calificación jurídica a que hace referencia la Resolución, además de ordenar al responsable a adecuar el tratamiento a las reglas establecidas.

III.- Consulta sobre Google Workspace for Education

En febrero de 2024 (7), el Gabinete Jurídico de la AEPD respondió a una consulta planteada por el Instituto Nacional de Tecnológicas Innovativas y Formación al Profesorado (INTEF) sobre la implementación en las aulas de Google Workspace for Education.

La conclusión a la que llegó la AEPD fue categórica: el uso de esta plataforma no es recomendable, por, entre otras, estas razones (8):

1.- Los términos de contratación, que definen unos servicios como principales y otros como adicionales, no son claros

2.- Datos demasiado compartidos, según la política de privacidad, Google podría compartir nombres de usuario, direcciones de correo electrónico y contraseñas; direcciones de correo electrónico secundarias; número de teléfono, fotos de perfil y cualquier información que el usuario añada a su cuenta e información sobre cookies, donde se almacenan ajustes como el idioma de uso.

3.- Opacidad con el tratamiento de los datos. poca claridad con la que se trata la finalidad del tratamiento de datos personales en las condiciones de contratación, y en que hay finalidades que no sirven al propósito del “responsable” del tratamiento (el centro educativo), sino únicamente al “encargado” (Google). Además, están definidas en términos ambiguos e inconcretos (mejorar servicios, dar apoyo, etc.).

4.- Consentimiento y responsabilidad. La plataforma hace recaer sobre el usuario la obligación de que, a la hora de implementar Google Workspace for Education, se haya otorgado el consentimiento tanto del cliente (que sería el Centro Educativo) como de los usuarios (que sería cualquier miembro de la comunidad educativa que fuera destinatario de la solución tecnológica, como el administrador, así como el profesorado y el alumnado)

Ese consentimiento realmente no se puede decir que sería libre e informado, pues si un alumno o alumna no acepta dichos términos quedaría en condición de desigualdad al no poder hacer uso del servicio.

Del mismo modo, las familias podrían no tener suficiente información para valorar la implicación de dicho consentimiento

5.- Modificaciones unilaterales y poco justificadas. los Términos del Servicio, Google podría hacer cambios “comercialmente razonables cuando lo estime oportuno”, por lo que se deduce que, unilateralmente, podría modificar elementos que tienen incidencia en el tratamiento de datos personales.

6.- Normativa no europea. En la Adenda sobre tratamiento de datos, Google establece que una Regulación de Protección de Datos No Europea también puede aplicarse al tratamiento de los Datos personales de los Clientes, y que esta Adenda prevalecería independientemente de si la Regulación Europea de Protección de Datos […] se aplica al tratamiento de los Datos personales de los Clientes.

7.- Comunicación de incidencias. La AEPD destaca que, en sus términos, no existe un compromiso por parte de Google de notificar al responsable del tratamiento el incidente en menos de 72 horas, como establece la normativa de la UE para violaciones de seguridad.

IV.- Acción para orientar a los centros educativos y responsables de datos

Coincide las noticias sobre la primera sanción al colegio por parte de la Agencia Española de Protección de Datos, con el anuncio sobre la publicación en marzo 2026 de un decálogo titulado: Principios básicos para la contratación  y uso de plataformas digitales por las administraciones educativas y centros escolares. (9)

El decálogo fue elaborado de manera conjunta por la Agencia Española de Protección de Datos, la Autoridad Catalana de Protección de Datos, la Autoridad Vasca de Protección de Datos y el Consejo de Transparencia y Protección de Datos de Andalucía, quienes reconocen que al contratar una plataforma tecnológica educativa, los centros educativos asumen una responsabilidad singular que exige un tratamiento de datos extraordinario porque están llamados a garantizar la protección integral de sus alumnos que son menores de edad.

Los principios que plantean el decálogo,  responden directamente a las normas previstas en el Reglamento de Protección de Datos y deben servir, como guía para orientar la labor que tienen los responsables en el tratamiento de datos en el ámbito escolar, ellos son:

1.- Pleno respeto a los derechos y libertades en el tratamiento de datos personales

2.- Determinación clara de la responsabilidad del tratamiento por parte de las administraciones educativas y centros docentes.

3.- Bases de legitimación y estricta limitación de finalidades, en tal sentido el decálogo advierte que los servicios adicionales u optativos ofrecidos a través de la plataforma que no respondan a la función educativa, ni sean necesarios para la educación y orientación del alumnado, no deben activarse en un entorno institucional dirigido a menores. La implantación obligatoria de la plataforma no puede convertirse en un canal para ofrecer al alumnado servicios ajenos al propósito educativo.

4.- Evaluación de impacto y participación del delegado de protección de datos, que debe ser previo a la puesta de funcionamiento de cualquier plataforma y de incluir la totalidad del tratamiento de datos incluyendo el análisis de roles de los responsables del tratamiento, en ese proceso el papel del delegado de datos es esencial en todo el proceso.

