RGPD para centros educativos: datos de menores

RGPD en un centro educativo: panorama 2026

El RGPD en un centro educativo es el conjunto de obligaciones del Reglamento (UE) 2016/679, la Ley Orgánica 3/2018 (LOPDGDD) y la normativa educativa estatal y autonómica que protege los datos personales de alumnos, familias y personal docente. Colegios públicos, concertados y privados, escuelas infantiles, academias de refuerzo, autoescuelas y centros de formación profesional tratan a diario información especialmente sensible: la mayoría de sus titulares son menores de edad, y muchos datos académicos se cruzan con datos de salud (alergias, intolerancias, medicación crónica), datos disciplinarios y datos económicos de las familias. Por eso la Agencia Española de Protección de Datos (AEPD) ha publicado guías específicas para el sector y mantiene un nivel de inspección elevado tras denuncias de familias y de exempleados.

La regulación sectorial se construye sobre tres capas que se aplican simultáneamente. La capa nuclear es el RGPD y la LOPDGDD, con preceptos particulares para el tratamiento de menores (Art. 8 RGPD y Art. 7 LOPDGDD). La capa educativa propiamente dicha la conforman la Ley Orgánica 2/2006 de Educación (LOE) modificada por la LOMLOE (Ley Orgánica 3/2020), junto con la Ley Orgánica 8/1985 (LODE) y los reales decretos que regulan las enseñanzas. La capa laboral añade el Estatuto de los Trabajadores, el RD 8/2019 de registro horario y los convenios colectivos de enseñanza concertada y privada.

A esa estructura se añaden la LSSI-CE para comunicaciones electrónicas con familias, la Guía AEPD de Videovigilancia 2024 para cámaras del centro, el Reglamento (UE) 2024/1689 (AI Act) para herramientas de inteligencia artificial educativa y el régimen específico de transferencias internacionales de datos cuando se usan plataformas norteamericanas como Google Workspace for Education o Microsoft 365 Education. Cumplir RGPD en un colegio no es publicar una política de privacidad: es gobernar todos esos flujos de manera documentada, demostrable y revisable cada curso.

La Disposición Adicional Vigesimotercera de la LOMLOE permite el tratamiento de datos académicos y la cesión entre administraciones educativas con base jurídica en el Art. 6.1.c y el Art. 6.1.e RGPD, pero no exime al centro de cumplir los principios del Art. 5 RGPD (minimización, limitación de la finalidad, exactitud, limitación del plazo de conservación, integridad y confidencialidad). La AEPD ha sancionado a centros públicos y privados que invocaban "es por la ley" sin documentar el análisis de proporcionalidad de cada tratamiento concreto.

Datos de menores: 14 años y consentimiento de padres

El tratamiento de datos de menores es la singularidad principal del sector educativo. El Art. 8 RGPD fija con carácter general 16 años como umbral para que el menor pueda consentir directamente la oferta de servicios de la sociedad de la información, pero permite a los Estados miembros rebajarlo hasta los 13 años. España optó por una posición intermedia en el Art. 7 LOPDGDD: el menor de 14 años no puede prestar válidamente su consentimiento al tratamiento de sus datos en servicios digitales, y ese consentimiento debe otorgarlo quien ostente la patria potestad o la tutela. Para los mayores de 14 años, el consentimiento personal del menor es válido salvo en aquellos supuestos en los que la ley exija la asistencia de los titulares de la patria potestad.

El consentimiento debe documentarse por escrito en el sobre de matrícula o en formulario equivalente, con texto granular por finalidad: gestión académica ordinaria (Art. 6.1.e interés público), uso de plataformas educativas, publicación de fotografías y vídeos, comunicaciones por canales digitales con la familia, cesiones a empresas extraescolares y participación en concursos o premios externos. Marcar una sola casilla "acepto todo" no cumple el principio de granularidad reforzado por la jurisprudencia del TJUE (Planet49 C-673/17, Orange Romania C-61/19) ni la interpretación AEPD de los Arts. 4.11 y 7 RGPD.

