Cumplimiento

RGPD en centros educativos España: guía 2026

RGPD en colegios, institutos y universidades 2026: consentimiento parental, plataformas educativas, fotos alumnos, notas. Guía completa de obligaciones.

TD
Dr. Thiébaut Devergranne
3 de junio de 20265 min read

En una frase. Los centros educativos españoles tratan datos de menores (categoría protegida con consentimiento desde los 14 años conforme al art. 7 LOPDGDD), plataformas digitales, fotos, notas y datos de salud, con régimen de apercibimiento para públicos y sanciones reales para privados.

Puntos clave

  • Edad de consentimiento digital en España: 14 años (art. 7 LOPDGDD).
  • Centros públicos: apercibimiento art. 77 LOPDGDD. Privados: sanciones reales.
  • Plataformas educativas (Google Workspace, Microsoft 365): contrato art. 28 obligatorio.
  • Fotos en web/redes: consentimiento parental específico para menores 14.
  • DPO obligatorio en todos los centros educativos.

Aplicable concurrentemente:

  • RGPD + LOPDGDD: protección general.
  • LOMLOE (Ley orgánica 3/2020): educación.
  • Disposición adicional vigésima tercera LOMLOE: protección de datos en el ámbito educativo.
  • Real Decreto 95/2014 (educación infantil).
  • Normativa autonómica: cada CCAA con desarrollo propio.

2. Edad de consentimiento digital

El art. 7 LOPDGDD fija en 14 años la edad mínima para consentir el tratamiento de datos. Por debajo de 14 años se requiere consentimiento de padres o tutores. Aplicable a:

  • Plataformas educativas con consentimiento separado del operativo.
  • Redes sociales del centro con imágenes.
  • Apps educativas externas.
  • Tratamientos no necesarios para la actividad educativa.

3. Datos tratados en centros educativos

Categoría Base jurídica habitual Sensibilidad
Identificativos alumno y familia Obligación legal (LOMLOE) Media
Académicos (notas, asistencia) Obligación legal Media
Salud (alergias, medicación) Art. 9.2.c RGPD interés vital Alta
Religión (asignatura) Art. 9.2.a consentimiento Alta
Imágenes en eventos Consentimiento específico Media
Datos sociales (becas) Obligación legal Alta

4. Plataformas educativas digitales

Google Workspace for Education, Microsoft 365 Education, Moodle, Classroom son encargados del tratamiento (art. 28 RGPD). Obligaciones del centro:

  • Contrato art. 28 firmado y vigente.
  • EIPD para tratamientos masivos o IA.
  • Información a familias en momento de alta.
  • Verificación de transferencias internacionales (CCT 2021).
  • Auditoría periódica de configuración.

Caso típico sancionado: centro que activa Gemini AI en cuentas educativas sin EIPD ni información a familias.

5. Fotografías y vídeos de alumnos

Consentimiento específico requerido por finalidad:

  • Foto en orla o anuario: consentimiento separado.
  • Publicación en web del centro: consentimiento adicional.
  • Redes sociales del centro: consentimiento adicional con mención explícita.
  • Vídeos de actos escolares: consentimiento específico.

El consentimiento global “para fines del centro” no es válido. Sanciones típicas: 5.000-30.000 EUR a centros privados.

6. Publicación de notas y listas

La LOMLOE permite comunicar notas a alumnos y padres pero NO publicar listas con DNI o nombre completo en tablones físicos o virtuales accesibles a terceros. Sistema correcto:

  • Plataforma con acceso individualizado por credenciales.
  • Email individualizado a cada alumno o tutor.
  • Tablón físico solo con número de expediente o código.

7. Sistemas ENT (Espacios Educativos Virtuales)

Las plataformas tipo Educamos, Esemtia, Alexia, Clickedu son encargados del tratamiento. Requisitos:

  • Contrato art. 28 RGPD.
  • Información clara a familias sobre datos tratados.
  • Acceso de padres/tutores controlado por credenciales.
  • Política de retención: durante escolarización + plazos legales.
  • Plan de portabilidad si cambia el proveedor.

8. Tratamiento de datos de salud escolares

Alergias, medicación, condiciones médicas: base jurídica del art. 9.2.c RGPD (interés vital del afectado). Buenas prácticas:

  • Información restringida al personal que necesita conocerla.
  • Soporte físico o digital con acceso controlado.
  • Eliminación al cambiar de centro o finalizar etapa.
  • Plan específico para emergencias médicas.

9. Categoría especial: religión

La asignatura de Religión exige tratamiento de la confesión religiosa de las familias (categoría especial art. 9 RGPD). Requisitos:

  • Consentimiento explícito en matrícula (art. 9.2.a).
  • Información clara sobre finalidad.
  • Casillas separadas para Religión Católica, Evangélica, Islámica, etc.
  • Datos no comunicados a terceros sin consentimiento adicional.

10. Universidades: tratamientos específicos

Las universidades tratan datos adicionales:

  • Investigación científica con datos personales (art. 9.2.j RGPD).
  • Becas con datos económicos y familiares.
  • Plataformas de antiplagio (Turnitin, Compilatio): contrato art. 28 obligatorio.
  • Sistemas de proctoring (exámenes vigilados): EIPD obligatoria.
  • Datos de antiguos alumnos para fundraising: consentimiento específico.

11. DPO obligatorio

El art. 34 LOPDGDD y art. 37 RGPD exigen DPO en:

  • Centros docentes que ofrezcan enseñanzas regladas (Real Decreto, ESO, Bachillerato, FP, universidad).
  • Universidades públicas y privadas.

Centros pequeños pueden compartir DPO con grupo educativo o externalizarlo.

12. WhatsApp y comunicación con familias

WhatsApp con padres NO es canal oficial conforme. Riesgos:

  • Datos personales accesibles por todos los miembros del grupo.
  • Mezcla de comunicación oficial y opiniones personales.
  • Imposibilidad de cumplir derecho de supresión.
  • Falta de trazabilidad.

Alternativas: plataforma oficial, email individualizado, app del centro homologada.

13. Cómo cumplir RGPD en centros educativos

  • DPO designado y comunicado a AEPD.
  • Registro de actividades por tratamiento (académico, sanitario, comunicación, marketing).
  • Consentimientos específicos por finalidad documentados en matrícula.
  • Contratos art. 28 con todas las plataformas digitales.
  • Política de retención por categoría de datos.
  • Formación anual obligatoria al claustro.
  • Protocolo de brechas con plantilla preformateada.

FAQ

¿Desde qué edad puede un alumno consentir solo?

14 años conforme al art. 7 LOPDGDD. Por debajo se requiere consentimiento de padres o tutores.

¿El colegio puede subir fotos de mi hijo a redes?

Solo con consentimiento específico para esa finalidad. No vale el consentimiento global de matrícula.

¿Google Workspace cumple el RGPD en colegios?

Sí si se firma el Addendum de tratamiento de datos de Google for Education y se realiza EIPD. No basta con tener cuentas activas.

¿Pueden publicar las notas en el tablón?

No con DNI o nombre completo. Solo con código o número de expediente que no permita identificar al alumno a terceros.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →