Plataformas EdTech y Ley 21.719: responsabilidades del desarrollador

Las plataformas EdTech procesan datos de millones de estudiantes chilenos — muchos de ellos niños y adolescentes. Desde la pandemia, la adopción se aceleró dramáticamente: según datos del MINEDUC, más del 75 % de los establecimientos educacionales adoptaron plataformas digitales para enseñanza remota. Pero la mayoría de estas plataformas fue diseñada con foco en funcionalidad, no en privacidad.

Con la Ley 21.719 entrando en vigor el 1 de diciembre de 2026 y la Agencia de Protección de Datos Personales (APDP) comenzando a operar con facultades sancionatorias, el escenario regulatorio chileno cambia de forma estructural. Las EdTechs que tratan datos de menores de 14 años operan bajo el régimen de protección más exigente de la ley — y la responsabilidad recae directamente sobre quien diseña y opera la plataforma.

Esta guía es para el CTO, el desarrollador y el product manager que necesitan entender lo que la ley exige en la práctica.

¿Responsable o encargado? Depende del contrato — y del comportamiento real

La Ley 21.719 define dos roles principales en el tratamiento de datos personales:

Responsable: quien determina los fines y los medios del tratamiento de datos personales
Encargado: quien trata datos personales por cuenta y en nombre del responsable, siguiendo sus instrucciones

La distinción es funcional, no contractual: lo que define el rol es quién toma las decisiones sobre el tratamiento — cuál es la finalidad, qué datos, por cuánto tiempo, con qué medios.

Cuando la EdTech es encargada

Si el colegio o sostenedor define qué datos recopilar, con qué finalidad y por cuánto tiempo retenerlos — y la plataforma simplemente ejecuta esas instrucciones —, la EdTech es encargada. Escenarios típicos:

Sistema de gestión escolar hospedado por empresa tercerizada
Plataforma de notas y asistencia personalizada para el establecimiento
Herramienta de comunicación colegio-apoderados configurada por el colegio

Cuando la EdTech es responsable

Si la plataforma define sus propias finalidades para los datos — analítica propietaria, entrenamiento de modelos de IA, recomendaciones personalizadas, marketing para otros productos —, es responsable para esos tratamientos. Escenarios típicos:

Plataforma de aprendizaje adaptativo que usa datos de desempeño para mejorar sus propios algoritmos
Sistema que recopila datos conductuales para ofrecer "insights" a colegios socios
Plataforma freemium que usa datos de engagement para conversión comercial

El escenario más frecuente: rol mixto

En la práctica, la mayoría de las EdTechs ejerce ambos roles:

Actividad	Rol	Consecuencia
Procesar notas y asistencia por instrucción del colegio	Encargado	Sigue instrucciones del colegio
Recopilar telemetría para mejorar el producto	Responsable	Necesita base legal propia
Generar analítica de uso para vender a otros clientes	Responsable	Base legal + información al titular
Almacenar datos para respaldo/continuidad	Encargado	Conforme instrucciones contractuales

Consecuencia práctica: cuando la EdTech es responsable, responde directamente ante los titulares (alumnos/apoderados) y la APDP. Cuando es encargada, responde ante el colegio — pero la responsabilidad solidaria existe en caso de daños causados por incumplimiento.

Privacy by Design: obligación legal, no recomendación

La Ley 21.719 establece el principio de seguridad desde el diseño (Privacy by Design): las medidas de protección deben adoptarse desde la fase de concepción del producto o servicio, no como una capa adicional posterior.

Para el desarrollador EdTech, esto significa que la privacidad no es una feature — es un requisito de arquitectura.

