Educación14 min de lectura

Ley 21.719 en Educación: Colegios, Universidades y EdTechs

Equipo Confidata·
Compartir

Los colegios, universidades e institutos son algunos de los mayores procesadores de datos personales de niños, niñas y adolescentes en Chile. Datos académicos, financieros, de salud, conductuales y biométricos fluyen por sistemas digitales que, con frecuencia, fueron implementados sin ninguna evaluación de privacidad.

Con la Ley 21.719 entrando en vigor el 1 de diciembre de 2026, los establecimientos educacionales deben revisar sus procesos. El sector educativo tiene particularidades importantes: trata datos de menores de edad con protección especial, utiliza decenas de plataformas digitales como herramientas de enseñanza y acumula datos desde los primeros años escolares hasta la educación superior.

Esta guía presenta los principales aspectos de la Ley 21.719 aplicados al sector educativo y un itinerario práctico para DPOs y gestores.

Qué datos tratan los establecimientos educacionales

Antes de pensar en cumplimiento, es necesario entender el alcance del problema. Los establecimientos educacionales tratan una variedad sorprendentemente amplia de datos personales:

Datos del estudiante

  • Identificación: nombre, RUN/RUT, fecha de nacimiento, filiación
  • Académicos: matrícula, notas, asistencia, historial escolar, informes de calificaciones
  • Conductuales: registros disciplinarios, informes pedagógicos, evaluaciones de desempeño
  • Financieros: cuotas de colegiatura, becas, morosidad, beneficios JUNAEB

Datos sensibles del estudiante

  • Datos de salud: informes de necesidades educativas especiales, alergias, medicamentos en uso, diagnósticos psicológicos
  • Datos biométricos: huella dactilar o reconocimiento facial para control de acceso o registro de asistencia
  • Datos de origen racial o étnico: declaraciones para sistemas de acceso diferenciado o políticas de inclusión

Datos de los apoderados

  • Nombre, RUT, contacto, dirección
  • Situación socioeconómica (para evaluación de becas y beneficios JUNAEB)
  • Información laboral

Datos de uso de plataformas digitales

  • Registros de acceso a LMS (Learning Management System)
  • Contenido de mensajes y foros en plataformas educativas
  • Desempeño en actividades online, tiempo de acceso, patrones de uso

Datos de niños, niñas y adolescentes: régimen especial de la Ley 21.719

La Ley 21.719 establece un régimen especial para datos de menores de edad, con distinciones por tramos de edad:

Niños y niñas (menores de 14 años)

Para el tratamiento de datos de niños menores de 14 años, el consentimiento de los padres o tutores legales es obligatorio como regla general. Solo puede prescindirse de ese consentimiento en casos expresamente autorizados por ley.

Adolescentes (14 a 18 años)

Para los adolescentes de 14 a 18 años, el tratamiento puede basarse en las reglas generales para adultos, con una excepción importante: cuando se traten datos sensibles de adolescentes menores de 16 años, aplican controles más estrictos. El uso de datos sensibles de menores de 16 años debe ser en su beneficio, sin propósitos comerciales ni prácticas abusivas.

Implicaciones prácticas para colegios

Un colegio que usa una aplicación de comunicación con apoderados, un sistema de gestión escolar o una plataforma de actividades digitales está tratando datos de niños y adolescentes. Para eso:

  1. Los padres o tutores deben ser informados claramente sobre qué datos se recopilan, para qué finalidad y por cuánto tiempo
  2. El consentimiento de los padres debe obtenerse de forma específica — no basta un término genérico de matrícula que incluya una cláusula de privacidad en medio del texto
  3. La información debe presentarse de forma clara y accesible
  4. Para los menores mayores, la información también debe ser comprensible para ellos

Atención con plataformas EdTech internacionales

Muchas plataformas educativas son de origen estadounidense o europeo. Tienen sus propios marcos regulatorios (COPPA en EE.UU., GDPR en Europa) — pero eso no los exime del cumplimiento de la Ley 21.719 cuando operan con datos de estudiantes chilenos.

El establecimiento educacional, como responsable del tratamiento, es quien debe garantizar que los encargados (plataformas) cumplan las obligaciones de la Ley 21.719.

Bases de licitud para el tratamiento de datos en el sector educativo

Obligación legal

Muchos tratamientos de datos en establecimientos educacionales son obligaciones legales:

  • Emisión de certificados de estudio, certificados de notas y títulos
  • Registro de datos en el SIGE (Sistema de Información General de Estudiantes de MINEDUC)
  • Datos para beneficios JUNAEB y otros programas de apoyo estudiantil
  • Notificaciones obligatorias a la Superintendencia de Educación en casos de vulneración de derechos

Para estos tratamientos, el consentimiento no es necesario — la base es la ley que impone la obligación.

Ejecución de contrato

Para estudiantes mayores de edad (o su institución contratante), el contrato de prestación de servicios educacionales es la base legal para datos necesarios en la relación contractual: matrícula, emisión de comprobante de pago, comunicaciones sobre el curso, acceso al material didáctico.

