Edusign
Glosario

RGPD: definición, principios clave y obligaciones para los organismos de formación

El equipo Edusign · 10 mars 2026 · 7 min
En resumen: El RGPD (Reglamento General de Protección de Datos) es el marco jurídico europeo que regula el tratamiento de datos personales. Para los responsables de organismos de formación, directores de centros y responsables de secretaría, impone obligaciones concretas sobre la recopilación, conservación y seguridad de los datos de sus alumnos: nombres, registros de asistencia, evaluaciones, datos de contacto. El incumplimiento puede conllevar multas de hasta 20 millones de euros o el 4% de la facturación mundial anual.

¿Qué es el RGPD?

El RGPD, o Reglamento General de Protección de Datos (en inglés GDPR, General Data Protection Regulation), es un reglamento europeo que entró en vigor el 25 de mayo de 2018. Sustituye a la directiva de 1995 sobre protección de datos y armoniza las legislaciones de todos los Estados miembros de la Unión Europea en materia de tratamiento de datos personales.

Un dato personal es cualquier información que permita identificar directa o indirectamente a una persona física: nombre, dirección de correo electrónico, número de identificación, datos biométricos, o incluso la combinación de varios elementos que, tomados en conjunto, permitan la identificación. Esto incluye tanto los archivos digitales como los físicos en papel.

El RGPD se aplica a cualquier organización, independientemente de su tamaño o país de establecimiento, en cuanto trata datos de residentes europeos. Para los organismos de formación, centros de formación profesional, universidades y departamentos de formación empresarial, esto significa que todos los datos relativos a alumnos, participantes, empleados y formadores están sujetos a este reglamento.

Principios clave del RGPD

El RGPD se basa en siete principios fundamentales que guían el tratamiento de los datos personales:

  • Licitud, lealtad y transparencia. Los datos solo pueden recopilarse sobre una base jurídica (consentimiento, contrato, obligación legal, interés legítimo) y las personas afectadas deben ser informadas de cómo se usan sus datos.
  • Limitación de la finalidad. Los datos recopilados para un fin específico no pueden reutilizarse para finalidades incompatibles.
  • Minimización de datos. Solo se pueden recopilar los datos estrictamente necesarios para la finalidad. Un organismo de formación no necesita pedir la fecha de nacimiento de un participante si no es relevante para la formación.
  • Exactitud. Los datos deben mantenerse actualizados y las inexactitudes corregirse sin demora.
  • Limitación del plazo de conservación. Los datos solo pueden conservarse durante el tiempo necesario para la finalidad para la que fueron recopilados.
  • Integridad y confidencialidad. Los datos deben protegerse contra accesos no autorizados, pérdidas y destrucciones accidentales.
  • Responsabilidad proactiva. El organismo debe poder demostrar en todo momento su cumplimiento del RGPD.

Obligaciones concretas para los organismos de formación

Para un responsable de organismo de formación, el RGPD se traduce en obligaciones operativas precisas:

  • Llevar un registro de actividades de tratamiento. Cada tratamiento de datos personales (gestión de inscripciones, seguimiento de asistencia, comunicaciones, archivo de evaluaciones) debe documentarse en un registro actualizado.
  • Informar a los alumnos. Al recopilar datos, los alumnos y participantes deben ser informados de la finalidad del tratamiento, el plazo de conservación y sus derechos (acceso, rectificación, supresión, portabilidad, oposición).
  • Obtener un consentimiento válido. Cuando el tratamiento se base en el consentimiento, este debe ser libre, específico, informado e inequívoco. Una casilla premarcada no constituye un consentimiento válido en el sentido del RGPD.
  • Proteger los datos. Deben aplicarse medidas técnicas y organizativas apropiadas: cifrado, control de acceso, copias de seguridad periódicas, gestión de permisos.
  • Gestionar a los encargados del tratamiento. Cualquier proveedor que trate datos en nombre del organismo (proveedor de alojamiento, software de gestión, herramienta de asistencia digital) debe haber firmado un contrato de tratamiento de datos conforme al RGPD.
  • Notificar las violaciones de datos. En caso de una brecha o acceso no autorizado, el organismo debe notificar a la autoridad supervisora en un plazo de 72 horas e informar a las personas afectadas si el riesgo es alto.

Sanciones y riesgos para los incumplidores

El RGPD no es una restricción meramente teórica. Las autoridades de protección de datos en Europa disponen de amplias competencias de investigación y sanción.

Se prevén dos niveles de multas:

  • Hasta 10 millones de euros o el 2% de la facturación mundial anual por incumplimiento de las obligaciones básicas (registro, delegado de protección de datos, seguridad del tratamiento).
  • Hasta 20 millones de euros o el 4% de la facturación mundial anual por violación de los derechos fundamentales de los afectados (ausencia de consentimiento, incumplimiento del derecho de supresión, transferencias ilícitas de datos fuera de la UE).

Más allá de las multas, las autoridades supervisoras pueden imponer medidas correctivas como la limitación o suspensión del tratamiento de datos, lo que puede paralizar la actividad de un organismo de formación cuyos procesos clave dependen de herramientas digitales no conformes.

RGPD y datos de los alumnos

Los alumnos, participantes y estudiantes constituyen la población más sensible para los organismos de formación en relación con el RGPD. Sus datos son numerosos: identidad, datos de contacto, seguimiento de asistencia, resultados de evaluaciones, datos de salud en algunos contextos, información sobre la financiación de la formación.