5.- Transparencia e información sobre el tratamiento de datos, completa, accesible y comprensible para alumnos, familias y profesorado.

6.- Contrato encargado de tratamiento y control de subencargados, en tal sentido el decálogo señala que El contrato deberá regular con precisión el objeto, la duración, la naturaleza y la finalidad del tratamiento, las categorías de datos personales y de los interesados. La documentación contractual debe permitir al responsable conocer con claridad el alcance y las condiciones del encargo. La dispersión de las condiciones en múltiples documentos con reglas de prelación complejas y susceptibles de modificación no exime al proveedor de sus obligaciones ni al responsable de las suyas.

7.- Garantías de transferencia internacional. Con carácter previo a la implantación de la plataforma, el responsable deberá analizar todas las transferencias internacionales de datos que se deriven de la solución tecnológica adoptada.

8.- Protección de dato desde el diseño y por defecto. La plataforma debe configurarse de modo que, en su estado inicial, solo se traten los datos estrictamente necesarios para la finalidad educativa (art. 25 RGPD). Los servicios adicionales ajenos a la función educativa deberán estar desactivados por defecto y las funcionalidades de recogida automática de datos limitadas al mínimo imprescindible El proveedor debe ofrecer al responsable opciones de configuración que permitan aplicar efectivamente estos principios. El responsable deberá establecer protocolos de uso y verificación periódica que aseguren el mantenimiento de esta configuración a lo largo del tiempo.

9.- Seguridad en la información. El decálogo recuerda el deber de cumplir las medidas de seguridad del Esquema Nacional de Seguridad, cuando el responsable sea una administración pública y la plataforma encargada del tratamiento preste servicios a la misma; además, el contrato de encargo deberá garantizar que el proveedor notifique al responsable las brechas de seguridad que afecten a datos personales sin dilación indebida y dentro del plazo que permita al responsable cumplir con su obligación de notificación a la autoridad de control.

10.- Derecho de los interesados: el responsable del tratamiento debe garantizar el ejercicio efectivo de los derechos de acceso, rectificación, supresión, limitación y oposición y a no ser objeto a decisiones automatizadas, tanto frente a los tratamientos que realice como responsable como frente a los del proveedor en calidad de encargado

El documento presentado por AEPD, reconoce como problema principal que el uso de plataformas externas (apps, nube, herramientas digitales) puede implicar pérdida de control sobre los datos, lo que supone un riesgo para la privacidad de los alumnos.

El decálogo permite hacer una revisión a las normas que regulan la protección de datos en España, por lo tanto resulta un aporte importante para el debate sobre el alcance y capacidad técnica de los centros educativos, privados, públicos o concertados, en su responsabilidad legal cuando adaptan su proceso educativo alguna herramienta tecnológica.

Y ahora cuando en Estados Unidos, en dos decisiones recientes, dos tribunales han reconocido que las plataformas sociales tienen un diseño que es proclive a crear una adicción, este debate sin duda trasciende al tema estrictamente educativo para convertirse en un tema social que requiere de la atención de los padres, tutores legales, docentes, autoridades escolares y de las autoridades políticas de gobierno, sin excluir en esa corresponsabilidad la participación de las empresas tecnológicas responsables de las plataformas sociales.

Si bien por un lado hay presión institucional para digitalizar la educación, no se puede negar que hay muchos padres que están a favor de ello, pero otros que no y algunos, simplemente no lo ven como un peligro o riesgo real, la realidad nos advierte de unas normas vigentes que más allá de la valoración que le puedan dar a las mismas, son de obligatorio cumplimiento y su desatención, como se ha visto, impone multas, definen responsabilidades en situaciones que son siempre impredecibles, pues la curiosidad de los niños y adolescentes, pueden llevar a que aquello que se ve como broma, se convierta en un gran problema que genere responsabilidad civil a los padres, tutores o docentes, llegando, según su gravedad a la responsabilidad penal.

Por último, al abordar la responsabilidad de los centros educativos, se hace evidente que el avance tecnológico ha sido tan intenso y acelerado que el derecho no ha logrado evolucionar al mismo ritmo; y algo similar ocurre con la aspiración de digitalizar la educación: su implantación, por muy bien intencionada que sea, no puede ignorar riesgos que ya han sido evidenciados en distintos casos.

Esos antecedentes ponen de manifiesto que, más allá de la herramienta tecnológica utilizada, es su gobernanza, que supone abordar el cómo se decide, se implementa y se controla, lo que resulta verdaderamente determinante para afrontar de manera eficaz los riesgos potenciales.

