ChatGPT
Claude
Perplexity
Gemini
GrokLo que un chatbot de IA recopila concretamente sobre tus prospectos
Un chatbot de IA de reclutamiento estudiantil comienza a recopilar datos personales desde la primera interacción, mucho antes de que el prospecto escriba su nombre. Dirección IP, marca de tiempo de la sesión, mensajes escritos, licenciatura consultada: cada uno de estos elementos constituye un dato personal bajo la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento.
El 72% de las preguntas que reciben los chatbots de universidades son FAQ automatizables, el 21% requiere contexto institucional y el 7% requiere intervención humana. (Fuente: clasificación automática de 12 000 conversaciones Skolbot, 2025.) Cada una de esas 12 000 conversaciones es un tratamiento de datos sujeto a la LFPDPPP. El chatbot tiene una ventaja decisiva sobre otros canales: tiempo de respuesta de 3 segundos, disponible 24/7, frente a 47 horas por correo electrónico y 72 horas por formulario web (Fuente: auditoría mystery shopping Skolbot, 2025, 80 instituciones). Aprovechar esta ventaja requiere una infraestructura de recopilación de datos que cumpla con la normativa vigente.
Categorías de datos que recopila típicamente un chatbot de una institución de educación superior privada en México:
- Datos conversacionales — texto de los mensajes, marca de tiempo, idioma, duración de sesión
- Identificadores proporcionados voluntariamente — nombre, apellidos, correo electrónico, número de teléfono celular (cuando el prospecto los comparte para ser contactado)
- Datos de interés — licenciatura(s) consultada(s), nivel de estudios buscado, modalidad de interés (escolarizada, en línea, mixta)
- Datos demográficos voluntarios — estado de residencia, país de origen, edad o ciclo escolar (cuando se recopilan mediante formulario integrado)
- Datos técnicos — dirección IP, tipo de dispositivo, navegador, identificador de sesión
El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) requiere que cada tratamiento realizado a través de un chatbot se sustente en un fundamento legal válido, y que los titulares sean informados de dicho tratamiento desde el inicio de la interacción, mediante un aviso de privacidad que cumpla con los artículos 15 y 17 de la LFPDPPP. Para una cartografía completa de los datos que trata tu institución, consulta nuestra guía completa de datos de estudiantes para universidades mexicanas.
Las bases legales aplicables a cada categoría de datos
La LFPDPPP establece seis finalidades o bases para el tratamiento lícito de datos personales (artículos 8-10). Cuatro cubren prácticamente todos los tratamientos de un chatbot universitario:
Consentimiento (artículos 8 y 9 LFPDPPP) — El titular ha otorgado su consentimiento libre, específico e informado. Es la base adecuada para las comunicaciones de marketing posteriores (mensajes de seguimiento, boletines, invitaciones a open house) generadas a partir de interacciones con el chatbot. El consentimiento debe obtenerse mediante un mecanismo activo (casilla sin marcar previamente), con registro de fecha y hora, y conservarse como prueba. Para datos sensibles, el artículo 9 exige que el consentimiento sea expreso y por escrito.
Ejecución de una relación jurídica (artículo 10, fracción II) — El tratamiento es necesario para el cumplimiento de obligaciones derivadas de la relación entre el responsable y el titular. Un prospecto que solicita información sobre colegiatura o condiciones de admisión: el tratamiento de su correo electrónico para enviarle la documentación solicitada encuadra en esta base.
Interés legítimo documentado — La LFPDPPP no contempla el "interés legítimo" como base autónoma equivalente al RGPD europeo; no obstante, la fracción VI del artículo 10 permite el tratamiento cuando es necesario para el mantenimiento o cumplimiento de una relación jurídica. El análisis de conversaciones anonimizadas para mejorar la calidad del chatbot puede justificarse en esta figura, siempre que esté previsto en el aviso de privacidad. Atención: el INAI ha señalado que toda finalidad de tratamiento debe estar descrita de forma clara y específica en el aviso de privacidad.
