ChatGPT
Claude
Perplexity
Gemini
GrokAviso legal: Este artículo tiene carácter informativo. Para cuestiones jurídicas específicas, consulte a su DPO o a un abogado especializado en protección de datos.
Cada vez que un candidato rellena un formulario de contacto alojado en Google Workspace, interactúa con un anuncio de Meta o conversa con un asistente basado en OpenAI, sus datos personales pueden salir de la Unión Europea. Para una escuela privada española, esto no es un detalle técnico: es una obligación RGPD que la Agencia Española de Protección de Datos (AEPD) fiscaliza activamente y que, en caso de infracción, puede suponer multas de hasta el 4 % del volumen de negocio anual global.
El 58 % de los candidatos que contactan con escuelas privadas son no nativos — lo que significa que la mayoría de las interacciones pasan por herramientas multilingües de proveedores estadounidenses. (Fuente: Detección automática de idioma en 8.500 conversaciones de Skolbot, 2025–2026.) La cadena de transferencia transfronteriza es, por tanto, estructural, no excepcional.
Esta guía analiza qué datos de sus candidatos llegan a servidores fuera de la UE, qué marco legal regula esas transferencias en 2026 y qué estado de conformidad tienen los tres proveedores más comunes en el sector educativo español: Google Workspace, Meta Ads y OpenAI. Para el marco general de protección de datos en educación superior, consulte nuestra guía RGPD completa para datos estudiantiles. Para las obligaciones contractuales con proveedores de chatbot, remítase a Chatbot RGPD: cumplimiento con proveedores para escuelas.
Qué datos de sus candidatos salen de la UE
La respuesta directa: prácticamente todos los datos recogidos durante la fase de captación pasan por al menos un sistema de un proveedor con servidores en EE.UU., salvo que su escuela haya configurado activamente las opciones de residencia de datos disponibles.
Los datos de candidatos que fluyen de forma habitual fuera de la UE se agrupan en tres categorías:
Datos de identificación y contacto — nombre, correo electrónico, número de teléfono y país de origen. Estos datos se recogen en formularios de Google Workspace, páginas de aterrizaje conectadas a Google Analytics 4 y leads capturados mediante Meta Lead Ads. Todos ellos se procesan inicialmente en infraestructura estadounidense si el administrador no ha habilitado la residencia de datos en Europa.
Datos de comportamiento y navegación — páginas visitadas, tiempo de permanencia, fuente de adquisición, clics en anuncios y eventos de conversión. El píxel de Meta, Google Tag Manager y las cookies de seguimiento publicitario envían estos datos a servidores en EE.UU. en tiempo real, con independencia de la ubicación del servidor del sitio web de la escuela.
Datos conversacionales — preguntas formuladas a un chatbot o asistente, historial de conversación e idioma del candidato. Si el chatbot está basado en la API de OpenAI o en un modelo equivalente de proveedor estadounidense, las transcripciones se procesan en infraestructura de EE.UU. En función de la configuración, pueden retenerse para análisis o mejora del modelo.
El artículo 44 del RGPD (Reglamento UE 2016/679) prohíbe estas transferencias salvo que concurra una de las bases habilitantes del Capítulo V. Las escuelas que utilizan estos servicios sin haber verificado esas bases habilitantes están incumpliendo el RGPD, independientemente de que el proveedor sea un gigante tecnológico de reconocida solvencia.
RGPD y transferencias internacionales: las reglas vigentes
La respuesta directa: en 2026, transferir datos de candidatos a EE.UU. es legal bajo tres mecanismos principales — el Marco de Privacidad de Datos UE-EE.UU. (DPF), las Cláusulas Contractuales Tipo (CCT) y la combinación de ambos. Pero el cumplimiento formal exige documentación activa por parte de la escuela, no solo la adhesión del proveedor al DPF.
El Marco de Privacidad de Datos UE-EE.UU. (DPF)
El Marco de Privacidad de Datos (Data Privacy Framework, DPF) está vigente desde julio de 2023. La Comisión Europea adoptó su decisión de adecuación en virtud del artículo 45 del RGPD, lo que significa que las transferencias a empresas certificadas bajo el DPF son legalmente equivalentes a transferencias dentro de la UE. Google, Meta y OpenAI están certificadas bajo el DPF. Sin embargo, la certificación del proveedor no exime a la escuela de verificar que el tratamiento concreto realizado por ese proveedor está cubierto por su certificación DPF.
Cláusulas Contractuales Tipo (CCT)
Las CCT son el mecanismo habilitante más utilizado en la práctica. La Comisión Europea adoptó el conjunto actualizado de CCT mediante la Decisión de Ejecución 2021/914. Para que las CCT sean válidas, deben ir acompañadas de una Evaluación de Impacto de la Transferencia (TIA, Transfer Impact Assessment), en la que la escuela analiza si las leyes del país de destino — en este caso EE.UU. — ofrecen garantías equivalentes a las del RGPD. La sentencia Schrems II del Tribunal de Justicia de la UE (asunto C-311/18) anuló el anterior Privacy Shield precisamente porque no exigía este análisis caso a caso. El DPF responde en parte a esa exigencia, pero la TIA sigue siendo recomendable como medida de accountability.
