Pantalla de un dispositivo móvil sobre una mesa de madera
LOMLOE

Privacidad del alumnado: lo que todo profesor debe saber sobre IA y RGPD

Datos sensibles en el aula, herramientas de IA y la normativa europea: qué preguntas hacer antes de subir un solo examen a una plataforma externa.

Equipo Magistral · · 9 min de lectura
#RGPD #privacidad #IA #datos personales #menores #AEPD

La conversación habitual en el claustro, cuando alguien menciona herramientas de IA, suele saltarse la pregunta más importante: qué pasa con los datos del alumnado. La respuesta corta es que pasa todo, y que ese todo está regulado por una normativa que no es opcional ni interpretable.

Este artículo no es un tratado jurídico. Es la guía práctica que un docente necesita para tomar decisiones razonables: qué tipos de datos manejas sin darte cuenta, qué obligaciones tiene tu centro respecto a ellos, qué preguntas hacerle a cualquier herramienta antes de usarla con un solo trabajo real, y dónde está la línea que no se debe cruzar.

Qué cuenta como dato personal del alumnado

Lo primero que conviene entender —y que muchos docentes pasan por alto— es lo amplia que es la definición. El RGPD considera dato personal cualquier información que pueda asociarse a una persona identificada o identificable.

Esto incluye lo obvio: nombre y apellidos, fecha de nacimiento, NIE/DNI si lo tienes, dirección, foto, teléfono. Pero también incluye cosas que no parecen "datos" en el sentido administrativo:

  • Las respuestas de un examen: una redacción es un dato personal del alumno que la escribió.
  • Las notas y los comentarios de evaluación.
  • Las fotos del aula, aunque salgan de espaldas o solo de manos.
  • Los audios de presentaciones grabadas.
  • El expediente académico, las observaciones del tutor, las anotaciones del cuaderno.

Y, dentro de los datos personales, hay una categoría especialmente protegida: los datos sensibles o "categorías especiales". Son datos sobre origen étnico, opiniones políticas, convicciones religiosas, afiliación sindical, salud, vida sexual u orientación sexual, datos genéticos o biométricos. La protección extra que reciben es importante.

Aquí hay una zona gris frecuente: los informes psicopedagógicos, las adaptaciones curriculares, los diagnósticos relacionados con NEAE (Necesidades Específicas de Apoyo Educativo). Esto es información de salud y entra en la categoría sensible. Manejar estos datos requiere medidas reforzadas.

La capa adicional: son menores

A todo lo anterior se añade una protección extra cuando hablamos de menores de 14 años, que es la edad mínima en España para consentir el tratamiento de datos por sí mismos. Por debajo de esa edad, el consentimiento lo tienen que dar los progenitores o tutores legales.

Esto significa que un docente de Primaria, o de los primeros cursos de ESO, está manejando casi exclusivamente datos para los que el alumnado no puede consentir. Cualquier herramienta que se use con esos datos tiene que tener, detrás, un consentimiento de la familia formalizado.

Para mayores de 14, el alumno puede consentir, pero el centro educativo sigue siendo el responsable del tratamiento. La responsabilidad nunca desaparece.

Escudo con candado central y la palabra RGPD

Quién es responsable de qué

Aquí hay una distinción importante que muchas veces se confunde:

  • El responsable del tratamiento es quien decide qué datos se tratan y para qué. En educación, casi siempre es el centro educativo (o, indirectamente, la administración de la que depende).
  • El encargado del tratamiento es la herramienta o empresa externa que procesa esos datos en nombre del responsable.

Cuando un docente sube exámenes a una herramienta externa de corrección, el centro sigue siendo el responsable. La herramienta es la encargada. Para que esa relación sea legal, tiene que haber un contrato de encargo de tratamiento firmado entre el centro y la empresa de la herramienta. Sin ese contrato, no se puede.

Si una herramienta no te puede mostrar un contrato de encargo de tratamiento estándar listo para que tu centro lo firme, no la uses con datos reales de alumnado. Punto.

Este es probablemente el filtro más útil que existe. Las herramientas serias que ofrecen servicio a centros educativos tienen este contrato preparado y lo facilitan sin fricciones. Las que no, no son opción.

Las preguntas que hay que hacer a cualquier herramienta

Antes de subir un solo trabajo real a una plataforma externa de IA, hay un cuestionario corto que conviene aplicar. Si alguna respuesta no te convence, busca alternativa:

1. ¿Dónde se almacenan los datos físicamente?

Esto importa porque el RGPD restringe la transferencia internacional de datos fuera del Espacio Económico Europeo. Si los servidores están en EE. UU., en India o en cualquier país sin nivel adecuado de protección, hace falta o un mecanismo legal específico (cláusulas contractuales tipo, decisiones de adecuación) o evitar esa herramienta.

La respuesta ideal es "en la UE". La respuesta aceptable es "en EE. UU. con cláusulas contractuales tipo y certificación de marco específico". La respuesta sin más detalle ("en la nube") es razón para no continuar.

2. ¿Cuánto tiempo se conservan?

El principio de minimización dice que solo se debe conservar lo necesario para el propósito declarado. Una herramienta que conserva tus exámenes corregidos para siempre, o que no especifica el plazo, no respeta este principio.

Lo razonable es que los datos se conserven el tiempo que dure la relación contractual con el centro, y que se eliminen automáticamente al finalizarla (o al cabo de un periodo definido).

3. ¿Se usan para entrenar modelos?

