Cesión de datos del alumnado a terceros: qué puede y qué no puede dar el centro

Una mañana cualquiera en la dirección de un colegio. La directora atiende tres peticiones en menos de dos horas. La Guardia Civil llama al teléfono fijo del centro pidiendo los datos de tres alumnos por una investigación. La presidenta del AMPA entra al despacho a por el listado de teléfonos de las familias para enviar una circular sobre la fiesta de fin de curso. Y, justo antes del recreo, llega un correo de Servicios Sociales solicitando información sobre un alumno por una situación de protección que están valorando.

Tres peticiones, tres respuestas distintas, y un error en cualquiera de ellas puede convertirse en un problema serio para el centro. La cesión de datos del alumnado es una de las áreas donde más se equivoca un equipo directivo, no por mala fe sino por desconocer que cada solicitante tiene su propia regla. La buena noticia es que las pautas son claras una vez se ordenan. En este artículo revisamos los cuatro tipos de peticionarios habituales —otras administraciones, fuerzas y cuerpos de seguridad, AMPA, jueces y abogados— con la regla AEPD aplicada a cada uno y los pasos concretos para responder bien a cada caso.

La regla básica: el consentimiento no es la única vía

Antes de entrar en la casuística, conviene desactivar un mito muy extendido en los centros: no toda cesión de datos requiere consentimiento de la familia. El artículo 6 del RGPD define hasta seis bases legales distintas para tratar y ceder datos: consentimiento, ejecución de un contrato, obligación legal, intereses vitales, misión pública en interés general, e interés legítimo. El consentimiento es solo una de ellas, y a menudo no es la que aplica.

La Disposición Adicional vigesimotercera de la LOMLOE habilita al centro para el tratamiento ordinario de datos del alumnado en el ejercicio de la función educativa, y la Ley Orgánica 3/2018 LOPDGDD es el marco general español que complementa el RGPD.

El mensaje clave de esta sección conviene subrayarlo: muchos centros piensan que para ceder datos siempre hay que pedir permiso a la familia. No es así. En la mayoría de cesiones legítimas a administraciones públicas, el consentimiento ni se pide ni se necesita, porque la base legal es otra: cooperación entre administraciones, obligación legal, o interés vital del menor. El error frecuente va en dos direcciones: pedir consentimiento cuando no toca, lo que ralentiza la respuesta administrativa, o ceder datos sin base legal cuando sí haría falta consentimiento, lo que genera infracción.

Esta lógica es coherente con el resto del marco que abordamos en la guía completa de protección de datos en centros educativos: el principio rector siempre es la base legal correcta, no el reflejo de pedir firmas para todo.

Otras administraciones educativas y públicas: cooperación activa

El primer grupo de peticionarios y el más sencillo de gestionar son las administraciones públicas. Conviene distinguir tres situaciones que se presentan a menudo en dirección.

Otras administraciones educativas: centros educativos en caso de traslado de expediente, inspección educativa, Consejería, Ministerio. La cesión es directa, sin consentimiento, amparada en el principio de cooperación entre órganos de la misma administración. Cuando un alumno cambia de centro, el expediente se remite directamente entre centros sin pedir nada a la familia. Esto incluye boletín de calificaciones, expediente académico, informes de orientación y documentación de necesidades educativas si las hubiera.

Otras administraciones públicas con competencias coincidentes: Servicios Sociales municipales o autonómicos, Salud Pública, sanidad pediátrica, ayuntamientos en lo que les compete. La cesión se realiza dentro del ámbito de su competencia y sin consentimiento previo de la familia. Si Servicios Sociales solicita información sobre un alumno por una situación de protección, el centro coopera. Si Salud Pública pide datos para un protocolo de seguimiento sanitario en el ámbito escolar, el centro coopera. La base legal es la misión pública.

Caso especial: la urgencia médica. Cuando hay un alumno con una crisis sanitaria —una reacción anafiláctica, una caída grave, un episodio epiléptico— los datos del menor, incluidos sus datos de salud especialmente protegidos, pueden comunicarse al centro hospitalario o al servicio de emergencias sin consentimiento previo. La base legal cambia: prima el interés vital del menor sobre el derecho de protección de datos. Se informa a la familia en cuanto la situación lo permita.

