Los datos de los alumnos ya no viven solo en el legajo escolar, en un boletín impreso o en el sistema interno de una institución. Hoy circulan por plataformas en la nube, tableros de gestión, correos educativos, aulas virtuales, sistemas de asistencia, herramientas de IA y proveedores globales que procesan información bajo contratos, servidores y normas que muchas familias no conocen.
La pregunta central ya no es si una escuela debe digitalizarse. Ese debate quedó viejo. La discusión real es quién controla la infraestructura que almacena calificaciones, asistencia, imágenes, trabajos prácticos, historiales académicos, credenciales, interacciones, datos familiares y señales de aprendizaje. En educación, además, el margen de elección es débil. Si una institución adopta una plataforma, el alumno entra en ese ecosistema.
Ese punto explica por qué el caso de Andalucía sacudió a Europa y funciona como advertencia global. La sanción contra el uso de Google Workspace for Education puso bajo la lupa el tratamiento de datos de 738.502 alumnos menores, 43.202 docentes y 2.676 centros educativos, con objeciones sobre transparencia, base legal, minimización, privacidad por diseño, transferencias internacionales y falta de evaluación de impacto previa.
Índice de temas
¿Por qué España abrió una alarma global sobre la nube escolar?
El expediente andaluz mostró un problema que muchas escuelas del mundo todavía no resolvieron. La nube educativa no guarda solo tareas, mails o archivos escolares. También puede reunir información de chicos, docentes y familias en una infraestructura técnica que supera al sistema educativo local.
El Consejo de Transparencia y Protección de Datos de Andalucía impuso sanciones no económicas a la Consejería de Desarrollo Educativo por el convenio con Google. El caso incluyó cuestionamientos por transferencias a terceros países, ausencia de una evaluación de impacto proporcional al volumen de datos y falta de garantías suficientes para proteger la privacidad de menores.
La reacción regulatoria no quedó aislada. El 23 de marzo de 2026, la Agencia Española de Protección de Datos y las autoridades de Cataluña, País Vasco y Andalucía publicaron un decálogo para la contratación y el uso de plataformas educativas digitales. Allí remarcaron que el tratamiento de datos de menores requiere protección específica y que el uso de estas herramientas no suele ser voluntario para alumnos ni familias.
Ese matiz cambia todo. En una red social, una familia puede decidir que un chico no abra una cuenta. En la escuela, la decisión suele venir tomada por la institución o por una autoridad educativa. Por eso, el consentimiento familiar puede quedar debilitado frente al peso de la obligación escolar.
El conflicto tampoco se limita a Google. En Austria, la organización noyb celebró en octubre de 2025 una decisión contra Microsoft 365 Education por rastreo de estudiantes y falta de información suficiente para que escuelas, padres y alumnos entendieran el tratamiento de datos.
¿Qué cambia cuando una plataforma externa concentra la vida escolar?
La promesa de la nube es fuerte. Menos servidores propios, mejor disponibilidad, herramientas colaborativas, seguridad profesional y escala. Para una escuela o universidad con bajo presupuesto técnico, ese paquete resulta tentador. El costo oculto aparece cuando el proveedor concentra datos de miles o millones de estudiantes.
El ataque a Canvas, la plataforma de Instructure, mostró ese riesgo. Reuters informó en mayo de 2026 que el incidente afectó una herramienta usada por cerca de 9.000 escuelas y hasta 30 millones de usuarios, con robo de nombres, correos, identificaciones y mensajes privados. The Washington Post reportó que el reclamo atribuido al grupo atacante elevó el alcance potencial a 275 millones de usuarios.
El sector educativo ya es un blanco de alto valor. Check Point registró entre enero y julio de 2025 un promedio de 4.356 ciberataques semanales por organización educativa a nivel global, con un salto interanual de 41%. En América Latina, el promedio fue de 3.164 ataques semanales por organización y una suba de 16%.
La IA generativa agregó otra capa. Los datos ya no son solo archivos guardados. También aparecen prompts, respuestas, correcciones automáticas, recomendaciones, perfiles de aprendizaje e inferencias sobre desempeño, conducta o riesgo de abandono. La OCDE advirtió en su Digital Education Outlook 2026 que la IA generativa reconfigura la educación y exige reglas claras sobre privacidad, seguridad, sesgos, transparencia, edad adecuada y alineación con objetivos pedagógicos.
Las tecnológicas buscan despejar dudas. Google afirma que en Workspace for Education los datos no se usan para publicidad ni para entrenar modelos de IA sin autorización. Microsoft sostiene que los prompts y respuestas de Copilot Chat bajo protección empresarial no se usan para entrenar modelos fundacionales.
Aun así, el punto de fondo persiste. Una garantía contractual no reemplaza una evaluación pública de riesgos, auditorías, límites de retención, controles sobre subcontratistas y claridad sobre jurisdicción. En educación, el dato personal pertenece a un menor, pero la decisión tecnológica suele estar en manos de adultos, gobiernos y empresas.
