Protección de Datos

Sanciones AEPD en educación: casos y lecciones

Sanciones AEPD en educación: imágenes de menores, listas de admitidos, proctoring universitario y apps escolares. Casos, régimen público-privado y lecciones.

En una frase. Las sanciones de la AEPD en el ámbito educativo giran alrededor de cuatro supuestos —imágenes de menores difundidas sin consentimiento, listas de admitidos publicadas con datos excesivos, proctoring universitario intrusivo y apps escolares sin contrato de encargado— con una diferencia clave: los centros públicos reciben apercibimiento y los privados, multa económica.

Puntos clave

  • La difusión de imágenes de menores sin consentimiento parental es el motivo más frecuente de reclamación.
  • Publicar listas de admitidos o de notas con DNI completo u otros datos excesivos vulnera la minimización (art. 5.1.c).
  • El proctoring (supervisión remota de exámenes) es un tratamiento de alto impacto que puede exigir evaluación de impacto.
  • Las apps escolares que tratan datos por cuenta del centro necesitan contrato de encargado (art. 28).
  • Los centros públicos reciben apercibimiento (art. 77 LOPDGDD); los privados, multa.

1. El régimen dual público-privado

Antes de leer cualquier caso conviene entender la asimetría del sector. Un colegio o universidad pública responde ante la AEPD bajo el régimen de apercibimiento del art. 77 LOPDGDD: la infracción se declara y se ordena corregir, pero no se impone multa económica. Un centro privado o concertado en su actividad privada responde con sanción pecuniaria ordinaria. Esta diferencia explica por qué las noticias de multas educativas casi siempre se refieren a centros privados, academias o plataformas comerciales, mientras que los expedientes a la enseñanza pública se resuelven con requerimientos. El régimen de la administración se detalla en las sanciones AEPD a administraciones públicas.

2. Los cuatro supuestos que se repiten

Imágenes de menores

Publicar fotos o vídeos de alumnos en la web del centro, redes sociales o revistas escolares exige el consentimiento de los titulares de la patria potestad. Los conflictos se disparan en situaciones de separación, cuando solo uno de los progenitores autoriza, o cuando el consentimiento se recabó en bloque en la matrícula. La solución es una autorización específica, revocable y separada, siguiendo los ejemplos de consentimiento conforme al RGPD.

Listas de admitidos y calificaciones

Publicar en un tablón físico o web la lista de admitidos, becados o aprobados con DNI completo, nota y nombre es un exceso de datos. El criterio de la AEPD exige minimizar: usar identificadores parciales, publicar solo lo imprescindible y por el tiempo estrictamente necesario. La publicación indiscriminada vulnera el principio de minimización (art. 5.1.c).

Proctoring universitario

La supervisión remota de exámenes mediante cámara, micrófono y análisis de comportamiento es un tratamiento intrusivo que puede afectar al domicilio del estudiante y captar datos de terceros. La AEPD ha analizado casos de proctoring y exige proporcionalidad, información clara y, con frecuencia, una evaluación de impacto en protección de datos previa. No toda supervisión es ilícita, pero la que graba el entorno privado sin alternativas menos invasivas es difícil de justificar.

Apps y plataformas escolares

Las apps de comunicación con familias, plataformas LMS y software de gestión tratan datos por cuenta del centro. Sin contrato de encargado del art. 28 RGPD, el centro no puede acreditar dónde están los datos ni qué hace el proveedor con ellos, lo que constituye infracción por sí mismo.

3. Tabla de riesgo por supuesto

Supuesto Base infringida Cómo evitarlo
Fotos de menores en redes Art. 6, 8 RGPD Consentimiento parental específico
Lista de admitidos con DNI Art. 5.1.c RGPD Minimización, identificador parcial
Proctoring intrusivo Art. 5, 35 RGPD EIPD y alternativas menos invasivas
App escolar sin encargo Art. 28 RGPD Contrato de encargado firmado

4. Datos de salud y datos de menores: doble sensibilidad

El sector educativo acumula dos capas de sensibilidad que agravan cualquier incidente. La primera es que trabaja de forma masiva con datos de menores, a los que el RGPD dispensa una protección reforzada (considerando 38 y art. 8). La segunda es que, con frecuencia, trata también datos de salud: alergias y medicación en comedores y excursiones, informes de necesidades educativas especiales, partes médicos para justificar ausencias. Estos datos son categorías especiales del art. 9 RGPD y exigen acceso restringido, minimización y, cuando el tratamiento es sistemático y a gran escala, una evaluación de impacto.

La combinación de menores y datos de salud explica por qué la AEPD examina con especial rigor las apps escolares, los formularios de matrícula que piden de más y la difusión de imágenes. Un formulario de inscripción que solicita el historial médico completo del alumno cuando solo necesita conocer alergias alimentarias vulnera la minimización; una app de comedor que almacena las dietas médicas sin contrato de encargado añade a ese defecto la falta de garantías del art. 28. El centro que ordena estos dos frentes —minimizar lo que pide y contractualizar a sus proveedores— elimina la mayor parte de su exposición estructural.

5. Lecciones para colegios, academias y universidades

La conclusión práctica es que el riesgo educativo no está en los grandes ataques sino en la gestión cotidiana de datos de menores: una foto en Instagram, una lista en el tablón, una app contratada sin contrato. Un centro que trabaje estos cuatro frentes elimina la mayor parte de su exposición. La guía de referencia es la de RGPD para centros educativos en España, y el procedimiento que sigue la Agencia se explica en la guía de la AEPD como autoridad de control.

Para las academias y centros privados, que sí se exponen a multa, mantener el registro de tratamientos, los consentimientos de imagen y los contratos de encargado al día es la mejor defensa; plataformas europeas como Legiscope ayudan a centralizar esa documentación. Conviene además formar al profesorado y al personal administrativo: buena parte de los incidentes no nacen de una decisión de la dirección, sino de un docente que publica una foto de clase en su perfil o de una secretaría que difunde una lista con datos de más, de modo que la concienciación interna vale tanto como los documentos. Las resoluciones originales están publicadas en la sede de la AEPD. El régimen general de importes se detalla en la guía de sanciones del RGPD.

FAQ

¿Puede un colegio publicar fotos de los alumnos en su web?

Solo con el consentimiento de los titulares de la patria potestad, recabado de forma específica y revocable. En caso de progenitores separados, conviene contar con la autorización de ambos. Publicar sin ese consentimiento es un tratamiento sin base jurídica, y en centros privados puede acarrear multa.

Puede serlo si es proporcionado, se informa con claridad y no existen alternativas menos invasivas; los sistemas que graban el domicilio del estudiante o analizan su comportamiento suelen requerir una evaluación de impacto previa. La AEPD examina la proporcionalidad caso a caso y ha cuestionado modalidades especialmente intrusivas.

¿Por qué a los colegios públicos no les multan?

Porque el art. 77 LOPDGDD somete a las administraciones y entidades públicas a un régimen de apercibimiento y medidas correctoras, no de multa económica. La infracción se declara igualmente y se ordena corregir, pero sin sanción pecuniaria. Los centros privados sí responden con multa.

¿Necesita el centro un contrato con la app que usa para comunicarse con las familias?

Sí. Esa app trata datos personales por cuenta del centro, por lo que es un encargado del tratamiento y requiere el contrato del art. 28 RGPD. Sin él, el centro no puede acreditar las garantías del proveedor y comete infracción por la mera ausencia del contrato.


Marco general del sector en la guía de RGPD para centros educativos.

Referencias oficiales: AEPD, Reglamento General de Protección de Datos (EUR-Lex), LOPDGDD (BOE).

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →