La Agencia Española de Protección de Datos (AEPD) ha publicado una guía dirigida a administraciones educativas y centros docentes con el fin de establecer criterios comunes para la contratación y uso de plataformas educativas digitales. El documento aborda los principales riesgos y obligaciones derivados del tratamiento de datos personales en entornos en los que participan menores de edad, así como las responsabilidades de los distintos actores implicados.
La guía comienza describiendo el contexto de uso de estas plataformas, que suelen integrar funcionalidades como comunicación, gestión académica, almacenamiento, edición colaborativa o videoconferencia. Además, señala que pueden incluir servicios adicionales no estrictamente vinculados a la función educativa, como buscadores, plataformas de vídeo o herramientas de inteligencia artificial. Estas funcionalidades pueden estar sujetas a condiciones contractuales diferenciadas y comportar tratamientos adicionales de datos técnicos y metadatos cuyo control no siempre resulta evidente para el responsable educativo.
Uno de los elementos centrales del documento es la delimitación de roles. La AEPD subraya que la administración educativa y los centros docentes deben asumir su condición de responsables del tratamiento y no pueden delegar ni diluir dicha responsabilidad. El proveedor de la plataforma actuará como encargado únicamente en relación con los tratamientos derivados de la función educativa, pero puede convertirse en responsable cuando determine fines y medios propios, especialmente respecto de datos generados automáticamente o servicios adicionales.
Respecto a la base jurídica, la AEPD indica que la misión en interés público ampara exclusivamente los tratamientos necesarios para la función educativa. Insiste en que no deben activarse servicios ajenos a dicha función en un entorno dirigido a menores. Asimismo, considera que el interés legítimo del proveedor es difícilmente aplicable para tratamientos con finalidades comerciales, de mejora de servicios, publicidad o analítica para fines propios.
La guía establece también la obligatoriedad de realizar una evaluación de impacto, dado el tratamiento a gran escala de datos de menores y el uso de tecnologías en la nube. La evaluación debe cubrir la totalidad de los tratamientos, analizar roles, bases de legitimación y riesgos, y actualizarse cuando se produzcan cambios significativos. También exige una información clara y accesible sobre todos los tratamientos, rechazando la referencia a políticas genéricas o dispersas.
Asimismo, la AEPD detalla los requisitos del contrato de encargo, que debe cumplir el artículo 28 del RGPD, incluir la identificación de subencargados y permitir verificar sus condiciones de tratamiento. La guía también analiza las transferencias internacionales, que deben contar con garantías adecuadas y no pueden basarse en excepciones del artículo 49 para flujos sistemáticos.
Por último, el documento aborda la protección de datos desde el diseño, las medidas de seguridad (incluyendo las del Esquema Nacional de Seguridad) y el ejercicio de derechos por parte del alumnado y sus familias.