Interés legítimo

Para tratamientos que no se encuadran en contrato ni en obligación legal, pero que el establecimiento tiene razón legítima para realizar — como comunicaciones institucionales, boletines para apoderados, o mejoras pedagógicas basadas en análisis de desempeño.

El interés legítimo requiere que los intereses del establecimiento no se sobrepongan a los derechos y libertades de los titulares.

Consentimiento

Para tratamientos opcionales, como envío de newsletter de oportunidades, marketing de actividades extracurriculares adicionales o uso de imagen en publicaciones. El consentimiento debe ser libre, informado, específico y puede revocarse en cualquier momento.

Para datos de niños menores de 14 años: consentimiento parental obligatorio.

Protección de la vida

Para emergencias de salud en el establecimiento, comunicación de información al SAMU o a hospitales, o notificaciones a autoridades en situaciones de urgencia.

EdTech: responsables, encargados y la cadena de responsabilidad

La pandemia aceleró dramáticamente la adopción de plataformas digitales en la enseñanza. Google Classroom, Microsoft Teams, Moodle, Canva y docenas de otras herramientas pasaron a formar parte del cotidiano educativo.

Desde el punto de vista de la Ley 21.719:

  • El establecimiento educacional es el responsable del tratamiento: define qué plataformas se usan y para qué finalidad
  • Las plataformas digitales son encargadas del tratamiento: tratan datos por encargo del establecimiento

Esto significa que:

  1. El establecimiento es responsable de evaluar si las plataformas que usa cumplen con la Ley 21.719
  2. Debe existir un contrato con el encargado que incluya cláusulas de protección de datos
  3. El encargado solo puede tratar los datos en los límites autorizados por el establecimiento
  4. Si la plataforma sufre una brecha de seguridad, el establecimiento (responsable) tiene responsabilidad ante los titulares

Transferencia internacional de datos

Las plataformas internacionales (Google, Microsoft) procesan datos en servidores en el exterior. Eso caracteriza transferencia internacional de datos bajo la Ley 21.719.

En la práctica, las grandes plataformas cuentan con cláusulas contractuales estándar y políticas de privacidad que buscan atender múltiples jurisdicciones. Pero la responsabilidad de verificar la adecuación de los mecanismos de transferencia es del establecimiento educacional.

Videovigilancia y reconocimiento facial en establecimientos

El uso de cámaras de seguridad en colegios es cada vez más frecuente.

Cámaras convencionales (grabación de imagen)

  • Las imágenes son datos personales cuando permiten identificar a la persona
  • Base de licitud: interés legítimo (seguridad patrimonial y de las personas)
  • Obligación: informar sobre las cámaras con aviso visible en el lugar
  • Retención: solo el tiempo necesario (típicamente 30 a 90 días), salvo ocurrencia de un incidente
  • Acceso: restringido al personal autorizado

Reconocimiento facial (dato biométrico sensible)

El uso de reconocimiento facial para control de asistencia o acceso es una categoría diferente. Los datos biométricos son sensibles bajo la Ley 21.719 y tienen protección reforzada.

Para este uso:

  • La base de licitud es el consentimiento expreso (para mayores de 14) y consentimiento parental (para menores de 14)
  • Alternativas menos invasivas deben considerarse (credencial, código de barras, tarjeta)
  • Evaluación de Impacto (AIPD) recomendada
  • Máxima transparencia sobre cómo se almacenan los datos biométricos y con quién se comparten

Celulares en establecimientos: nueva regulación 2026

La Ley 21.801, aprobada por el Congreso en diciembre de 2025 y publicada en el Diario Oficial el 11 de febrero de 2026, prohíbe como regla general el uso de celulares y otros dispositivos móviles en los establecimientos educacionales durante la jornada escolar. La normativa rige desde el inicio del año escolar 2026.

Las excepciones contempladas incluyen: estudiantes con necesidades educativas especiales, situaciones de emergencia, condiciones de salud diagnosticadas que requieran monitoreo mediante dispositivo, actividades curriculares autorizadas por el director y solicitudes fundadas de apoderados por motivos de seguridad personal o familiar. Los establecimientos tienen hasta el 30 de junio de 2026 para actualizar sus reglamentos internos.

La ley de celulares y la Ley 21.719 convergen en el mismo objetivo: proteger a niños, niñas y adolescentes de los efectos negativos del uso no supervisado de tecnología y de la recopilación excesiva de sus datos personales.

Historial académico y registros: retención y compartir

Plazos de conservación

Los documentos académicos tienen plazos de conservación específicos. Certificados de estudios, diplomas y títulos deben guardarse permanentemente por los establecimientos, conforme a las normativas del MINEDUC. Esta obligación es una base de licitud autónoma (cumplimiento de obligación legal).

Los datos auxiliares (registros de asistencia, registros financieros de años anteriores) tienen plazos menores, normalmente alineados con las normas de prescripción civil y tributaria (5-6 años para fines tributarios).

Compartir con autoridades educacionales

El compartir datos con MINEDUC (SIGE, JUNAEB), la Agencia de Calidad de la Educación y las Superintendencias es obligatorio y tiene base en ley específica — no requiere consentimiento del estudiante.

