La AEPD publica una guía sobre la contratación de herramientas tecnológicas en el sector educativo

Comparte

La Agencia Española de Protección de Datos (AEPD) ha publicado una guía dirigida a administraciones educativas y centros docentes con el fin de establecer criterios comunes para la contratación y uso de plataformas educativas digitales. El documento aborda los principales riesgos y obligaciones derivados del tratamiento de datos personales en entornos en los que participan menores de edad, así como las responsabilidades de los distintos actores implicados.

La guía comienza describiendo el contexto de uso de estas plataformas, que suelen integrar funcionalidades como comunicación, gestión académica, almacenamiento, edición colaborativa o videoconferencia. Además, señala que pueden incluir servicios adicionales no estrictamente vinculados a la función educativa, como buscadores, plataformas de vídeo o herramientas de inteligencia artificial. Estas funcionalidades pueden estar sujetas a condiciones contractuales diferenciadas y comportar tratamientos adicionales de datos técnicos y metadatos cuyo control no siempre resulta evidente para el responsable educativo.

Uno de los elementos centrales del documento es la delimitación de roles. La AEPD subraya que la administración educativa y los centros docentes deben asumir su condición de responsables del tratamiento y no pueden delegar ni diluir dicha responsabilidad. El proveedor de la plataforma actuará como encargado únicamente en relación con los tratamientos derivados de la función educativa, pero puede convertirse en responsable cuando determine fines y medios propios, especialmente respecto de datos generados automáticamente o servicios adicionales.

Respecto a la base jurídica, la AEPD indica que la misión en interés público ampara exclusivamente los tratamientos necesarios para la función educativa. Insiste en que no deben activarse servicios ajenos a dicha función en un entorno dirigido a menores. Asimismo, considera que el interés legítimo del proveedor es difícilmente aplicable para tratamientos con finalidades comerciales, de mejora de servicios, publicidad o analítica para fines propios.

La guía establece también la obligatoriedad de realizar una evaluación de impacto, dado el tratamiento a gran escala de datos de menores y el uso de tecnologías en la nube. La evaluación debe cubrir la totalidad de los tratamientos, analizar roles, bases de legitimación y riesgos, y actualizarse cuando se produzcan cambios significativos. También exige una información clara y accesible sobre todos los tratamientos, rechazando la referencia a políticas genéricas o dispersas.

Asimismo, la AEPD detalla los requisitos del contrato de encargo, que debe cumplir el artículo 28 del RGPD, incluir la identificación de subencargados y permitir verificar sus condiciones de tratamiento. La guía también analiza las transferencias internacionales, que deben contar con garantías adecuadas y no pueden basarse en excepciones del artículo 49 para flujos sistemáticos.

Por último, el documento aborda la protección de datos desde el diseño, las medidas de seguridad (incluyendo las del Esquema Nacional de Seguridad) y el ejercicio de derechos por parte del alumnado y sus familias.

Leer más

Posts relacionados que podrían interesarte

15, febrero 2023

Google: en el punto de mira de las autoridades Europeas (otra vez)

28, marzo 2019

V Congreso Primavera Avogados Novos de Vigo: 24 de Mayo 2019

16, enero 2025

Apple se enfrenta a una acción judicial colectiva en Reino Unido por prácticas anticompetitivas en su App Store

18, noviembre 2021

Harvard Business Review publica un artículo en el que explica el porqué del valor de las NFT de activos digitales y la justificación de crear negocios a su alrededor

27, mayo 2021

El Sandbox anticipa una disrupción en el sector financiero gracias a la tecnología blockchain

10, marzo 2022

Se aprueba el Anteproyecto de la nueva Ley del Cine y de la Cultura Audiovisual