Cuatro reglas operativas para responder a cualquier petición administrativa:

1. Verificar la identidad y la competencia del organismo solicitante. No basta con que alguien diga que llama de Servicios Sociales.
2. Pedir la solicitud por escrito o por registro electrónico, no por teléfono. Las solicitudes telefónicas se reorientan al cauce formal.
3. Ceder solo los datos estrictamente necesarios para el fin que justifican. Si piden información académica, no se entrega además la situación familiar.
4. Documentar internamente la cesión: quién pidió, qué se entregó, cuándo y bajo qué motivación. Esto protege al centro si después hay reclamación.

Fuerzas y Cuerpos de Seguridad: registro electrónico y motivación

Esta es la sección donde más errores se cometen, normalmente por la presión que genera tener un agente al teléfono pidiendo datos con urgencia. Conviene tenerlo muy claro: la regla AEPD aquí no es una opinión, es una pauta consolidada.

Según la guía de la AEPD para centros educativos, la forma habitual de requerir información a un centro educativo, conforme al artículo 155 de la Ley 40/2015 de Régimen Jurídico del Sector Público, es el Registro Electrónico. Toda solicitud que no llegue por ese cauce debe remitirse al registro del centro o al de la Delegación Territorial correspondiente.

La solicitud de las Fuerzas y Cuerpos de Seguridad debe cumplir tres requisitos para que el centro pueda atenderla:

• Llegar por registro electrónico, no por teléfono ni por personación directa de un agente.
• Estar motivada por escrito: qué se pide, para qué finalidad concreta, en el marco de qué investigación.
• Referirse a personas concretas, identificadas o identificables, no a colectivos genéricos como «todo el alumnado de cuarto de la ESO» o «los alumnos que viven en tal barrio».

Cuando se cumplen estos tres requisitos, solo se entregan los datos identificativos del alumno: nombre, apellidos, fecha de nacimiento y datos de contacto. No se entregan datos de salud, datos sociales, datos económicos ni calificaciones académicas, salvo que el requerimiento esté específicamente motivado para esa información concreta.

Hay una única excepción: la emergencia real y demostrable. Si hay un menor en peligro inminente y la actuación inmediata es necesaria para preservar su integridad, se actúa, y luego se documenta lo ocurrido por escrito. Pero esta excepción es estrecha y debe poder justificarse después en un informe interno detallado.

📬 ¿Te ha resultado útil este artículo?

Recibe cada semana recursos, herramientas de IA y consejos prácticos para el aula.✉️ Suscribirme gratis →

AMPA y entidades vinculadas al centro

Casi todos los centros tienen AMPA y casi todas las direcciones se han enfrentado a la misma petición: «necesitamos los teléfonos de las familias para mandar una circular». La intención suele ser buena y la colaboración entre AMPA y centro es valiosa. El problema es de procedimiento, no de personas.

El AMPA es una entidad jurídica externa al centro, aunque colabore estrechamente. Tiene personalidad jurídica propia, su CIF, sus estatutos y su junta directiva. No es parte del centro a efectos de protección de datos, aunque comparta espacio físico y proyectos. Por tanto, no tiene acceso automático a los datos del alumnado por el hecho de ser AMPA.

Para que el centro pueda compartir datos con el AMPA hace falta consentimiento previo y específico de las familias afectadas, recogido para esa finalidad concreta: recibir circulares del AMPA, información sobre actividades, convocatorias internas. Un consentimiento genérico firmado al matricularse no cubre la cesión al AMPA, porque no es informado ni específico.

Hay una excepción importante. Si el AMPA presta un servicio contratado por el centro —comedor escolar, transporte, actividades extraescolares organizadas a través suyo, escuela de verano— entonces el AMPA actúa como encargado de tratamiento, mediante contrato firmado con el centro. En ese caso sí accede a los datos imprescindibles para prestar el servicio, pero solo a esos datos y solo para esa finalidad. Y el centro tiene que haber informado a las familias en su política de privacidad de que esa cesión existe y por qué.

Jueces, fiscales, abogados y Defensor del Pueblo

El último grupo de peticionarios es el judicial y asimilado. Aquí también hay que distinguir bien quién pide y bajo qué cobertura, porque las consecuencias de equivocarse son significativas.