El Art. 156 del Código Civil establece que la patria potestad se ejerce conjuntamente por ambos progenitores o por uno solo con el consentimiento expreso o tácito del otro. En supuestos de divorcio con custodia compartida, el centro debe recoger la firma de ambos progenitores para decisiones que excedan del cuidado ordinario: salidas extraescolares con pernoctación, cambio de etapa, autorización de imagen para campañas externas, participación en estudios o investigaciones educativas. Mantener copia del libro de familia o de la sentencia de custodia es la manera defendible de acreditar quién está legitimado para firmar.

Para los datos de menores debe activarse además la obligación de transparencia reforzada del Art. 12 RGPD y del Considerando 38, lo que exige redactar las cláusulas informativas en lenguaje claro y comprensible, adaptado a la edad del destinatario. La AEPD recomienda dos capas: capa corta visible en la matrícula o el formulario, y capa larga accesible desde la web del centro con la información completa del Art. 13 RGPD.

Fotos y vídeos escolares: redes sociales y blog

La publicación de fotografías y vídeos de actividades escolares es uno de los focos clásicos de sanción AEPD en el sector. Comprende el blog del centro, la web institucional, las redes sociales (Instagram, Facebook, TikTok, YouTube, X), las orlas de fin de curso, los vídeos promocionales, los anuarios y la difusión en medios externos. En todos esos canales, la imagen del menor identificable es dato personal protegido por el RGPD y por la Ley Orgánica 1/1982 de protección civil del derecho al honor, intimidad e imagen.

La base jurídica habitual es el consentimiento expreso del Art. 6.1.a RGPD, recogido de quien ostente la patria potestad para menores de 14 años y del propio alumno (con conocimiento de la familia) a partir de los 14. Ese consentimiento debe ser granular por canal y finalidad: no es lo mismo autorizar la foto de grupo del aula para el cuaderno escolar interno que autorizar su publicación en Instagram del centro, donde la foto puede ser indexada por buscadores y reutilizada por terceros. La AEPD ha sancionado expresamente a centros que ampararon publicaciones en redes sociales con consentimientos genéricos de "fines pedagógicos y promocionales".

El consentimiento es libremente revocable en cualquier momento (Art. 7.3 RGPD). Cuando una familia revoca, el centro debe retirar la imagen del menor de los canales activos del centro en plazo razonable (la AEPD considera 30 días como referencia salvo justificación de mayor complejidad técnica). La revocación no obliga a recuperar imágenes ya descargadas por terceros (ese es el límite jurídico del derecho al olvido respecto a contenidos publicados con base válida).

El centro debe mantener un registro de consentimientos por alumno y curso académico, con la fecha, el canal autorizado, las exclusiones específicas y la opción de retirada. Los menores cuya familia no haya autorizado deben quedar fuera del encuadre o ser pixelados; la práctica de "publicar y pedir perdón" es incompatible con el RGPD y constituye prueba directa en una inspección AEPD. Cardeseo recomienda incluir en el sobre de matrícula un formulario específico de imagen con casillas separadas por canal, conservado durante todo el período de relación con el centro y los plazos legales posteriores.

Las cámaras GoPro en piscina, las videograbaciones de festivales y los streamings de actos académicos en YouTube exigen consentimientos específicos adicionales, porque el canal y la finalidad son distintos del cuaderno de aula. Los streamings con identificación de menores cuya familia no lo haya autorizado deben evitarse o realizarse con planos generales sin primeros planos identificables.

