ChatGPT
Claude
Perplexity
Gemini
GrokUn chatbot de inteligencia artificial en el sitio web de su escuela no es un simple formulario de contacto — es un sistema de tratamiento de datos en tiempo real, activo las 24 horas del día. Cada pregunta que formula un candidato genera datos personales por los que su institución responde como responsable del tratamiento en el sentido del artículo 4 del Reglamento General de Protección de Datos (RGPD — Reglamento 2016/679), completado en España por la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Para el marco general de protección de datos en su institución, consulte nuestra guía RGPD completa para escuelas. Para las obligaciones específicas en materia de cookies del chatbot, remítase a la guía de consentimiento de cookies para universidades.
Qué datos recopila un chatbot de IA en una universidad
Un chatbot desplegado en el sitio web de una escuela superior genera dos flujos de datos simultáneos: los datos proporcionados activamente por el candidato y los metadatos generados pasivamente durante la sesión.
Datos proporcionados activamente: nombre o alias, dirección de correo electrónico (cuando el chatbot ofrece un seguimiento personalizado), número de teléfono, programa de estudio de interés, nacionalidad o país de procedencia, año de nacimiento o edad, y el historial completo de la conversación en texto libre. Este último es especialmente sensible: los candidatos comparten espontáneamente información que puede incluir datos de categoría especial — discapacidades, situación económica, historial médico.
Metadatos generados pasivamente: dirección IP, marca temporal de cada mensaje, contexto de navegación (qué página del programa estaba abierta), identificador de sesión, tipo de navegador y dispositivo. Aunque el candidato no haya introducido su nombre, la combinación de dirección IP y marca temporal constituye un dato personal en el sentido del RGPD, según el criterio de la AEPD (Agencia Española de Protección de Datos).
La magnitud del volumen: el 72 % de las preguntas de los candidatos son automatizables mediante un chatbot (FAQ sencillas), el 21 % requieren contexto institucional y el 7 % intervención humana. (Fuente: clasificación automática de 12.000 conversaciones Skolbot, 2025.) Esto significa que por cada 100 interacciones con el chatbot se generan al menos 100 operaciones de tratamiento de datos distintas, cada una de las cuales requiere una base jurídica.
Bases jurídicas para cada categoría de datos
El RGPD reconoce seis bases jurídicas para el tratamiento de datos no sensibles (art. 6). Para un chatbot universitario, tres son las de aplicación habitual:
Consentimiento (art. 6.1.a): La base más robusta y exigente. El candidato debe manifestar su acuerdo de forma libre, específica, informada e inequívoca. Una casilla premarcada o el simple uso del chatbot como consentimiento tácito no son válidos. La AEPD ha recordado en su guía de adecuación al RGPD de tratamientos que utilizan IA que el consentimiento para el tratamiento por sistemas de IA debe reunir los mismos requisitos de calidad que cualquier otro consentimiento RGPD.
Ejecución de medidas precontractuales (art. 6.1.b): Cuando el candidato utiliza el chatbot para preparar activamente una solicitud de admisión o inscripción a una jornada de puertas abiertas, el tratamiento de los datos estrictamente necesarios para esa gestión (nombre, correo, programa solicitado) puede ampararse en esta base. No cubre el almacenamiento del historial de conversación con fines de marketing.
Interés legítimo (art. 6.1.f): Los metadatos técnicos (IP para seguridad, identificador de sesión) pueden tratarse sobre la base del interés legítimo, siempre que se realice una ponderación documentada que demuestre que el tratamiento no prevalece sobre los derechos del candidato. La AEPD exige que dicha ponderación quede registrada en el registro de actividades de tratamiento.
Datos de categoría especial — artículo 9 del RGPD
El artículo 9 del RGPD prohíbe, con carácter general, el tratamiento de datos que revelen el origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos, relativos a la salud o a la vida u orientación sexual.
En el contexto universitario, el riesgo no suele ser la recopilación explícita, sino la inducida: un candidato escribe en el chat que tiene una discapacidad reconocida y necesita adaptaciones, o menciona su situación de salud para justificar un retraso en la solicitud. También la nacionalidad, combinada con otros rasgos, puede permitir inferir el origen étnico, rozando el artículo 9.
