Aixeca el cap

Protecció de dades a centres escolars

Els centres escolars són els responsables del tractament de les dades dels seus alumnes.

L’APDCAT (Autoritat Catalana de Protecció de dades) és l’òrgan competent per resoldre les presumptes infraccions en matèria de protecció de dades dels centres escolars catalans.

En aquesta pàgina intentem difondre els coneixements i recursos necessaris pels centres escolars. Hem distribuït la informació en diversos capítols:

  1. Resum
  2. Decàleg de l’APDCAT per a centres escolars
  3. Exemple explicat d’una sanció de l’APDCAT a una escola
  4. Què diu la normativa catalana d’educació respecte protecció de dades
  5. Guia Com protegir les dades dels alumnes correctament

Per a consultes contacteu amb el DPD del departament d’educació: dpd.educacio@gencat.cat

1. RESUM EXECUTIU

Moltes escoles, de bona fe, fan activitats digitals amb internet sense les autoritzacions necessàries. Cal tenir present que qualsevol activitat que impliqui internet ha d’estar autoritzada prèviament pel delegat/da de protecció de dades (en centres públics: Maria Coral Tello Guerrero, dpd.educacio@gencat.cat). Sense aquesta autorització escrita, la responsabilitat recau íntegrament sobre la direcció del centre, amb sancions greus. Les mesures recomanades: minimitzar l’ús digital, prioritzar xarxes locals i, si cal usar internet, obtenir sempre confirmació per escrit del delegat. Totes les activitats han de constar a l’Estratègia digital de centre.

2. Decàleg de l’APDCAT per a centres escolars

L’Autoritat catalana de protecció de dades ha creat un decàleg de principis bàsics per a la contractació i l’ús de plataformes educatives digitals per a les administracions educatives i centres docents: (https://www.apdcat.cat/ca/actualitat/noticies/2026/DecalegEdu)

3.Exemple explicat d’una sanció de l’APDCAT a una escola

Els mestres no estan preparats per al disseny i gestió de protecció de dades perquè no és la seva feina.

Expedient sancionador PS 77/2024

Resum mínim:

L’Apdcat va mirar-se Google i només Google d’una sola escola. Resolen que l’escola ha incomplert bastants coses i atenció, diu que:

  • Una escola no té capacitat (ni recursos ni coneixement ni res) per a fer la feina obligatòria que comporta contractar Google o qualsevol altre
  • l’escola no tenia ni idea del que és un DPD ni que en tenien un al departament d’educació amb l’obligació d’informar-lo de tot
  • les condicions de Google són inassumibles i deixen en indefensió a qualsevol família que hi tingui un problema.
  • l’escola és únic responsable de les infraccions. El desconeixement de la figura del DPD o el fet que des del departament (inspecció) li donessin vistiplau no és excusa.
  • Acaba recriminant al departament per deixar a la seva sort a les escoles

Resum llarg (la resolució són 40 pàgines):

L’Autoritat Catalana de Protecció de Dades (APDCAT) va resoldre l’expedient sancionador PS 77/2024 contra una escola pública d’Educació Infantil i Primària de Barcelona, del Consorci d’Educació de Barcelona, per incompliment de la normativa de protecció de dades en relació amb l’ús de la plataforma Google Workspace for Education (GWE). La resolució, de 40 pàgines, constitueix un document de referència que il·lustra, amb un cas real i a Catalunya, la vulnerabilitat sistèmica dels menors en entorns educatius digitalitzats.

L’APDCAT va declarar que l’escola havia comès cinc infraccions de la normativa de protecció de dades: vulneració del principi de transparència, manca d’anàlisi de riscos, manca d’avaluació d’impacte relativa a la protecció de dades (AIPD), manca d’un contracte d’encarregat del tractament vàlid, i manca de participació del delegat de protecció de dades (DPD) en l’elecció i implementació de l’eina.

El cas revela una situació generalitzable a la immensa majoria de centres educatius que utilitzen plataformes similars.

L’escola no tenia capacitat tècnica per gestionar el que havia contractat. Preguntada per l’APDCAT sobre la participació del DPD, l’escola va respondre que “desconeixia l’obligació de fer-ho i fins i tot la seva existència”. L’escola va admetre que no havia fet cap anàlisi de riscos durant els cursos 2021-2022 i 2022-2023 ni durant part del curs 2023-2024. No havia realitzat tampoc cap avaluació d’impacte. El document aportat posteriorment, elaborat durant l’any 2024, va ser considerat insuficient per l’APDCAT (Resolució PS 77/2024, fets provats 2, 3 i 5).