Datos académicos y base jurídica del Art. 6.1.e

Los datos académicos del alumno (matrícula, expediente, calificaciones, faltas de asistencia, partes de incidencias, plan de atención personalizado, expediente disciplinario) se tratan con base en el cumplimiento de una misión realizada en interés público, conforme al Art. 6.1.e RGPD. La misión de interés público está establecida por la LOMLOE y por la normativa autonómica que regula la organización y funcionamiento de los centros, lo que cumple la exigencia del Art. 6.3 RGPD de que la base se establezca por el Derecho de la Unión o de los Estados miembros. En algunos tratamientos coexiste el Art. 6.1.c (obligación legal), como ocurre con la cesión de datos a la administración educativa, a la inspección o al Ministerio de Educación para fines estadísticos.

Esta base jurídica tiene consecuencias prácticas relevantes. Primero, el alumno y su familia no pueden ejercer válidamente el derecho de supresión sobre el expediente académico mientras dure la relación educativa y el plazo de conservación legal posterior. Segundo, el centro puede tratar esos datos sin recabar consentimiento expreso por cada tratamiento, lo que no le exime de cumplir el deber de información (Art. 13 RGPD) en la matrícula y de mantenerlo accesible permanentemente. Tercero, las cesiones a otras administraciones educativas amparadas en la Disposición Adicional Vigesimotercera LOMLOE no requieren autorización adicional, pero deben constar en el Registro de Actividades de Tratamiento (Art. 30 RGPD).

Los datos académicos deben conservarse mientras el alumno esté matriculado y, una vez finalizada la relación, durante los plazos previstos en la normativa educativa autonómica para la conservación del expediente y del libro de escolaridad. La regla general extendida es que el libro de calificaciones y el expediente personal del alumno se conserven indefinidamente como documento académico oficial, mientras que los partes de incidencias y los expedientes disciplinarios cancelados se eliminan según el plazo de cancelación previsto en el reglamento interno de organización y funcionamiento (con frecuencia 4 años desde la firmeza).

Las familias pueden ejercer los derechos de acceso, rectificación y portabilidad sobre los datos académicos de menores que tutelan. Para alumnos mayores de 14 años, el centro debe valorar caso por caso si la información solicitada por los padres afecta a la intimidad del menor (especialmente en orientación, expedientes disciplinarios, datos de salud o tutorías de carácter personal), aplicando la interpretación de la AEPD según la cual el ejercicio del derecho por los padres no es absoluto cuando puede colisionar con el interés del menor maduro.

Alergias y datos de salud en comedor

La gestión del comedor escolar, las salidas extraescolares y la enfermería del centro conllevan el tratamiento sistemático de datos de salud de los alumnos: alergias alimentarias (lactosa, gluten, frutos secos, huevo, marisco), intolerancias, dietas terapéuticas, diabetes, asma, epilepsia, alergias a medicamentos, vacunación y, en algunos casos, planes de actuación específicos para urgencias. Todos esos datos son categoría especial del Art. 9 RGPD y requieren una base jurídica reforzada del Art. 9.2.

La base aplicable depende del escenario. En la atención sanitaria ordinaria por personal sanitario del centro (enfermería escolar) se aplica el Art. 9.2.h (asistencia sanitaria por profesional sujeto a secreto). En la prestación del servicio de comedor por personal no sanitario, la base es el Art. 9.2.b (cumplimiento de obligaciones del centro y derechos del menor en materia educativa y de protección de la salud) combinado con el consentimiento explícito de la familia para la dieta especial. En las salidas extraescolares con riesgo concreto, la base se apoya además en el Art. 9.2.c (intereses vitales) para el suministro de medicación de urgencia.

El centro debe mantener un protocolo escrito de gestión de alergias y dietas, accesible al personal de cocina y de monitoreo, con foto del alumno, alergia documentada y plan de actuación. Ese documento es información sanitaria que debe guardarse con medidas de seguridad reforzadas: armario cerrado en sala restringida, copia digital cifrada, acceso por rol y registro de quién accede. La AEPD ha sancionado a centros que mantenían listados de alergias colgados en la cocina sin medidas de control, accesibles a personal externo de catering y a familias en visita.

