domingo, 29 de marzo de 2026

El Menor Algorítmico

Fuente de la imagen: Análisis razonado sobre el fondo de la cuestión (Velasco, 2021)
M. Velasco, 2026. Gobernanza de Datos y Protección del Menor en Plataformas Educativas Digitales: Un Análisis de los Marcos de Contratación y Uso Ético - Data Governance and Child Protection in Digital Educational Platforms: An Analysis of Contracting Frameworks and Ethical Use

Resumen: El despliegue masivo de plataformas educativas en la nube ha transformado el ecosistema docente, pero a su vez ha introducido riesgos significativos para la privacidad de los menores. Se analiza los principios básicos que deben regir la contratación y el uso de estas herramientas por parte de administraciones y centros. Se examina la dualidad de servicios (básicos frente a adicionales), la complejidad en la determinación de los roles de responsabilidad y la imperativa necesidad de realizar evaluaciones de impacto que consideren el interés superior del menor. A través de un enfoque basado en el cumplimiento proactivo y la protección desde el diseño, se proponen directrices para garantizar que la digitalización no suponga un menoscabo en los derechos fundamentales de la comunidad educativa.

Palabras clave: Educación digital, protección de datos, RGPD, privacidad, plataformas en la nube, interés superior del menor, cumplimiento normativo.

Abstract: The massive deployment of cloud-based educational platforms has transformed the teaching ecosystem, but has also introduced significant risks to children's privacy. This article analyzes the basic principles that should govern the contracting and use of these tools by administrations and schools. It examines the duality of services (basic versus additional), the complexity in determining responsibilities, and the imperative need to conduct impact assessments that consider the best interests of the child. Through an approach based on proactive compliance and protection by design, guidelines are proposed to ensure that digitalization does not undermine the fundamental rights of the educational community.

Keywords: Digital education, data protection, GDPR, privacy, cloud platforms, best interests of the child, regulatory compliance.

1. Introducción

La integración de las tecnologías de la información en el aula es una tendencia pedagógica y una respuesta a mandatos legales que obligan a desarrollar la competencia digital en el alumnado y a modernizar la función docente (AEPD et al., 2026). Pero este proceso de digitalización se apoya mayoritariamente en soluciones proporcionadas por grandes proveedores tecnológicos externos que operan bajo modelos de "nube", lo que traslada el tratamiento de datos personales fuera de los muros físicos y del control directo del centro educativo.

El uso de estas plataformas presenta retos jurídicos de gran calado, especialmente en lo relativo al Reglamento General de Protección de Datos (RGPD). La complejidad de los flujos de datos, la opacidad de algunos contratos de adhesión y la vulnerabilidad intrínseca de los menores de edad exigen un escrutinio reforzado por parte de las autoridades y de los responsables de los centros (AEPD et al., 2026). Por ello, es necesario que la adopción de estas herramientas sea un proceso reflexivo basado en la responsabilidad proactiva.

2. El Entorno Educativo Digital y la Protección Reforzada del Menor

El tratamiento de datos en el ámbito educativo posee una dimensión extraordinaria, por el volumen de información procesada y por la especial protección que merecen los sujetos afectados: personas menores de edad (AEPD et al., 2026). Según el Considerando 38 del RGPD, los niños requieren una protección específica de sus datos, ya que pueden ser menos conscientes de los riesgos y consecuencias de su tratamiento. El principio del interés superior del menor debe actuar como el eje vertebrador de cualquier decisión técnica o pedagógica que implique el uso de plataformas digitales.

Un factor crítico que diferencia al entorno educativo de otros servicios digitales es la falta de voluntariedad. Para el alumnado y sus familias, la utilización de la plataforma es una imposición institucional necesaria para el ejercicio del derecho a la educación (AEPD et al., 2026). Por ejemplo, si un centro decide que la entrega de trabajos y la comunicación de calificaciones se realice exclusivamente a través de una plataforma específica, las familias se ven obligadas a adherirse a sus condiciones de uso, lo que elimina el consentimiento libre como base jurídica y traslada toda la responsabilidad de protección a la administración o al centro docente.

