ChatGPT
Claude
Perplexity
Gemini
Grok¿Cuánto tiempo puede conservar una universidad mexicana los datos de sus prospectos?
La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), publicada en el Diario Oficial de la Federación el 5 de julio de 2010, establece en su Capítulo III el principio de proporcionalidad y finalidad: los datos personales solo pueden conservarse durante el tiempo estrictamente necesario para cumplir la finalidad establecida en el aviso de privacidad. Una vez cumplida esa finalidad, los datos deben bloquearse para su posterior supresión.
Para datos de prospección y captación estudiantil en educación superior, el INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales) considera que 3 años desde el último contacto activo es el plazo máximo razonable para registros de prospectos en universidades e instituciones de educación superior privadas. Superado ese plazo, ninguna finalidad legítima de captación puede justificar la conservación continuada de los datos.
No se trata de una cuestión teórica. Las instituciones de educación superior privadas en México — desde el TEC de Monterrey hasta la UDLAP, el ITAM o la IBERO — acumulan datos de prospectos a gran escala en CRM, chatbots, formularios de registro para jornadas de puertas abiertas y secuencias de correo electrónico. La mayoría no tiene políticas de supresión automatizada en vigor. Comprender con precisión las obligaciones bajo la LFPDPPP y los lineamientos del INAI es el punto de partida para una gestión defensible de la privacidad en los equipos de admisiones.
Para el marco completo de protección de datos en educación superior, consulte nuestra guía completa de protección de datos estudiantiles.
El marco legal: LFPDPPP y sus principios rectores
La LFPDPPP precede al RGPD europeo en ocho años, pero comparte con él principios estructurales equivalentes. El Artículo 6 de la ley establece seis principios que rigen todo tratamiento de datos personales por parte de particulares:
- Licitud: el tratamiento debe fundarse en las hipótesis previstas por la ley.
- Consentimiento: salvo excepciones taxativas, los datos solo pueden tratarse con el consentimiento del titular.
- Información (transparencia): el titular debe ser informado mediante el aviso de privacidad antes de la recolección.
- Calidad: los datos deben ser exactos, completos y actualizados.
- Finalidad: los datos solo pueden tratarse para los fines declarados en el aviso de privacidad.
- Lealtad y proporcionalidad (minimización): solo deben recolectarse los datos necesarios para la finalidad declarada.
- Responsabilidad: el responsable del tratamiento debe rendir cuentas ante el INAI y ante los titulares.
El aviso de privacidad — documento de entrega obligatoria al titular en el momento de la recolección — debe indicar expresamente los fines del tratamiento y, para los datos de prospección, el plazo de conservación o los criterios utilizados para determinarlo.
El aviso de privacidad: pieza central de la conformidad
A diferencia del RGPD, que requiere una base jurídica para cada tratamiento, la LFPDPPP centra el esquema de licitud en el aviso de privacidad y el consentimiento. Para la captación de prospectos en educación superior, el aviso debe ser simplificado — entregado en el punto de recolección — y debe remitir a un aviso integral disponible en el sitio web de la institución.
El aviso de privacidad para prospectos de una universidad privada debe incluir:
- La identidad y domicilio del responsable del tratamiento (la institución).
- Las finalidades primarias del tratamiento: gestión de la solicitud de información, envío de materiales de captación, seguimiento del proceso de inscripción.
- Las finalidades secundarias, si las hay: perfilado para remarketing, transferencia a terceros (agencias de marketing, plataformas de CRM).
- Los mecanismos para ejercer los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).
- Las transferencias nacionales o internacionales de datos previstas.
La ausencia de un aviso de privacidad o su entrega posterior a la recolección constituye una infracción directa al Artículo 17 de la LFPDPPP, sancionable por el INAI con multas de hasta 320,000 días de salario mínimo.
Plazos de retención por categoría de datos: tabla de referencia
Los siguientes plazos reflejan la normativa LFPDPPP y la práctica establecida en educación superior privada en México. Representan el plazo máximo defensible, no un objetivo. Si la institución puede justificar un plazo más corto, debe adoptarlo.