Lo que PbD significa en el código

En la fase de diseño:

Definir qué datos son estrictamente necesarios (principio de minimización)
Documentar la finalidad para cada campo recopilado
Diseñar el esquema de base de datos con separación entre datos personales y datos operacionales
Definir política de retención por tipo de dato antes de escribir el primer endpoint

En la fase de implementación:

Cifrado en tránsito (TLS) y en reposo para datos personales
Controles de acceso granulares: no todo profesor necesita acceder a datos de todos los alumnos
Registros de auditoría: quién accedió a qué dato, cuándo, por qué
Seudonimización donde sea posible — especialmente para analítica y mejoras de producto

En runtime:

Configuraciones por defecto en el modo más restrictivo (Privacy by Default)
Funcionalidades de exportación y eliminación de datos disponibles por diseño
Monitoreo de accesos anómalos
Plan de respuesta a incidentes probado periódicamente

Datos mínimos: qué recopilar vs. qué es exceso

La Ley 21.719 consagra el principio de minimización: el tratamiento debe limitarse a los datos estrictamente necesarios para la realización de sus finalidades.

Datos típicamente necesarios para una EdTech

Dato	Finalidad	Justificación
Nombre del alumno	Identificación en la plataforma	Esencial al servicio
Curso/nivel	Organización pedagógica	Esencial al servicio
Correo institucional	Acceso y comunicación	Esencial al servicio
Datos de desempeño (notas, ejercicios)	Seguimiento pedagógico	Finalidad principal
Datos de progreso (clases vistas)	Reporte al colegio	Finalidad contractual

Datos frecuentemente recopilados sin necesidad

Dato	Por qué se recopila	Por qué es cuestionable
Ubicación precisa (GPS)	"Analítica de uso"	Desproporcionado para fines educacionales
Datos biométricos (facial, huella)	Asistencia/evaluación online	Dato sensible — exige base legal robusta
Contactos del dispositivo	"Funcionalidad social"	Sin relación con la finalidad educacional
Datos de navegación fuera de la plataforma	"Personalización"	Extralimita la finalidad
Perfil conductual detallado	"Aprendizaje adaptativo"	Puede configurar perfilamiento prohibido para menores

Regla de oro: si el dato no es necesario para entregar el servicio educacional contratado por el colegio, no lo recopile. Si desea recopilar para otra finalidad, tenga base legal propia e informe al titular.

Protección de datos de menores: lo que exige la Ley 21.719

La Ley 21.719 establece protecciones especiales para los datos de niños, niñas y adolescentes, reconociendo su particular vulnerabilidad.

Menores de 14 años: consentimiento de los padres o representantes legales

El tratamiento de datos personales de menores de 14 años requiere el consentimiento expreso de su padre, madre o representante legal. Las plataformas EdTech que atiendan a este grupo etario deben:

Implementar mecanismos efectivos de verificación de la edad
Diseñar flujos de consentimiento que involucren al apoderado — no al alumno directamente
Documentar el consentimiento parental obtenido

Entre 14 y 18 años

Los adolescentes entre 14 y 18 años pueden prestar consentimiento para el tratamiento de sus propios datos, pero con consideraciones especiales para datos sensibles. Las plataformas deben aplicar criterios de diseño adecuado a la edad y respetar la autonomía progresiva del menor.

Prohibición de perfilamiento con fines comerciales

La Ley 21.719 prohíbe el tratamiento de datos personales de menores con fines de marketing directo o para crear perfiles con propósitos comerciales. Toda analítica que — directa o indirectamente — genere perfiles conductuales de menores con fines comerciales viola este principio.

Datos de verificación de edad

Los datos recopilados para verificar la edad solo pueden usarse para esa finalidad. Está prohibido cualquier otro tratamiento, incluyendo analítica o mejora de producto.

Sanciones relevantes para incumplimiento

La Ley 21.719 clasifica como infracción gravísima el tratamiento de datos de menores sin cumplir los requisitos especiales, con multas de hasta 20.000 UTM (aproximadamente CLP 1.400 millones al valor UTM de 2026) o hasta el 4% de los ingresos anuales en caso de reincidencia.

Contrato de tratamiento con colegios: lo que debe cubrir

Cuando la EdTech actúa como encargada del colegio (responsable), la relación debe formalizarse mediante un contrato de tratamiento de datos que establezca instrucciones claras.

