Educación15 min de lectura

Google Workspace y Microsoft 365 en el colegio: cumplimiento con la Ley 21.719

Equipo Confidata·
Compartir

Google Workspace for Education está ampliamente presente en los establecimientos educacionales chilenos — su adopción se aceleró durante la pandemia y se consolidó con el regreso a clases presenciales. Microsoft 365 Education domina el sector privado y parte del sistema público. Juntas, estas dos plataformas procesan datos de millones de estudiantes chilenos, muchos de ellos menores de 14 años.

La pregunta que pocos DPDs y directores de colegio hacen antes de adoptar estas herramientas es: ¿qué datos recopilan exactamente, a dónde van esos datos y cómo se compatibiliza eso con la Ley 21.719?

Esta guía hace ese análisis de forma práctica — con base en los términos contractuales reales de las plataformas, en los estudios independientes disponibles y en las exigencias de la legislación chilena.

Qué datos recopila Google Workspace for Education

Google Workspace for Education divide sus servicios en dos categorías con reglas de privacidad completamente diferentes:

Servicios Principales (Core Services)

Gmail, Google Classroom, Drive, Meet, Calendar, Docs, Sheets, Slides, Chat y Gemini (app educacional). Para estos:

  • Datos recopilados: nombre, correo, contraseña (entregados por el colegio), configuraciones de seguridad, datos operacionales y de uso
  • Sin publicidad: no se muestran anuncios en los Servicios Principales
  • Datos de alumnos no se usan para: segmentación publicitaria, venta a terceros o entrenamiento de modelos de IA
  • Contrato aplicable: Google Workspace for Education Agreement + Cloud Data Processing Addendum (CDPA)

Servicios Adicionales (Additional Services)

YouTube, Google Maps, Blogger, entre otros. Para estos:

  • Regidos por los Términos de Servicio generales y la Política de Privacidad estándar de Google (la misma de cualquier usuario consumidor)
  • Pueden mostrar anuncios — para alumnos K-12, los anuncios no son personalizados, pero pueden ser contextuales (basados en la búsqueda, horario, contenido de la página)
  • Los datos pueden usarse para fines más amplios, incluyendo mejora de servicios y recomendaciones

Esta distinción es crítica. Muchos colegios habilitan YouTube y Maps para alumnos sin percibir que esos servicios operan bajo reglas de privacidad completamente diferentes a los Servicios Principales. El DPD debe deshabilitar los Servicios Adicionales para cuentas de alumnos — o, como mínimo, documentar la decisión e informar a los apoderados.

Qué datos recopila Microsoft 365 Education

Microsoft 365 Education recopila datos en tres categorías:

Datos de diagnóstico (configurables por el administrador)

  • Obligatorios (Required): datos mínimos para seguridad, actualizaciones y rendimiento
  • Opcionales (Optional): datos adicionales para mejora de productos y diagnósticos avanzados
  • Ninguno (Neither): deshabilita datos de diagnóstico — pero los "Datos de Servicio Obligatorios" (Required Service Data) continúan transmitiéndose independientemente de la configuración

Lo que revelan estudios independientes

El estudio DPIA realizado por SURF (organización holandesa de TI para educación, 2024–2025) — la evaluación independiente más rigurosa disponible — identificó:

  • 208 tipos distintos de eventos de telemetría durante el uso de Microsoft 365
  • Datos de diagnóstico seudonimizados son retenidos por hasta 18 meses
  • Incluso en la configuración más restrictiva, los datos de diagnóstico obligatorios incluyen timestamps, IDs del tenant, referencias a documentos e identificadores de dispositivo
  • Dos riesgos residuales clasificados como medios: datos personales imprecisos generados por alucinaciones de IA (Copilot) y riesgo de reidentificación a partir de telemetría granular

Compromisos educacionales

Microsoft declara que los datos personales de alumnos no se usan para publicidad ni fines comerciales y se procesan solo para finalidades educacionales autorizadas. Estos compromisos están en el contrato de licenciamiento educacional (EES — Enrollment for Education Solutions).