Las dietas medicalizadas deben acreditarse con informe del facultativo o profesional sanitario competente, y la información debe revisarse anualmente con la familia. Cuando el comedor se externaliza a una empresa de catering, esa empresa actúa como encargada del tratamiento y requiere contrato Art. 28 RGPD que regule expresamente el régimen de datos de salud, las medidas técnicas y la prohibición de subencargos sin autorización. La cesión de datos de alergias entre el centro y la empresa de catering no es una cesión sino una comunicación al encargado, no requiere consentimiento adicional pero sí información en la cláusula del sobre de matrícula.

Plataformas digitales educativas (Google, Microsoft, Moodle)

El uso de plataformas digitales educativas se ha generalizado tras 2020: Google Workspace for Education, Microsoft 365 Education, Moodle, ClickEdu, Educamos, Alexia, Esemtia, Classroom, Teams, Zoom, Meet, Edmodo y otras. Cada una de ellas trata datos personales de alumnos, familias y docentes en nombre del centro, lo que las convierte en encargadas del tratamiento conforme al Art. 28 RGPD. El centro es responsable y debe garantizar contrato escrito que regule las medidas técnicas y organizativas, las subcontrataciones permitidas, la asistencia al responsable, la devolución o supresión de datos al término y el régimen de auditorías.

La complicación práctica viene cuando esas plataformas alojan datos en servidores fuera del Espacio Económico Europeo, especialmente en Estados Unidos. Tras la Sentencia Schrems II del TJUE (C-311/18), el flujo transatlántico exige base válida del Capítulo V RGPD. Desde julio de 2023 el Marco de Privacidad de Datos UE-EEUU (Data Privacy Framework, DPF) restablece una decisión de adecuación de la Comisión Europea para las empresas estadounidenses certificadas en el programa. El centro debe verificar que el proveedor está activamente certificado en la lista pública del Departamento de Comercio de EEUU; si no lo está, debe firmar Cláusulas Contractuales Tipo (Decisión 2021/914) y realizar Transfer Impact Assessment documentado.

Google Workspace for Education y Microsoft 365 Education están certificados en el DPF y publican Data Processing Addendums adaptados al RGPD, pero su configuración por defecto no siempre cumple los principios europeos. El centro debe revisar y desactivar la publicidad personalizada, ajustar la retención de datos a los plazos pedagógicos, controlar el uso de cuentas personales por alumnos menores de 14 años (no admisible sin autorización paterna) y configurar la geolocalización del almacenamiento. La Autoridad de Protección de Datos holandesa publicó en 2021 una guía detallada de configuración mínima exigible para Google Workspace en centros educativos, que la AEPD considera referencia interpretativa válida.

Moodle y otras plataformas autohospedadas en servidores del propio centro o de un proveedor europeo simplifican el cumplimiento del Capítulo V, pero no eximen del contrato Art. 28 RGPD con el proveedor de hosting ni de las medidas técnicas del Art. 32 (cifrado, control de accesos, copias de seguridad, registro de actividad). Cardeseo incluye en su pack documental modelos de Encargo del Tratamiento adaptados a cada uno de los proveedores habituales del sector y revisa la configuración pedagógica desde la perspectiva del cumplimiento.

Inteligencia artificial educativa y AI Act

La inteligencia artificial aplicada a la educación crece con rapidez: lectores adaptativos que ajustan el nivel del texto, plataformas que personalizan ejercicios según el rendimiento, correctores automáticos de exámenes, sistemas de detección de plagio, asistentes virtuales para tutorías, herramientas de orientación vocacional basadas en algoritmos. Todas esas funcionalidades combinan tratamiento de datos personales con potencial impacto en decisiones que afectan al alumno, lo que activa dos planos regulatorios: el Art. 22 RGPD sobre decisiones automatizadas y el Reglamento (UE) 2024/1689 (AI Act).