Les condicions contractuals de Google són inaccessibles per a qualsevol escola o família. L’APDCAT va constatar que el règim de privacitat de GWE està “de facto, dispers” en múltiples documents — l’avís de privacitat de GWE, l’avís de privacitat de Google Cloud i la política de privacitat de Google— que “regulen, en part, les mateixes qüestions, i de vegades ho fan de manera diferent”. La resolució descriu aquesta disposició com una “teranyina” d’enllaços “sense seguir un ordre clar ni, en aparença, tenir un índex comú”, on “la informació original està redactada en anglès (que és la que preval), i les versions traduïdes no són oficials i sovint resulten confuses”. A més, l’APDCAT va verificar que la versió traduïda de l’acord a la qual podia accedir l’escola “no correspon a la versió original anglesa” vigent en el moment de la contractació (Resolució PS 77/2024, fonament de dret 1.2).

Google pot modificar les condicions unilateralment. La clàusula 1.5 de l’acord preveu que Google pot canviar els termes del servei i de l’addenda sobre tractament de dades. L’escola va manifestar davant l’APDCAT que “en cas d’haver-se modificat alguna de les clàusules que afecten les condicions del contracte o Addenda, Google no n’ha fet cap notificació al respecte. No disposem de més documentació contractual per aportar” (Resolució PS 77/2024, antecedent 4).

L’escola és el responsable legal, però no pot exercir com a tal. L’APDCAT reconeix obertament aquesta paradoxa: “no sembla que una escola per si sola pugui fer front a una qüestió d’aquesta complexitat”. Però afegeix que “en la normativa de protecció de dades el subjecte obligat és el responsable del tractament, i l’escola ha manifestat que, pel que fa a l’ús de GWE, aquest responsable és l’escola. I, per tant, no pot esgrimir limitacions pressupostàries, competencials o d’un altre ordre” (Resolució PS 77/2024, fonament de dret 2.3). Això posa de manifest una fallida estructural: si cada centre educatiu de Catalunya ha de realitzar individualment una avaluació d’impacte sobre la protecció de dades (AIPD) d’una plataforma com GWE —una tasca que requereix coneixements jurídics i tècnics altament especialitzats—, el resultat previsible és exactament el que documenta aquesta resolució: que cap escola ho fa. Delegar aquesta responsabilitat a milers de centres individuals, cadascun sense el personal qualificat ni els recursos necessaris, equival a no protegir les dades de cap menor. Aquesta és una funció que ha de ser assumida per un departament amb la capacitat tècnica, jurídica i pressupostària per fer-ho una sola vegada i amb rigor, i que les conclusions siguin aplicables al conjunt del sistema educatiu.

El principi de transparència del RGPD és materialment impossible de complir. El resultat d’aquesta complexitat és que “l’escola no disposa de la informació completa ni actualitzada sobre els tractaments de dades que Google duu a terme. No coneix amb claredat quines dades recull Google, què en fa, a qui i on les comunica i què en fan els tercers a qui se’ls han comunicat”. L’APDCAT afegeix que l’escola “també desconeix si Google combina les dades recollides a través de GWE amb altres de recollides de l’ús coetani d’altres aplicacions de Google fora de GWE”, com ara el cercador o el navegador Chrome —que la mateixa escola recomanava— sense que ningú informés de les implicacions (Resolució PS 77/2024, fonament de dret 1.2).

La jurisdicció aplicable és la de Califòrnia. La clàusula 15.12 de l’acord preveu que les reclamacions “es resoldran d’acord amb la llei de Califòrnia” i que “únicament seran competents els tribunals federals o estatals del Comtat de Santa Clara” (Resolució PS 77/2024, antecedent 4). Cap família catalana pot, en la pràctica, exercir els seus drets davant un litigi amb Google.

L’APDCAT va requerir cinc mesures correctores, entre les quals: informar per escrit alumnes i docents sobre tots els tractaments, fer una anàlisi de riscos i una avaluació d’impacte, subscriure un contracte d’encarregat vàlid, i garantir la participació del DPD en totes les qüestions de protecció de dades (Resolució PS 77/2024, fonament de dret 5).