Obligación legal — El tratamiento es necesario para el cumplimiento de una obligación impuesta por ley. Aplicable cuando los datos recopilados deben conservarse para cumplir con requerimientos de la SEP, COPAES o auditorías académicas.
Para datos sensibles —ver sección siguiente—, el artículo 9 impone una base adicional más exigente: consentimiento expreso y por escrito.
El principio de minimización: recopilar solo lo necesario
El principio de calidad de los datos (artículo 11 LFPDPPP) exige que los datos personales sean adecuados, pertinentes y no excesivos en relación con las finalidades para las que se obtuvieron. Es el principio más frecuentemente vulnerado en los chatbots de universidades privadas en México.
Lo que esto significa en la práctica para tu chatbot:
- El chatbot no debe exigir un correo electrónico para responder una pregunta sobre programas académicos. El correo solo es necesario si el prospecto desea ser contactado o recibir un documento.
- El RFC o CURP no deben recopilarse en la fase de prospección. Estos identificadores solo son pertinentes una vez iniciado el proceso formal de admisión.
- La edad precisa no es necesaria si el chatbot solo necesita determinar si el prospecto está en bachillerato o ya tiene una licenciatura. Un indicador de nivel de estudios es suficiente.
- Los registros completos de conversación no deben conservarse indefinidamente. La finalidad de la conservación (mejora del servicio, transferencia al CRM) debe definirse antes de la puesta en producción del chatbot, no después.
El INAI ha emitido recomendaciones específicas sobre inteligencia artificial y protección de datos que refuerzan la necesidad de adoptar el principio de privacidad desde el diseño (privacy by design): minimizar la recopilación de datos desde la arquitectura del sistema, no como medida correctiva posterior.
Datos sensibles: origen étnico, salud, situación económica
Algunos datos recopilables a través de un chatbot universitario entran en la categoría de datos sensibles del artículo 3, fracción VI, y el artículo 9 de la LFPDPPP. Su tratamiento está prohibido salvo en los supuestos expresamente listados, y requiere siempre el consentimiento expreso y por escrito del titular.
Origen racial o étnico: un chatbot que recopile el estado de residencia o la nacionalidad para segmentar prospectos (p. ej., "estudiantes de comunidades indígenas") debe evaluar si dicho tratamiento no constituye un tratamiento de datos de origen étnico encubierto, categoría sensible bajo el artículo 9.
Salud y discapacidad: los prospectos que buscan información sobre servicios de inclusión educativa, adaptaciones de exámenes o apoyos para estudiantes con discapacidad pueden comunicar datos de salud de forma no intencional. El chatbot debe configurarse para no registrar esta información en campos de texto libre sin cifrar. Si la recopilación es necesaria (orientación al responsable de inclusión), debe basarse en el consentimiento expreso y por escrito (artículo 9, fracción I) con información previa completa.
Situación económica: las solicitudes relativas a becas CONACYT, apoyos Benito Juárez, exenciones de colegiatura o financiamiento pueden revelar la situación socioeconómica del prospecto. Si bien no es un dato sensible en sentido estricto bajo el artículo 9, se trata de información confidencial que exige una base legal sólida y medidas de seguridad adecuadas.
Regla práctica: configura tu chatbot para detectar temas sensibles y redirigir hacia un humano o un formulario seguro, en lugar de recopilar esta información en la interfaz conversacional estándar.