El Art. 22 RGPD prohíbe que el alumno o la familia queden sujetos a decisiones basadas únicamente en tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos o les afecten significativamente, salvo consentimiento explícito, contrato o autorización legal con salvaguardas. Una calificación final del curso, una orientación de itinerario académico o una expulsión basadas exclusivamente en un algoritmo serían contrarias al Art. 22 sin intervención humana significativa. Las plataformas adaptativas que solo personalizan ejercicios no caen en el Art. 22 si el profesor mantiene la decisión final pedagógica.

El AI Act entró en vigor el 1 de agosto de 2024 y se aplica gradualmente. Desde el 2 de febrero de 2025 son exigibles las prohibiciones del Art. 5 (scoring social, manipulación cognitiva) y las obligaciones de alfabetización en IA del Art. 4. A partir del 2 de agosto de 2026 se aplican plenamente las obligaciones para sistemas de IA de alto riesgo del Anexo III, que incluye expresamente los sistemas destinados a evaluar el rendimiento de los estudiantes, a determinar el acceso a centros educativos y a detectar comportamientos prohibidos durante exámenes. El centro que use uno de esos sistemas pasa a ser deployer (Art. 26 AI Act) con obligaciones específicas de información, supervisión humana y registro de incidencias.

Cardeseo recomienda inventariar al inicio del curso todas las herramientas con componente IA, clasificarlas según el AI Act, verificar el marcado CE del proveedor cuando proceda y documentar la decisión de uso con análisis de impacto combinado RGPD+AI Act. Los proveedores de IA educativa están obligados desde 2026 a proporcionar al centro la documentación técnica suficiente para esa evaluación.

DPD obligatorio en centros docentes (Art. 9.4 LOPDGDD)

El Art. 37.1 RGPD obliga a designar Delegado de Protección de Datos (DPD) cuando concurre alguno de tres supuestos: autoridad pública, tratamiento a gran escala de categorías especiales o tratamiento que requiera observación habitual y sistemática de interesados a gran escala. El Art. 9.4 LOPDGDD añade obligación específica para "los centros docentes que oferten enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las universidades públicas y privadas". La redacción es taxativa y no admite excepción por tamaño del centro: una escuela infantil autorizada, un colegio concertado, un instituto público, un centro privado de FP y una universidad están todos sujetos a la obligación de designar DPD.

La excepción del Art. 9.4 LOPDGDD se limita a profesionales que ejerzan a título individual y a actividades formativas no regladas (academias de refuerzo sin autorización oficial, cursos de idiomas privados, autoescuelas en algunos supuestos, formación no conducente a título oficial). Ese matiz es importante: una academia de refuerzo de matemáticas no está obligada por el Art. 9.4 LOPDGDD, aunque sí lo está si el volumen de tratamiento la encaja en el Art. 37.1 RGPD por categorías especiales o por gran escala.

El DPD puede ser interno (empleado con dedicación parcial) o externo (consultor independiente) según el Art. 37.6 RGPD. La práctica habitual en centros educativos de tamaño medio es la externalización, ya que el DPD interno requiere formación específica reconocida por el Esquema AEPD (mínimo 180 horas para el itinerario completo) y carga de trabajo continua. La designación debe comunicarse a la AEPD a través de la Sede Electrónica con datos del DPD y vías de contacto. Esos datos de contacto deben publicarse en la web del centro y aparecer en las cláusulas informativas de la matrícula.

Las funciones del DPD están en el Art. 39 RGPD: informar y asesorar al responsable, supervisar el cumplimiento, asesorar sobre la EIPD, cooperar con la autoridad de control y actuar como punto de contacto. La AEPD ha consolidado en su Guía del DPD que en el sector educativo el DPD debe participar en la revisión del sobre de matrícula, en la valoración de nuevas plataformas digitales, en las EIPDs (por ejemplo, instalación de cámaras o uso de IA), en la atención a derechos de las familias y en la gestión de brechas de seguridad. El DPD goza de garantías de independencia del Art. 38 RGPD: no recibe instrucciones, reporta al máximo nivel directivo y no puede ser sancionado por el desempeño de su función.