Cláusulas esenciales

Objeto y finalidad: para qué fines se tratan los datos (exclusivamente para la prestación del servicio educacional, o incluye mejoras de producto)
Categorías de datos: qué datos personales procesa la plataforma (nombre, correo, desempeño, comportamiento)
Categorías de titulares: alumnos (incluyendo menores), docentes, apoderados
Medidas de seguridad: cifrado, control de acceso, logs, pruebas de intrusión
Subencargados: ¿la EdTech usa AWS, Google Cloud, servicios de terceros? Listarlo y obtener aprobación
Incidentes de seguridad: plazo de notificación al responsable (colegio), procedimientos
Derechos de los titulares: cómo la plataforma apoya al colegio para responder solicitudes de acceso, rectificación, eliminación, portabilidad
Eliminación al término: qué ocurre con los datos cuando el contrato finaliza
Auditoría: derecho del colegio a verificar conformidad
Transferencias internacionales: si los datos se almacenan o procesan fuera de Chile

Por qué el contrato de tratamiento importa para la EdTech

El caso Edmodo en EE.UU. (2023) es emblemático: la FTC determinó una multa de USD 6 millones por violar el COPPA (suspendida por insolvencia de la empresa). Uno de los fundamentos fue que Edmodo delegó ilegalmente las obligaciones de cumplimiento a los colegios. La lección es clara: la EdTech no puede transferir su responsabilidad al colegio vía contrato; puede, como máximo, delimitar roles.

Transparencia algorítmica: cuando la plataforma usa IA

La Ley 21.719 garantiza al titular el derecho a no ser objeto de decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos o le afecten significativamente.

Cuándo aplica a las EdTechs

Plataforma que usa IA para recomendación de contenido adaptativo → el alumno puede pedir explicación de los criterios
Sistema que genera evaluación automatizada de desempeño → el alumno/apoderado puede solicitar revisión
Algoritmo que clasifica alumnos en niveles de riesgo de deserción → decisión automatizada con impacto significativo
Herramienta que genera reportes de comportamiento usados por el colegio → perfilamiento que afecta intereses

Lo que la plataforma debe proporcionar

El responsable debe informar al titular sobre la lógica e implicancias del tratamiento automatizado, de forma clara y comprensible. En la práctica:

Documentar la lógica de los algoritmos de recomendación/evaluación
Ofrecer funcionalidad para que el titular (o el colegio, en nombre del titular) solicite explicación
Implementar mecanismos de revisión humana para decisiones de alto impacto

Portabilidad y eliminación: cómo implementar

Portabilidad

El titular tiene derecho a recibir sus datos en formato estructurado y de uso común, y a transmitirlos a otro responsable. Para las EdTechs:

Implementar funcionalidad de exportación de datos en formato estructurado (JSON, CSV)
Incluir: datos de registro, historial de desempeño, contenido creado por el alumno
Responder dentro de los plazos que establezca la APDP (referencia: 15 días hábiles como buena práctica)

Eliminación

El titular puede solicitar la eliminación de sus datos cuando el tratamiento no cumpla los requisitos de la ley. Excepciones:

Obligación legal: datos de historial escolar pueden retenerse si la normativa educacional lo exige
Interés público: para investigación estadística o científica, con anonimización

En la práctica

La EdTech debe ofrecer:

Funcionalidad de eliminación accesible al administrador del colegio y al titular
Cascada de eliminación: al eliminar al alumno, eliminar datos en todos los subsistemas (analítica, caché, respaldos — con plazo razonable para respaldos)
Confirmación: notificar al solicitante que los datos fueron eliminados
Excepciones documentadas: si retiene datos por obligación legal, informar cuáles y con qué fundamento

Certificaciones: qué existe y qué no existe

Lo que la APDP define

La APDP no ha establecido (aún) un esquema de certificación oficial de cumplimiento con la Ley 21.719. Los sellos ofrecidos por entidades privadas no constituyen garantía oficial.

