Protección de Datos de Estudiantes en Establecimientos Educacionales: Obligaciones bajo la Ley 21.719
La Ley N° 21.719 de Protección de Datos Personales de Chile, publicada el 13 de diciembre de 2024 y con vigencia plena a partir de diciembre de 2026, establece un conjunto de obligaciones específicas para el tratamiento de datos de niños y adolescentes. Para los establecimientos educacionales, esto no es solo otra norma — es un cambio estructural en la forma en que la tecnología puede utilizarse con los estudiantes.
Este guía detalla lo que la Ley 21.719 exige de los establecimientos de educación parvularia, básica y media, cómo se conecta con la Ley N° 21.430 sobre garantías de la niñez, cuáles son las implicaciones para las plataformas EdTech contratadas por los colegios, y qué hacer para entrar en conformidad antes de diciembre de 2026.
Datos de estudiantes: categorías y reglas especiales
Los establecimientos educacionales tratan una gran variedad de datos personales de sus estudiantes: nombre, RUT, dirección, datos de rendimiento académico, asistencia, situación socioeconómica, necesidades educativas especiales, registros disciplinarios y datos de salud.
Los datos de salud son datos sensibles
La Ley 21.719 clasifica como datos sensibles aquellos relativos a la salud física y mental de las personas. Esto incluye:
- Diagnósticos de necesidades educativas especiales (NEE)
- Informes psicológicos y fonoaudiológicos
- Fichas de salud escolar
- Registros de atención del JUNAEB o programas similares
Los datos sensibles tienen un régimen de protección más estricto bajo la Ley 21.719: requieren base de licitud específica, mayor cuidado en la seguridad del tratamiento y restricciones adicionales para ser compartidos con terceros.
Edad y consentimiento: las reglas específicas
La Ley 21.719 establece umbrales etarios claros:
Niños y niñas (menores de 14 años):
- El consentimiento para el tratamiento de sus datos personales debe ser otorgado por uno de sus padres, tutores o representantes legales (apoderados)
- El consentimiento del menor de 14 años, por sí solo, no es jurídicamente válido
- El responsable del tratamiento debe hacer esfuerzos razonables para verificar que el consentimiento fue otorgado efectivamente por el adulto responsable
Adolescentes (de 14 a 18 años):
- La Ley 21.719 reconoce mayor autonomía progresiva para los adolescentes
- El principio del interés superior del niño continúa siendo el criterio rector
- Datos sensibles de adolescentes menores de 16 años (diagnósticos, fichas psicológicas, datos de salud): requieren igualmente consentimiento del apoderado, incluso si el estudiante tiene entre 14 y 15 años
- Para adolescentes de 16-17 años, el consentimiento propio tiene mayor validez, pero siempre sujeto al principio del interés superior
Regla práctica para los colegios: el establecimiento nunca debe asumir que tiene autorización para tratar datos de estudiantes sin haber obtenido el consentimiento explícito del apoderado. Los formularios de matrícula son una buena oportunidad para formalizar este consentimiento, pero deben ser específicos: qué datos, para qué finalidad, con quién se comparten.
Nuevas obligaciones para establecimientos educacionales
La Ley 21.719 impone obligaciones que pueden organizarse en cuatro pilares. Ninguno es opcional.
1. Base de licitud para cada tratamiento
Todo tratamiento de datos personales de estudiantes debe tener una base de licitud identificada y documentada:
- Consentimiento del apoderado (para la mayoría de los tratamientos)
- Obligación legal (para tratamientos exigidos por el MINEDUC: matrícula, SIGE, SIMCE, estadísticas educacionales)
- Interés legítimo (con evaluación previa de que el interés del establecimiento no afecta el interés superior del estudiante)
- Protección de la salud (para tratamientos médicos o de primeros auxilios dentro del establecimiento)
El establecimiento debe mantener un Registro de Actividades de Tratamiento (RAT) que documente la base de licitud de cada actividad.
2. Transparencia con estudiantes y apoderados
La Ley 21.719 exige que los titulares de datos (y sus representantes, en el caso de menores) sean informados sobre:
- Qué datos se recopilan y con qué finalidad
- Con quién se comparten los datos (incluyendo plataformas EdTech)
- Por cuánto tiempo se conservan
- Cómo ejercer los derechos de acceso, rectificación y eliminación
- Quién es el Delegado de Protección de Datos del establecimiento
Esta información debe estar en el aviso de privacidad del establecimiento, publicado en su sitio web y comunicado en los formularios de matrícula.