¿Cómo mira América Latina este debate entre brecha digital y dependencia tecnológica?
América Latina enfrenta una tensión distinta a la europea. La región necesita acelerar la digitalización educativa, mejorar la conectividad y usar datos para reducir abandono, ausentismo y desigualdad. Pero muchas veces lo hace sobre plataformas extranjeras, con presupuestos limitados y poca capacidad técnica para auditar proveedores.
UNICEF publicó en 2026 una guía para acelerar la transformación digital educativa en América Latina y el Caribe, alineada con su estrategia global 2025-2030. El documento plantea que la tecnología puede fortalecer sistemas educativos, promover inclusión y mejorar resiliencia, aunque la brecha de acceso todavía deja a millones de chicos fuera de los beneficios.
El BID, en un informe sobre protección de datos estudiantiles en la región, ya marcó que los países necesitan políticas claras para recolectar, mantener, utilizar, distribuir y proteger información sensible de alumnos y docentes. Esa advertencia se volvió más urgente con el avance de aulas virtuales, registros nominales, tableros predictivos y herramientas de IA.
- Chile avanza con una reforma fuerte. La Ley 21.719 de protección de datos personales entra en vigencia el 1 de diciembre de 2026 y presta atención especial a datos sensibles y a información de niños, niñas y adolescentes. La norma exige que el tratamiento de datos de menores respete su interés superior y su autonomía progresiva.
- Brasil también movió el tablero. El ECA Digital entró en vigor el 17 de marzo de 2026 y fijó reglas para productos y servicios digitales accesibles por niños y adolescentes. La ANPD publicó orientaciones preliminares sobre mecanismos confiables de verificación de edad y comenzó a mirar el rol de grandes plataformas tecnológicas.
La región queda, así, ante una decisión de fondo. Puede usar la nube como simple atajo operativo o puede construir reglas de gobernanza antes de que el volumen de datos escolares haga inmanejable el riesgo. Esa diferencia define quién manda sobre la información de una generación entera.
¿Dónde entra Argentina en esta discusión y qué falta responder?
Argentina no tuvo, al menos de manera pública, un caso equivalente al de Andalucía contra una jurisdicción educativa por el uso de una plataforma cloud global. Pero el país ya reúne información sensible de estudiantes en sistemas digitales nacionales y provinciales.
El SInIDE, desarrollado por el Ministerio de Educación de la Nación y ofrecido a las jurisdicciones, permite gestionar, cargar y consultar información sobre alumnos, estudios cursados y trayectoria educativa. La página oficial detalla que incluye datos identificatorios, domicilio, país de origen, discapacidad, contexto de encierro, pertenencia a comunidad aborigen, datos de salud y antropométricos, inclusión en planes educativos y sociales, nivel educativo de los padres y procesos de trayectoria escolar.
Ese listado alcanza para entender la sensibilidad del tema. No se trata solo de notas o asistencia. Una base educativa nominal puede contener información sobre origen, salud, familia, condiciones sociales y recorrido escolar. En manos correctas, esos datos ayudan a diseñar políticas públicas. Sin controles suficientes, pueden abrir puertas a filtraciones, perfilado o decisiones opacas.
La Ciudad de Buenos Aires ofrece otro caso relevante. AprendeBA permite administrar trayectorias académicas, calificaciones, presentismo, matriculación automática, tableros de gestión y comunicación con familias. El gobierno porteño también impulsó herramientas de alerta temprana para detectar riesgo de abandono a partir de asistencia, desempeño y trayectoria.
Ese uso puede ser valioso si activa apoyo pedagógico a tiempo. Pero también exige explicar qué variables se usan, quién accede al resultado, cómo se evita un sesgo contra estudiantes vulnerables y cuánto tiempo se conserva esa etiqueta de riesgo.
La Ciudad empezó a reconocer ese frente. En abril de 2026, creó un Consejo Asesor Interdisciplinario en Protección Digital Infantil y Adolescente para acompañar políticas educativas ante riesgos vinculados con tecnología, ciberseguridad, IA y protección de chicos en espacios digitales.
A nivel nacional, la AAIP publicó las guías Nuestro Mundo Digital para fortalecer la protección de datos personales de niñas, niños y adolescentes. El material apunta a docentes, familias y adolescentes, con ejes sobre privacidad, identidad, huella digital y derechos.
El desafío argentino queda planteado sin necesidad de esperar un escándalo. Hace falta un mapa claro de proveedores educativos, contratos, subcontratistas, ubicación de servidores, plazos de conservación, evaluaciones de impacto, uso de IA, protocolos ante incidentes y reglas de acceso. La educación en la nube ya existe. La pregunta pendiente es si la gobernanza de esos datos viaja a la misma velocidad que la digitalización de las aulas.