Compartir con otros empleadores, universidades o terceros

Las solicitudes de verificación de historial (por empleadores, otras instituciones de enseñanza, organismos profesionales) deben atenderse solo con autorización expresa del estudiante, salvo cuando sea ordenado judicialmente u exista obligación legal específica.

Procesos de admisión: datos de postulantes

Los procesos de admisión involucran tratamiento de datos personales con finalidad específica y temporal.

Datos de postulantes:

  • Recopilados exclusivamente para el proceso de admisión
  • Deben eliminarse tras el cierre del proceso, salvo para los admitidos (que pasan a matrícula) y para posibles impugnaciones Acciones afirmativas e inclusión:
  • Las declaraciones de identidad étnica o cultural son datos sensibles
  • Los informes médicos para necesidades educativas especiales son datos de salud sensibles
  • Seguridad reforzada y acceso restringido son obligatorios
  • Estos datos no pueden usarse para otras finalidades fuera del proceso de admisión

Buenas prácticas para DPOs de educación

1. Mapeo de plataformas digitales

Crear un inventario de todas las herramientas, aplicaciones y plataformas usadas por el establecimiento. Para cada una:

  • ¿Qué datos personales tratan?
  • ¿Existe contrato con cláusulas de protección de datos?
  • ¿Los datos se transfieren al exterior?
  • ¿Cuál es la política de retención de la plataforma?

2. Revisión de los contratos de matrícula

El contrato de matrícula es el principal documento de relación con el estudiante y sus apoderados. Debe:

  • Informar claramente sobre el tratamiento de datos
  • Distinguir tratamientos obligatorios (base legal) de opcionales (consentimiento)
  • Tener sección destacada para datos de niños menores de 14 (consentimiento parental)
  • Estar redactado en lenguaje accesible

3. Política de privacidad específica para educación

Publicar política de privacidad que incluya:

  • Qué datos se recopilan de estudiantes, apoderados y colaboradores
  • Para qué finalidad
  • Con quién se comparten
  • Por cuánto tiempo se mantienen
  • Cómo el titular puede ejercer sus derechos

4. Canal de solicitudes de titulares

Crear un canal claro para que apoderados, estudiantes y ex-estudiantes puedan:

  • Solicitar acceso a sus datos
  • Pedir corrección de información incorrecta
  • Solicitar supresión de datos innecesarios
  • Revocar consentimientos previamente otorgados

5. Capacitación de docentes y funcionarios

Los docentes acceden a datos de estudiantes a diario — notas, asistencia, informes, registros conductuales. Un incidente causado por un docente o funcionario descuidado puede tener consecuencias graves. La capacitación anual es indispensable.

6. Gestión del ciclo de vida de los datos

Implementar proceso formal de:

  • Supresión de datos de ex-estudiantes que superaron el plazo de retención
  • Descarte seguro de documentos físicos
  • Desactivación de accesos en plataformas cuando el estudiante se titula o traslada

7. Evaluación de privacidad antes de contratar nuevas plataformas

Antes de adoptar cualquier nueva plataforma EdTech, realizar una evaluación de privacidad que incluya:

  • Lectura de los términos de servicio y política de privacidad
  • Verificación de la ubicación de servidores y transferencias internacionales
  • Negociación de contrato de encargo del tratamiento adecuado
  • Evaluación de seguridad de la plataforma

Conclusión: educar para proteger

Los establecimientos educacionales tienen la misión de formar personas — y eso incluye tratar los datos de sus estudiantes con el mismo cuidado que dedican a su formación. Un colegio que protege los datos de sus alumnos enseña por el ejemplo el valor de la privacidad y de los derechos digitales.

La adecuación a la Ley 21.719 en el sector educativo no necesita ser un proceso traumático. Con planificación, mapeo adecuado y contratos revisados, la mayoría de los establecimientos puede alcanzar un nivel robusto de cumplimiento antes del 1 de diciembre de 2026.

Confidata ofrece funcionalidades diseñadas para el sector educativo: inventario de actividades de tratamiento con clasificación de datos de menores, gestión de contratos de encargo con plataformas EdTech, canal de solicitudes de titulares para apoderados y ex-alumnos, y evaluaciones de impacto (EIPD) — todo centralizado en una plataforma que permite documentar el cumplimiento de la Ley 21.719.

Compartir
#Ley 21.719#educación#datos de niños#menores#EdTech privacidad#colegio#universidad#DPO educación#Chile

Artículos relacionados

Consentimiento de los padres en la Ley 21.719: guía práctica para colegiosEducación · 14 minMarketing Escolar y Ley 21.719: Imágenes, Redes Sociales y Captación de AlumnosEducación · 13 minGoogle Workspace y Microsoft 365 en el colegio: cumplimiento con la Ley 21.719Educación · 15 minProtección de Datos de Estudiantes en Establecimientos Educacionales: Obligaciones bajo la Ley 21.719Educación · 14 min

¿Quiere ir más allá? Conozca Confidata Chile

Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.

© 2026 Confidata Chile — Todos los derechos reservados|Privacidad|Cookies
Hablar con un especialista