ChatGPT
Claude
Perplexity
Gemini
GrokUna auditoría RGPD universitaria no se hace al azar — se hace con una checklist
Una auditoría RGPD en una universidad o escuela superior es un inventario metódico de lo que se recopila, por qué se recopila, cómo se almacena y qué se hace con ello. Sin una checklist estructurada, los olvidos están garantizados: el archivo Excel de la feria que nadie anonimizó, el DPA nunca firmado con el proveedor de chatbot, las conversaciones con candidatos almacenadas sin plazo de retención.
El 62 % de las escuelas no tienen un procedimiento documentado para el tratamiento de datos de candidatos (Fuente: encuesta Skolbot a 62 responsables de marketing de escuelas, diciembre de 2025). Esta checklist de 20 puntos cubre la totalidad del perímetro RGPD de una escuela de educación superior privada, incluidas las obligaciones del Reglamento de IA. Cada punto es accionable y priorizado.
Para el marco global, consulte nuestra guía completa del RGPD para datos estudiantiles.
Parte 1 — Gobernanza y base legal (puntos 1 a 5)
1. Verificar la designación e independencia del DPD
El DPD (Delegado de Protección de Datos) es obligatorio para toda escuela que trate datos a gran escala (RGPD, artículo 37). Lo que la auditoría verifica: ¿está el DPD formalmente designado? ¿Tiene acceso directo a la dirección? ¿Acumula funciones decisorias (director de TI, director jurídico) — lo que crea un conflicto de intereses?
Acción: verificar la carta de nombramiento del DPD, confirmar su independencia y asegurarse de que su declaración ante la AEPD está al día.
2. Elaborar y actualizar el registro de tratamientos
El registro de tratamientos (artículo 30) es el documento central del cumplimiento RGPD. Debe listar cada tratamiento de datos personales: finalidad, categorías de datos, base legal, plazos de conservación y destinatarios. La AEPD proporciona un modelo de registro, pero la mayoría de las escuelas no lo mantienen actualizado.
Acción: revisar cada servicio (admisiones, secretaría académica, marketing, TI, contabilidad) y verificar que sus tratamientos figuran en el registro con una base legal explícita.
3. Validar la base legal de cada tratamiento
Cuatro bases legales cubren el 95 % de los tratamientos de una escuela: ejecución del contrato (escolaridad, facturación), obligación legal (transmisiones al ministerio, títulos), interés legítimo (marketing, analítica) y consentimiento (newsletters, cookies). El error clásico: basar todo en el consentimiento, que es revocable en cualquier momento.
Acción: para cada tratamiento del registro, verificar que la base legal es correcta. Migrar los tratamientos indebidamente basados en el consentimiento a la base adecuada.
4. Verificar la existencia y calidad de las evaluaciones de impacto (EIPD)
El artículo 35 del RGPD exige una evaluación de impacto para todo tratamiento de alto riesgo. Para una escuela, esto incluye como mínimo: el despliegue de un chatbot de IA, el uso de herramientas de IA para las admisiones, la videovigilancia del campus y el perfilado de marketing.
Acción: listar los tratamientos de alto riesgo, verificar que existe una EIPD para cada uno y que está actualizada (menos de 2 años o actualizada tras modificación del tratamiento).
5. Documentar los procedimientos de respuesta a los derechos de los interesados
El RGPD confiere ocho derechos a las personas (acceso, rectificación, supresión, limitación, portabilidad, oposición, decisión automatizada, retirada del consentimiento). Su escuela debe poder responder a cada uno en un mes como máximo. El coste de adquisición por estudiante varía entre 1 500 y 2 200 EUR en España (Fuente: estimaciones EAIE, StudyPortals, EAB, Campus France) — cada solicitud de supresión representa una pérdida de inversión en marketing medible.
Acción: probar el procedimiento simulando una solicitud de supresión. Medir el plazo real de respuesta y el número de sistemas implicados (CRM, chatbot, emailing, analítica, copias de seguridad).