Tres puntos de atención específicos para los responsables de formación:

  • Plazos de conservación de datos. Los documentos de formación (hojas de asistencia, evaluaciones, convenios) deben conservarse durante plazos variables según su naturaleza. Los documentos necesarios para las inspecciones de financiadores se conservan generalmente 5 años. Los datos de conexión a herramientas digitales no superan en general los 12 meses.
  • Datos de alumnos menores de edad. Cuando se trate de menores de 14 años (en España) o 16 (umbral general europeo), el consentimiento de los padres o tutores legales es obligatorio para cualquier tratamiento de datos basado en el consentimiento que no sea estrictamente necesario para la ejecución de la formación.
  • Alojamiento de datos. Para los organismos que realizan el seguimiento de sus actividades en una herramienta digital, se recomienda encarecidamente alojar los datos en Europa para limitar el riesgo de transferencias ilícitas fuera de la UE.

Cómo Edusign garantiza el cumplimiento del RGPD

Edusign fue concebido con el cumplimiento del RGPD como restricción de diseño fundamental, no como una adición posterior. En la práctica, esto se traduce en varias garantías:

  • Alojamiento en Europa. Todos los datos se alojan en infraestructuras certificadas ISO 27001 en territorio europeo, sin transferencia a terceros países con protección inadecuada.
  • Cifrado de datos. Los datos se cifran en tránsito (TLS) y en reposo, limitando el riesgo de acceso no autorizado en caso de brecha.
  • Contrato de tratamiento de datos conforme al RGPD. Edusign firma con cada cliente un Acuerdo de Tratamiento de Datos (DPA) que describe con precisión los tratamientos realizados y las garantías aportadas, conforme al artículo 28 del RGPD.
  • Control de asistencia digital: las hojas de presencia electrónicas se sellan con marca de tiempo y se archivan de forma conforme, con un plazo de conservación configurable según las obligaciones reglamentarias de cada organismo.
  • Firma electrónica conforme a eIDAS: los convenios de formación y documentos contractuales firmados a través de Edusign tienen valor probatorio reconocido, sin necesidad de conservar copias en papel.

Para los directores de organismos de formación, los responsables de secretaría y los Delegados de Protección de Datos que buscan simplificar su cumplimiento del RGPD manteniendo la trazabilidad exigida por sus financiadores, Edusign ofrece una solución llave en mano que reduce el riesgo regulatorio sin añadir carga al trabajo diario de los equipos.

Preguntas frecuentes sobre el RGPD

Antes del RGPD, cada Estado miembro de la UE tenía su propia ley nacional de protección de datos basada en una directiva de 1995. Estas leyes variaban de un país a otro y tenían un alcance extraterritorial limitado. El RGPD, que entró en vigor en mayo de 2018, es un reglamento directamente aplicable en todos los Estados miembros, que crea un marco armonizado único. Fortaleció considerablemente los derechos de las personas (supresión, portabilidad, oposición) e introdujo sanciones mucho más elevadas por incumplimiento. También introdujo el principio de responsabilidad proactiva: las organizaciones no solo deben cumplir, sino poder demostrar su cumplimiento en todo momento. Para los organismos de formación que operan en varios países europeos, el RGPD simplificó considerablemente el cumplimiento transfronterizo.

El nombramiento de un Delegado de Protección de Datos (DPD) es obligatorio para los organismos que tratan a gran escala datos sensibles o realizan un seguimiento sistemático y a gran escala de personas. Para la mayoría de los organismos de formación de tamaño pequeño y mediano, un DPD no es legalmente obligatorio. Sin embargo, se recomienda encarecidamente en cuanto el organismo gestiona datos de cientos de alumnos, utiliza herramientas de seguimiento digital (LMS, asistencia digital) o trata datos sensibles (salud, discapacidad). Incluso sin obligación legal, designar un responsable interno de RGPD es una buena práctica que facilita la gestión de incidentes.

Los plazos de conservación dependen de la naturaleza de los datos y su finalidad. Para los datos relacionados con la formación profesional, los principales plazos son: los convenios y contratos de formación deben conservarse 5 años tras el fin de la formación para responder a las inspecciones de financiadores. Las hojas de asistencia y certificados de presencia se conservan generalmente 5 años. Los datos de candidaturas no admitidas no deben conservarse más de 2 años. Los datos de conexión a herramientas digitales no superan en general los 12 meses. Pasados estos plazos, los datos deben suprimirse o anonimizarse. Se recomienda formalizar estos plazos en el registro de actividades de tratamiento.

En caso de violación de datos (acceso no autorizado, pérdida, destrucción o divulgación accidental), el organismo de formación dispone de 72 horas para notificar a la autoridad supervisora competente. La notificación debe describir la naturaleza de la violación, las categorías y el número de personas afectadas, las consecuencias probables y las medidas tomadas. Si la violación puede generar un riesgo alto para los derechos y libertades de los afectados, estos también deben ser informados sin demora indebida. Una buena organización previa (registro de tratamientos, procedimientos de emergencia, contactos de la autoridad supervisora identificados) reduce considerablemente el tiempo de respuesta.

Sí, con normas específicas. Para los menores de 14 años en España (el umbral general europeo es 16), el consentimiento de un padre o tutor legal es obligatorio para cualquier tratamiento de datos basado en el consentimiento que no sea estrictamente necesario para la ejecución de la formación. A partir de esa edad, el menor puede consentir por sí mismo en la mayoría de los casos. Para los organismos de formación que acogen menores, es indispensable integrar este punto en los formularios de inscripción y asegurarse de que las herramientas digitales utilizadas tratan los datos de los alumnos menores de forma conforme y segura.

¿Listo para simplificar su gestión?

Prueba gratuita