Comunicación con familias (WhatsApp, email, app)

La comunicación con familias se ha multicanalizado: agenda escolar en papel, email institucional, grupos de WhatsApp, app del centro (Educamos, Alexia, Esemtia, ClickEdu), llamadas telefónicas, comunicación a través del tutor y a través de la AMPA. Cada canal tiene un régimen jurídico propio. Las comunicaciones operativas (citación a reuniones, justificación de faltas, partes médicos, comunicación de la dirección) tienen base en el Art. 6.1.b (ejecución del contrato educativo) o el Art. 6.1.e (interés público de la enseñanza). Las comunicaciones comerciales del centro (ofertas extraescolares de pago, campañas de captación de alumnos hermanos, productos de la AMPA) son comunicaciones comerciales por vía electrónica reguladas por el Art. 21 LSSI-CE, que exige consentimiento previo expreso y revocable.

Los grupos de WhatsApp del aula merecen atención específica. Cuando los gestiona la AMPA, el responsable del tratamiento es la propia AMPA y los datos de contacto de las familias se aportan voluntariamente. Cuando los gestiona el tutor en nombre del centro, el centro es responsable y debe documentar la base jurídica, la finalidad limitada (comunicación operativa de aula) y los plazos de conservación. Está prohibido usar el grupo para difundir imágenes de menores sin consentimiento específico de todas las familias afectadas. La AEPD ha sancionado a tutores que compartieron en el grupo del aula fotos de actividades sin verificar la lista de consentimientos.

La cesión del número de teléfono móvil de la familia a otros padres a través del listado del aula requiere consentimiento expreso (no es base de contrato). La práctica recomendada es ofrecer la lista solo a quien lo solicite, recoger consentimiento de cada familia para aparecer en ella y dejar fuera a quien no lo autorice. Las apps del centro deben configurarse para no enviar notificaciones de marketing sin consentimiento separado, y deben permitir baja inmediata del canal sin perder la comunicación operativa.

Las comunicaciones por email del centro deben llevar la cláusula informativa abreviada (responsable, finalidad, derechos, contacto del DPD) y mecanismo claro de baja para comunicaciones promocionales. Las brechas habituales son el envío masivo con destinatarios en copia abierta (uso del campo Para o CC en lugar de CCO), que ya ha generado sanciones a centros de tamaño medio por importes entre 1.000 y 6.000 €.

Reglamento interno y datos disciplinarios

El reglamento de organización y funcionamiento (ROF) o reglamento interno del centro regula la convivencia escolar y prevé un régimen disciplinario con tipificación de conductas, procedimiento, medidas correctoras y plazos de cancelación. La instrucción de expedientes disciplinarios trata datos personales del alumno (a menudo menor de edad), datos de testigos, datos de víctimas en supuestos de acoso escolar y datos de la familia. La base jurídica es el Art. 6.1.e RGPD (interés público de la convivencia escolar amparado en la LOMLOE y en los decretos autonómicos de convivencia), combinado con el Art. 6.1.c cuando hay obligación legal específica de comunicación a la administración educativa.

Los expedientes disciplinarios deben tratarse con confidencialidad reforzada. El acceso al expediente está limitado al alumno (a través de su representante legal si es menor), al equipo directivo, al tutor, al instructor del expediente y a la administración educativa en su función de supervisión. Las familias no afectadas no tienen derecho de acceso al expediente de otro alumno aunque el incidente les afecte de manera indirecta, salvo en supuestos donde la víctima sea su propio hijo y la información sea estrictamente necesaria para el ejercicio de derechos.

La cancelación de los expedientes disciplinarios sigue los plazos previstos en el decreto autonómico de convivencia y, supletoriamente, en el reglamento interno. La práctica habitual extendida es la cancelación a los 4 años desde la firmeza de la resolución cuando se trate de faltas leves o graves, y mayor plazo o conservación específica para faltas muy graves o supuestos de acoso. Una vez cancelado, el dato no puede ser usado contra el alumno, debe quedar bloqueado y solo accesible para la administración educativa en supuestos legalmente previstos.

