Familias conflictivas: 6 claves legales sobre los límites del docente
Ciberacoso escolar: 6 claves legales para actuar en el centro educativo
Compromiso de convivencia: 6 claves legales para suscribirlo con las familias
Comisión de Convivencia: 6 claves legales sobre composición y funciones en Andalucía
Agresiones al profesorado: 7 claves legales del protocolo en Andalucía
Aula de convivencia: 6 claves legales para entender cómo funciona en Andalucía.
Expulsión del aula y del centro: guía legal en 6 claves
Protocolo de acoso escolar: los 12 pasos legales que tu centro debe seguir en Andalucía.
Conductas contrarias convivencia: 7 claves prácticas
13 Jun 2026, Sáb
Gestión Protección de datos

Protección de datos en centros educativos: guía RGPD completa para docentes y directivos.

Por Docente Inteligente No hay comentarios
Docente revisando la normativa RGPD de protección de datos en centros educativos españoles

Haces una foto del mural que han hecho tus alumnos y la subes al grupo de WhatsApp de familias. Usas una plataforma online para que los niños practiquen matemáticas. Lees en voz alta las calificaciones del último examen. Mandas las notas por correo electrónico desde tu cuenta personal. Cualquiera de estas situaciones cotidianas puede suponer una infracción de la normativa de protección de datos en centros educativos si no se hace correctamente.

El problema no es la buena intención del docente o del equipo directivo, que nadie pone en duda. El problema es que nadie nos explicó de forma clara qué se puede hacer, qué está prohibido y qué simplemente requiere un paso previo que casi siempre se omite. Esta guía recoge el marco legal sin tecnicismos, los escenarios reales del aula y del despacho de dirección, y las respuestas concretas que necesitamos para trabajar tranquilos. Cada bloque enlaza a guías específicas más detalladas para los casos que requieren profundizar.

El marco legal en 3 minutos: RGPD, LOPDGDD y LOMLOE

El Reglamento General de Protección de Datos (RGPD) es el marco legal europeo que regula cómo se recogen, almacenan y usan los datos personales de cualquier persona. Entró en vigor en mayo de 2018 y en España se complementa con la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

Un dato personal es cualquier información que permita identificar a una persona: nombre, foto, DNI, dirección, voz, imagen grabada en vídeo o incluso una matrícula. En el contexto educativo, los datos del alumnado son especialmente sensibles porque hablamos de menores de edad, lo que añade una capa de protección adicional.

El centro educativo actúa como responsable del tratamiento de esos datos. El docente, en su actividad diaria, actúa como encargado de tratamiento. Eso significa que aunque no seas tú quien firma los contratos con las plataformas digitales, sí tienes responsabilidad sobre el uso que haces de los datos en tu práctica.

A esto se suma una pieza clave que muchos centros desconocen: la Disposición Adicional vigesimotercera de la LOMLOE. Esta disposición habilita expresamente al centro a tratar los datos del alumnado para la función docente y orientadora sin necesidad de consentimiento expreso, incluyendo categorías especiales como datos de salud cuando son necesarios para garantizar la integridad del menor. Es la base legal que justifica el día a día del centro: matriculación, evaluación, expediente académico, atención a la diversidad, comunicación con las familias para fines estrictamente educativos. Sin esta DA 23, casi cada gestión cotidiana exigiría un consentimiento firmado.

Los seis principios que todo docente y directivo debe conocer

  • Licitud: solo puedes tratar datos si tienes una base legal para hacerlo (consentimiento, obligación legal, interés legítimo, interés vital o cumplimiento de misión pública).
  • Limitación de finalidad: los datos recogidos para una cosa no pueden usarse para otra distinta.
  • Minimización: solo se recogen los datos estrictamente necesarios, nada más.
  • Exactitud: los datos se mantienen actualizados y se corrigen los errores cuando se detectan.
  • Limitación del plazo: los datos no pueden guardarse indefinidamente; hay plazos legales de conservación.
  • Integridad y confidencialidad: los datos están protegidos frente a accesos no autorizados, pérdidas o destrucción.

Imágenes del alumnado: qué publica el centro, qué graba el docente, qué hacen las familias

Los tres planos de la imagen del alumnado funcionan con reglas distintas y conviene no mezclarlos.