Parte 2 — Recopilación y consentimiento (puntos 6 a 10)
6. Auditar cada punto de recopilación de datos
Los datos personales entran en su sistema por decenas de canales: formularios del sitio web, chatbot, inscripción a Jornada de Puertas Abiertas, ferias, Selectividad/EvAU, candidaturas espontáneas, llamadas telefónicas. La auditoría debe inventariarlos todos.
El 89 % de los candidatos pregunta sobre las tasas de matrícula y el 78 % sobre la formación dual (Fuente: análisis de 12 000 conversaciones chatbot Skolbot, sept. 2025 — feb. 2026). Estas conversaciones generan datos personales desde que se asocia un identificador.
Acción: cartografiar cada formulario, chatbot y punto de contacto físico. Para cada uno, verificar: ¿qué datos se recopilan? ¿Se informa al candidato? ¿Se muestra la base legal?
7. Controlar la conformidad de los formularios de consentimiento
El consentimiento RGPD debe ser libre, específico, informado e inequívoco: sin casilla premarcada, sin consentimiento agrupado, sin condicionar el acceso a la información a la entrega de datos.
Acción: auditar cada formulario. Casillas de marketing desmarcadas por defecto, texto que distinga cada finalidad, enlace visible a la política de privacidad.
8. Verificar la gestión del consentimiento de cookies
Las directrices de la AEPD sobre cookies imponen un consentimiento previo para cualquier cookie no esencial. La auditoría verifica: ¿su banner de cookies ofrece un rechazo tan simple como la aceptación? ¿Las cookies se bloquean realmente antes del consentimiento (no solo se muestra el banner)? ¿Se conserva la prueba de consentimiento?
Acción: probar el sitio con un navegador limpio. Verificar que Google Analytics, píxeles de Meta y otros rastreadores no se cargan antes de hacer clic en «Aceptar».
9. Verificar el tratamiento de datos de menores
En España, el umbral de consentimiento digital se sitúa en los 14 años. Los grados y ciertos ciclos formativos acogen a menores de 16-17 años para los que se requiere el consentimiento parental.
Acción: verificar que los formularios y el chatbot identifican a los menores y activan un mecanismo de verificación parental (correo electrónico parental, doble opt-in).
10. Controlar la minimización de los datos recopilados
El principio de minimización (artículo 5.1.c) impone recopilar únicamente lo estrictamente necesario. Un chatbot no debería exigir el nombre y el email para responder a una pregunta sobre los programas.
Acción: para cada formulario, listar los campos obligatorios y verificar que están justificados por la finalidad declarada.
Parte 3 — Almacenamiento y seguridad (puntos 11 a 15)
11. Verificar los plazos de conservación y la purga automatizada
La AEPD recomienda 3 años tras el último contacto para los candidatos, 10 años para los datos contables y el plazo legal para los títulos. La auditoría verifica que la purga es efectiva, no teórica.
Acción: consultar la base de datos. ¿Siguen figurando candidatos de hace más de 3 años? Si es así, la purga automatizada no funciona.
12. Controlar el cifrado en tránsito y en reposo
Cifrado en tránsito (TLS 1.3) y en reposo (AES-256) en toda la cadena: sitio web, APIs, bases de datos, copias de seguridad.
Acción: verificar el certificado SSL de cada endpoint mediante SSL Labs. Confirmar el cifrado en reposo de la base de datos.
13. Verificar el alojamiento europeo de los datos
Conforme a las recomendaciones del CEPD (Comité Europeo de Protección de Datos), los datos personales deben alojarse en la UE. Cada transferencia fuera de la UE requiere garantías (cláusulas contractuales tipo, decisión de adecuación).
Acción: listar todos los servicios que tratan datos personales (alojamiento, CRM, emailing, analítica, chatbot). Para cada uno, verificar la ubicación de los servidores y la existencia de cláusulas contractuales tipo si la transferencia es fuera de la UE.
14. Auditar los accesos y la trazabilidad
¿Quién tiene acceso a qué datos, y desde cuándo? La auditoría verifica que los accesos están limitados a lo estrictamente necesario (principio de mínimo privilegio) y que están registrados.
Acción: extraer la lista de usuarios con acceso al CRM, a la base de estudiantes y a las herramientas de emailing. Verificar que las cuentas de antiguos colaboradores están desactivadas. Confirmar que los registros de acceso se conservan y son explotables.