Para estas situaciones, la única base jurídica aplicable en la práctica universitaria es el consentimiento explícito (art. 9.2.a), que debe ser:
- Separado del consentimiento general para el uso del chatbot
- Granular (para cada categoría de dato sensible)
- Otorgado con pleno conocimiento de la naturaleza especialmente protegida del dato
Recomendación operativa: Configure el chatbot para que no formule preguntas que induzcan respuestas con datos del artículo 9 (p. ej., «¿tiene alguna discapacidad que debamos tener en cuenta?»). Si el candidato comparte espontáneamente este tipo de información, el sistema debe anonimizarla de forma automática en un plazo máximo de 30 días.
En España, la LOPDGDD (art. 9) exige además que los tratamientos de datos sensibles cuenten con medidas de seguridad reforzadas, incluyendo seudonimización siempre que sea técnicamente posible.
Tabla de datos: tipo, base jurídica, plazo de conservación
| Tipo de dato | Base jurídica | Plazo de conservación | Notas |
|---|---|---|---|
| Nombre, correo (consulta FAQ sin contacto ulterior) | Consentimiento art. 6.1.a | 12 meses desde el último contacto | Solo recopilar si el candidato solicita seguimiento |
| Nombre, correo (solicitud de admisión en curso) | Medidas precontractuales art. 6.1.b | Hasta resolución + 24 meses | Solo datos necesarios para la solicitud |
| Teléfono | Consentimiento art. 6.1.a | 12 meses | No debe ser campo obligatorio para FAQ |
| Programa de interés | Interés legítimo art. 6.1.f | 12 meses | Uso agregado para gestión de calidad permitido |
| Dirección IP, identificador de sesión | Interés legítimo art. 6.1.f | 7–30 días (seguridad) | Seudonimizar tras el plazo |
| Historial de conversación (texto libre) | Consentimiento art. 6.1.a | 12 meses, luego anonimización | Datos sensibles: anonimizar a los 30 días |
| Datos de salud, origen étnico (inferido) | Consentimiento explícito art. 9.2.a | 30 días, luego anonimización | No recopilar activamente; borrar de forma automática |
| Nacionalidad / país de procedencia | Consentimiento art. 6.1.a | 12 meses | Precaución: puede tocar art. 9 RGPD |
| Año de nacimiento / edad | Medidas precontractuales art. 6.1.b o consentimiento | 24 meses (expediente de solicitud) | Menores de 14 años: requieren consentimiento parental (LOPDGDD art. 7) |
Evaluación de Impacto relativa a la Protección de Datos (EIPD) — cuándo es obligatoria
El artículo 35 del RGPD exige realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) cuando el tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas. Para un chatbot de IA universitario, con frecuencia concurren varios de los criterios que la AEPD y el Comité Europeo de Protección de Datos (CEPD) identifican como indicativos de alto riesgo:
Evaluación o puntuación automatizada: Si el chatbot categoriza a los candidatos según la probabilidad de solicitud, el perfil académico declarado o la intención de matriculación, se trata de elaboración de perfiles automatizados.
Tratamiento a gran escala de datos de categoría especial: En cuanto el chatbot trata —aunque sea de forma incidental— datos del artículo 9 y afecta a un número significativo de candidatos, el umbral de la EIPD se alcanza.
Vigilancia sistemática de zonas de acceso público: Un chatbot que combina el comportamiento de navegación con el contenido de las conversaciones para construir perfiles individuales puede cumplir este criterio.
La AEPD, en su guía de adecuación al RGPD de tratamientos que utilizan IA, recomienda que cualquier sistema de IA que trate datos personales a gran escala se someta a una EIPD antes de su puesta en producción. Para una universidad que despliega su chatbot en todas las páginas y gestiona miles de conversaciones anuales, este umbral se supera habitualmente.
Contenido mínimo de la EIPD (art. 35.7 RGPD):
- Descripción sistemática de los tratamientos y sus finalidades
- Evaluación de la necesidad y proporcionalidad de los tratamientos
- Evaluación de los riesgos para los derechos y libertades de los candidatos
- Medidas previstas para afrontar los riesgos y garantizar la conformidad
La EIPD debe realizarse antes de la puesta en marcha del chatbot y revisarse ante cualquier cambio sustancial. El delegado de protección de datos (DPD), cuando exista, debe ser consultado (art. 35.2 RGPD).