Jueces y fiscales pueden solicitar datos directamente al centro y este debe atender el requerimiento en los términos exactos en que se formula, sin pedir consentimiento a la familia. La autoridad judicial está habilitada por sí misma, no necesita ningún permiso adicional. Lo mismo ocurre con el Ministerio Fiscal cuando actúa en defensa del menor.

El Defensor del Pueblo, tanto el estatal como los autonómicos como el Defensor del Pueblo Andaluz, también puede solicitar información directamente al centro y este coopera sin consentimiento previo. Su función de garantía de derechos le habilita para acceder a información administrativa.

El punto crítico son los abogados de parte. El abogado de uno de los progenitores en un proceso de divorcio o de custodia, el abogado de una familia en un procedimiento contra el centro o el abogado de un docente en un asunto interno no pueden solicitar directamente datos del centro para aportarlos a juicio. Si un abogado llama o escribe pidiendo datos de un alumno, la respuesta correcta es invitarle a tramitarlo por la vía judicial: que el juzgado los requiera al centro si lo estima procedente. Esa es la garantía de que la información llega al procedimiento por el cauce adecuado y bajo control judicial.

Cinco errores frecuentes y cómo corregirlos

Tras el repaso completo, estos son los fallos que más se repiten en los centros y los pasos concretos para corregirlos sin convertir la dirección en un departamento legal.

1. Entregar datos a la policía por teléfono sin solicitud por registro. Sustituirlo por: invitar al agente a presentar la solicitud por registro electrónico, motivada y por escrito, referida a personas concretas.
2. Pasar al AMPA el listado de teléfonos de las familias «porque siempre se ha hecho». Sustituirlo por: solicitar consentimiento específico a las familias para esa finalidad o usar canales de comunicación gestionados por el propio centro.
3. Atender directamente a un abogado de parte. Sustituirlo por: indicarle por escrito que tramite la petición por el juzgado, dejando constancia interna de la negativa motivada.
4. Pedir consentimiento a la familia para ceder datos a Servicios Sociales o a inspección educativa. Sustituirlo por: ceder directamente, porque la base legal es la cooperación administrativa y la familia no tiene que autorizar nada.
5. No documentar internamente las cesiones realizadas. Sustituirlo por: registro interno con fecha, solicitante, datos entregados y motivación de la cesión. Eso protege al centro si después aparece una reclamación.

Volviendo al caso de la directora con las tres peticiones de la misma mañana, las respuestas correctas son: a la Guardia Civil le pide solicitud por registro electrónico motivada y referida a alumnos concretos antes de entregar nada. A la presidenta del AMPA le explica que necesita consentimiento previo de las familias para cederle el listado de teléfonos, o que la convocatoria salga del propio centro. A Servicios Sociales le facilita la información solicitada directamente, sin pedir consentimiento a la familia, porque ahí la base legal es la cooperación administrativa. Tres respuestas distintas para tres peticiones distintas, todas correctas. Ceder bien protege al menor y protege al centro: las reglas existen para hacer el trabajo de la dirección más fácil, no más difícil.

🛡️ Más recursos de gestión escolar cada semana

Protección de datos en centros educativos: guía RGPD completa

Visión global del RGPD aplicada al centro: imágenes, comunicaciones, salud, cesión a terceros y consentimiento. El marco que conecta este artículo con el resto del cluster.🔗 Leer la guía completa →

Satélite relacionado

Publicar calificaciones, listas y notas en el centro: qué dice la AEPD

Cómo se comunican las calificaciones, qué se puede colgar en tablones y cómo gestionar listas de admisión y becas según la doctrina AEPD.🔗 Ir al artículo →

Satélite relacionado

Fotos del alumnado en el centro: lo que dice el RGPD

Cuándo se pueden publicar imágenes de alumnos, qué autorizaciones son válidas y qué hacer con las fotos que toman las propias familias.🔗 Ir al artículo →

Fuente oficial

AEPD — Guía para centros educativos

Documento de referencia de la Agencia Española de Protección de Datos con casuística detallada sobre todos los supuestos de cesión a terceros.🔗 Descargar PDF →