Esta es crítica con herramientas de IA. Algunos servicios usan los datos que les envías para mejorar sus modelos. Si la respuesta es sí —incluso si los datos están "anonimizados", lo que técnicamente es complicado—, no son una opción para datos de menores.

La respuesta esperada es un no rotundo, idealmente garantizado contractualmente: "los datos del cliente nunca se utilizan para entrenamiento de modelos".

4. ¿Qué medidas de seguridad técnica hay?

Cifrado en reposo, cifrado en tránsito (HTTPS), controles de acceso, registros de auditoría. Estas son las medidas básicas. Una herramienta que no las puede describir o que las describe vagamente no tiene un nivel de seguridad serio.

5. ¿Qué pasa si una familia ejerce sus derechos?

El RGPD da a las familias —o a los alumnos mayores de 14— derechos concretos: acceso, rectificación, supresión, portabilidad. Si una familia pide saber qué datos suyos hay en una plataforma, tu centro tiene que poder responder. Eso significa que la herramienta tiene que tener un proceso claro para que el centro pueda atender estas peticiones.

Anonimización: el matiz importante

Una solución que a veces se propone como atajo es "lo subo anonimizado". La idea es eliminar el nombre del alumno y enviar solo el contenido del examen.

Esta práctica reduce el riesgo pero no es anonimización en sentido estricto del RGPD. Anonimizar de verdad implica que sea imposible —no solo difícil— reidentificar al sujeto. Un examen con respuestas únicas, con información personal entre líneas, con el contexto del curso y la fecha, es reidentificable casi siempre.

Lo que se hace al "quitar el nombre" se llama seudonimización, y los datos seudonimizados siguen siendo personales a efectos de RGPD. Reducen el riesgo pero no eliminan las obligaciones.

Para que la anonimización fuera real, habría que romper el vínculo con el contexto del aula entera, los compañeros, las fechas. Imposible en la práctica de la corrección académica.

La línea roja: datos sensibles y herramientas no certificadas

Hay un consenso bastante claro en el sector educativo sobre dónde está la línea que no se debe cruzar:

  • Informes psicopedagógicos, diagnósticos NEAE, información de salud: nunca a herramientas externas que no tengan certificación específica para datos sanitarios.
  • Imágenes y audios identificables del alumnado: solo a herramientas que cumplan estrictamente las cinco preguntas anteriores y con consentimiento explícito de las familias para esa finalidad concreta.
  • Datos de menores de 14 sin consentimiento familiar específico para el uso de la herramienta: directamente, no.

Cruzar estas líneas no es un riesgo abstracto. La AEPD sanciona, las familias reclaman, los centros pierden la confianza.

Lo que sí se puede hacer con razonable seguridad

No todo es restricción. Hay un amplio espacio donde la IA aporta valor real con un riesgo controlado:

  • Materiales generados por el docente (ejercicios, esquemas, ejemplos) que no contienen datos del alumnado. Aquí no hay problema RGPD.
  • Trabajos del alumnado pasados a herramientas con encargo de tratamiento firmado, cláusulas claras, almacenamiento en la UE y compromiso explícito de no entrenamiento.
  • Análisis agregados y estadísticas de aula sin nivel de identificación individual.

La diferencia entre un uso legalmente correcto y uno problemático no está en la tecnología. Está en el encuadre contractual y técnico alrededor de la tecnología.

Una conversación pendiente en la mayoría de los centros

Una observación final, sin dramatismo. La realidad práctica de la mayoría de los centros educativos en 2026 es que la IA ha entrado por la puerta de atrás. Profesores que individualmente prueban herramientas, suben trabajos, sacan resultados útiles, y siguen adelante sin que el equipo directivo, el delegado de protección de datos del centro, o las familias tengan visibilidad.

Esto no es sostenible. La conversación tiene que ocurrir en algún momento, y conviene que ocurra antes de que sea forzada por una reclamación o una inspección. La conversación útil incluye al equipo directivo, al delegado de protección de datos, a un representante de las familias, y a los docentes que están usando o quieren usar herramientas de IA.

El resultado de esa conversación no tiene que ser prohibir la IA. Puede ser un marco claro de qué herramientas están aprobadas para qué tipo de datos, con qué información a las familias, y con qué procedimientos.

El miedo paralizante y la libertad caótica son las dos peores opciones. Hay un punto medio razonable, y vale la pena construirlo en común.

Empieza a corregir 90% más rápido

Únete a la lista de espera y reserva tu plaza para el acceso anticipado.

Reservar plaza

Equipo Magistral

Construyendo la IA que devuelve a los profesores el tiempo que la corrección les robaba.

Sigue leyendo

Mesa de estudio con un libro abierto y materiales académicos LOMLOE

Bachillerato y LOMLOE: novedades en evaluación que afectan tu día a día

Cambios reales que la nueva ley introduce en la evaluación de Bachillerato, sin teoría sobrante: lo que cambia en el aula y lo que conviene preparar.

· 9 min de lectura
Pila de libros académicos sobre una mesa de madera LOMLOE

Guía completa de criterios de evaluación LOMLOE en ESO

Cómo se estructuran los criterios de evaluación en la LOMLOE, qué relación tienen con competencias y saberes básicos, y cómo aplicarlos en el aula.

· 11 min de lectura
Mesa de trabajo con papeles, taza de café y luz tenue al final del día Productividad docente

Burnout docente: 7 señales de que necesitas un cambio (y qué hacer)

El burnout docente está reconocido por la OMS y afecta a una mayoría del profesorado. 7 señales claras para identificarlo antes de quemarte del todo.

· 9 min de lectura