Requisitos prácticos: aviso de privacidad, consentimiento y opt-out en el chatbot
Obligación de transparencia e identificación como IA: Desde agosto de 2026, el Reglamento de Inteligencia Artificial (art. 52) obliga a informar a los usuarios, al inicio de cada interacción, de que están conversando con un sistema de IA. Un nombre como «Sofía, su asesora de admisiones» sin indicación de su naturaleza artificial ya no es admisible.
Aviso de privacidad en el interface del chatbot: Antes o al inicio de la primera conversación, el candidato debe ser informado de los siguientes extremos (art. 13 RGPD):
- Identidad y datos de contacto del responsable del tratamiento y, en su caso, del DPD
- Finalidades del tratamiento (responder consultas, mejora del servicio, eventualmente retargeting)
- Base jurídica aplicable
- Plazos de conservación
- Destinatarios (especialmente: ¿el modelo de IA está alojado en un proveedor externo?)
- Derechos de los interesados (acceso, rectificación, supresión, limitación, oposición, portabilidad)
- Derecho a retirar el consentimiento en cualquier momento
Un enlace visible a la política de privacidad dentro del widget del chatbot es suficiente, siempre que dicha política esté actualizada y sea completa. Se recomienda añadir un mensaje introductorio breve en el propio chat: «Soy Skolbot, un asistente de IA. [Nombre de la escuela] trata sus datos de conversación según nuestra [política de privacidad]. Puede finalizar la conversación en cualquier momento.»
Mecanismo de consentimiento: Cuando el chatbot va más allá de responder preguntas anónimas — es decir, cuando solicita nombre, correo o teléfono — debe existir un consentimiento activo, documentado y previo. Puede implementarse como una casilla de verificación justo antes del primer paso de captura de datos. El consentimiento debe registrarse con marca temporal, identificador de sesión y versión exacta del texto.
Opt-out y ejercicio de derechos: El candidato debe poder abandonar la conversación en cualquier momento sin ser identificado. Además, el chatbot debe ofrecer un acceso claro al ejercicio de los derechos RGPD — idealmente un enlace directo o una dirección de correo electrónico visible en la interfaz.
Contrato de encargo de tratamiento (DPA): Si el chatbot funciona como servicio SaaS y transfiere el contenido de las conversaciones al proveedor, es obligatorio formalizar un contrato de encargo de tratamiento conforme al artículo 28 del RGPD. Verifique si el modelo de lenguaje subyacente está alojado en la UE o si las transferencias a terceros países cuentan con las garantías adecuadas (cláusulas contractuales tipo, art. 46.2.c RGPD).
El tiempo de respuesta como argumento para la conformidad: Un chatbot de IA responde en 3 segundos, 24 horas al día, 7 días a la semana. Un correo electrónico tarda de media 47 horas; un formulario de contacto, 72 horas. (Fuente: Skolbot Mystery Shopping Audit, 2025, 80 universidades.) Estos datos confirman que el chatbot es un canal de comunicación principal — y debe tratarse con el mismo rigor de protección de datos que el CRM o el correo electrónico.
Para verificar cada punto relativo al chatbot en su ciclo de auditoría, consulte la checklist de auditoría RGPD para universidades.
LOPDGDD — especificidades del marco español
La Ley Orgánica 3/2018 (LOPDGDD) añade obligaciones nacionales relevantes para el chatbot universitario:
Menores de edad: El artículo 7 de la LOPDGDD fija en 14 años la edad mínima para prestar consentimiento de forma autónoma (frente a los 16 años del RGPD por defecto). Si su chatbot se dirige también a estudiantes preuniversitarios — en el marco de ferias educativas, jornadas de orientación o campañas de captación para el Bachillerato — debe implementar un mecanismo que evite la recopilación de datos de menores de 14 años sin consentimiento parental verificable. Para candidatos entre 14 y 18 años, el consentimiento propio es válido, pero la institución debe conservar el registro de consentimiento con especial cuidado.
DPD: La LOPDGDD (art. 34) amplía los supuestos en que la designación de un Delegado de Protección de Datos es obligatoria. Para centros educativos que traten datos de alumnos de forma habitual, la designación es preceptiva, independientemente de que alcancen o no los umbrales del artículo 37 del RGPD.