Los supuestos de acoso escolar (bullying, ciberacoso) activan protocolos específicos de las administraciones educativas autonómicas que pueden requerir comunicación a fiscalía de menores y a servicios sociales. Esa comunicación es base legal del Art. 6.1.c y del Art. 9.2.g RGPD (interés público esencial) y no requiere consentimiento, pero debe documentarse en el RAT y notificarse a las familias afectadas. Cardeseo incluye en el pack documental plantillas específicas para tramitación de expedientes disciplinarios y protocolos de acoso.

Empleados (profesores) y registro de jornada

El personal docente y no docente del centro es titular de derechos RGPD en su condición de trabajador. La base jurídica del tratamiento de sus datos es el Art. 6.1.b (ejecución del contrato laboral), reforzada por el Art. 6.1.c (obligaciones legales: Seguridad Social, Hacienda, registro horario) y, para datos sensibles (vigilancia de la salud, afiliación sindical, baja temporal), por las excepciones del Art. 9.2 (Art. 9.2.b para obligaciones laborales, Art. 9.2.h para vigilancia de la salud por servicio de prevención).

El registro horario obligatorio del personal está regulado por el RD-Ley 8/2019, que modificó el Art. 34.9 del Estatuto de los Trabajadores. Debe registrarse la hora de inicio y fin de la jornada de cada trabajador. La normativa establece para el empresario la obligación de conservar el registro de jornada durante 4 años (Art. 21.5 LISOS), con independencia del plazo general de prescripción de las infracciones (3 años desde la comisión, Art. 4.1 LISOS). El registro debe estar a disposición de los trabajadores, sus representantes legales y la Inspección de Trabajo y Seguridad Social (ITSS).

La interpretación canónica de la calificación de la infracción por incumplimiento de registro horario la fijó el Criterio Técnico 101/2019 de la ITSS: se considera infracción grave del Art. 7.5 LISOS, sancionable con multa de 751 a 7.500 € por infracción detectada en la empresa, no por trabajador ni automáticamente por centro de trabajo; la individualización por centro solo procede cuando los hechos son materialmente separables. La AEPD, por su lado, sanciona por uso indebido de sistemas biométricos para fichaje sin base reforzada (Directrices AEPD biometría 2023) o por difusión inadecuada de los datos del registro horario entre el personal.

Las cámaras de control del cumplimiento horario del personal en zonas de trabajo están sometidas al Art. 89 LOPDGDD y a la Guía AEPD de Videovigilancia 2024: cartel homologado visible, finalidad limitada al control laboral cuando la base sea legítima, prohibición de grabar zonas de descanso, comedores, salas de profesores y baños. La instalación masiva de cámaras en aulas se ha sancionado por la AEPD por desproporción y por afectar al derecho a la intimidad del personal docente y a la libertad de cátedra.

Los datos médicos derivados de la vigilancia de la salud (Art. 22 LPRL) son tratados por el servicio de prevención propio o ajeno, no por el centro. El centro solo recibe la información de aptitud o no aptitud para el puesto, no el detalle médico. Cualquier acceso del centro al detalle médico es infracción grave del Art. 76 LOPDGDD y del propio Art. 22 LPRL.

Sanciones AEPD orientativas para centros educativos

La AEPD sanciona en función del Art. 83 RGPD y del régimen del Art. 58.2 RGPD junto con los Arts. 71 a 78 LOPDGDD. Para pymes y centros educativos privados de tamaño pequeño-medio, la AEPD calibra las sanciones en una horquilla habitual de 5.000 a 100.000 €, con concurrencia frecuente de la advertencia del Art. 58.2.b RGPD para infracciones de bajo riesgo y primer aviso (compatible con la sanción del Art. 83.2 RGPD y con el Art. 76 LOPDGDD). El Tribunal Supremo y la Audiencia Nacional han valorado positivamente esa práctica de calibración proporcional en sucesivas sentencias.

