ChatGPT
Claude
Perplexity
Gemini
GrokImplantar un chatbot de inteligencia artificial en el sitio web de su universidad, escuela de negocios o centro de formación superior no es una decisión que pueda tomarse sin antes revisar el marco legal que la rodea. En España, ese marco está definido por el Reglamento General de Protección de Datos (RGPD — Reglamento UE 2016/679) y su desarrollo nacional en la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). La Agencia Española de Protección de Datos (AEPD) ha publicado guías y resoluciones específicas sobre IA y protección de datos que establecen expectativas claras para los responsables del tratamiento.
El 72 % de las preguntas que los candidatos formulan a un chatbot son automatizables — desde plazos de la EBAU hasta tasas de matrícula o condiciones de acreditación ANECA. (Fuente: clasificación automática de 12.000 conversaciones Skolbot, 2025.) Sin embargo, cada una de esas interacciones genera datos personales para los que su institución, como responsable del tratamiento en el sentido del artículo 4 del RGPD, necesita una base jurídica válida y garantías técnicas que la sostengan.
Este artículo no es un repaso teórico de los principios del RGPD. Es una guía de compra y supervisión para el responsable de protección de datos, el director de tecnología o el director de admisiones de una institución de educación superior española que esté evaluando proveedores de chatbot.
Para el marco general de protección de datos, consulte nuestra guía RGPD completa para datos estudiantiles. Para las obligaciones de recogida de datos específicas de un chatbot IA, remítase a Chatbot IA y RGPD: qué datos pueden recopilar las universidades.
Por qué el cumplimiento del RGPD es un criterio de compra indispensable para los chatbots educativos
El cumplimiento del RGPD no es una ventaja diferencial de un proveedor de chatbot — es el umbral mínimo para poder desplegarlo legalmente en España. Desde que la AEPD emitió su primera resolución sancionadora contra una entidad educativa por uso de herramientas de IA sin base jurídica suficiente, el coste de ignorar este requisito se ha vuelto tangible: multas de hasta el 4 % del volumen de negocio anual global, o 20 millones de euros en el caso de infracciones del artículo 83.5 del RGPD.
La LOPDGDD añade una capa nacional de obligaciones que van más allá del RGPD europeo: el artículo 37 de la LOPDGDD amplía el catálogo de tratamientos que requieren un Delegado de Protección de Datos (DPD) obligatorio, incluyendo los centros docentes que traten datos a gran escala. Las universidades privadas con más de un centenar de candidatos activos en su chatbot difícilmente escapan a esta obligación.
Las instituciones que lo hacen bien cosechan resultados concretos: +62 % de leads cualificados con un −38 % en el coste por lead son los resultados medianos observados en 18 centros educativos que desplegaron un chatbot con plenas garantías de cumplimiento. (Fuente: resultados medianos de 18 escuelas, 2024–2025.) El chatbot no es un lujo — es una palanca de conversión. Pero solo genera ese retorno si puede operar sin interrupciones regulatorias.
Los 8 criterios técnicos RGPD que debe exigir a cualquier proveedor de chatbot
1. Localización del servidor: UE o EEE, acreditada por escrito
El artículo 44 del RGPD prohíbe la transferencia de datos personales a países terceros salvo que existan garantías adecuadas. Para una universidad española, el riesgo práctico se centra en los proveedores de infraestructura cloud basados en EE.UU.: aunque los datos estén alojados en servidores europeos, si el proveedor está sujeto al CLOUD Act estadounidense, existe un riesgo residual de acceso por parte de autoridades norteamericanas que la AEPD ha calificado de incompatible con el RGPD en varios pronunciamientos. Exija una declaración escrita que especifique el centro de datos, el país y el operador, y que incluya también copias de seguridad e infraestructura de entrenamiento de IA.
2. Contrato de encargado del tratamiento conforme al artículo 28 del RGPD
Todo proveedor de chatbot que trate datos personales en su nombre es un encargado del tratamiento y debe formalizarse mediante un contrato de encargado del tratamiento que cumpla el artículo 28 del RGPD. Este contrato debe incluir: objeto y duración del tratamiento, naturaleza y finalidad, tipo de datos y categorías de interesados, obligaciones y derechos del responsable, lista de subencargados, medidas de seguridad técnicas y organizativas (MSOT), y procedimiento de devolución o destrucción de datos al fin del contrato. Un proveedor que remite a sus condiciones generales de uso como sustituto de este contrato no cumple los requisitos mínimos.