Registro de actividades de tratamiento: El artículo 31 de la LOPDGDD confirma la obligación de mantener un registro actualizado. El chatbot debe figurar como una actividad de tratamiento autónoma, con indicación expresa de la base jurídica, finalidades, categorías de datos, plazos de conservación y medidas de seguridad aplicadas.
FAQ
¿Qué base jurídica se aplica a los registros de conversación del chatbot con fines de mejora del servicio?
Si los registros se almacenan para mejorar las respuestas del chatbot o para formar al equipo de admisiones, la base jurídica es el interés legítimo (art. 6.1.f), pero únicamente si los datos se seudonomizan o anonimizan antes del análisis. El uso de conversaciones con nombres reales o direcciones de correo identificables para fines de mejora interna no puede ampararse en el interés legítimo; en ese caso, se requiere consentimiento previo o anonimización técnica. Documente la ponderación de intereses por escrito en el registro de actividades de tratamiento.
¿Es obligatorio realizar una EIPD antes de implantar un chatbot de IA?
Si su chatbot gestiona miles de conversaciones anuales, transfiere datos a un proveedor externo de IA o puede tratar datos del artículo 9, la respuesta habitual es sí. La AEPD, en su guía de adecuación al RGPD de tratamientos que utilizan IA, recomienda la EIPD para todo sistema de IA que trate datos personales a gran escala. Aunque no concurran todos los criterios formales del artículo 35, una evaluación de riesgo documentada resulta en cualquier caso recomendable como demostración del principio de responsabilidad proactiva (art. 5.2 RGPD).
¿Qué debe revelar el chatbot de IA en el primer contacto con el candidato?
Desde agosto de 2026, el artículo 52 del Reglamento de IA exige informar al usuario, al inicio de la interacción, de que está hablando con un sistema de inteligencia artificial. Adicionalmente, el artículo 13 del RGPD impone informar sobre la identidad del responsable, las finalidades del tratamiento, las bases jurídicas, los plazos de conservación, los destinatarios y los derechos de los interesados — ya sea directamente en el chat o mediante un enlace claramente visible a la política de privacidad vigente.
¿Puede el chatbot solicitar la nacionalidad de un candidato?
En principio sí, cuando existe una finalidad legítima (por ejemplo, verificar los requisitos de acceso para estudiantes internacionales o la necesidad de una visa de estudiante). La nacionalidad no es, por sí misma, un dato del artículo 9 del RGPD. El riesgo surge cuando se combina con otros atributos y permite inferir el origen étnico o racial: en ese caso entra en juego el artículo 9. Limite la recopilación a lo estrictamente necesario para la finalidad declarada (principio de minimización, art. 5.1.c RGPD) y documente la justificación en el registro de tratamientos.
¿Cuánto tiempo pueden conservarse las conversaciones del chatbot?
El RGPD no fija un plazo único, pero el principio de limitación del plazo de conservación (art. 5.1.e) exige que los datos se supriman cuando ya no sean necesarios para la finalidad que justificó su recogida. Para historiales de conversación de candidatos que no han avanzado en el proceso de admisión, el criterio operativo habitual es 12 meses desde el último contacto activo. Los datos sensibles (salud, situación familiar) deben anonimizarse en un plazo máximo de 30 días. Estos plazos deben estar registrados en el registro de actividades de tratamiento y aplicarse mediante supresión automatizada — la supresión manual no es defendible ante una inspección de la AEPD.
Un chatbot de inteligencia artificial es, simultáneamente, el canal de respuesta más eficaz para sus candidatos y uno de los puntos de tratamiento de datos más complejos de su institución. Las escuelas que integran los requisitos del RGPD y de la LOPDGDD en la configuración técnica del chatbot desde el inicio — aviso de privacidad, consentimiento granular, anonimización automática, contrato de encargo de tratamiento — no solo evitan sanciones de la AEPD, sino que generan confianza en una generación de candidatos que valora la transparencia digital como criterio de elección de institución.
Pruebe Skolbot en su universidad en 30 segundosPara construir su estrategia completa de captación conforme al RGPD, consulte la guía de chatbot IA para la captación de estudiantes y la checklist de auditoría RGPD para universidades.
