ChatGPT
Claude
Perplexity
Gemini
GrokQué exige el RGPD y la LSSI-CE al sitio web de su escuela
Tres textos normativos se superponen en el sitio web de cualquier escuela o universidad española: el Reglamento General de Protección de Datos (RGPD — Reglamento 2016/679), la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE). La LSSI-CE, en su artículo 22.2, exige el consentimiento previo e informado del usuario antes de instalar cookies no esenciales. El RGPD añade que ese consentimiento debe ser libre, específico, informado e inequívoco — y que la carga de la prueba recae sobre la escuela, no sobre el candidato.
La AEPD (Agencia Española de Protección de Datos) actualizó su guía de cookies en 2023 para adaptarla a las directrices del Comité Europeo de Protección de Datos (CEPD). Las consecuencias prácticas para las escuelas son inmediatas: el banner de cookies debe ofrecer un rechazo igual de accesible que la aceptación, las cookies no esenciales no pueden cargarse antes del clic de aceptación, y la escuela debe conservar la prueba del consentimiento durante tres años.
La hoja de ruta es sencilla: identificar cada cookie presente en el sitio, clasificarla, obtener el consentimiento donde sea obligatorio y documentar todo. Para el marco global, consulte nuestra guía RGPD completa para escuelas.
¿Qué cookies requieren consentimiento?
La guía de cookies de la AEPD distingue cookies exentas de consentimiento y cookies que sí lo requieren. La regla práctica: si la cookie sirve a la escuela (analítica, publicidad, personalización) más que al usuario, necesita consentimiento.
| Tipo de cookie | Ejemplo habitual en escuelas | ¿Requiere consentimiento? | Base legal |
|---|---|---|---|
| Técnicas / esenciales | Sesión de usuario, carrito de solicitud | No | LSSI-CE art. 22.2 — exención |
| Preferencias | Idioma seleccionado, accesibilidad | No (si responden a solicitud del usuario) | Exención por función esencial |
| Analítica (sin anonimización) | Google Analytics con IP completa | Sí | Consentimiento (art. 6.1.a RGPD) |
| Analítica anonimizada | GA4 con IP anonimizada + sin perfil cruzado | Criterio AEPD: exenta si no permite identificación | Interés legítimo (art. 6.1.f RGPD) |
| Publicidad comportamental | Meta Pixel, Google Ads remarketing | Sí | Consentimiento (art. 6.1.a RGPD) |
| Redes sociales / seguimiento | Botón de compartir con rastreador | Sí | Consentimiento (art. 6.1.a RGPD) |
| Chatbot de IA | Identificador de sesión de conversación | Depende — ver sección dedicada | Consentimiento o interés legítimo |
El error más frecuente en sitios web de escuelas es cargar Google Analytics o el píxel de Meta antes de que el visitante haya hecho clic en «Aceptar». Basta con abrir el sitio con un navegador limpio (modo incógnito, sin cookies previas) e inspeccionar las peticiones de red: si aparece analytics.js o fbevents.js antes de cualquier interacción con el banner, el sitio incumple la LSSI-CE.
Formularios de jornadas de puertas abiertas, contacto y boletín: reglas de cumplimiento
Los formularios son el segundo vector de tratamiento de datos en el sitio de una escuela, tan regulado como las cookies pero con mayor volumen de datos sensibles — nombre, correo, teléfono, grado de interés, a veces expediente académico.
Formularios de inscripción a jornadas de puertas abiertas
La inscripción a una Jornada de Puertas Abiertas requiere, como mínimo, nombre y correo electrónico para confirmar la plaza. La base legal es el interés legítimo (artículo 6.1.f RGPD) o, si el candidato así lo solicita, la ejecución de medidas precontractuales. Lo que no puede hacerse: aprovechar esa inscripción para suscribir automáticamente al candidato a la newsletter o a comunicaciones de marketing. Cada finalidad exige su propia casilla de consentimiento, desactivada por defecto.