3. Evaluación de Impacto en la Protección de Datos (EIPD)
El uso de un chatbot de IA para la captación de candidatos es, en la práctica totalidad de los casos, un tratamiento que implica evaluación o perfilado de personas físicas a gran escala, lo que activa la obligación de realizar una EIPD conforme al artículo 35 del RGPD. La AEPD ha publicado listas de los tipos de tratamiento que requieren EIPD obligatoriamente; el perfilado de candidatos con sistemas de IA figura en ellas. Un proveedor serio debe estar en condiciones de facilitarle una plantilla de EIPD adaptada al uso de su chatbot, que usted completará con los datos propios de su institución.
4. Medidas de seguridad técnicas y organizativas (MSOT) verificables
El artículo 32 del RGPD exige medidas de seguridad apropiadas al riesgo. Para un chatbot universitario eso se traduce en: cifrado de las comunicaciones con TLS 1.3, cifrado en reposo de los registros de conversación (AES-256 o equivalente), seudonimización tras un período configurable, control de acceso basado en roles con separación de funciones, registro de auditoría de todos los accesos a datos personales, y un certificado de prueba de penetración (pentest) con una antigüedad máxima de 12 meses. Solicite el documento de MSOT como anexo al contrato de encargado del tratamiento.
5. Gestión del consentimiento y transparencia informativa
El artículo 13 del RGPD obliga a informar al interesado en el momento de la recogida de sus datos sobre: identidad del responsable, finalidades del tratamiento, base jurídica, destinatarios, plazos de conservación, y derechos que puede ejercer. En el contexto de un chatbot, esta información debe presentarse de forma visible y comprensible antes del primer intercambio de datos. La LOPDGDD añade que el interesado debe ser informado con carácter previo de si se va a realizar un tratamiento automatizado de sus datos con efectos significativos. El sistema debe registrar técnicamente el consentimiento prestado: marca temporal, versión de la política de privacidad aceptada, y canal de revocación disponible.
6. Plazos de conservación y eliminación automatizada
El principio de limitación del plazo de conservación (artículo 5.1.e del RGPD) exige que los datos no se conserven más tiempo del necesario para los fines del tratamiento. Para los registros de conversación de candidatos que no se han matriculado, la AEPD considera razonable un plazo máximo de 12 meses desde el último contacto activo. El proveedor debe demostrar que dispone de rutinas de eliminación automatizadas, configurables por categoría de dato, con registro de auditoría que acredite la eliminación efectiva.
7. Derechos del interesado: acceso, supresión y portabilidad
Los artículos 15 a 20 del RGPD reconocen a los candidatos los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición. Su proveedor debe ofrecerle una interfaz técnica que le permita responder a estas solicitudes en el plazo de un mes (artículo 12.3 del RGPD). En particular, el derecho de supresión — que en el contexto universitario es frecuentemente ejercido por candidatos que deciden no continuar el proceso — debe propagarse a todos los sistemas: chatbot, CRM, herramienta de email marketing y copias de seguridad.
8. Notificación de brechas de seguridad en 72 horas
El artículo 33 del RGPD exige notificar a la AEPD cualquier violación de la seguridad que afecte a datos personales en un plazo de 72 horas desde que tenga conocimiento de ella. Para cumplir este plazo, necesita que su proveedor le comunique el incidente en un plazo máximo de 24 horas desde su detección. El chatbot da respuesta en 3 segundos, las 24 horas del día — frente a las 47 horas de espera media por correo electrónico. (Fuente: estudio de mystery shopping Skolbot, 2025, 80 instituciones FR.) Un proveedor que no tiene un proceso documentado de notificación de incidentes pone en riesgo su cumplimiento de la obligación de notificación a la AEPD.