3. Naturaleza de las Plataformas y Complejidad de Roles

3.1. Dualidad de Servicios: Básicos vs. Adicionales

Desde el punto de vista técnico y legal, es imperativo distinguir entre los servicios básicos vinculados a la función educativa y aquellos servicios adicionales que el proveedor pueda ofrecer de forma conjunta (AEPD et al., 2026). Los servicios básicos incluyen herramientas necesarias como el aula virtual, el almacenamiento de documentos académicos o los canales de videoconferencia para tutorías. Estos servicios suelen estar cubiertos por el encargo de tratamiento y responden a la finalidad legítima de la educación.

Por el contrario, las plataformas suelen incorporar servicios adicionales que pueden no tener una relación directa con la docencia, como buscadores generalistas, redes sociales internas, herramientas de inteligencia artificial generativa no supervisada o plataformas de vídeo con publicidad (AEPD et al., 2026). El riesgo reside en que estos servicios adicionales pueden regirse por condiciones de privacidad distintas donde el proveedor actúa como responsable para sus propios fines (como el perfilado publicitario), lo que en un entorno institucional dirigido a menores es altamente cuestionable y, a menudo, improcedente.

3.2. Determinación de Roles y Responsabilidades

La calificación jurídica de los intervinientes no es estática. El proveedor de la plataforma suele actuar como "encargado del tratamiento" respecto a los datos académicos (notas, trabajos, asistencia) siguiendo las instrucciones del centro (AEPD et al., 2026). Pero este mismo proveedor puede convertirse en "responsable del tratamiento" si decide de forma unilateral los fines y medios del tratamiento de ciertos datos, como los metadatos de uso, registros de actividad o cookies de seguimiento para mejorar sus productos comerciales.

Un ejemplo práctico de esta ambigüedad ocurre cuando la plataforma recoge automáticamente direcciones IP o identificadores de dispositivos. Si el proveedor utiliza esta información para crear perfiles de comportamiento de los estudiantes fuera de lo necesario para la prestación técnica del servicio, está excediendo su rol de encargado y asumiendo una responsabilidad que debe ser analizada y, en muchos casos, restringida por la administración educativa (AEPD et al., 2026). Las administraciones deben ser proactivas y no permitir que su responsabilidad se diluya en la complejidad de los términos de servicio del proveedor.

4. Bases de Legitimación y Limitación de Finalidades

El tratamiento de datos en las escuelas debe fundamentarse en una base de licitud válida. En el ejercicio de la función educativa, la base principal es la misión en interés público (Artículo 6.1.e del RGPD), amparada por la legislación educativa vigente (AEPD et al., 2026). Esta base es robusta para el control de asistencia o la evaluación, pero no puede extenderse automáticamente a cualquier otra funcionalidad que el proveedor desee implementar.

Es especialmente crítico el análisis del "interés legítimo" del proveedor (Artículo 6.1.f del RGPD). Cuando se trata de menores, este interés difícilmente prevalece sobre los derechos del niño cuando la finalidad es comercial o analítica para fines propios de la empresa (AEPD et al., 2026). Por ejemplo, si una plataforma pretende analizar los hábitos de escritura de un alumno para "entrenar sus algoritmos de IA", esta finalidad requiere una justificación autónoma y una ponderación rigurosa que, por lo general, no debería ser aceptada en un contexto escolar obligatorio. El principio de minimización de datos exige que solamente se traten aquellos datos estrictamente necesarios para la educación.

5. Evaluación de Impacto y el Rol del Delegado de Protección de Datos (DPD)

Dada la escala del tratamiento y la vulnerabilidad de los interesados (menores de edad), la realización de una Evaluación de Impacto relativa a la Protección de Datos (EIPD) es una obligación legal ineludible según el artículo 35 del RGPD (AEPD et al., 2026). La EIPD debe ser un proceso vivo que analice los riesgos específicos derivados de la tecnología en la nube, los posibles flujos internacionales de datos y la seguridad de la infraestructura.