| Categoría de dato | Plazo de retención | Punto de inicio | Base legal / fuente |
|---|---|---|---|
| Datos de contacto de prospecto (no convertido) | 3 años | Último contacto activo | LFPDPPP Art. 11 / lineamientos INAI |
| Registro de conversación de chatbot (prospecto identificado) | 3 años | Último contacto activo | Parte del expediente del prospecto |
| Registro de jornadas de puertas abiertas / expos | 3 años (si no hay conversión) | Último contacto activo | Principio de finalidad LFPDPPP |
| Datos de solicitud de ingreso — candidato no aceptado | 2 años | Fecha de resolución de rechazo | Plazos de prescripción civil |
| Datos de solicitud — candidato que desistió | 2 años | Fecha de desistimiento | Lineamientos INAI |
| Expediente del alumno matriculado | 5 años | Término de estudios | Normativa SEP / COPAES |
| Registros financieros / contables | 10 años | Cierre del ejercicio fiscal | Código Fiscal de la Federación Art. 30 |
| Datos de pago con tarjeta | 13–18 meses | Fecha de transacción | Normativa PCI DSS |
| Analítica web / cookies | 13 meses | Colocación de la cookie | Lineamientos INAI sobre cookies |
Dos precisiones son relevantes. Primero, el plazo de 3 años para datos de contacto de prospectos se computa desde el último contacto activo, no desde la fecha de recolección inicial. Un intercambio por chatbot, una visita a campus o una respuesta a un correo reinicia el contador. Segundo, los registros de conversación de chatbot vinculados a un prospecto identificado forman parte de su expediente y siguen el mismo plazo máximo de 3 años.
El ciclo de vida de los datos: tres fases
Fase 1 — Retención activa
Un prospecto que solicita información sobre una licenciatura en una institución privada — ya sea a través del formulario del sitio web, de un stand en una expo universitaria como la Feria del CENEVAL o de un chatbot de admisiones — entra en la fase de retención activa desde la fecha de recolección. El plazo corre desde el último contacto significativo.
Para los prospectos que no llegan a presentar el examen de admisión (EXANI-II o equivalente institucional), la retención activa no debería extenderse más allá de 12 a 18 meses desde el último contacto. El plazo máximo de 3 años no es una autorización para conservar datos de forma pasiva — es el límite absoluto dentro del cual el contacto activo es justificable.
Fase 2 — Bloqueo
La LFPDPPP prevé expresamente la figura del bloqueo (Artículo 11): una vez cumplida la finalidad del tratamiento, los datos deben bloquearse — conservados con acceso restringido, sin posibilidad de tratamiento activo — durante el período necesario para atender reclamaciones o cumplir obligaciones legales. Durante esta fase, los datos no son accesibles al equipo de admisiones para actividades de marketing o seguimiento.
Para datos de solicitud de candidatos no aceptados, el bloqueo cubre el período de 2 años durante el cual podría plantearse una reclamación administrativa o judicial. Para datos de prospectos puros, el bloqueo suele ser breve o innecesario si el plazo activo ya ha expirado.
Fase 3 — Supresión definitiva
Al concluir el período de bloqueo, los datos deben suprimirse de forma segura e irreversible. La supresión debe ser verificable — el INAI puede requerir evidencia de los mecanismos de eliminación durante una inspección. Los datos anonimizados de forma irreversible dejan de ser datos personales y pueden conservarse como métricas agregadas. Los datos seudonimizados (donde la reidentificación es posible mediante una clave) siguen siendo datos personales bajo la LFPDPPP.
El chatbot y la dimensión de la IA
El 72% de las consultas de prospectos son FAQ simples automatizables; el 7% requiere intervención humana (Fuente: análisis Skolbot de 12.000 conversaciones de chatbot, 2025; source_ref: content/zpd-bank.json#question-complexity-distribution). La mayoría de las interacciones de chatbot generan registros de conversación sin datos sensibles — pero esos registros constituyen datos personales cuando están vinculados a un prospecto identificado o identificable.
Tres reglas rigen los datos generados por chatbots bajo la LFPDPPP:
Aviso de privacidad previo: antes de que el prospecto proporcione datos personales al chatbot, la institución debe mostrar un aviso simplificado que informe de la identidad del responsable, las finalidades del tratamiento y los mecanismos ARCO. Un banner de apertura o un mensaje inicial en la interfaz del chatbot satisface este requisito.
Redacción automática de datos sensibles: los prospectos comparten espontáneamente información sobre situación económica, discapacidades o problemas de salud en conversaciones de chatbot. Estos datos son categorías especiales bajo el Artículo 9 de la LFPDPPP y requieren consentimiento expreso para su tratamiento. La redacción o anonimización automática a los 30 días es la práctica recomendada.
Supresión coordinada al vencimiento del plazo: los registros de conversación del chatbot deben eliminarse simultáneamente con el expediente del prospecto en el CRM al vencer el plazo de retención. El contrato con el proveedor del chatbot debe confirmar la capacidad de eliminación individual por prospecto. Para un análisis detallado del proceso de cancelación, consulte nuestra guía sobre derecho de supresión en universidades mexicanas.
Errores frecuentes de retención en universidades mexicanas
Error 1 — La hoja de cálculo de la expo. Datos recolectados en una Expo Universitaria o en un stand de orientación vocacional se exportan a Excel, se envían por correo electrónico al equipo de admisiones y se importan al CRM sin aviso de privacidad ni registro de consentimiento. Múltiples obligaciones de la LFPDPPP se incumplen en un solo flujo de trabajo.