El colegio es responsable, Google/Microsoft son encargados

Sí — en los Servicios Principales/Core Services. La cadena de responsabilidad:

RolQuiénResponsabilidad bajo Ley 21.719
ResponsableColegio / SostenedorDefine finalidades y medios del tratamiento; responde ante alumnos/apoderados y APDP
EncargadoGoogle/MicrosoftProcesa datos en nombre del colegio, conforme a instrucciones contractuales

Implicaciones prácticas para el colegio como responsable:

  1. El colegio es responsable de informar a apoderados y alumnos sobre el tratamiento de datos — no Google ni Microsoft
  2. El colegio debe verificar que el encargado ofrece garantías adecuadas
  3. En caso de incidente, el colegio es corresponsable en la comunicación a la APDP y a los titulares (72 horas)
  4. El colegio decide qué datos compartir con la plataforma — y debe aplicar el principio de minimización

Cuando la plataforma se convierte en responsable

En los Servicios Adicionales de Google (YouTube, Maps), Google define sus propias finalidades para los datos. En ese caso, Google actúa como responsable independiente — y el colegio pierde el control sobre el tratamiento. Lo mismo ocurre cuando Microsoft procesa datos para fines propios (mejora de productos, por ejemplo).

Contrato de tratamiento con Google y Microsoft: qué verificar

Google: Cloud Data Processing Addendum (CDPA)

  • Disponible en el Admin Console: Menú > Cuenta > Configuración de la cuenta > Legal y cumplimiento
  • Cubre solo los Servicios Principales
  • Compromisos: datos no usados para publicidad, medidas de seguridad técnicas y organizativas, notificación de incidentes
  • Incluye cláusulas FERPA (Google actúa como "School Official") y COPPA (el colegio consiente en nombre de menores)

Microsoft: Products and Services Data Protection Addendum (DPA)

  • Descarga pública en la página de licenciamiento Microsoft
  • Incluye términos para el GDPR europeo (Art. 28 — obligaciones del encargado)
  • Cubre procesamiento para finalidades educacionales autorizadas
  • Disponible vía Volume Licensing / EES

La brecha chilena

Ninguno de los dos contratos incorpora expresamente las exigencias de la Ley 21.719. Los contratos están diseñados para legislación americana (FERPA, COPPA) y europea (GDPR). Las organizaciones chilenas deben verificar que las cláusulas contractuales sean compatibles con las obligaciones de la Ley 21.719, particularmente en materia de transferencias internacionales.

Recomendación práctica: consulte con el representante comercial de la plataforma si el contrato ofrece garantías adecuadas para las transferencias internacionales bajo la Ley 21.719. Documente la consulta y la respuesta.

FERPA (EE.UU.) vs. Ley 21.719: por qué el cumplimiento americano no basta

Ambas plataformas enfatizan el cumplimiento con FERPA (Family Educational Rights and Privacy Act, ley americana). Pero FERPA ≠ Ley 21.719:

AspectoFERPA (EE.UU.)Ley 21.719 (Chile)
AlcanceSolo registros educacionales en instituciones con financiamiento federalTodo tratamiento de datos personales en Chile
Datos sensiblesSin categoría especialDatos de salud, biométricos, origen racial, etc. exigen protección reforzada
MenoresRemite al COPPA para menores de 13Consentimiento parental para menores de 14 años
Transferencia internacionalSin restricciones específicasSolo a países con nivel adecuado o con garantías contractuales
DPDNo exigeObligatorio según tipo de tratamiento (Art. 13 Ley 21.719)
Plazo de respuesta45 días30 días calendario (prorrogables con justificación)
SancionesPérdida de financiamiento federalHasta 20.000 UTM (infracciones gravísimas); hasta 4% de ingresos anuales en caso de reincidencia para empresas no PYME
PortabilidadNo previstaDerecho de portabilidad establecido

El colegio chileno que se basa solo en el cumplimiento FERPA de Google o Microsoft está expuesto a brechas en transferencia internacional, protección de datos de menores, derechos del titular y obligaciones del DPD.

Transferencia internacional: ¿dónde están los datos de los alumnos?

La Ley 21.719 autoriza la transferencia internacional de datos solo bajo condiciones específicas — entre ellas, transferencia a países con nivel adecuado de protección (determinado por la APDP) o con cláusulas contractuales que ofrezcan garantías suficientes.

Google: datos fuera de Chile

Google Workspace for Education no ofrece a Chile como región de almacenamiento. La funcionalidad Data Regions permite elegir entre EE.UU. o Europa — disponible solo en las ediciones Education Standard y Education Plus.

Consecuencia: los datos de alumnos chilenos almacenados en Google están sujetos a las reglas de transferencia internacional.