3. Evaluación de Impacto en la Protección de Datos (EIPD)
El establecimiento debe elaborar una EIPD cuando utilice:
- Sistemas de reconocimiento facial para el control de asistencia
- Plataformas que generen perfilamiento algorítmico de los estudiantes
- Sistemas de videovigilancia en espacios educativos
- Cualquier tecnología que trate datos sensibles de menores a gran escala
La EIPD debe identificar los riesgos para los derechos de los estudiantes y las medidas para mitigarlos. Para establecimientos que ya usan estas tecnologías, la elaboración debe ser prioritaria antes de la plena vigencia de la Ley 21.719 en diciembre de 2026.
4. Designación del DPD y canal de comunicación
La Ley 21.719 (Art. 49-50) contempla la figura del Delegado de Protección de Datos (DPD) como parte de un modelo voluntario de prevención de infracciones. Sin embargo, para establecimientos de mayor tamaño — especialmente los que tratan datos sensibles de estudiantes de forma sistemática y a gran escala — la designación de un DPD es altamente recomendable como medida de accountability. Para los demás, la ley exige al menos un canal de comunicación funcional para que los apoderados y estudiantes puedan ejercer sus derechos de acceso, rectificación y supresión.
La interacción con la Ley N° 21.430
La Ley 21.719 no opera de forma aislada. La Ley N° 21.430, sobre Garantías y Protección Integral de los Derechos de la Niñez y Adolescencia, publicada el 15 de marzo de 2022, establece el marco general de protección de derechos para niños y adolescentes en Chile — incluyendo su dimensión digital.
La Ley 21.430 consagra:
- El derecho a la identidad digital de los niños y adolescentes
- El derecho a ser educados en el uso responsable de las tecnologías de la información y la comunicación
- La obligación del Estado de garantizar alfabetización digital crítica en el sistema educativo
- El principio del interés superior del niño como criterio rector en todas las decisiones que los afectan, incluyendo las digitales
Esto significa que el establecimiento educacional no es solo un sujeto de obligaciones bajo la Ley 21.719 — es también un agente activo en la formación digital de sus estudiantes, con el deber de promover el uso seguro y responsable de la tecnología.
| Aspecto | Ley 21.719 | Ley 21.430 |
|---|---|---|
| Consentimiento | Apoderado para menores de 14 años | Interés superior como criterio rector |
| Datos sensibles | Régimen especial con base de licitud específica | Protección integral de derechos |
| Educación digital | No regula directamente | Obliga al Estado y establecimientos |
| Sanción | Hasta 20.000 UTM | Marco de garantías — no sanción económica directa |
| Autoridad | APDP | Defensoría de la Niñez + sistema de garantías |
Impacto en plataformas EdTech usadas por los colegios
Este es, posiblemente, el punto de mayor atención para directores y sostenedores. El establecimiento no es solo responsable de sus propias prácticas — también responde por las prácticas de los proveedores de tecnología que contrata y pone a disposición de los estudiantes.
Qué auditar en los contratos con EdTechs
La conformidad con la Ley 21.719 exige que los establecimientos educacionales auditen sus contratos con todos los proveedores de tecnología educacional. Las cláusulas deben contemplar:
Finalidad del tratamiento: ¿Los datos de los estudiantes son utilizados exclusivamente para la finalidad educacional? ¿Hay compartición con terceros para fines publicitarios?
Consentimiento de menores: ¿El proveedor implementa mecanismos para verificar que el consentimiento fue otorgado por el apoderado (no solo por el estudiante)?
Datos sensibles: ¿El proveedor trata datos sensibles de salud o NEE de los estudiantes? ¿Con qué base de licitud? ¿Qué controles de seguridad existen?
Transferencias internacionales: Muchas plataformas EdTech operan servidores fuera de Chile. ¿El contrato cubre el mecanismo de transferencia internacional conforme a la Ley 21.719?
Devolución y eliminación: ¿Al término del contrato, el proveedor devuelve todos los datos de los estudiantes y certifica la eliminación de sus copias?
Los cuatro pilares de riesgo en plataformas educacionales
Para gestionar el uso de tecnología de forma segura, es útil evaluar cada plataforma bajo cuatro perspectivas de riesgo:
- Contenido — ¿La plataforma expone a los estudiantes a materiales inadecuados para su franja etaria?
- Contacto — ¿Existe riesgo de interacción con personas externas dentro de la plataforma?
- Conducta — ¿Existen mecanismos de prevención del ciberbullying?