Tabla de evaluación de proveedores: las preguntas que debe hacer
| Criterio | Estándar mínimo exigible | Preguntas al proveedor |
|---|---|---|
| Localización del servidor | UE o EEE, confirmado por escrito, incluye backups | "¿En qué centro de datos y país se procesan y almacenan los datos? ¿Se aplica también a backups y entrenamiento de IA?" |
| Contrato de encargado | Art. 28 RGPD completo, subencargados nominados | "¿Dispone de un contrato de encargado del tratamiento en español? ¿Cómo me notifica cambios en los subencargados?" |
| EIPD | Plantilla de EIPD disponible, actualizada en los últimos 12 meses | "¿Puede facilitarme una plantilla de EIPD para el uso de su chatbot en una universidad española?" |
| MSOT | TLS 1.3, AES-256, pentest <12 meses, registro de auditoría | "¿Puede compartirme el documento de MSOT y el último informe de prueba de penetración?" |
| Gestión del consentimiento | Consentimiento granular, marca temporal, revocación propagada | "¿Cómo se almacena técnicamente el consentimiento? ¿Cómo se gestiona la revocación en todos los sistemas?" |
| Eliminación de datos | Plazos configurables por categoría, registro de eliminación efectiva | "¿Puedo configurar plazos de retención por tipo de dato? ¿Cómo acredita que los datos han sido efectivamente eliminados?" |
| Derechos del interesado | Interfaz de acceso/supresión, SLA de 1 mes | "¿Cuánto tiempo tarda en preparar técnicamente una respuesta completa a una solicitud de acceso?" |
| Notificación de incidentes | Comunicación al cliente en máx. 24 h, proceso documentado | "¿Cuál es su proceso de notificación de brechas? ¿En qué plazo me informaría de un incidente?" |
5 cláusulas que debe incluir en su contrato de encargado del tratamiento
1. Cláusula de localización de datos: El encargado se compromete por escrito a tratar y almacenar todos los datos personales exclusivamente en servidores situados en la Unión Europea o el Espacio Económico Europeo, especificando el país y el centro de datos. Cualquier cambio requiere consentimiento previo por escrito del responsable.
2. Transparencia sobre subencargados: El contrato debe listar nominalmente a todos los subencargados que tendrán acceso a los datos. La incorporación de nuevos subencargados debe notificarse al responsable con un mínimo de 14 días de antelación, con derecho de oposición.
3. Notificación de incidentes en 24 horas: El encargado se obliga a notificar al responsable cualquier brecha o incidente de seguridad que afecte a datos personales tratados en su nombre en un plazo máximo de 24 horas desde su detección, con indicación de la naturaleza del incidente, las categorías de datos afectadas y las medidas adoptadas.
4. Eliminación certificada al fin del contrato: En un plazo de 30 días desde la terminación del contrato, el encargado eliminará o devolverá todos los datos personales del responsable, incluidas copias de seguridad y modelos de IA entrenados con dichos datos. Se facilitará certificado escrito de eliminación.
5. Derecho de auditoría: El responsable tiene derecho a auditar el cumplimiento de las obligaciones del encargado, ya sea directamente o mediante auditores autorizados, al menos una vez al año y de forma adicional ante cualquier incidente de seguridad. El encargado proporcionará toda la documentación necesaria en un plazo de 5 días hábiles.
Señales de alerta: 5 red flags en un proveedor de chatbot
Red flag 1 — Sin contrato de encargado del tratamiento independiente: Un proveedor que no dispone de un contrato de encargado del tratamiento conforme al artículo 28 del RGPD, o que pretende sustituirlo con unas condiciones generales de uso, no puede ser contratado legalmente por una universidad española. No es una cuestión negociable.
Red flag 2 — Localización del servidor ambigua: La expresión "infraestructura cloud europea" sin especificar el país, el centro de datos y el operador es una señal de alerta. Muchos proveedores albergan datos en Europa pero los procesan parcialmente en EE.UU. (por ejemplo, mediante servicios de IA de AWS o Azure US). Esto puede ser incompatible con el RGPD bajo la jurisprudencia del Tribunal de Justicia de la UE.
Red flag 3 — Entrenamiento de IA con datos de clientes como opción predeterminada: Algunos proveedores utilizan las conversaciones de los candidatos para entrenar sus modelos de lenguaje. Sin base jurídica y sin consentimiento explícito de los interesados, esto constituye un cambio de finalidad incompatible (artículo 5.1.b del RGPD). Verifique explícitamente si sus datos se usan para entrenamiento y exija una opción de exclusión contractual.