Microsoft: datos en Chile (posible)

Microsoft ofrece a Brasil como región de residencia de datos (Brazil South — São Paulo), la región de Azure más cercana a Chile. Cuando el tenant se aprovisiona en esa región, Microsoft se compromete a almacenar los datos del cliente en reposo en esa localización.

Esta funcionalidad está disponible vía licenciamiento educacional (EES) con Advanced Data Residency.

Implicación práctica

Esta es una diferencia significativa entre las dos plataformas. El colegio que necesita reducir la complejidad de la transferencia internacional puede optar por Microsoft con residencia de datos en la región más cercana a Chile.

Atención: incluso con datos almacenados en una región determinada, puede haber transferencia a otros países durante el procesamiento (soporte técnico, por ejemplo). El contrato de tratamiento debe cubrir estos escenarios.

Lo que revelan los estudios independientes

El estudio realizado por la Iniciativa Educación Abierta (IEA) en Brasil (2023) — análogo al contexto chileno — encontró en las plataformas Google Workspace y Microsoft 365:

  1. Los términos no mencionan la legislación local específicamente — están diseñados para legislación americana y europea
  2. Puntos oscuros sobre el uso de datos para finalidades comerciales, especialmente en los Servicios Adicionales de Google
  3. Adopción sin evaluación: durante la pandemia, las plataformas fueron adoptadas masivamente con acceso "gratuito", bajo términos no adaptados al derecho local

En Chile, el MINEDUC y la Secretaría de Gobierno Digital están desarrollando lineamientos para el uso de plataformas digitales en establecimientos educacionales bajo la Ley 21.719 — pero aún no están publicados. Los colegios que no esperen esas orientaciones y se adelanten a gestionar su cumplimiento tendrán ventaja cuando la APDP comience a fiscalizar.

Alternativas nacionales y de código abierto

Para colegios que buscan mayor control sobre los datos de sus alumnos, existen alternativas:

Plataformas de enseñanza (LMS)

  • Moodle: LMS de código abierto más usado en el mundo, presente en múltiples universidades y liceos chilenos. Auto-hospedado — los datos quedan en el servidor del colegio/sostenedor
  • Chamilo: LMS open source con presencia académica en América Latina
  • Canvas LMS: versión open source disponible

Colaboración y productividad

  • Nextcloud Hub: almacenamiento en la nube + edición colaborativa + videoconferencia (Talk). Auto-hospedado
  • LibreOffice Online: edición colaborativa de documentos, integrable con Nextcloud
  • Jitsi Meet: videoconferencia de código abierto (alternativa a Google Meet/Teams)
  • Rocket.Chat: mensajería de código abierto con opción de auto-hospedaje

Gestión escolar

  • COLEGIUM: plataforma chilena de gestión escolar
  • Sistemas del MINEDUC (SIGE, plataformas del Sistema de Información): administradas por el Estado chileno con datos en territorio nacional

Realidad: la migración a alternativas open source requiere inversión en infraestructura y soporte técnico que la mayoría de los colegios no tiene. El enfoque pragmático es usar Google/Microsoft con las configuraciones correctas de privacidad — mientras se evalúa, en el mediano plazo, la viabilidad de alternativas con mayor soberanía de datos.

Configuraciones de privacidad esenciales: Google Workspace for Education

El administrador del colegio debe configurar en el Admin Console:

1. Aceptar el CDPA (Data Processing Addendum)

Menú > Cuenta > Configuración de la cuenta > Legal y cumplimiento > Google Workspace for Education Service Data Addendum. Sin esta aceptación, no hay contrato de tratamiento formal.

2. Deshabilitar Servicios Adicionales para alumnos

Menú > Apps > Servicios Adicionales. Deshabilitar o restringir YouTube, Maps, Blogger y otros para unidades organizacionales de alumnos. Estos servicios operan bajo la política de privacidad estándar de Google.

3. Configurar controles de actividad

Menú > Cuenta > Controles de actividad. Revisar y restringir: Actividad Web y de Apps, Historial de Ubicación, Historial de YouTube. Deshabilitar para cuentas de alumnos.

4. Restringir apps de terceros

Menú > Seguridad > Controles de API. Limitar qué aplicaciones de terceros pueden acceder a datos de alumnos vía API.