Lo que el Comité Europeo de Protección de Datos (EDPB) exige
El EDPB ha publicado recomendaciones específicas sobre transferencias internacionales que establecen que la escuela, como responsable del tratamiento, debe: identificar todos los flujos de datos hacia terceros países, verificar el mecanismo habilitante aplicable a cada flujo, formalizar el Acuerdo de Encargado del Tratamiento (AET) conforme al artículo 28 del RGPD con cada proveedor, y documentar el análisis en el Registro de Actividades de Tratamiento (RAT). La AEPD comparte este enfoque y ha publicado guías específicas sobre transferencias internacionales que refuerzan la obligación de documentación activa.
Google Workspace, Meta Ads, OpenAI — tabla de conformidad RGPD 2026
La siguiente tabla resume el estado de conformidad de los tres proveedores más utilizados por escuelas privadas españolas en su proceso de captación de candidatos.
| Proveedor | Mecanismo habilitante | Residencia de datos en UE | Sin retención para entrenamiento | AET disponible | Nivel de conformidad |
|---|---|---|---|---|---|
| Google Workspace for Education | DPF + CCT | Sí, configurable por administrador | Sí, datos de usuarios de Workspace Education | Sí, Acuerdo de Tratamiento de Datos estándar | CONFORME con configuración correcta |
| Meta Ads | DPF + CCT | Parcial — datos del píxel fluyen a EE.UU. | Suspensión del entrenamiento de IA con datos de usuarios UE (2023–) | Sí, Términos de Tratamiento de Datos | CONFORME CONDICIONADO — requiere TIA y auditoría del píxel |
| OpenAI (API) | DPF + CCT | Residencia de datos en Europa disponible (planes enterprise) | Sin retención de datos de entrada/salida vía API (opción activable) | Sí, Data Processing Addendum estándar | CONFORME con controles enterprise activados |
Google Workspace for Education ofrece el nivel de garantías más sólido para el sector educativo. Las cuentas de Google Workspace for Education permiten configurar la región de procesamiento de datos en la UE y excluyen los datos de los usuarios de los productos publicitarios de Google. El administrador debe activar explícitamente estas opciones; la configuración predeterminada no las aplica de forma automática. El Acuerdo de Tratamiento de Datos de Google cubre las CCT y referencia su certificación DPF.
Meta Ads presenta una complejidad mayor. Meta está certificada bajo el DPF y dispone de CCT para las transferencias a EE.UU. En 2023, Meta suspendió el entrenamiento de su modelo de IA con datos de usuarios de la UE tras las resoluciones de varias autoridades de control europeas. Sin embargo, los datos de comportamiento capturados por el píxel de Meta — clics, visitas, conversiones — siguen fluyendo a servidores en EE.UU. en tiempo real. Para una escuela española, esto requiere: revisar el banner de cookies para asegurar que el consentimiento previo cubre estas transferencias, documentar una TIA para los flujos del píxel, y verificar que el AET firmado con Meta cubre los tratamientos concretos realizados.
OpenAI ha habilitado para sus clientes enterprise la opción de residencia de datos en Europa y la desactivación de la retención de datos de las llamadas a la API. Cuando estas opciones están activas, los datos de las conversaciones de los candidatos no se almacenan en EE.UU. ni se utilizan para el entrenamiento del modelo. Para los clientes de los planes inferiores (ChatGPT Team, API sin configuración enterprise), las condiciones predeterminadas son menos restrictivas y requieren un análisis más cuidadoso. El Data Processing Addendum estándar de OpenAI incluye CCT vigentes.
Lo que su escuela debe hacer ahora
La respuesta directa: cinco pasos concretos, ordenados por urgencia, que un director de admisiones o un DPO puede implementar antes del próximo ciclo de captación.
Paso 1 — Cartografíe todos sus flujos de datos hacia terceros países. Elabore un inventario de todos los proveedores que tratan datos de candidatos en su nombre: plataforma de CRM, herramientas de email marketing, plataforma de chatbot, píxel de Meta, Google Analytics, herramientas de videoconferencia para entrevistas de admisión. Para cada uno, identifique si procesan datos en EE.UU. o en otro tercer país. Este inventario es la base del Registro de Actividades de Tratamiento (RAT) exigido por el artículo 30 del RGPD.
Paso 2 — Verifique el mecanismo habilitante de cada proveedor y formalice el AET. Para cada proveedor identificado en el paso 1, compruebe si está certificado bajo el DPF (la lista está disponible en el sitio web del Departamento de Comercio de EE.UU.) y si dispone de CCT en vigor. Firme el Acuerdo de Encargado del Tratamiento (AET) conforme al artículo 28 del RGPD con cada proveedor — no acepte las condiciones generales de uso como sustituto. Conserve copia de todos los AET en el expediente de accountability de su institución.