El centro no publica imágenes identificables del alumnado en abierto, es decir, en la web pública o en redes sociales accesibles a cualquiera. Para el uso interno con familias, las fotos y vídeos se alojan en plataformas oficiales con usuario y contraseña (Séneca, iPasen, intranet del centro o entornos similares). Cualquier publicación abierta exige autorización específica de los tutores legales para esa finalidad concreta, y debe poder revocarse en cualquier momento.

El docente no usa nunca dispositivos personales para grabar al alumnado. Solo dispositivos corporativos del centro, y solo con uso didáctico justificado. Una foto del mural de matemáticas hecha con el móvil personal del tutor y subida al grupo de WhatsApp de familias es una infracción aunque la intención sea buena.

Las familias pueden grabar en festivales, fiestas de fin de curso y eventos abiertos, siempre que sea para uso exclusivamente personal y doméstico. Si difunden esas imágenes en redes sociales abiertas o grupos masivos, asumen su propia responsabilidad legal: el centro no responde por ello, pero conviene recordárselo cada curso por escrito.

Para el desarrollo completo de cada caso, plazos de autorización, modelos de consentimiento y casuística específica, consulta nuestra guía sobre fotos del alumnado y RGPD.

Comunicaciones digitales con familias: WhatsApp, SMS y plataformas oficiales

El canal por el que se comunica el centro con la familia importa tanto como el contenido de la comunicación. La regla general es sencilla: las comunicaciones oficiales van por canales corporativos, nunca por dispositivos personales del docente o del equipo directivo. iPasen y Séneca en Andalucía, intranet del centro, correo institucional con dominio del propio centro o de la Consejería. El correo personal de Gmail u Hotmail no tiene las garantías exigidas para tratar datos de menores.

Las plataformas digitales del aula —Classroom, Teams, Moodle, herramientas de evaluación— deben estar previamente autorizadas por el centro y contar con un contrato de encargado de tratamiento firmado entre la institución y el proveedor. Antes de introducir cualquier herramienta digital nueva, se consulta con la dirección o con el delegado de protección de datos. Si no está en el listado de aplicaciones autorizadas, se solicita su aprobación, no se utiliza por iniciativa individual.

Los grupos de WhatsApp con familias son posibles excepcionalmente, pero gestionados por las propias familias y nunca como canal oficial del centro. El tutor no debe ser administrador de un grupo de WhatsApp de aula ni difundir por ahí información de alumnos. Los SMS son admisibles solo si el dato del móvil se ha recogido con la finalidad expresa de comunicación, y nunca para enviar información sensible.

Para protocolos completos y modelos de comunicación a familias, consulta nuestra guía sobre WhatsApp y comunicaciones con familias.

Calificaciones, listas y tablones: qué se publica y dónde

Esta es una de las áreas donde más errores comete el centro de forma rutinaria, muchas veces por simple inercia. La doctrina de la Agencia Española de Protección de Datos (AEPD) es clara y conviene tenerla muy presente.

Las calificaciones se comunican exclusivamente al alumno y a sus tutores legales por canales privados con credenciales: Séneca, iPasen, intranet del centro. Nunca se publican en tablones del centro ni se leen en voz alta en clase. Esto incluye calificaciones de exámenes parciales, no solo las del boletín oficial. Lo que parece una práctica pedagógica inocente —»voy a leer las notas para que se entere todo el mundo»— es una cesión no autorizada de datos personales a terceros.

Las listas de alumnos en las puertas de las aulas pueden colgarse los primeros días de curso para facilitar la organización inicial, pero no deben permanecer durante todo el curso académico. Una vez los grupos están consolidados, se retiran.

Para los beneficiarios de becas, nunca se publica el DNI completo junto al nombre. Como mucho, las cuatro cifras del DNI elegidas aleatoriamente, según el criterio fijado por la AEPD para procedimientos administrativos. Las listas de admitidos en procesos de admisión solo se exponen en tablón interno del centro o en zona web restringida, mostrando el resultado final del baremo, nunca los datos parciales que pudieran revelar la situación económica de la familia.