La conclusió és inequívoca: si una escola pública amb bona voluntat comet cinc infraccions de la normativa de protecció de dades pel sol fet d’implementar una plataforma educativa digital àmpliament estesa, el problema no és d’aquella escola — és sistèmic. La manca de professionals qualificats en tecnologies de la informació als centres educatius, la complexitat intencionada de les condicions contractuals de les grans plataformes, i l’absència d’un marc de suport institucional converteixen la protecció de dades dels menors en una ficció legal.

4.Què diu la normativa catalana d’educació respecte protecció de dades

A la normativa “Documents per a l’organització i la gestió dels centres Gestió del centre. Curs 2025-2026” hi ha el capítol “Protecció de dades personals” .

https://educacio.gencat.cat/ca/arees-actuacio/centres-serveis-educatius/centres/organitzacio-gestio/doigc

5.Guia Com protegir les dades dels alumnes correctament

Us passem una petita guia esperant que sigui d’utilitat.

1. PER QUÈ ÉS IMPORTANT? 

  • Teniu responsabilitat legal sobre dades de menors 
  • Un mal ús pot afectar el seu futur 
  • Les dades dels menors tenen protecció legal especial 
  • Les males pràctiques tenen conseqüències legals serioses

2. ERRORS COMUNS A EVITAR

  • Documents genèrics copiats d’altres centres
  • Referències a polítiques externes que poden canviar 
  • Falta de concreció sobre tractaments i finalitats 
  • Assumir que “si altres ho fan així, deu estar bé” 
  • Delegar la responsabilitat en tercers 
  • No documentar què fan els tercers amb les dades 
  • Permetre que els tercers canviïn condicions sense avisar 

3. COM FER-HO BÉ 

  • Detallar TOTS els tractaments de dades 
  • Especificar CADA servei extern i què fa 
  • Explicar COM exercir els drets 
  • Establir procediments clars de gestió
  • Contactar amb el delegat de protecció de dades per a què doni el seu vistiplau abans de començar.

4. CHECKLIST PEL DOCUMENT DE CONSENTIMENT

  • Dades que es recullen i finalitat específica de cada una 
  • Qui les tracta i com (inclòs tercers) 
  • On s’emmagatzemen exactament 
  • Quant temps es conserven i per què 
  • Com els pares o tutors poden exercir els drets

5. CASOS ESPECIALS D’ATENCIÓ

  • Transferències internacionals (Google, etc.) 
  • Xarxes socials i imatges 
  • Plataformes educatives 
  • Serveis de pagament 
  • Cookies i tecnologies de seguiment (webs): Les cookies són contractes de tractament de dades. Els menors de 14 anys NO poden acceptar cookies. Els pares NO poden delegar aquest consentiment. La web no pot tenir cookies ja que els menors tenen accés al navegador i poden acceptar-les accidentalment. Cal documentar TOTES les cookies i el seu ús.

6. DOCUMENTACIÓ NECESSÀRIA

  • Document de consentiment sempre actualitzat amb els canvis 
  • Registre de les activitats de tractament (qui, què, quan, per què) 
  • Procediments documentats per respondre a sol·licituds dels pares/tutors 
  • Registre de consultes i incidències

7. MINIMITZACIÓ I SIMPLIFICACIÓ

  • Objectiu: Fer-ho bé amb el mínim de complexitat 
  • Reduir el nombre d’eines i serveis. Menys serveis = menys risc. Més fàcil de gestionar i documentar. Més control sobre les dades 
  • Avaluar cada eina: És realment necessària? Hi ha alternatives més simples? Podem unificar serveis? 
  • Prioritzar eines: Que compleixin RGPD per defecte. Amb servidors a la UE. Que no comparteixin dades amb tercers. Amb configuracions simples de privacitat 
  • Documentació senzilla: Un sol document clar i complet . Sense referències externes . Fàcil d’entendre i gestionar.

8. RESPONSABILITAT AMB TERCERS

  • Important: L’escola és SEMPRE responsable final 
  • Documentació necessària: Contracte amb cada tercer. Què fan exactament amb les dades. On les guarden. Quant temps les conserven. Com garanteixen la seguretat 
  • Obligacions amb tercers: Verificar que compleixen RGPD . Tenir garanties per escrit . Poder demostrar el compliment . Establir procediments de control 
  • Punts crítics: No poden canviar condicions sense aprovació . Han de notificar qualsevol incident. Han de permetre auditories. Han de facilitar l’exercici de drets

Recordeu: La millor manera de protegir les dades és no recollir-les si no són necessàries!

Recordeu: Que ho faci un tercer NO us eximeix de responsabilitat!