Tabla de síntesis: datos, bases legales y plazos de conservación
| Tipo de dato | Base legal (LFPDPPP) | Plazo de conservación | Notas |
|---|---|---|---|
| Mensajes de conversación (anonimizados) | Art. 10 fracc. VI (finalidad legítima) | <12 meses | Para mejora del servicio — anonimización obligatoria |
| Correo + nombre (prospecto cualificado) | Consentimiento o relación jurídica | 3 años tras último contacto activo | Purga automática obligatoria |
| Teléfono celular | Consentimiento expreso | 3 años tras último contacto activo | Consentimiento específico para prospección |
| Programa(s) de interés | Art. 10 fracc. VI | Vinculado al perfil del prospecto | Documentar en el aviso de privacidad |
| Datos de origen/nacionalidad | Consentimiento o relación jurídica | Vinculado al perfil del prospecto | Verificar ausencia de inferencia de origen étnico |
| Edad / nivel de estudios | Art. 10 fracc. VI | Vinculado al perfil del prospecto | Necesario para orientar hacia el programa correcto |
| Dirección IP (no anonimizada) | Art. 10 fracc. VI | <13 meses | El INAI recomienda anonimización temprana |
| Datos de salud o discapacidad | Consentimiento expreso y por escrito (art. 9) | Estrictamente necesario | No recopilar en la interfaz estándar del chatbot |
| Registros técnicos de sesión | Art. 10 fracc. VI | <3 meses | Solo para seguridad y depuración técnica |
Evaluación de Impacto en la Protección de Datos (EIPD): ¿cuándo la activa tu chatbot?
La LFPDPPP no establece una obligación de Evaluación de Impacto en la Protección de Datos (EIPD) tan sistemática como el RGPD europeo, pero el INAI ha emitido lineamientos que recomiendan realizar una EIPD antes del despliegue de cualquier sistema de IA que trate datos personales a gran escala. Tu chatbot universitario probablemente requiere una EIPD si se da alguna de las siguientes condiciones:
- Tratamiento a gran escala: un chatbot que registra miles de conversaciones mensuales en una institución privada alcanza rápidamente el umbral de tratamiento a gran escala reconocido por el INAI
- Perfilado automatizado: si el chatbot califica al prospecto (cálido/frío, licenciatura recomendada, probabilidad de inscripción) a partir de sus interacciones, esto constituye un tratamiento automatizado de perfiles
- Datos sensibles: tratamiento de información que pueda revelar origen étnico, salud o situación socioeconómica
- Transferencia internacional de datos: si tu proveedor de chatbot utiliza servidores o modelos de lenguaje alojados fuera de México (Estados Unidos, principalmente), el artículo 36 de la LFPDPPP exige garantías equivalentes y, frecuentemente, cláusulas contractuales tipo
La EIPD documenta: la descripción del tratamiento, la evaluación de necesidad y proporcionalidad, los riesgos identificados y las medidas de mitigación. Si la EIPD concluye que el riesgo residual es elevado y no puede mitigarse, se recomienda consultar al INAI antes de poner en marcha el tratamiento.
Para las demás obligaciones técnicas y organizativas, nuestra checklist de auditoría LFPDPPP para universidades cubre los 20 puntos clave, incluyendo la EIPD del chatbot.
Implementar una recopilación conforme: la interfaz del chatbot
El cumplimiento de la LFPDPPP en un chatbot opera en tres niveles: el aviso de privacidad, el mecanismo de consentimiento y los derechos de los titulares.
Aviso de privacidad (transparencia)
Antes de la primera pregunta, el chatbot debe mostrar un mensaje de bienvenida o un enlace visible al aviso de privacidad que incluya (artículo 15 y 17 LFPDPPP):
- La identidad y domicilio del responsable del tratamiento (la institución)
- Las finalidades del tratamiento (responder preguntas, calificar al prospecto)
- Los mecanismos disponibles para el ejercicio de los derechos ARCO
- La mención de que el interlocutor es una inteligencia artificial (recomendado por el INAI en sus lineamientos de IA y privacidad)
Ejemplo conforme: "Soy [Nombre del chatbot], el asistente de IA de [Institución]. Tus datos se tratan conforme a nuestro [aviso de privacidad]. Puedes ejercer tus derechos ARCO escribiendo a privacidad@[institucion].edu.mx."