Paso 3 — Realice una Evaluación de Impacto de la Transferencia (TIA) para los flujos de mayor riesgo. Priorice los proveedores que tratan datos especialmente sensibles (historial académico, datos de salud) o volúmenes elevados (píxel de Meta, Google Analytics con datos de identificación). La TIA debe analizar si las leyes del país de destino ofrecen garantías equivalentes a las del RGPD y, si no es así, qué medidas complementarias aplica. Documente el resultado y revísela cuando cambien las leyes del país de destino o las condiciones del proveedor.
Paso 4 — Active las opciones de residencia de datos y privacidad disponibles en cada plataforma. En Google Workspace for Education, configure la región de procesamiento en la UE y active las restricciones de uso de datos educativos. En OpenAI, si utiliza la API para su chatbot, active la opción de no retención de datos de las conversaciones y, si su volumen lo justifica, evalúe el plan enterprise con residencia en Europa. Para Meta Ads, revise la configuración del píxel y asegúrese de que solo se activa tras el consentimiento explícito del usuario.
Paso 5 — Actualice su política de privacidad y su banner de cookies. La información proporcionada a los candidatos en el momento de la recogida de sus datos debe incluir la mención expresa de las transferencias internacionales, los países de destino y el mecanismo habilitante aplicable (artículo 13.1.f del RGPD). Si utiliza el píxel de Meta o Google Analytics con cookies de publicidad, el banner de cookies debe obtener consentimiento previo y explícito antes de activarlos — no basta con la información pasiva. Consulte nuestra guía sobre plazos de retención de datos de prospectos para completar la política de privacidad con los períodos de conservación correctos.
Preguntas frecuentes
¿El Marco de Privacidad de Datos UE-EE.UU. (DPF) podría ser anulado como el Privacy Shield?
Es el riesgo que más preocupa a los DPO europeos. El DPF incorpora mejoras sustanciales respecto al Privacy Shield: creó un Tribunal de Revisión de Protección de Datos (DPRC) en EE.UU. con capacidad de dictar resoluciones vinculantes para las agencias de inteligencia estadounidenses. Sin embargo, ya se ha presentado un recurso ante el Tribunal de Justicia de la UE (asunto C-479/24). Si el TJUE lo anulara — un proceso que tardaría años —, las CCT seguirían siendo válidas como mecanismo alternativo, siempre que estén correctamente firmadas. La recomendación práctica es no depender exclusivamente del DPF: formalice siempre las CCT en paralelo.
¿Qué ocurre si Meta Ads procesa datos de candidatos sin que el candidato haya dado su consentimiento al píxel?
Se trata de una infracción del artículo 6 del RGPD (ausencia de base jurídica) y del artículo 7 del RGPD (condiciones del consentimiento), combinada con una posible infracción de las CCT si el flujo no está documentado. La AEPD puede imponer multas de hasta 20 millones de euros o el 4 % del volumen de negocio anual global por infracciones del artículo 83.5 del RGPD. En 2023 y 2024, varias autoridades europeas sancionaron a organizaciones por exactamente este motivo. El riesgo no es teórico.
¿Necesito hacer una EIPD si solo uso Google Workspace y Meta Ads?
No necesariamente por las transferencias internacionales en sí mismas, pero sí si su tratamiento implica perfilado de candidatos, seguimiento sistemático de su comportamiento en línea o tratamiento a gran escala. La AEPD ha publicado una lista de tipos de tratamiento que requieren Evaluación de Impacto en la Protección de Datos (EIPD) con carácter obligatorio. El uso combinado de un CRM, Google Analytics y Meta Ads para segmentar y puntuar candidatos suele activar esta obligación. Consulte a su DPO para determinar si su caso concreto la requiere.
¿Un chatbot basado en OpenAI cumple el RGPD para uso en escuelas españolas?
Sí, con las configuraciones adecuadas. La API de OpenAI, con la opción de no retención de datos activada y el Data Processing Addendum firmado, ofrece garantías compatibles con el RGPD. Si su chatbot está en un plan inferior al enterprise, verifique si los datos de las conversaciones se utilizan para el entrenamiento del modelo: si es así, necesita una base jurídica explícita o debe desactivar esa opción. Skolbot, como plataforma diseñada específicamente para la educación superior, gestiona estas configuraciones de forma predeterminada y proporciona el AET listo para firmar.
¿Puede la AEPD auditar a una escuela privada por las transferencias internacionales de sus proveedores?
Sí. Como responsable del tratamiento, su escuela es responsable de los tratamientos realizados en su nombre por encargados del tratamiento, incluidas las transferencias internacionales que esos encargados ejecuten. El artículo 82 del RGPD establece la responsabilidad solidaria entre responsable y encargado. En una inspección de la AEPD, deberá acreditar que verificó el mecanismo habilitante de cada proveedor, que formalizó los AET correspondientes y que documentó el análisis en su RAT. La falta de esa documentación — aunque el proveedor cumpla el RGPD por su cuenta — puede dar lugar a sanciones.
¿Quiere saber cómo Skolbot gestiona estas obligaciones de forma predeterminada para las escuelas privadas españolas?
Pruebe Skolbot en su escuela en 30 segundosArtículo relacionado: RGPD y datos estudiantiles: guía completa para escuelas
Véase también: Chatbot RGPD: cumplimiento con proveedores para escuelas