La información obligatoria debe aparecer en el formulario o inmediatamente antes del botón de envío: identidad del responsable del tratamiento (nombre de la escuela), finalidad, plazo de conservación de los datos y cómo ejercer los derechos. Un enlace a la política de privacidad no sustituye a esta información — la AEPD exige que sea visible en el momento de la recogida.
Formularios de contacto general
Para un formulario de contacto («más información sobre el grado de Máster en...»), la base legal es el interés legítimo. Cuatro campos bastan: nombre, apellidos, correo electrónico y programa de interés. Cada campo adicional — fecha de nacimiento, teléfono, dirección postal — debe justificarse en el registro de tratamientos. El principio de minimización (artículo 5.1.c RGPD) no es negociable: la AEPD puede requerir que la escuela demuestre la necesidad de cada campo.
Formularios de suscripción a boletín
El boletín de noticias o la guía de programas descargable son tratamientos de marketing: la única base legal válida es el consentimiento explícito. La casilla debe estar desactivada por defecto, el texto debe ser específico («Acepto recibir el boletín mensual de [Escuela]») y la escuela debe poder demostrar cuándo y cómo se obtuvo el consentimiento. La conservación del log de consentimiento (marca de tiempo, versión del texto, IP anonimizada) es parte de la documentación que la AEPD puede solicitar en caso de inspección.
Para el detalle de las obligaciones sobre protección de datos de candidatos, consulte nuestra guía operativa dedicada a los equipos de admisiones.
Cómo implementar un banner de cookies conforme a la AEPD
Un banner de cookies conforme a la AEPD y al RGPD cumple cinco requisitos técnicos y de diseño que la guía de la AEPD detalla explícitamente:
1. Acceso simétrico a aceptar y rechazar. El botón «Rechazar todas» debe ser tan visible y accesible como «Aceptar todas». Poner «Rechazar» en texto pequeño o en un nivel de navegación adicional es una práctica que la AEPD considera contraria al principio de consentimiento libre.
2. Bloqueo técnico previo al consentimiento. Ninguna cookie no esencial debe ejecutarse antes del clic. Esto requiere configurar la plataforma de gestión de consentimiento (CMP) para bloquear los scripts de terceros hasta la interacción del usuario.
3. Granularidad por categoría. El usuario debe poder aceptar las cookies de analítica y rechazar las de publicidad, o viceversa. Un consentimiento único agrupado («Acepto todas las cookies del sitio») no cumple el requisito de especificidad del RGPD.
4. Renovación del consentimiento. El consentimiento no es indefinido. La AEPD recomienda renovarlo cada 12 meses — lo que implica guardar la fecha del consentimiento y mostrar de nuevo el banner cuando expire.
5. Conservación de la prueba. La plataforma de gestión de consentimiento debe guardar un registro auditable: qué aceptó el usuario, cuándo, en qué versión del banner. En caso de reclamación o inspección, este registro es la única defensa válida.
El 72% de las interacciones del chatbot en webs de escuelas son consultas FAQ estándar — cada una, un tratamiento de datos que su política de cookies debe contemplar. (Fuente: clasificación automática de 12.000 conversaciones Skolbot, 2025)
Esto significa que incluso sin formularios de captación activos, el simple despliegue de un chatbot en el sitio web genera tratamientos de datos que deben reflejarse en la política de cookies y, según la configuración técnica, pueden requerir consentimiento previo.
Caso especial: chatbot con IA y datos de conversación
Un chatbot de IA no es técnicamente una cookie — pero sí puede depositar identificadores de sesión, enviar datos a servidores de terceros y almacenar historiales de conversación. Su tratamiento desde el punto de vista del consentimiento depende de la arquitectura técnica.
Identificador de sesión local (sin envío a terceros). Si el chatbot funciona exclusivamente con una cookie de sesión que expira al cerrar el navegador y no transfiere datos fuera del servidor de la escuela, queda cubierto por la exención de cookies técnicas esenciales. No requiere consentimiento adicional.