5. Deshabilitar sincronización de Chrome

Impide que los datos de navegación de los alumnos se sincronicen con los servidores de Google.

6. Configurar Data Regions (si está disponible)

Disponible en las ediciones Standard y Plus. Elegir la región de almacenamiento (EE.UU. o Europa — Chile no disponible actualmente).

Configuraciones de privacidad esenciales: Microsoft 365 Education

1. Definir nivel de datos de diagnóstico

Vía Group Policy o Cloud Policy: definir como "Required" (mínimo) o "Neither". Evitar "Optional" para cuentas de alumnos.

2. Deshabilitar experiencias conectadas opcionales

Experiencias que analizan el contenido de los alumnos para ofrecer recomendaciones o funcionalidades extra. Deshabilitar para el grupo de alumnos.

3. Configurar residencia de datos

Si el licenciamiento lo permite (EES), aprovisionar el tenant con residencia de datos en la región más cercana (Brazil South).

4. Configurar DLP (Data Loss Prevention)

Crear políticas que impidan el intercambio externo de datos sensibles de alumnos.

5. Controlar Copilot

Habilitar/deshabilitar por grupo de usuarios. Revisar las recomendaciones del DPIA de SURF antes de habilitarlo para alumnos.

6. Instalar Diagnostic Data Viewer

Herramienta para auditar lo que se está transmitiendo como telemetría. Útil para que el DPD documente el cumplimiento.

Checklist de cumplimiento para el colegio que usa Google o Microsoft

  • Identificar si el colegio usa Servicios Principales o Adicionales de Google — restringir Adicionales para alumnos
  • Aceptar formalmente el contrato de tratamiento de la plataforma (CDPA de Google o DPA de Microsoft)
  • Verificar compatibilidad del contrato con la Ley 21.719, especialmente en transferencias internacionales
  • Configurar nivel mínimo de datos de diagnóstico (Microsoft) o deshabilitar telemetría innecesaria
  • Deshabilitar servicios adicionales, experiencias conectadas opcionales y herramientas de IA no evaluadas
  • Informar a apoderados y alumnos sobre qué plataformas usa el colegio, qué datos se comparten y por qué
  • Documentar el análisis de base legal para el uso de cada plataforma (ejecución de contrato educacional, etc.)
  • Elaborar EIPD si la plataforma procesa datos sensibles o de menores a gran escala
  • Restringir el acceso de apps de terceros vía consola administrativa
  • Designar responsable interno para revisar periódicamente las configuraciones de privacidad
  • Mantener registro del contrato de tratamiento aceptado y de las configuraciones aplicadas como evidencia
  • Evaluar alternativas nacionales/open source en el mediano plazo para reducir dependencia de plataformas extranjeras

Conclusión

Google Workspace y Microsoft 365 son herramientas robustas que pueden usarse de forma compatible con la Ley 21.719 — pero no en la configuración predeterminada. El cumplimiento exige que el colegio, como responsable, asuma responsabilidad activa: configurar privacidad en la consola administrativa, aceptar y complementar los contratos de tratamiento, informar a los apoderados, documentar decisiones y, sobre todo, no tratar la plataforma como "ya aprobada" solo porque es gratuita o ampliamente adoptada.

La diferencia entre un colegio conforme y uno expuesto no es la plataforma que usa — es si alguien hizo las preguntas correctas antes de adoptarla.

Confidata permite registrar plataformas educacionales como actividades de tratamiento vinculadas a encargados, con clasificación automática de datos de menores, gestión de contratos de tratamiento y generación de EIPD — garantizando que el colegio documente su cumplimiento de extremo a extremo.

Compartir
#Ley 21.719#educación#Google Workspace#Microsoft 365#EdTech#transferencia internacional#datos de alumnos#colegios Chile

Artículos relacionados

Plataformas EdTech y Ley 21.719: responsabilidades del desarrolladorEducación · 14 minConsentimiento de los padres en la Ley 21.719: guía práctica para colegiosEducación · 14 minLey 21.719 en Educación Pública: Guía para SLEPs, Municipios y MINEDUCEducación · 14 minMarketing Escolar y Ley 21.719: Imágenes, Redes Sociales y Captación de AlumnosEducación · 13 min

¿Quiere ir más allá? Conozca Confidata Chile

Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.

© 2026 Confidata Chile — Todos los derechos reservados|Privacidad|Cookies
Hablar con un especialista