Error 2 — El CRM sin depuración. Registros de prospectos de 2022 y 2023 permanecen activos en la base de datos, recibiendo correos de seguimiento. Dependiendo de la fecha del último contacto, muchos de esos registros superan el plazo máximo de 3 años.
Error 3 — El aviso de privacidad genérico. El aviso de privacidad del sitio web no especifica los plazos de conservación ni los criterios para determinarlos. El INAI considera esta omisión como incumplimiento del principio de información.
Error 4 — La omisión del bloqueo. Los datos de prospectos no convertidos se eliminan directamente sin pasar por la fase de bloqueo, impidiendo la atención de reclamaciones posteriores. Alternativamente, los datos permanecen en uso activo mucho más allá de la finalidad declarada, sin transitar nunca al bloqueo.
Error 5 — Las cookies sin plazo definido. Datos analíticos y píxeles de remarketing conservados sin límite temporal, porque la plataforma de gestión de consentimiento se configuró en el momento del lanzamiento y nunca se revisó. Para un tratamiento detallado, consulte nuestra guía de consentimiento de cookies para universidades.
Lista de verificación para equipos de admisiones
- Los plazos de retención están documentados en el aviso de privacidad integral para cada categoría de datos
- El CRM tiene configurada la supresión automática al vencer el plazo de cada categoría
- Las listas de correo están sincronizadas con la supresión en el CRM: los registros eliminados quedan dados de baja simultáneamente
- El proveedor del chatbot ha confirmado la capacidad de eliminación individual por prospecto
- Los registros de jornadas de puertas abiertas y expos: revisados y suprimidos a los 3 años del evento (si no hubo conversión)
- Los datos de solicitudes de candidatos no aceptados: eliminados a los 2 años de la resolución
- Los registros financieros y contables: conservados 10 años (Código Fiscal de la Federación)
- Los datos analíticos y de cookies: revisados a los 13 meses
- El equipo de admisiones conoce los plazos de retención y no mantiene copias en hojas de cálculo
- El aviso de privacidad está disponible en todos los puntos de recolección (formularios, chatbot, eventos)
- Existe un proceso documentado para el ejercicio de derechos ARCO
- El departamento jurídico o el encargado de privacidad supervisa el cumplimiento anualmente
Para el marco completo de conformidad, consulte nuestra guía sobre protección de datos de prospectos en universidades mexicanas.
Descubra cómo las universidades mexicanas mejoran su captación estudiantilPreguntas frecuentes
¿Cuál es el plazo estándar de retención de datos de prospectos en México?
La LFPDPPP no establece plazos fijos, pero el principio de proporcionalidad y los lineamientos del INAI apuntan a 3 años desde el último contacto activo como límite máximo razonable para datos de prospección y marketing en educación superior. Se trata de un techo, no de un plazo mínimo: si el proyecto académico del prospecto está claramente abandonado, un plazo más corto es más defendible. El contador se reinicia cada vez que el prospecto tiene un contacto activo (interacción por chatbot, registro en evento, respuesta a correo).
¿Responder a un boletín de noticias reinicia el plazo de retención?
Abrir un correo es un comportamiento pasivo y no constituye un contacto activo para efectos de reiniciar el plazo. La respuesta a un correo, el registro en una jornada de puertas abiertas, la descarga de un folleto con identificación, o una conversación de chatbot — acciones que requieren una intervención afirmativa del prospecto — son los desencadenantes apropiados para reiniciar los 3 años.
¿El aviso de privacidad debe indicar el plazo de retención?
Sí. El principio de información de la LFPDPPP y los lineamientos del INAI exigen que el aviso de privacidad integral indique el plazo de conservación o, cuando no sea posible determinarlo de antemano, los criterios utilizados para establecerlo. Un aviso que solo indica "conservaremos sus datos durante el tiempo necesario" sin precisar criterios no cumple con este requisito.
¿Puede una universidad conservar datos de prospectos indefinidamente si el titular no ejercita el derecho de cancelación?
No. El principio de finalidad de la LFPDPPP opera de forma independiente al ejercicio de derechos por parte del titular. La institución debe aplicar proactivamente sus propios plazos de retención. La ausencia de una solicitud de cancelación no constituye una base legal para conservar datos indefinidamente.
¿Cuáles son las sanciones del INAI por incumplimiento de los plazos de retención?
El INAI puede imponer sanciones que van desde amonestaciones hasta multas de hasta 320,000 días de salario mínimo general vigente en el Distrito Federal, dependiendo de la gravedad y la reincidencia. Adicionalmente, el INAI puede ordenar medidas correctivas y publicar los resultados de sus inspecciones, lo que genera un riesgo reputacional significativo para las instituciones de educación superior privadas cuya captación depende de la confianza de familias y prospectos.
