Los gigantes tecnológicos y los establecimientos educacionales: una asimetría de poder

Cuando un colegio decide implementar Google Workspace o Microsoft 365 para sus alumnos, suele ocurrir algo predecible en la sala de directivos: alguien respira aliviado y dice “listo, el tema de los datos queda en manos de ellos”.

Es una intuición comprensible. Son empresas enormes, con equipos legales sofisticados y certificaciones de seguridad que ningún colegio podría replicar por cuenta propia. ¿Por qué preocuparse?

Porque esa intuición es jurídicamente incorrecta. Y Europa lleva varios años pagando el costo de ese malentendido.

El responsable siempre es el colegio

La lógica del derecho moderno de protección de datos —tanto el Reglamento General de Protección de Datos europeo (RGPD) como la nueva Ley N° 21.719 chilena— establece una distinción fundamental: el responsable del tratamiento es quien decide para qué se usan los datos y cómo. El encargado del tratamiento es quien los procesa por instrucción del responsable, sin poder usarlos para fines propios.

Cuando un colegio sube las notas de sus alumnos a Colegium, almacena sus correos en Gmail o realiza clases por Zoom, el colegio es el responsable. Google, Microsoft y Zoom son encargados. Eso significa que si algo sale mal —una filtración, un uso indebido de los datos, una transferencia internacional sin respaldo legal— quien debe responder ante los apoderados, ante los alumnos y ante la autoridad regulatoria es el colegio. No Google.

Esta distinción no es un tecnicismo menor. Es el eje sobre el que gira todo el sistema de cumplimiento.

Lo que pasó en Europa: el poder de los gigantes frente a las escuelas locales

En 2022, la autoridad danesa de protección de datos (Datatilsynet) ordenó a varios municipios suspender el uso de Google Workspace en sus escuelas.

La razón no fue que los directores hubieran actuado de mala fe ni que los datos de los alumnos hubieran sido robados. La razón fue más silenciosa y más reveladora: los municipios no tenían contratos de encargo de tratamiento adecuados con Google.

Habían implementado la plataforma, habían capacitado a los profesores, habían migrado años de información académica, pero nadie había revisado si el contrato con el proveedor cumplía las exigencias legales. Y el problema no era menor: la autoridad descubrió que, aunque los municipios habían configurado servidores europeos para el almacenamiento, “Google se reservaba el derecho a usar su infraestructura estadounidense como respaldo, sin garantías adecuadas para esa transferencia internacional”.

El caso de Microsoft en Austria es aún más revelador de la asimetría de poder que existe entre estas plataformas y las escuelas.

En 2024, la organización europea de privacidad noyb presentó denuncias ante la autoridad austriaca de protección de datos (DSB) por el uso de Microsoft 365 Education en escuelas.

Lo que encontraron no fue un descuido administrativo: fue una arquitectura deliberada de desplazamiento de responsabilidades.

Microsoft imponía a los colegios condiciones de “lo tomas o lo dejas” en las que toda la responsabilidad frente al RGPD recaía contractualmente sobre las escuelas, mientras que la empresa se reservaba el control real sobre cómo procesaba los datos.

Las consecuencias prácticas eran absurdas. Se esperaba que los directores de escuelas locales auditaran a Microsoft y le dieran instrucciones sobre cómo tratar los datos de sus alumnos. Al mismo tiempo, Microsoft instalaba cookies de rastreo del comportamiento de los usuarios —incluyendo menores— sin consentimiento y con fines publicitarios, sin que las escuelas lo supieran.

La abogada de noyb Maartje de Graaf lo describió con precisión: “Microsoft tiene toda la información clave sobre el tratamiento de datos en su software, pero está señalando con el dedo a las escuelas cuando se trata de ejercer los derechos. Las escuelas no tienen forma de cumplir con las obligaciones de transparencia e información”.

