Es cualquier información sobre una persona física identificada o identificable, considerándose identificable aquella cuya identidad pueda determinarse, directa o indirectamente (Artículo 4.1 del RGPD).

Datos personales pueden ser el nombre y los apellidos de un alumno o alumna, los de su padre, madre, tutor legal o del profesorado, su dirección, teléfono, correo electrónico, etc. También lo son las imágenes o la voz del alumnado y el profesorado, la profesión, los estudios o el lugar donde trabajan los padres, madres o tutores legales, o el número de cuenta bancaria, por citar algunos ejemplos.

• Los que revelan el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas y la afiliación sindical. 
• Los genéticos y biométricos. 
• Los relativos a la salud, a la vida sexual o a la orientación sexual.

Como regla general, los datos de categorías especiales no pueden ser tratados salvo cuando concurra alguna circunstancia de las previstas en la normativa de protección de datos (Artículo 9 del RGPD). En el sector educativo, la legislación permite el tratamiento de datos de categoría especial cuando sea necesario para fines educativos, siempre respetando los principios de protección de datos. Asimismo, puede ampararse el tratamiento de dichos datos sensibles cuando sea necesario por razón del interés publico esencial de proteger el interés superior del menor, recogido en la Ley Orgánica de Protección Jurídica del Menor.

Este tipo de datos, por su especial naturaleza, requiere que se adopten medidas técnicas y organizativas reforzadas para evitar que se originen lesiones en los derechos y libertades de sus titulares.

Resulta necesario aclarar que el dato de la asignatura de religión que curse el alumnado no pertenece a esta categoría, ya que ello no implica la revelación de su confesión religiosa.

Es cualquier operación o conjunto de operaciones que se realice sobre un dato personal o sobre un conjunto de datos personales. Ya sea por procedimientos automatizados o no (manuales), total o parcialmente (Artículo 4.2 del RGPD).

La recogida de los datos del alumnado y de sus progenitores o tutores legales al inicio del curso escolar es un ejemplo claro de tratamiento de datos personales. Igualmente, lo es el mantenimiento y la actualización del expediente del alumno o alumna y su comunicación a un nuevo centro en caso de traslado, así como la captación y grabación de imágenes a través de sistemas de videovigilancia.

De la persona física titular de los datos, como el alumnado, padres, madres o tutores legales, profesorado, personal administrativo o de servicios. Son los afectados o interesados, cuyos datos personales están siendo objeto de tratamiento.

No obstante, la mayoría de los datos personales tratados por los centros educativos se refieren a menores de edad. Este aspecto deberá ser tenido en cuenta a la hora de proteger sus datos personales, como se verá posteriormente.

Es la persona física o jurídica, pública o privada, que decide sobre la finalidad y medios del tratamiento, bien por decisión directa o porque así le viene impuesto por una norma legal.

En el caso de los centros docentes públicos y concertados, podrán ser responsables del tratamiento tanto los propios centros docentes como los órganos directivos centrales y periféricos dependientes de la Consejería competente en materia de educación de la Junta de Andalucía. En los centros docentes privados serán los propios centros.

El responsable del tratamiento debe tomar medidas para garantizar que cualquier persona que actúe bajo su autoridad, como el profesorado o el personal administrativo, sólo trate datos personales siguiendo sus instrucciones. El tratamiento realizado en estas condiciones por el personal del centro se entenderá realizado por el propio centro.

En algunos casos, los centros educativos subcontratan la prestación de determinados servicios con terceros que implican un tratamiento por parte de estos de datos personales responsabilidad del centro. Por ejemplo, los denominados servicios complementarios, como pueden ser los servicios de comedor, transporte o actividades extraescolares, etc. Estas personas y entidades tratan datos personales del alumnado, padres, madres, tutores legales o profesorado y demás personal del centro por encargo del responsable (centro o Administración educativa) (Artículo 4.8 del RGPD).

El encargado del tratamiento únicamente puede tratar datos personales siguiendo las instrucciones documentadas del centro o Administración educativa responsable del tratamiento y tras la previa formalización de un contrato que deberá incluir las garantías adecuadas (Artículo 28.3 del RGPD).

Además, el responsable del tratamiento tiene un deber de diligencia en la elección de los encargados, pudiendo únicamente elegir a aquellos que ofrezcan garantías de que aplicarán medidas para que el tratamiento garantice la protección de los derechos del interesado.

El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Sólo tratará datos personales siguiendo las instrucciones del responsable del tratamiento.

Debe firmarse un contrato que incluya garantías adecuadas en materia de protección de datos.