15. Probar las copias de seguridad y la restauración
Las copias de seguridad deben estar cifradas, ser regulares y — sobre todo — estar probadas. Una copia de seguridad que nunca se ha restaurado con éxito no es una copia de seguridad.
Acción: solicitar la fecha de la última prueba de restauración. Si data de más de 6 meses (o nunca se ha realizado), planificar una prueba inmediatamente.
Parte 4 — Subcontratistas y transferencias (puntos 16 a 18)
16. Verificar los DPA (Data Processing Agreements) con cada subcontratista
El artículo 28 impone un DPA con cada proveedor que trate datos por su cuenta: alojamiento, CRM, emailing, chatbot, analítica, videoconferencia. El DPA precisa: objeto, duración, categorías de datos, obligaciones y subcontratación ulterior.
Acción: listar todos los subcontratistas. Verificar la existencia de un DPA firmado y actualizado. Priorizar los de alto volumen (CRM, chatbot) y los que tratan datos sensibles.
17. Controlar las transferencias internacionales de datos
Toda transferencia fuera del EEE exige una base jurídica: decisión de adecuación, cláusulas contractuales tipo (CCT) o normas corporativas vinculantes. Las transferencias a Estados Unidos requieren una vigilancia particular, incluso bajo el Data Privacy Framework.
Acción: para cada subcontratista del punto 16, verificar la ubicación de los servidores y el mecanismo de transferencia. Un SaaS estadounidense sin CCT es un riesgo de incumplimiento.
18. Auditar a los subcontratistas de sus subcontratistas
El RGPD impone conocer a los subcontratistas ulteriores (artículo 28, párrafo 2). ¿Su CRM utiliza AWS? ¿Su chatbot un modelo de IA alojado en un tercero? Estas cadenas deben documentarse.
Acción: solicitar a cada subcontratista su lista de subcontratistas ulteriores. Verificar las garantías equivalentes.
Parte 5 — IA y obligaciones específicas (puntos 19 a 20)
19. Clasificar sus sistemas de IA según el Reglamento de IA
El Reglamento de IA (Reglamento UE 2024/1689) clasifica los sistemas de IA por nivel de riesgo. Para una escuela, las principales categorías son:
- Alto riesgo — scoring de candidaturas, calificación automatizada, ayuda a la decisión de admisión. Obligaciones: gestión de riesgos, supervisión humana, transparencia, registro en la base europea.
- Riesgo limitado — chatbot informativo, asistente FAQ. Obligación principal: informar al candidato de que interactúa con una IA.
Las obligaciones para los sistemas de alto riesgo entran en vigor en agosto de 2026. Las escuelas que utilizan herramientas de IA para la selección de candidaturas deben prepararse ahora.
Para el detalle de las obligaciones por categoría, consulte nuestro artículo sobre el Reglamento de IA y la educación superior.
Acción: elaborar el inventario de todos los sistemas de IA utilizados en la escuela (chatbot, scoring, antiplagio, recomendación). Clasificar cada uno según el nivel de riesgo del Reglamento de IA. Para los sistemas de alto riesgo, verificar la existencia de un expediente de cumplimiento.
20. Verificar la transparencia algorítmica y la supervisión humana
El Reglamento de IA y el RGPD (artículo 22) convergen: toda decisión automatizada con efecto significativo (admisión, exclusión, beca) exige una supervisión humana efectiva. La IA recomienda, el humano decide.
Acción: para cada sistema de IA de alto riesgo, verificar: (a) supervisión humana documentada, (b) información al candidato/estudiante, (c) procedimiento de impugnación funcional.