Carlos Romero Mendoza
@carome31


______________________________________________

Referencias digitales

1SANMARTIN, Olga. Primera sanción de Protección de Datos a un colegio por uso indebido de Google en las aulas: "Se emplea para fines que escapan del ámbito educativo. En: El mundo. 20 de marzo 2026. Online en: https://www.elmundo.es/espana/2026/03/20/69bc5395e4d4d802138b45ae.html

2Agencia Española de Protección de Datos. RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR Expediente EXP202406420. Recuperado el 26 de marzo 2026. Publicado el 10 de marzo 2026. Online en: https://www.aepd.es/documento/ps-00607-2025.pdf

3Idem. Expediente N.º: EXP202102527. Recuperado el 20 de marzo 2026. Publicado el 27 de julio 2023. Online en: https://www.aepd.es/documento/ps-00176-2022.pdf

4AEDP Guías Sectoriales. Guia para centros educativos. En Revisión. Recuperado el 20 de marzo 2026. Página 4. Online en: https://www.aepd.es/guias/guia-centros-educativos.pdf

5Markel. EIPD: qué es, cuándo es obligatoria y quién debe realizarla. 30 de abril 2024. Online en: https://markel.com.es/actualidad-y-analisis/eipd


7GABINETE JURIDICO. Agencia Española de Protección de Datos. 0050/2023. 19 de febrero 2024. Online en: https://www.aepd.es/documento/2023-0050.pdf

8Asociación Europea de Transición digital. Por qué a la Agencia Española de Protección de Datos no le gusta Google Workspace for Education. 18 de julio 2024. Online en: https://digitalforeurope.eu/por-que-a-la-agencia-espanola-de-proteccion-de-datos-no-le-gusta-google-workspace-for-education

9 Agencia Española de Protección de Datos; Autoridad Catalana de Protección de Datos, la Autoridad Vasca de Protección de Datos y Consejo de Transparencia y Protección de Datos de Andalucía. Principios básicos para la contratación y uso de plataformas educativas digitales por las administraciones educativas y centros docentes. Marzo 2026.  11 páginas. Recuperado el 25 de marzo 2026. Online en: https://www.aepd.es/documento/apd-plataformas-educativas-administraciones-centros.pdf  

Comentarios

Publicar un comentario

Entradas populares de este blog

El Estado Docente en el marco de la nueva Ley Orgánica de Educación.

-
¿Qué es el Estado Docente segun la LOE? Es la expresión rectora del Estado en Educación, en cumplimiento de su función indeclinable y de máximo interés como derecho humano universal y deber social fundamental, inalienable, irrenunciable, y como servicio público que se materializa en las políticas educativas. a.-Sus principios: El Estado docente se rige por los principios de integralidad, cooperación, solidaridad, concurrencia y corresponsabilidad. b.-Su alcance: El Estado Docente tiene su alcance en las instituciones educativas oficiales y en las privadas que sean autorizadas, garantizando: -La idoneidad de los trabajadores y las trabajadoras de la educación, -La infraestructura, la dotación y equipamiento. -Los planes, programas, proyectos, actividades y los servicios que aseguren a todos y todas igualdad de condiciones y oportunidades; y, -La promoción de la participación protagónica y corresponsable de las familias, la comunidad educativa y las organizaciones comunitarias, de a...
Leer más

Sobre la Carrera Docente en la nueva LOE y en la derogada.

-
Sobre la política de formación de los docentes en el nuevo marco legal: El artículo 37 de la LOE, destaca que una Ley especial regulará el tema de la formación de los docentes del Sistema Educativo y que para el desarrollo de esta materia se debe crear una instancia que busque coordinar con las instituciones de educación universitaria lo relativo a sus programas de formación docentes. La Ley reconoce que el Estado tiene la indeclinable función de formular, regular, hacer seguimiento y control sobre la gestión de las políticas de formación docente a través del responsable de la Educación Universitaria. Para cumplir con tal función debe considerar: -El perfil requerido por los niveles y modalidades del Sistema Educativo. -Debe responder a las políticas, planes, programa y proyectos educativos emanados del órgano con competencia en educación básica. Para lo cual debe inspirarse en el desarrollo humano, endógeno y soberano del país. La formación debe ser permanente: El artículo 38 indica q...
Leer más

La nueva Ley Orgánica de Educación y los Medios de Comunicación.

-
I.-¿Qué mencionaba la Ley Orgánica de Educación de 1980 sobre los medios de comunicación? En la Ley Orgánica de Educación de 1980, se había desarrollado 4 artículos relacionados con los Medios de Comunicación a saber: 1.- El primer artículo era el número 11 que señalaba a los medios como instrumentos esenciales para el desarrollo del proceso educativo, a tal fin establecía: -Aquellos dirigidos por el Estado serán orientados por el Ministerio de Educación y utilizados por éste en la función que le es propia. -Los particulares que dirijan o administren estaciones de radiodifusión sonora o audiovisual están obligados a prestar su cooperación a la tarea educativa y ajustar su programación para el logro de los fines y objetivos consagrados en la presente ley. -Se prohibía la publicación y divulgación de impresos u otras formas de comunicación social que produzcan terror en los niños, inciten al odio, a la agresividad, la indisciplina, deformen el lenguaje y atenten contra los sanos valores ...
Leer más