Para casos concretos, plantillas y procedimientos detallados de publicación de calificaciones y listas, consulta nuestra guía sobre calificaciones, listas y tablones.

Datos de salud y casos especiales del alumnado

El tratamiento de datos de salud del alumnado genera muchas dudas en los equipos docentes y directivos. La regla básica es que la LOMLOE permite al centro tratar datos de salud necesarios para la función educativa sin consentimiento expreso: alergias e intolerancias alimentarias, TDAH, enfermedades crónicas como diabetes o epilepsia, discapacidades reconocidas, necesidades específicas de apoyo educativo. La base legal está en la propia DA 23 que comentábamos al principio.

Eso no significa que cualquiera pueda acceder a esa información. El equipo docente accede solo a la información mínima necesaria para garantizar la integridad del alumno y desarrollar adecuadamente la función educativa. La dirección actúa como filtro: comparte lo imprescindible con el tutor y los docentes implicados, pero no difunde el historial médico completo ni en claustro ni en reuniones de coordinación generales.

En urgencias médicas se aplica un principio distinto: los datos pueden comunicarse al centro hospitalario o al servicio de emergencias sin consentimiento porque prima el interés vital del menor. Llamar al 112 y dar la información sanitaria relevante de un alumno con una crisis no requiere autorización previa de la familia, aunque sí se debe informar a las familias en cuanto la situación lo permita.

Mención especial al coordinador o coordinadora de bienestar, figura introducida por la LOPIVI: es la persona que comunica a la AEPD el tratamiento ilícito de datos del alumnado en caso de incidente, y la que actúa frente al acoso digital y la difusión no autorizada de imágenes entre menores.

Para protocolos clínicos, modelos de plan personalizado y coordinación con servicios sanitarios, consulta nuestra guía sobre datos de salud del alumnado y alergias graves.

📬 ¿Te ha resultado útil este artículo?

Recibe cada semana recursos, herramientas de IA y consejos prácticos para el aula.✉️ Suscribirme gratis →

Cesión de datos del alumnado a terceros

«¿Le puedo dar estos datos a quien me los pide?» es una de las preguntas más frecuentes que recibe la dirección de un centro. La respuesta depende de quién pide y para qué. Conviene distinguir cuatro casos.

Otras administraciones educativas (otros centros en caso de traslado, inspección educativa, Ministerio de Educación, Consejerías): la cesión se realiza sin necesidad de consentimiento, amparada en el principio de cooperación entre administraciones públicas. El expediente del alumno se remite directamente entre centros.

Otras administraciones públicas con competencias coincidentes (servicios sociales, sanidad, ayuntamientos en lo que corresponda): la cesión se realiza dentro del ámbito de su competencia. Si servicios sociales solicita información sobre un alumno por una situación de protección, el centro coopera sin pedir consentimiento previo a la familia.

Fuerzas y Cuerpos de Seguridad: la cesión es posible, pero solo lo estrictamente necesario, mediante registro electrónico, motivado por escrito y referido a personas concretas. No se entrega un listado completo del alumnado. Se entrega lo que la solicitud justifica para una investigación concreta.

AMPA: no se ceden datos sin consentimiento previo de las familias, salvo que el AMPA preste un servicio contratado por el centro (comedor, transporte escolar, actividades extraescolares) y actúe como encargado de tratamiento mediante contrato firmado. Compartir el listado de teléfonos del aula con el AMPA «porque siempre se ha hecho» es una infracción.

Mención aparte para jueces, fiscales y abogados: jueces y fiscales pueden solicitar datos directamente al centro y este debe atenderlos en los términos del requerimiento. El abogado de una de las partes en un procedimiento, en cambio, no puede solicitar datos del centro para aportarlos a juicio: debe solicitarlos al juzgado, que es quien los requerirá si lo estima procedente.

Para casuística completa y modelos de respuesta a requerimientos, consulta nuestra guía sobre cesión de datos del alumnado.

Padres separados, divorciados y derecho de información académica

Los procesos de separación y divorcio generan dudas constantes en los centros, y muchas veces los errores se producen no por mala fe sino por desconocimiento de un principio básico: la patria potestad es independiente de la guarda y custodia.