- Contrato — ¿Las cláusulas de protección de datos y responsabilidad están alineadas con la Ley 21.719?
Sanciones y fiscalización
Quién fiscaliza
La APDP (Agencia de Protección de Datos Personales) comienza operaciones en diciembre de 2026 y tiene competencia para fiscalizar el cumplimiento de la Ley 21.719 — incluyendo en el sector educacional. El tratamiento de datos de menores, especialmente datos sensibles, estará entre los primeros focos de fiscalización.
Escala de sanciones
Las penalidades previstas en la Ley 21.719 son:
| Sanción | Detalle |
|---|---|
| Advertencia | Con plazo para adoptar medidas correctivas |
| Multa — infracción leve | Amonestación escrita o hasta 5.000 UTM |
| Multa — infracción grave | Hasta 10.000 UTM (con reincidencia: hasta 2% de los ingresos anuales) |
| Multa — infracción muy grave | Hasta 20.000 UTM (con reincidencia: hasta 4% de los ingresos anuales) |
Para los establecimientos educacionales, el riesgo más probable no es la multa directa, sino la responsabilidad solidaria con proveedores EdTech que incumplan la ley y la exposición reputacional ante apoderados y la comunidad escolar.
Checklist de conformidad para establecimientos educacionales
Gobernanza y documentación
- Designar responsable interno (DPD o encargado de privacidad) para coordinar la adecuación a la Ley 21.719
- Mapear todas las plataformas, aplicaciones y herramientas digitales usadas por estudiantes — incluyendo las usadas informalmente por profesores
- Elaborar el RAT con todas las actividades de tratamiento de datos de estudiantes
- Elaborar EIPD para tratamientos de alto riesgo (biometría, perfilamiento, videovigilancia)
Consentimiento y transparencia
- Actualizar los formularios de matrícula para obtener consentimiento específico del apoderado para cada finalidad de tratamiento
- Publicar el aviso de privacidad del establecimiento en el sitio web
- Informar a los apoderados sobre las plataformas EdTech utilizadas y los datos que comparte con ellas
- Crear un canal de atención para ejercicio de derechos (acceso, rectificación, eliminación) por parte de los apoderados
Contratos con proveedores de tecnología educacional
- Auditar contratos con todas las EdTechs, verificando cláusulas de protección de datos y bases de licitud
- Incluir cláusula prohibiendo el uso de datos de estudiantes para fines publicitarios o de perfilamiento comercial
- Exigir cláusula de devolución y certificación de eliminación de datos al término del contrato
- Verificar mecanismos de transferencia internacional cuando los servidores están fuera de Chile
Seguridad y formación
- Capacitar profesores y equipo administrativo sobre las obligaciones de la Ley 21.719
- Verificar los controles de acceso a los datos de estudiantes en los sistemas internos
- Integrar la educación en privacidad digital al proyecto educativo del establecimiento
El rol del establecimiento en la formación digital
La Ley 21.430 no trata al establecimiento solo como sujeto de obligaciones. Le reconoce un papel estratégico en la formación de ciudadanos digitales conscientes y críticos. Esto significa que la adecuación a la Ley 21.719 no es solo un proyecto jurídico o de TI — es un proyecto pedagógico.
Los establecimientos que integren la protección digital a su proyecto educativo no solo estarán en conformidad — estarán ofreciendo un diferencial real a las familias y construyendo una cultura de responsabilidad digital que les acompañará a los estudiantes mucho más allá de su vida escolar.
Próximos pasos: qué esperar de la APDP
La APDP señaló que el tratamiento de datos de menores estará entre sus prioridades de fiscalización. Para el sector educacional, esto se traduce en:
- Verificación de que los establecimientos obtienen consentimiento válido de apoderados
- Monitoreo de contratos con proveedores EdTech y uso de datos de estudiantes para fines publicitarios
- Fiscalización de los controles de seguridad para datos sensibles de menores (diagnósticos, fichas de salud)
Los establecimientos que inicien la adecuación ahora tendrán más facilidad para absorber los requerimientos adicionales cuando la fiscalización sea efectiva.
La conformidad con la Ley 21.719 en el sector educacional exige una visión integrada de gobernanza de datos, gestión de contratos con EdTechs y formación de la comunidad escolar. Confidata ayuda a los establecimientos a mapear sus actividades de tratamiento de datos, elaborar evaluaciones de impacto y gestionar la conformidad con la Ley 21.719 en una plataforma única — con controles específicos para datos de menores. Conozca la plataforma.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.