Red flag 4 — Sin registros de eliminación auditables: Si el proveedor no puede demostrarle técnicamente que los datos se eliminan al expirar los plazos de conservación, no puede usted cumplir el principio de limitación de conservación del artículo 5.1.e del RGPD. En una inspección de la AEPD, la carga de la prueba recae sobre el responsable del tratamiento — es decir, su institución.
Red flag 5 — DPD o contacto de protección de datos no identificable: Un proveedor que no tiene un Delegado de Protección de Datos identificable o un punto de contacto específico en materia de privacidad opera fuera de las exigencias del RGPD. Para su propio accountability (artículo 5.2 del RGPD), debe poder demostrar que evaluó diligentemente a su proveedor antes de contratarle.
Para una evaluación más completa de las obligaciones de protección de datos de su institución, consulte nuestra auditoría RGPD universidad checklist. Si desea comparar funcionalidades y garantías de cumplimiento entre plataformas, revise nuestro comparativo del mejor chatbot IA para universidades.
¿Está listo para ver cómo Skolbot cumple los ocho criterios técnicos descritos en este artículo? Solicite una demostración personalizada y analizaremos juntos su situación de cumplimiento.
FAQ
¿Puede un chatbot alojado en Estados Unidos cumplir con el RGPD?
Formalmente sí, si el proveedor aplica cláusulas contractuales tipo (CCT) conforme a la Decisión de Ejecución 2021/914 de la Comisión Europea, acompañadas de medidas complementarias. En la práctica, la AEPD ha adoptado una postura restrictiva: los proveedores sujetos al CLOUD Act estadounidense presentan un riesgo residual difícil de mitigar completamente. Varios reguladores europeos han sancionado transferencias basadas únicamente en CCT sin medidas complementarias suficientes. Para una universidad española, la opción más segura sigue siendo un proveedor con servidores exclusivamente en la UE.
¿Qué debe cubrir una EIPD para un chatbot de captación de estudiantes?
Una EIPD para este caso de uso debe incluir: (1) descripción sistemática del tratamiento — qué datos, con qué finalidad, qué flujos; (2) evaluación de la necesidad y proporcionalidad — ¿es el chatbot la herramienta menos invasiva para el objetivo?; (3) identificación de los riesgos para los derechos de los candidatos — en particular el riesgo de recogida inadvertida de datos sensibles (salud, origen étnico) en conversaciones de texto libre; (4) medidas de mitigación — seudonimización, plazos cortos, filtros automáticos de datos sensibles; (5) evaluación del riesgo residual. Si el riesgo residual es elevado, debe consultar previamente a la AEPD conforme al artículo 36 del RGPD.
¿Debe el chatbot informar al usuario de que es una IA desde el primer mensaje?
Sí. El artículo 50 del Reglamento de Inteligencia Artificial de la UE (Reglamento IA 2024/1689), aplicable en España desde agosto de 2026 para los sistemas de IA de alto riesgo, obliga a informar a los usuarios de que están interactuando con un sistema de IA cuando no sea evidente de otro modo. La AEPD ya había señalado esta obligación en su guía de adecuación al RGPD de tratamientos con IA. Un nombre humanizado para el chatbot sin advertencia explícita no es suficiente.
¿Cuál es el período de retención recomendado para las transcripciones de chat?
La AEPD considera que los datos de candidatos que no han completado el proceso de admisión deben conservarse el tiempo mínimo necesario para la finalidad del tratamiento. Para datos de chatbot, esto implica como máximo 12 meses desde el último contacto activo, salvo que exista una base jurídica específica para una conservación más prolongada (por ejemplo, defensa legal ante reclamaciones). Para candidatos matriculados, los plazos los determinan la normativa académica y las obligaciones fiscales aplicables, generalmente entre 5 y 10 años.
¿Cuál es el plazo de notificación en caso de brecha de seguridad?
El artículo 33 del RGPD establece un plazo de 72 horas desde que el responsable tenga conocimiento de la brecha para notificar a la AEPD, salvo que sea improbable que la violación suponga un riesgo para los derechos y libertades de las personas físicas. Si la brecha entraña un alto riesgo para los afectados, el artículo 34 obliga además a comunicársela a estos sin dilación indebida. La LOPDGDD no modifica este plazo, pero exige que la comunicación a los afectados incluya recomendaciones sobre medidas que puedan adoptar para protegerse.