En ambos casos, la conclusión es la misma: no basta con elegir una plataforma tecnológica reconocida. Es necesario verificar qué dice el contrato, qué hace realmente el proveedor con los datos, y si las condiciones impuestas permiten al colegio cumplir con sus obligaciones legales. En muchos casos, no lo permiten.

Chile tiene una ventana que Europa ya cerró

Los casos danés y austriaco no son anécdotas lejanas. Son el espejo en el que Chile puede mirarse hoy, antes de que sea tarde.

La Ley N° 21.719 entra en plena vigencia en diciembre de 2026 y la agencia regulatoria que fiscalizará su cumplimiento aún no ha comenzado a operar. Eso significa que los colegios chilenos están exactamente donde estaban los municipios daneses antes de las sanciones: usando plataformas tecnológicas con datos de menores, sin haber revisado si sus contratos con los proveedores cumplen lo que la ley exige.

La diferencia es que en Chile todavía hay tiempo para hacerlo bien. La pregunta es si los colegios esperarán a que llegue la fiscalización o si aprovecharán este período para ordenar su casa.

El contrato que nadie lee

El vínculo jurídico entre un colegio y sus proveedores tecnológicos no puede ser solo una aceptación de términos y condiciones en línea. La ley exige un contrato de encargo de tratamiento que regule, al menos, qué datos se tratan, con qué finalidad, por cuánto tiempo, bajo qué medidas de seguridad, qué pasa con los datos al terminar el contrato y si el proveedor puede subcontratar a terceros.

En la práctica, ese contrato existe en pocas relaciones entre colegios chilenos y sus plataformas. En los casos donde existe, suele ser el documento estándar que el proveedor ofrece sin negociación. Eso puede ser suficiente en algunos casos, pero exige al menos que el colegio lo haya leído, evaluado y documentado.

La Ley N° 21.719 establece en su artículo 24 bis que el encargo de tratamiento debe constar por escrito y que el responsable —el colegio— debe velar porque el encargado cumpla con las obligaciones que la ley impone. Esa vigilancia no puede ser pasiva.

Qué significa esto en la práctica

Para un colegio, asumir que es el responsable del tratamiento implica al menos tres cosas concretas.

Primero, revisar los contratos con cada proveedor tecnológico que maneja datos de alumnos y verificar que existan cláusulas de encargo de tratamiento que cumplan con los requisitos legales. Si el proveedor opera servidores fuera de Chile —como ocurre con Google, Microsoft o Zoom— deben existir garantías adicionales para la transferencia internacional de datos.

Segundo, configurar activamente las plataformas para minimizar la recolección de datos. Muchos proveedores ofrecen versiones educativas con opciones de privacidad más estrictas que las versiones comerciales. El colegio debe elegirlas, activarlas y documentar esa decisión.

Tercero, informar a los apoderados. No para pedirles consentimiento —que en la mayoría de los casos no es necesario para el uso educativo de estas plataformas— sino para cumplir con el deber de transparencia que la ley impone. Los apoderados tienen derecho a saber qué plataformas usa el colegio, qué datos se almacenan en ellas y bajo qué condiciones.

La confianza también se construye así

Los colegios que en Europa entendieron temprano esta lógica —que la responsabilidad no se transfiere con el contrato tecnológico— no solo evitaron sanciones. Construyeron un capital de confianza con sus comunidades que hoy forma parte de su identidad institucional.

En un entorno educativo chileno cada vez más competitivo, donde las familias toman decisiones informadas y donde la privacidad digital de los hijos empieza a ser un criterio de elección, el cumplimiento de la Ley N° 21.719 no debería verse como una carga regulatoria. Debería verse como lo que también es: una oportunidad de demostrar que el colegio toma en serio la protección de quienes más importan.

Los datos de los alumnos no son de Google. No son de Microsoft. Son del alumno, administrados por el colegio bajo un mandato de confianza que la ley ahora obliga a formalizar. Eso no se delega firmando unos términos y condiciones.