Chatbot conectado a un modelo de IA externo. Si el chatbot envía el texto de la conversación a un proveedor externo (un modelo de lenguaje alojado fuera de la UE, por ejemplo), ese flujo de datos es un tratamiento de datos personales en el sentido del RGPD. La escuela debe: (a) informar al candidato antes del inicio de la conversación de que interactúa con una IA y de que los datos se transmiten a un subcontratista, (b) tener firmado un contrato de encargo de tratamiento (DPA) con ese proveedor, y (c) verificar que el alojamiento cumple con las garantías de transferencia internacional.
Datos sensibles en conversaciones. Los candidatos comparten espontáneamente información que puede ser sensible: discapacidades, situación económica, procedencia. El chatbot debe incorporar mecanismos de purga automática de datos sensibles y limitar el acceso a los historiales de conversación. El período de conservación recomendado es de 12 meses, con anonimización de datos sensibles a los 30 días.
Consulte también la checklist de auditoría RGPD para verificar cada punto relativo al chatbot en su ciclo de auditoría anual.
FAQ
¿Necesita mi escuela un banner de cookies si solo usa Google Analytics?
Sí, con matices. La AEPD admite que Google Analytics 4 configurado con anonimización de IP, sin señales de Google activadas y sin cruce con datos de perfil publicitario puede quedar exento de consentimiento si no permite identificar individualmente a los usuarios. Sin embargo, la configuración por defecto de GA4 no cumple estos requisitos. La verificación técnica es obligatoria: si el sitio carga GA4 con la configuración estándar, necesita banner. Si existe alguna duda sobre la configuración, el criterio más prudente — y el que la AEPD aplica en caso de duda — es solicitar consentimiento.
¿Cómo recabar consentimiento válido en los formularios de jornadas?
El formulario de inscripción a una Jornada de Puertas Abiertas debe mostrar, antes del botón de envío: (1) la finalidad del tratamiento («gestionar su inscripción a la jornada del [fecha]»), (2) el responsable del tratamiento, (3) el plazo de conservación y (4) cómo ejercer los derechos de acceso, rectificación y supresión. Si la escuela quiere aprovechar la inscripción para enviar comunicaciones de marketing posteriores, debe incluir una casilla separada, desactivada por defecto, con texto específico. El envío de comunicaciones de marketing sin esa casilla marcada constituye una infracción de la LOPDGDD.
¿Puede un candidato pedir la supresión de sus datos tras una jornada?
Sí. El derecho de supresión (artículo 17 RGPD) es aplicable desde el momento en que los datos ya no son necesarios para la finalidad que justificó su recogida. Si el candidato asistió a la jornada pero no inició una candidatura formal, sus datos deben suprimirse en el plazo documentado en la política de conservación de la escuela (la AEPD recomienda 12 meses tras el último contacto activo para datos de primer contacto). La solicitud de supresión debe tramitarse en 30 días naturales y ser efectiva en todos los sistemas: CRM, plataforma de email, archivos, chatbot y copias de seguridad cuando sea técnicamente factible.
¿Cuánto tiempo podemos conservar datos de formularios de contacto?
La AEPD no fija un plazo único, pero el principio de limitación del plazo de conservación (artículo 5.1.e RGPD) exige que los datos se eliminen cuando dejan de ser necesarios para la finalidad declarada. Para formularios de contacto de prospectos que no han avanzado en el proceso de admisión, el criterio operativo habitual es 12 meses tras el último contacto activo. Para candidaturas incompletas, 24 meses. Para candidaturas rechazadas, 6 meses tras la notificación. Estos plazos deben estar documentados en el registro de tratamientos y aplicarse mediante purga automatizada — la purga manual es ineficaz en la práctica y no es defendible ante una inspección de la AEPD.
El cumplimiento en materia de consentimiento de cookies y formularios no es un proyecto de TI de una sola vez — es un proceso continuo que requiere revisión trimestral del banner, verificación técnica tras cada actualización del sitio y formación del equipo de admisiones. Las escuelas que integran estas verificaciones en su gobernanza anual reducen su exposición a sanciones y generan confianza con sus candidatos desde el primer clic.
Descubra cómo las escuelas protegen los datos de sus candidatos