Los padres con patria potestad tienen derecho a las calificaciones del menor y a la información académica básica, salvo que medie sentencia judicial que lo limite expresamente. Una separación o un divorcio, por sí solos, no quitan ese derecho. El centro debe facilitar el boletín de calificaciones y la información académica a ambos progenitores con patria potestad, aunque vivan separados y aunque la custodia sea exclusiva de uno de ellos.

En custodia compartida, ambos progenitores deben firmar para tramitar cambios de centro y para acceder al expediente académico completo. Una matriculación, un cambio de modalidad lingüística o una solicitud de plaza en otro centro sin la firma de ambos puede ser anulada y generar responsabilidad para el centro.

Cuando el alumno es mayor de edad, el centro le informa solo a él, salvo casos excepcionales en los que los padres acrediten un interés legítimo, como el sostenimiento económico documentado del estudiante. La mayoría de edad no se traslada automáticamente al derecho a la información académica de los progenitores.

Para protocolos detallados de gestión, consulta nuestro artículo sobre padres separados en el colegio y la guía específica sobre derecho de información académica de progenitores separados.

Cámaras de videovigilancia y otros tratamientos especiales

Las cámaras de videovigilancia en centros educativos están permitidas en accesos al centro, pasillos, aparcamientos, patios y comedores cuando exista un riesgo justificado (acoso, hurtos, violencia, control de accesos). Están prohibidas en aulas, baños, vestuarios y zonas de descanso del personal: la captación de imagen en esos espacios afecta a la dignidad y al desarrollo libre de la actividad educativa.

El cartel informativo de zona videovigilada es obligatorio, debe identificar al responsable del tratamiento y ofrecer dirección para ejercer los derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición). El plazo máximo de conservación de las imágenes es de un mes desde la captación, salvo que se hayan registrado hechos relevantes para una investigación o procedimiento.

El procedimiento administrativo es: el centro redacta el proyecto de instalación, lo remite a la Delegación de Protección de Datos para verificación, y luego se eleva a aprobación de la Dirección General competente. Sin ese trámite, las cámaras no pueden funcionar legalmente.

Mención breve a los datos biométricos, como la huella dactilar para acceso al comedor o al control horario de empleados: están permitidos siempre que se cifren y se vinculen a un identificador distinto del DNI, con análisis previo de impacto en protección de datos.

El consentimiento: cómo se pide bien y cuándo no hace falta

El consentimiento es una de las bases legales más usadas en el entorno educativo y también la más malentendida. El RGPD exige que sea libre, específico, informado e inequívoco. Esto se traduce en cinco reglas operativas para el centro y para el docente individual:

  • No puede ser una casilla premarcada que la familia firme sin leer.
  • Debe explicar con claridad para qué se van a usar los datos y por cuánto tiempo.
  • Debe ser tan fácil retirarlo como darlo, y el centro debe disponer de un procedimiento sencillo para gestionar la revocación.
  • Un consentimiento genérico para «uso educativo» no cubre publicaciones específicas en redes sociales abiertas, cesiones a terceros ni participación en proyectos externos. Cada finalidad requiere su consentimiento informado por separado.
  • En España, los menores de 14 años no pueden dar consentimiento por sí mismos: lo dan siempre sus tutores legales. Entre 14 y 18 años, pueden consentir ciertos tratamientos por sí mismos según la naturaleza del dato.

Cuándo no hace falta consentimiento

Hay situaciones en las que el tratamiento de datos está justificado por otras bases legales. La más importante en educación es el cumplimiento de una obligación legal y el ejercicio de poderes públicos: el centro trata los datos del alumnado para gestionar matriculación, evaluación y expediente académico sin pedir consentimiento adicional, porque eso está regulado por ley a través de la LOMLOE y su DA 23.

Tampoco se necesita consentimiento para compartir información con el equipo de orientación, con servicios sociales en casos de protección de menores, con la inspección educativa o con el Ministerio Fiscal. Esos intercambios tienen su propia cobertura legal y forman parte del funcionamiento ordinario del sistema educativo.

