Les principals autoritats de protecció de dades de l’Estat —l’Autoritat Catalana de Protecció de Dades, l’Agència Espanyola de Protecció de Dades, l’Autoritat Basca de Protecció de Dades i el Consell de Transparència i Protecció de Dades d’Andalusia— han publicat un decàleg de principis bàsics per a la contractació i l’ús de plataformes educatives digitals.

El document, publicat el març de 2026, estableix un marc comú per a administracions, centres educatius i empreses tecnològiques amb l’objectiu de garantir els drets de l’alumnat —especialment dels menors— en un entorn cada vegada més digitalitzat.

Un ús massiu amb riscos estructurals

Les plataformes educatives al núvol s’han consolidat com a eines clau per a la docència, la comunicació i la gestió educativa. No obstant això, el seu desplegament implica tractaments massius de dades personals, sovint de menors, i en un context on l’ús no és voluntari per a les famílies.

El decàleg estableix 10 principis clau per garantir un ús segur i responsable de les plataformes educatives digitals, amb especial focus en la protecció de dades de menors.

Aquest escenari, segons les autoritats, exigeix un nivell reforçat de garanties i control, especialment tenint en compte la complexitat dels serveis —que combinen funcionalitats educatives amb serveis addicionals— i la dificultat de supervisar tots els fluxos de dades.

Els 10 principis que han de guiar el sector

El decàleg estableix deu eixos que han de regir tant la contractació com l’ús d’aquestes plataformes:

• Respecte als drets i llibertats, amb especial atenció a l’interès superior del menor
• Responsabilitat clara del tractament, que no es pot delegar en els proveïdors
• Base legal i limitació de finalitats, evitant usos comercials o aliens a l’educació
• Avaluació d’impacte obligatòria abans de desplegar les plataformes
• Transparència real cap a alumnes, famílies i professorat
• Contractes estrictes amb els proveïdors i control dels sotsencarregats
• Garanties en transferències internacionals de dades
• Protecció de dades des del disseny i per defecte
• Mesures de seguretat adequades al risc
• Garantia efectiva dels drets digitals dels usuaris

Un dels punts més rellevants és que els serveis addicionals —com eines d’IA, plataformes de vídeo o serveis externs— no s’han d’activar per defecte si no estan estrictament vinculats a la funció educativa.

El rol dels proveïdors, sota escrutini

El document també posa el focus en la complexitat del rol de les empreses tecnològiques. Els proveïdors poden actuar tant com a encarregats del tractament —seguint instruccions dels centres— com a responsables quan utilitzen dades per a finalitats pròpies.

Les autoritats alerten que la digitalització educativa implica tractaments massius de dades i exigeix un model preventiu amb responsabilitats clares per a centres, administracions i proveïdors.

Això obliga les administracions i centres a analitzar amb detall els contractes i els fluxos de dades, especialment en casos de transferències internacionals o ús de serveis al núvol fora de la Unió Europea.

Cap a un enfocament preventiu

Amb aquest decàleg, les autoritats aposten per un model preventiu i proactiu, en què tots els actors —administracions, centres i empreses— assumeixin clarament les seves responsabilitats.

L’objectiu final és doble: garantir la protecció de dades en l’entorn educatiu digital i, alhora, generar confiança en unes eines que ja són estructurals per al sistema educatiu.