El Delegado de Protección de Datos (DPD) debe jugar un papel protagonista desde las fases iniciales de selección de la plataforma. Su intervención es necesaria para revisar el contrato, la configuración técnica y los protocolos de uso (AEPD et al., 2026). Un ejemplo de buena praxis sería que el DPD valide que la plataforma no permite, por defecto, la indexación de los perfiles de los alumnos en buscadores públicos o que las funciones de geolocalización están estrictamente desactivadas salvo necesidad pedagógica justificada.

6. Transparencia y Relación con las Familias

La transparencia es un contrafuerte en el ámbito escolar. Las familias y el profesorado deben recibir información clara, sencilla y accesible sobre qué datos se recogen, para qué fines y quiénes son los destinatarios (AEPD et al., 2026). No es suficiente con remitir a las familias a un enlace con una política de privacidad genérica de la multinacional tecnológica, a menudo redactada en términos jurídicos complejos y en idiomas extranjeros.

La información debe ser adaptada, especialmente cuando se dirige a los propios menores, utilizando un lenguaje que ellos puedan comprender (AEPD et al., 2026). Por ejemplo, en lugar de hablar de "transferencias internacionales basadas en cláusulas tipo", se debería explicar que los trabajos escolares pueden almacenarse en servidores fuera de Europa y qué medidas se toman para que estén seguros. Esta transparencia es un presupuesto necesario para que los interesados puedan ejercer sus derechos de acceso o supresión de manera efectiva.

7. Garantías Contractuales y Control de Subencargados

El uso de la plataforma debe estar regido por un contrato de encargo que cumpla con el artículo 28 del RGPD. Este contrato debe garantizar que el responsable (la administración o el centro) conserva la capacidad real de dar instrucciones al proveedor y que este no puede modificar unilateralmente las condiciones del servicio (AEPD et al., 2026). Es común encontrar cláusulas en las que el proveedor se reserva el derecho de cambiar las políticas de privacidad en cualquier momento; este tipo de disposiciones deben ser rechazadas o controladas mediante mecanismos de notificación previa y derecho de oposición.

Asimismo, el control sobre los subencargados (otras empresas en las que el proveedor delega servicios, como el almacenamiento o el soporte técnico) debe ser estricto. El responsable debe conocer quiénes son estos terceros y dónde están ubicados, y el encargado principal debe garantizar que estos asuman las mismas obligaciones de protección de datos (AEPD et al., 2026). Por ejemplo, si el proveedor de la plataforma educativa utiliza un servicio de almacenamiento en la nube de un tercero, la escuela debe tener la seguridad de que ese tercer proveedor cumple con los mismos estándares de seguridad exigidos en el contrato principal.

8. Transferencias Internacionales de Datos y Seguridad

Las plataformas educativas basadas en la nube a menudo implican la transferencia de datos personales a países fuera del Espacio Económico Europeo (AEPD et al., 2026). En ausencia de una decisión de adecuación de la Comisión Europea para el país de destino, el responsable debe verificar si las "cláusulas contractuales tipo" ofrecen una protección real y sustancialmente equivalente a la europea. Si el ordenamiento jurídico del país de destino permite el acceso indiscriminado de sus servicios de inteligencia a los datos de los estudiantes europeos, el uso de esa plataforma podría no ser legalmente viable (AEPD et al., 2026).

En cuanto a la seguridad, es obligatorio aplicar medidas técnicas y organizativas adecuadas al riesgo, especialmente considerando la sensibilidad de la información escolar. Cuando la plataforma es contratada por una administración pública, debe cumplirse adicionalmente con el Esquema Nacional de Seguridad (ENS) (AEPD et al., 2026). Esto incluye protocolos estrictos para la gestión de brechas de seguridad, obligando al proveedor a notificar cualquier incidente sin dilación para que el centro pueda informar a la autoridad de control y, si es necesario, a las familias afectadas.