Siete errores frecuentes y cómo corregirlos hoy mismo

Después de revisar el marco completo, estos son los errores que se repiten con más frecuencia en los centros españoles y los pasos concretos para corregirlos:

  • Usar el móvil personal para fotografiar actividades del aula: usar solo el dispositivo corporativo del centro cuando exista, o no fotografiar si no hay autorización específica para la finalidad concreta.
  • Grupos de WhatsApp con familias gestionados por el tutor: trasladar la comunicación al correo corporativo o a la plataforma oficial del centro. Si el grupo ya existe, no compartir en él ningún dato personal de alumnos y dejar la administración a las propias familias.
  • Listas de clase en documentos de Google Drive personal: mover esos documentos a la plataforma corporativa del centro o eliminarlos del Drive personal de inmediato.
  • Usar aplicaciones educativas sin verificar su autorización: consultar con la dirección o el delegado de protección de datos antes de introducir cualquier herramienta nueva en el aula.
  • Publicar trabajos de alumnos en el blog del centro sin verificar autorización individual: revisar el registro de autorizaciones antes de publicar y omitir o anonimizar a quienes no hayan consentido.
  • Leer las calificaciones en voz alta en clase o publicarlas en tablones físicos: sustituir por entrega a través de Séneca, iPasen o la plataforma corporativa correspondiente. Las calificaciones son un dato personal del alumno, no información de aula.
  • Compartir datos del alumnado con el AMPA sin consentimiento previo de las familias: el AMPA es una entidad externa al centro. Solo si presta un servicio contratado y firma como encargado de tratamiento puede acceder a datos concretos, y siempre los mínimos.

El cumplimiento de la normativa de protección de datos no es un trámite burocrático que ralentice la vida del centro: es la forma en que protegemos al alumnado que tenemos a nuestro cargo y nos protegemos a nosotros mismos como profesionales y como institución. Cuando entendemos el porqué de cada restricción, cumplir con el RGPD deja de parecer un obstáculo y pasa a formar parte de la responsabilidad ordinaria de cuidar a quienes nos confían las familias cada mañana.

Si quieres profundizar en cualquiera de los seis bloques específicos —imágenes, comunicaciones, calificaciones, salud, cesión a terceros, padres separados— consulta las guías enlazadas dentro de cada sección. Y si tienes dudas sobre un caso concreto que no aparece en esta guía, el primer paso siempre es el mismo: contactar con el delegado de protección de datos de tu centro o de la Consejería de Educación de tu comunidad autónoma. Ese es exactamente el rol para el que existen.

🛡️ Guías de gestión escolar cada semana

📥 Recursos para profundizar en protección de datos

Guía oficial

AEPD — Guía completa para centros educativos

Documento de referencia de la Agencia Española de Protección de Datos con casuística detallada sobre todos los supuestos del entorno escolar.🔗 Descargar PDF →

Blog institucional

AEPD — Blog Vuelta al cole

Sección monográfica de la AEPD que actualiza cada curso las dudas más frecuentes sobre protección de datos en el inicio del año académico.🔗 Visitar blog →

Normativa estatal

Ley Orgánica 3/2018 LOPDGDD

Texto consolidado en el BOE. Norma española que complementa el RGPD y regula los derechos digitales en el ámbito educativo.🔗 Consultar en BOE →

Normativa europea

Reglamento General de Protección de Datos (RGPD)

Texto del Reglamento europeo de referencia, accesible desde el portal de la AEPD con explicaciones complementarias.🔗 Ver en AEPD →

Por Docente Inteligente

Entradas relacionadas

Gestión

Familias conflictivas: 6 claves legales sobre los límites del docente

Docente Inteligente
Gestión IA y tech

Ciberacoso escolar: 6 claves legales para actuar en el centro educativo

Docente Inteligente
Gestión

Compromiso de convivencia: 6 claves legales para suscribirlo con las familias

Docente Inteligente

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Te has perdido

Gestión

Familias conflictivas: 6 claves legales sobre los límites del docente

Gestión IA y tech

Ciberacoso escolar: 6 claves legales para actuar en el centro educativo

Gestión

Compromiso de convivencia: 6 claves legales para suscribirlo con las familias

IA y tech

Comisión de Convivencia: 6 claves legales sobre composición y funciones en Andalucía