Las infracciones del Art. 78 LOPDGDD prescriben a los 3 años cuando son muy graves, a los 2 años cuando son graves y a 1 año cuando son leves. La AEPD ha sancionado en el sector educativo casos típicos por publicación de imágenes de menores sin consentimiento, falta de información en la matrícula, gestión inadecuada de derechos de acceso, brechas de seguridad por envío masivo en copia abierta, contratos Art. 28 ausentes con plataformas digitales y cámaras instaladas sin proporcionalidad.

Más allá de la multa AEPD, el centro asume responsabilidad civil del Art. 82 RGPD si la familia o el alumno acreditan daño material o moral derivado del tratamiento ilícito. La jurisdicción civil ha reconocido indemnizaciones de varios miles de euros por publicación de imágenes de menores sin consentimiento y por filtración accidental de datos de familias.

El régimen sancionador laboral por incumplimiento del registro horario lo aplica la ITSS, no la AEPD: infracción grave del Art. 7.5 LISOS con multa de 751 a 7.500 € por centro y trabajador. Los dos regímenes son compatibles y pueden concurrir en el mismo hecho cuando el incumplimiento afecte simultáneamente al RGPD (uso indebido de datos del registro) y al ET (ausencia o irregularidad del registro).

Cómo adecua Cardeseo un centro educativo

Cardeseo aplica al sector educativo su servicio anual de Adecuación y Cumplimiento Normativo RGPD/LOPDGDD/LSSI-CE en el tier sectorial educativo desde 349€/año en su tarifa de entrada, escalando según número de alumnos, sedes y modalidades. El servicio incluye análisis previo del flujo de datos (matrícula, plataformas, comedor, transporte, comunicación con familias, personal), pack documental completo (cláusulas matrícula adaptadas por etapa, contratos Art. 28 con cada plataforma EdTech, EIPD del tratamiento de menores, política de imagen, protocolos de gestión de derechos), publicación de los textos legales en la web del centro y soporte continuo con respuesta SLA de 24 horas para inspecciones AEPD o consultas urgentes.

El equipo jurídico de Cardeseo revisa la designación o renovación del DPD y, cuando el centro no quiere externalizarlo, le forma para que el DPD interno cumpla los requisitos del Esquema AEPD. Cardeseo coordina la firma del Encargo del Tratamiento con la AMPA, las empresas extraescolares, el catering del comedor, el transporte escolar y los proveedores tecnológicos, evitando que el centro tenga que cerrar uno por uno cada contrato.

La auditoría anual revisa la evolución normativa (especialmente fases pendientes del AI Act), las nuevas plataformas incorporadas, los incidentes del curso anterior y los cambios en plantilla, sociedades vinculadas o sedes. El pack documental se actualiza sin coste adicional cuando hay cambios regulatorios relevantes, y el cliente recibe el ZIP actualizado con sello de fecha y firma del responsable.

Preguntas frecuentes

Próximos pasos

Cardeseo trabaja con centros educativos de toda España para cerrar el cumplimiento RGPD, LOPDGDD y LSSI-CE en menos de 7 días desde el alta. Si quieres revisar tu situación actual, puedes consultar la calculadora pública del servicio anual en /cumplimiento-legal/, iniciar el onboarding RGPD en /onboarding-rgpd/ o descargar plantillas y modelos de referencia en /recursos/plantillas/.

Si necesitas profundizar antes de contratar, los recursos del centro de cumplimiento legal explican el marco normativo en /cumplimiento-legal/que-es-el-rgpd/ y resuelven la designación de Delegado de Protección de Datos en /cumplimiento-legal/dpo-delegado-proteccion-datos/. El equipo comercial de Cardeseo responde dudas concretas por email en info@cardeseo.com o por teléfono si prefieres una llamada directa de cualificación.