Síntesis: tabla resumen de la checklist
| # | Punto de auditoría | Dominio | Prioridad | Frecuencia |
|---|---|---|---|---|
| 1 | Designación e independencia del DPD | Gobernanza | Crítica | Anual |
| 2 | Registro de tratamientos actualizado | Gobernanza | Crítica | Semestral |
| 3 | Base legal por tratamiento | Gobernanza | Crítica | A cada nuevo tratamiento |
| 4 | Evaluaciones de impacto (EIPD) | Gobernanza | Alta | Anual o a cada modificación |
| 5 | Procedimientos de derechos de los interesados | Gobernanza | Alta | Anual + simulacro |
| 6 | Cartografía de los puntos de recopilación | Recopilación | Alta | Semestral |
| 7 | Conformidad de los formularios de consentimiento | Recopilación | Crítica | Trimestral |
| 8 | Gestión del consentimiento de cookies | Recopilación | Crítica | Trimestral |
| 9 | Tratamiento de datos de menores | Recopilación | Alta | Anual |
| 10 | Minimización de los datos recopilados | Recopilación | Media | Semestral |
| 11 | Plazos de conservación y purga | Almacenamiento | Crítica | Semestral |
| 12 | Cifrado en tránsito y en reposo | Seguridad | Crítica | Anual |
| 13 | Alojamiento europeo de los datos | Seguridad | Alta | A cada nuevo proveedor |
| 14 | Accesos y trazabilidad | Seguridad | Alta | Trimestral |
| 15 | Copias de seguridad y restauración | Seguridad | Alta | Semestral |
| 16 | DPA con subcontratistas | Subcontratación | Crítica | Anual |
| 17 | Transferencias internacionales | Subcontratación | Alta | A cada nuevo proveedor |
| 18 | Subcontratistas ulteriores | Subcontratación | Media | Anual |
| 19 | Clasificación Reglamento de IA | IA | Alta | Anual |
| 20 | Transparencia algorítmica | IA | Alta | Anual |
Cómo organizar la auditoría en la práctica
La auditoría moviliza como mínimo a cuatro actores: el DPD, la dirección de admisiones, el departamento de TI y la dirección de marketing. Calendario: auditoría completa anual (20 puntos) + verificaciones trimestrales de los puntos críticos (consentimiento, cookies, accesos). Cada punto auditado produce una ficha: resultado (conforme / no conforme / parcial), prueba y acción correctiva. Es lo primero que la AEPD solicitará en caso de inspección.
Para las medidas técnicas de protección de datos de candidatos, consulte nuestra guía dedicada.
FAQ
¿Cuánto tiempo dura una auditoría RGPD completa para una universidad?
Entre 3 y 6 semanas según el tamaño del centro y la madurez del dispositivo. Las escuelas que ya disponen de un registro actualizado y un DPD activo avanzan más rápido. La fase más larga es la auditoría de subcontratistas (puntos 16 a 18), ya que depende del plazo de respuesta de los proveedores.
¿Se necesita una auditoría específica si la escuela utiliza un chatbot de IA?
Sí. Un chatbot de IA constituye un tratamiento diferenciado que debe figurar en el registro. Si el modelo de lenguaje está alojado fuera de la UE, los puntos 13 y 17 se ven directamente afectados. El Reglamento de IA añade la obligación de informar al candidato de que interactúa con una IA. El 91 % de los visitantes de un sitio web de universidad se marchan sin primer contacto (Fuente: análisis embudo Skolbot, 30 escuelas, cohorte 2025-2026) — el chatbot suele ser el único punto de recopilación antes de la candidatura, lo que hace su cumplimiento crítico.
¿Cuáles son las sanciones en caso de incumplimiento RGPD para una escuela?
Hasta 20 millones de euros o el 4 % de la facturación anual mundial. En 2025, la AEPD sancionó a organismos educativos por falta de base legal y recopilación excesiva. Más allá de la multa, una resolución pública daña la reputación ante los candidatos y sus familias.
¿La auditoría RGPD cubre también las obligaciones del Reglamento de IA?
No de forma nativa. Los puntos 19 y 20 de esta checklist amplían el perímetro a la clasificación de IA y a la transparencia algorítmica. El RGPD y el Reglamento de IA son complementarios: uno protege los datos, el otro regula los sistemas que los tratan. Una auditoría integrada evita duplicidades. Para más detalle, consulte nuestra guía del Reglamento de IA.
Esta checklist de 20 puntos es la base de cada ciclo de auditoría. Las escuelas que la integran en su gobernanza anual reducen su exposición a sanciones y refuerzan la confianza de los candidatos.
Lea también: Comparativa de chatbots IA para educación