9. Protección de Datos desde el Diseño y por Defecto

El principio de protección de datos desde el diseño exige que las plataformas sean concebidas para proteger la privacidad desde su arquitectura inicial. En la práctica, esto significa que, al activar la plataforma para un centro, todas las funcionalidades que no sean estrictamente educativas deben estar desactivadas por defecto (AEPD et al., 2026). Por ejemplo, las funciones de "seguimiento de actividad para marketing" o la compartición de datos con redes sociales deben requerir una activación manual y justificada, no venir activadas de fábrica.

Además, se debe prestar especial atención al tratamiento de categorías especiales de datos (salud, religión, orientación sexual) y de contenido audiovisual. El tratamiento de fotos y vídeos de alumnos debe limitarse a lo estrictamente necesario para la evaluación o la actividad docente, evitando su uso para fines promocionales del centro o del proveedor sin una base jurídica específica y reforzada (AEPD et al., 2026). El proveedor debe ofrecer opciones de configuración sencillas que permitan al centro aplicar estos niveles de restricción de forma efectiva.

10. Los Retos de la Privacidad en la Escuela Digitalizada

10.1. La Tensión entre el Mandato Digital y la Vulnerabilidad del Menor

El marco normativo analizado acierta al señalar que la digitalización de la enseñanza es una respuesta a un mandato legal para desarrollar la competencia digital del alumnado. Pero esta obligatoriedad genera una contradicción ética: se impone a menores y familias el uso de herramientas tecnológicas en cuya elección no han participado, eliminando la voluntariedad que suele caracterizar al ecosistema digital. Esta falta de alternativa sitúa al centro educativo en una posición de garante absoluto, donde el interés superior del menor debe prevalecer sobre cualquier otra consideración, especialmente ante la escala extraordinaria de los tratamientos de datos actuales.

La crítica aquí reside en la asimetría de poder entre las instituciones educativas y los grandes proveedores tecnológicos. Mientras que la guía exige un escrutinio reforzado, la realidad de muchos centros es la de una "adhesión" forzosa a contratos de gigantes tecnológicos cuyas cláusulas son, a menudo, innegociables para una administración local. El texto legal advierte con acierto que la gratuidad de estos servicios no puede justificar una merma en la protección, pero no ignora que esa supuesta gratuidad suele esconder un modelo de negocio basado en la explotación de metadatos de uso que escapan al control directo del responsable del tratamiento.

10.2. La Opacidad de los Servicios Adicionales y el Riesgo del Perfilado

Uno de los puntos más críticos y valiosos de las directrices es la distinción entre servicios básicos y adicionales. Es preocupante que las plataformas educativas incluyan herramientas ajenas a la docencia —como buscadores o servicios de vídeo con publicidad— que se ofrecen de forma conjunta durante la adhesión. Esta estrategia de "empaquetamiento" desdibuja los límites del encargo de tratamiento, permitiendo que el proveedor actúe como responsable para fines comerciales propios, lo cual es altamente cuestionable cuando el usuario es un menor de edad obligado a estar en ese entorno digital.

Además, existe un riesgo latente en los datos generados automáticamente, como las direcciones IP o los registros de actividad. Estos datos, que a menudo se consideran secundarios, permiten realizar un perfilado detallado de los hábitos y pautas de comportamiento de los estudiantes. Las autoridades de control son contundentes al afirmar que el interés legítimo comercial de una empresa difícilmente puede prevalecer sobre los derechos de un niño en un contexto escolar, lo que debería llevar a las administraciones a desactivar por defecto cualquier funcionalidad que no sea estrictamente pedagógica.

10.3. La Viabilidad Operativa de la Responsabilidad Proactiva

El documento impone a las administraciones educativas una carga de trabajo técnica y jurídica considerable, especialmente mediante la exigencia de realizar Evaluaciones de Impacto (EIPD) previas y continuas. Si bien esta exigencia es legalmente impecable bajo el RGPD, su aplicación práctica supone un reto mayúsculo. La obligación de auditar al proveedor principal y a todos los subencargados involucrados en la cadena de suministro, requiere una capacidad de supervisión que muchos centros y pequeñas administraciones no poseen de forma nativa.