Mecanismo de consentimiento integrado
Si el chatbot recopila correo electrónico o teléfono, un mecanismo de consentimiento activo debe preceder a esa recopilación:
- Casilla sin marcar previamente para comunicaciones de marketing
- Texto diferenciado para cada finalidad (seguimiento de prospecto, boletín, invitación a open house)
- Marca de tiempo y conservación de la prueba de consentimiento
Derechos ARCO: acceso, rectificación, cancelación, oposición
El titular debe poder ejercer sus derechos de manera sencilla. Práctica habitual: mostrar la dirección de correo del responsable de protección de datos en la interfaz del chatbot y en el aviso de privacidad. La respuesta a una solicitud de cancelación debe realizarse en un plazo de 20 días hábiles (artículo 32 LFPDPPP) y cubrir todos los sistemas: registros del chatbot, CRM, herramienta de email marketing, analytics con datos identificables.
Prueba Skolbot en tu institución en 30 segundos
Preguntas frecuentes
¿Es obligatorio realizar una EIPD para un chatbot que no recopila correos electrónicos?
La LFPDPPP no impone una obligación de EIPD tan sistemática como el RGPD europeo para todos los chatbots, pero el INAI recomienda realizarla cuando el sistema trata datos personales a gran escala o mediante procesos automatizados, incluso si no recopila correos. Un chatbot que registra conversaciones con direcciones IP o realiza una calificación implícita de prospectos puede requerir una EIPD según los lineamientos de IA del INAI. Regla práctica: realiza una evaluación previa de los criterios INAI. Si se cumplen dos o más criterios de riesgo elevado, la EIPD es recomendable como medida de cumplimiento proactivo.
¿Cuánto tiempo deben conservarse las conversaciones del chatbot?
El INAI recomienda conservar los datos personales solo durante el tiempo necesario para cumplir con la finalidad que justificó su recopilación. Para mejora del servicio: los registros anonimizados pueden conservarse hasta 12 meses. Para prospectos cualificados (correo proporcionado): 3 años tras el último contacto activo, alineado con la práctica general de conservación de datos de prospección. Los registros técnicos (depuración, seguridad) no deben conservarse más de 3 meses. Estos plazos deben constar en el aviso de privacidad y aplicarse mediante purga automatizada, no mediante limpieza manual anual.
¿Puede el chatbot transferir datos al CRM sin obtener un consentimiento adicional?
Depende de la finalidad original del tratamiento y del uso previsto en el CRM. Si la recopilación de datos se realizó para el seguimiento del proceso de admisión, la transferencia al CRM para ese fin suele ser compatible con las finalidades declaradas en el aviso de privacidad. Sin embargo, si se desea utilizar esos datos para campañas de marketing no directamente relacionadas con la solicitud inicial (retargeting publicitario, envíos promocionales), se requiere un consentimiento específico que debe haberse obtenido antes de la transferencia. Documenta explícitamente la finalidad de la transferencia al CRM en el aviso de privacidad.
¿Cómo informar al prospecto de que interactúa con una IA?
La LFPDPPP no establece aún una obligación explícita de divulgación de IA equivalente al Reglamento de IA europeo, pero los lineamientos del INAI en materia de inteligencia artificial y el principio de transparencia del artículo 6 exigen que los titulares sean informados de los tratamientos a los que se someten sus datos, incluido el hecho de que el interlocutor es un sistema automatizado. Práctica recomendada: un nombre de chatbot que señale su naturaleza IA (p. ej., "Skolbot, asistente de IA"), un mensaje de bienvenida que lo mencione explícitamente y un icono o color distintivo. Esta información puede integrarse en el mismo mensaje que incluye las menciones del aviso de privacidad.
¿Qué hacer si un prospecto revela espontáneamente una condición de salud o discapacidad?
Configura tu chatbot para detectar palabras clave relacionadas con salud, discapacidad o situación social y activar una respuesta de redirección: "Para acompañarte mejor en este aspecto, nuestro equipo de inclusión educativa te contactará directamente. ¿Deseas dejar tus datos de contacto?" No almacenes el dato sensible en los registros estándar del chatbot. Si el registro completo de sesión es técnicamente inevitable, este campo debe ser enmascarado o eliminado antes del archivado. El riesgo: que datos de salud o situación social lleguen a un CRM de marketing sin la base legal adecuada (consentimiento expreso y por escrito), lo que constituiría una infracción grave de la LFPDPPP sancionable por el INAI.