Certificaciones internacionales relevantes

Certificación	Qué cubre	Relevancia para EdTech
ISO 27001	Sistema de Gestión de Seguridad de la Información	Base para demostrar seguridad técnica — exigida por muchos colegios y sostenedores
ISO 27701	Extensión de privacidad de la ISO 27001	Alineada con Ley 21.719 y GDPR; requiere ISO 27001 como prerrequisito
SOC 2 Tipo II	Controles de seguridad, disponibilidad, integridad	Estándar americano aceptado globalmente; demuestra auditoría independiente

Recomendación pragmática

Para una EdTech chilena en etapa inicial, la prioridad no es la certificación — es implementar los controles. La certificación formaliza lo que ya existe. La secuencia recomendada:

Implementar controles de seguridad y privacidad (PbD)
Documentar en política interna
Cuando el tamaño lo justifique, buscar ISO 27001 → ISO 27701
SOC 2 si el mercado-objetivo incluye clientes internacionales

Casos internacionales: qué ocurre cuando las EdTechs se equivocan

Edmodo — USD 6 millones (EE.UU., 2023)

La FTC procesó a la EdTech Edmodo por violar el COPPA (ley americana de protección de datos de menores de 13 años):

Recopiló datos de 600.000 alumnos menores de 13 años (nombre, correo, fecha de nacimiento) y los usó para publicidad
Retuvo datos personales indefinidamente hasta 2020
Delegó ilegalmente las obligaciones de cumplimiento a los colegios — la FTC consideró esto inaceptable
Primer caso en que la FTC prohibió a una EdTech exigir más datos de los necesarios
Multa de USD 6 millones determinada por la FTC, aunque suspendida por incapacidad de pago (la empresa había cesado operaciones en EE.UU. durante la investigación)

Suecia — Reconocimiento facial en escuela (2019)

La autoridad sueca de protección de datos (Datainspektionen) multó a un municipio en Skellefteå en 200.000 SEK (~EUR 20.000) por usar reconocimiento facial para monitorear la asistencia de alumnos durante un proyecto piloto con 22 estudiantes. Fue la primera multa GDPR emitida por la autoridad sueca — un precedente claro de que la innovación tecnológica en educación no es carta blanca para tratar datos biométricos de menores.

Italia — Universidad Bocconi (EUR 200.000)

Multa por uso de software de monitoreo remoto en exámenes online (proctoring) sin informar adecuadamente a los alumnos sobre el tratamiento de datos.

Países Bajos — Google Workspace for Education

La autoridad holandesa alertó a los colegios para dejar de usar Google Workspace antes del año escolar 2021, por riesgos a la privacidad. Google negoció e implementó mejoras — pero el precedente está establecido.

El panorama europeo

Autoridades de protección de datos de 25 países europeos aplicaron 270 multas en el sector público y educacional, totalizando más de EUR 29,3 millones.

Checklist para EdTechs

Conclusión

Construir una EdTech en Chile en 2026 significa construir para el régimen de protección de datos más exigente que el país ha tenido: datos de niños y adolescentes, bajo la Ley 21.719 y la fiscalización de una APDP con poder sancionatorio real. Pero esto no tiene que ser un obstáculo — tiene que ser arquitectura.

La EdTech que implementa privacidad desde el diseño, que ofrece contratos de tratamiento sólidos, que no recopila más de lo que necesita y que trata la transparencia algorítmica como funcionalidad — no como cumplimiento — tiene ventaja competitiva. Porque cuando el colegio pregunte "¿están seguros los datos de nuestros alumnos?", la respuesta necesita ser demostrable, no declarativa.

Confidata ofrece infraestructura de cumplimiento que puede integrarse a plataformas EdTech vía API: registro de actividades de tratamiento, gestión de consentimiento granular, generación de EIPD y canal del titular — permitiendo que la EdTech entregue cumplimiento como parte del producto.