Destacar el papel que se le otorga al Delegado de Protección de Datos (DPD), quien debe participar desde la fase de selección de la tecnología. Pero existe el riesgo de que esta participación se convierta en un ejercicio meramente formal o burocrático si no se acompaña de recursos reales. La guía advierte que la dispersión de las condiciones contractuales en múltiples documentos complejos no exime de responsabilidad, lo que obliga a los centros a realizar una labor de "ingeniería jurídica" constante para asegurar que el proveedor no modifique unilateralmente las reglas del juego.

10.4. El Laberinto de las Transferencias Internacionales y la Seguridad

Finalmente, la crítica debe abordar la complejidad de las transferencias internacionales de datos en un entorno de nube globalizado. La guía es tajante: no basta con firmar cláusulas contractuales tipo; el responsable debe verificar si el país de destino (frecuentemente EE. UU.) ofrece un nivel de protección equivalente al europeo. Este análisis "caso por caso" es una tarea hercúlea para un centro educativo, que se encuentra ante la paradoja de tener que validar sistemas legales extranjeros para poder utilizar una herramienta de comunicación básica.

En cuanto a la seguridad, la exigencia de cumplimiento del Esquema Nacional de Seguridad (ENS) cuando el responsable es una administración pública añade una capa de rigor necesaria pero difícil de alcanzar sin un apoyo técnico centralizado. La transparencia hacia las familias también se vuelve un reto, ya que no basta con remitir a políticas de privacidad genéricas y complejas; la información debe ser clara, sencilla y adaptada al lenguaje de los menores. En conclusión, aunque la guía técnica ofrece una hoja de ruta excelente para la protección de derechos, pone de manifiesto la enorme brecha existente entre las exigencias legales de privacidad y la realidad operativa de un sistema educativo cada vez más dependiente de tecnologías que no controla por completo.

11. Gobernanza Garantista y Responsabilidad Proactiva: Marco de Acción para la Protección del Menor en Plataformas Educativas

Para superar los retos identificados en el uso de herramientas tecnológicas en el aula, se presenta la siguiente Propuesta de Mejora para la Gobernanza de Datos en el Entorno Educativo Digital, fundamentada en el marco de protección proactiva y el interés superior del menor.

Esta propuesta se articula en cinco ejes estratégicos destinados a transformar las directrices teóricas en protocolos operativos eficaces:

11.1. Centralización y Estandarización Administrativa

Dado que el análisis de riesgos y la realización de Evaluaciones de Impacto (EIPD) son procesos complejos, las administraciones educativas deben asumir el liderazgo, evitando que la responsabilidad recaiga individualmente en cada centro docente.
  • Contratos Marco Blindados: Desarrollar modelos de contrato de encargo estandarizados que impidan legalmente que el proveedor modifique de forma unilateral las condiciones del servicio o las finalidades del tratamiento.
  • Repositorio de EIPD: Crear un catálogo público de evaluaciones de impacto ya realizadas por las autoridades para las plataformas más comunes, permitiendo que los centros las adapten a su contexto sin empezar de cero.
11.2. Implementación de un "Perfil Educativo Restrictivo" por Defecto

En cumplimiento del principio de protección de datos desde el diseño y por defecto, las plataformas deben ser entregadas con una configuración específica para el entorno escolar.
  • Bloqueo de Servicios Adicionales: Desactivar de forma obligatoria y técnica cualquier servicio no docente (buscadores, sugerencias de vídeo, redes sociales) en el momento de la provisión de las cuentas al alumnado.
  • Minimización de Metadatos: Configurar las herramientas para que la recogida de datos generados automáticamente (IP, identificadores, registros de actividad) se limite estrictamente a lo necesario para la seguridad y el funcionamiento técnico, bloqueando cualquier uso analítico o comercial por parte del proveedor.
11.3. Fortalecimiento de la Transparencia y Participación de las Familias

La transparencia debe ser una herramienta de confianza. Se propone superar la mera remisión a políticas de privacidad genéricas y complejas.
  • Información Multinivel y Adaptada: Diseñar infografías y materiales audiovisuales breves que expliquen a los menores y sus familias qué ocurre con sus datos, utilizando un lenguaje sencillo y accesible.
  • Protocolos de Oposición Efectiva: Establecer mecanismos claros para que, si una familia ejerce su derecho de oposición, el centro garantice una alternativa pedagógica equivalente que no suponga una discriminación en el derecho a la educación del alumno.
11.4. Auditoría y Control de la Cadena de Suministro

Para asegurar que los derechos se respetan en toda la cadena de tratamiento, es necesario un control real sobre los subencargados y los flujos internacionales de datos.
  • Listas Blancas de Subencargados: Exigir a los proveedores una lista cerrada y pre-aprobada de subencargados, con prohibición expresa de contratar nuevos sin autorización previa y justificada de la administración educativa.
  • Verificación de Soberanía de Datos: Priorizar plataformas que garanticen el almacenamiento y tratamiento íntegro de los datos dentro del Espacio Económico Europeo, minimizando así los riesgos derivados de transferencias internacionales a países sin decisiones de adecuación.
11.5. Capacitación Continua y Rol del DPD

El Delegado de Protección de Datos (DPD) debe ser un agente dinámico en la vida escolar, no un consultor externo ocasional.
  • Formación Docente en Privacidad: Integrar la protección de datos como una competencia transversal en la formación del profesorado, para que sepan configurar las herramientas de aula de forma segura.
  • Auditorías Periódicas de Configuración: Establecer revisiones semestrales obligatorias para verificar que las actualizaciones de software de los proveedores no hayan activado funciones de rastreo o servicios adicionales previamente desactivados.
Esta propuesta busca que el cumplimiento del Esquema Nacional de Seguridad (ENS) y del RGPD sea percibido como la garantía necesaria para que la innovación educativa sea sostenible y respetuosa con los derechos fundamentales

12. Conclusiones

La transformación digital de la educación es un proceso irreversible y beneficioso, pero no puede realizarse a costa de los derechos de privacidad de los menores. El análisis de los principios básicos establecidos por las autoridades de control pone de manifiesto que la responsabilidad de las administraciones y centros no termina con la firma de un contrato, requiriendo una vigilancia continua y proactiva (AEPD et al., 2026).

Para que el uso de plataformas sea ético y legal, es necesario separar las herramientas educativas de los intereses comerciales de los proveedores, garantizar la transparencia total hacia las familias y asegurar que la seguridad técnica sea una prioridad absoluta. Solamente a través de una gobernanza de datos robusta, fundamentada en el interés superior del menor y el cumplimiento riguroso del RGPD, se puede construir un entorno digital educativo que sea, ante todo, seguro para las futuras generaciones.
________________
Bibliografía
Agencia Española de Protección de Datos (AEPD), Autoritat Catalana de Protecció de Dades (APDCAT), Autoridad Vasca de Protección de Datos (AVPD) y Consejo de Transparencia y Protección de Datos de Andalucía (CTPDA). (2026). Principios básicos para la contratación y uso de plataformas educativas digitales por las administraciones educativas y centros docentes. Guía técnica.
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos - RGPD).
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

Recursos Generativos utilizados en la redacción de este artículo
Teniendo en cuenta que se ha seguido la estructura de un artículo científico, formato conocido por la IAG, para la elaboración de este contenido se ha utilizado IAG en la fase de búsqueda de información, así como en la mejora de la redacción y adaptación de esta redacción a un lenguaje coloquial. Asimismo, antes de editarlo se ha pasado el filtro de plagio (6% de coincidencias) y de lenguaje IAG (9% de coincidencias), considerando ambos ratios razonables y asumibles.
Categorías: