ChatGPT
Claude
Perplexity
Gemini
GrokEl error más frecuente con el consentimiento RGPD en los formularios de candidatura
La mayoría de las escuelas privadas españolas cometen el mismo error cuando actualizan sus formularios de candidatura: añaden casillas de consentimiento para absolutamente todo. Una casilla para tramitar la candidatura. Otra para enviar información. Una tercera para el análisis de datos. Y a menudo las tres aparecen juntas, con texto legal prolijo y sin distinción de finalidades.
El resultado no es solo un formulario incómodo. Es un formulario que vulnera el RGPD (Reglamento UE 2016/679) y penaliza la conversión al mismo tiempo.
El origen del malentendido está en confundir la existencia de una base jurídica con la necesidad de un consentimiento explícito. El RGPD reconoce seis bases jurídicas para el tratamiento de datos personales (artículo 6.1). Para tramitar una candidatura de admisión, no es el consentimiento la base adecuada. La ejecución de medidas precontractuales a petición del interesado (artículo 6.1.b) y el interés legítimo del responsable (artículo 6.1.f) son las bases que cubren el grueso de lo que ocurre cuando un prospecto envía su formulario.
La AEPD (Agencia Española de Protección de Datos) ha publicado orientaciones específicas sobre el interés legítimo como base del tratamiento: es aplicable cuando el responsable tiene un interés real y no existe razón para que prevalezcan los derechos del interesado. Una escuela privada que tramita una solicitud de admisión recibida a petición expresa del candidato cumple con ese criterio sin necesidad de añadir ninguna casilla.
El consentimiento explícito solo es obligatorio para tratamientos que no quedan amparados por ninguna otra base jurídica del artículo 6.1: típicamente, el envío de comunicaciones comerciales o el uso de datos para finalidades distintas de las que motivaron la recogida.
Lo que la AEPD exige realmente en un formulario de candidatura
Lo que la normativa impone no es una casilla de consentimiento para la tramitación de la candidatura, sino información suficiente para que el candidato sepa cómo y para qué se usan sus datos. Esta obligación deriva del artículo 13 del RGPD, que exige informar al interesado en el momento de la recogida de sus datos.
La tabla siguiente recoge los elementos obligatorios según el artículo 13, el formato recomendado y un ejemplo aplicable a cualquier escuela privada española:
| Elemento | Obligatorio | Formato recomendado | Ejemplo |
|---|---|---|---|
| Identidad del responsable | Sí | Texto o enlace | «Universidad XYZ, Calle Mayor 1, 28001 Madrid» |
| Finalidades del tratamiento | Sí | Texto breve | «Tramitación de su candidatura y comunicación de resultados» |
| Base jurídica | Sí | Texto claro | «Interés legítimo (art. 6.1.f RGPD)» |
| Plazo de conservación | Sí | Concreto | «2 años desde la resolución del proceso de admisión» |
| Derechos de los interesados | Sí | Enlace a política de privacidad | Enlace «Sus derechos RGPD» |
| Contacto DPD | Si se ha designado | Email o formulario | dpd@escuela.es |
| Casilla para el tratamiento de candidatura | NO | — | Innecesaria y contraproducente |
| Casilla para emails de marketing | Sí, si se planea | Opt-in separado, sin preseleccionar | «Deseo recibir información sobre los programas» |
Hay dos puntos que merecen atención especial:
La casilla de tramitación de candidatura no debe existir. Si la base jurídica es el interés legítimo o la ejecución de medidas precontractuales, añadir una casilla de consentimiento para esa finalidad crea una contradicción jurídica: si el candidato puede rechazarla, ¿en qué base descansa el tratamiento cuando acepta? La AEPD ha señalado en varias resoluciones que el uso simultáneo de dos bases jurídicas para la misma finalidad genera inseguridad jurídica.
La casilla de marketing debe ir siempre desmarcada y ser completamente opcional. El artículo 7.4 del RGPD prohíbe vincular la prestación de un servicio (tramitar la candidatura) a la obtención de un consentimiento para una finalidad distinta (el envío de comunicaciones comerciales). Si el candidato percibe que aceptar la casilla de marketing es condición para que su candidatura sea procesada, ese consentimiento es nulo de pleno derecho.
Para las escuelas con acreditación ANECA o que tramitan acceso vía EBAU/Selectividad, la Ley Orgánica 3/2018 de Protección de Datos y garantía de los derechos digitales (LOPDGDD) refuerza estas obligaciones sin añadir requisitos adicionales de consentimiento para la gestión ordinaria de admisiones.
Tres errores de consentimiento que alejan a tus candidatos
1. El sobre-consentimiento: pedir permiso para lo que no lo necesita
Cuando un formulario exige consentimiento explícito para procesar la candidatura, el candidato recibe un mensaje equivocado: que tiene poder de veto sobre algo que en realidad ya inició él mismo al rellenar el formulario. Esto genera desconfianza, no seguridad.
El 91 % de los visitantes abandona el sitio web de una escuela sin realizar un primer contacto (Fuente: análisis del embudo de conversión Skolbot, 30 escuelas, cohorte 2025-2026). Cada campo innecesario y cada casilla de consentimiento superflua son fricciones que acercan al candidato a ese 91 %.
2. Los muros de texto legal incrustados en el formulario
Reproducir íntegramente la política de privacidad dentro del formulario no cumple mejor la obligación informativa del artículo 13 — solo hace el formulario más largo y la información menos legible. La AEPD acepta sin reservas el modelo de «información por capas»: un texto breve en el formulario con las finalidades esenciales y la base jurídica, y un enlace a la política de privacidad completa para quien desee el detalle.
Un candidato que no entiende para qué se usan sus datos es un candidato que abandona. No porque no quiera dar sus datos, sino porque la opacidad genera desconfianza.
3. El consentimiento vinculado: «si no acepta no podemos tramitar su candidatura»
Este es el error más grave desde el punto de vista jurídico. El artículo 7.4 del RGPD es explícito: «Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no es necesario para la ejecución de dicho contrato».
Vincular la tramitación de una candidatura al consentimiento para el envío de newsletters no solo viola el artículo 7.4 — también anula retroactivamente todos los consentimientos obtenidos de esa manera. La AEPD puede exigir la supresión de esa base de datos de marketing y sancionar adicionalmente por la recopilación ilícita.
La fórmula mínima conforme que no penaliza tu tasa de conversión
La solución no requiere invertir en un rediseño del formulario ni en asesoramiento jurídico extenso. Requiere aplicar dos cambios concretos:
Primero: sustituir cualquier casilla de consentimiento para la tramitación de la candidatura por un texto informativo breve, colocado justo encima del botón de envío:
Sus datos serán tratados por [Nombre de la escuela] con la finalidad de gestionar su candidatura al programa solicitado, en aplicación de nuestro interés legítimo (art. 6.1.f RGPD). Los conservaremos durante 2 años desde la resolución del proceso de admisión. Puede consultar sus derechos y nuestra política de privacidad completa en [enlace].
Este texto cumple el artículo 13 del RGPD, identifica la base jurídica, incluye el plazo de conservación y facilita el ejercicio de derechos. No requiere ninguna casilla.
Segundo: si se desea enviar comunicaciones de marketing, añadir a continuación — y siempre por debajo del texto informativo — una única casilla desmarcada por defecto:
☐ Deseo recibir información sobre programas, jornadas de puertas abiertas y novedades de [Nombre de la escuela].
Esta casilla debe ser completamente opcional. No puede aparecer preseleccionada. No puede estar vinculada al envío del formulario. Y si el candidato no la marca, su candidatura debe tramitarse exactamente igual.
Con estos dos elementos, el formulario cumple la normativa española y europea, minimiza la fricción y mantiene la tasa de conversión intacta.
Para el contexto más amplio de la conformidad RGPD, consulte nuestra guía RGPD completa sobre datos estudiantiles.
Chatbot vs. formulario de candidatura — lógicas de consentimiento distintas
Los formularios de candidatura y los chatbots comparten las mismas bases jurídicas bajo el RGPD, pero presentan dinámicas de conversión radicalmente distintas.
El 18,4 % de los prospectos se inscribe en una jornada de puertas abiertas a través del chatbot, frente al 6,2 % por formulario clásico (Fuente: seguimiento UTM Skolbot, 35 centros, 2025-2026). La diferencia no está en la información solicitada — está en el momento en que se solicita y en cómo se presenta.
En un chatbot, la información de privacidad puede integrarse de forma conversacional, en el primer intercambio, antes de que el candidato proporcione ningún dato personal identificable. La base jurídica sigue siendo la misma (interés legítimo o medidas precontractuales), pero la ausencia de formularios largos con casillas legales elimina la fricción visual que hace abandonar al candidato.
El chatbot que cumple el RGPD y convierte mejor no es el que menos informa, sino el que informa de forma más natural: un mensaje claro sobre el uso de los datos al inicio de la conversación, sin interrumpir el flujo de preguntas y respuestas.
Para una guía completa sobre los requisitos específicos del chatbot, consulte nuestro artículo sobre el chatbot RGPD-cumplidor para escuelas y proveedores.
FAQ — Consentimiento RGPD formulario candidatura universitaria
¿Es obligatorio el consentimiento para tramitar una candidatura?
No. El interés legítimo (art. 6.1.f RGPD) o la ejecución de medidas precontractuales (art. 6.1.b) son las bases jurídicas más adecuadas para tratar una solicitud de admisión. El consentimiento solo es necesario para tratamientos específicos como el envío de comunicaciones comerciales.
¿Qué texto debo incluir en el formulario de candidatura?
Un texto breve y claro justo antes del botón de envío es suficiente para cumplir el artículo 13 del RGPD. Por ejemplo: «Sus datos serán tratados por [Nombre del centro] para gestionar su candidatura (base jurídica: interés legítimo, art. 6.1.f RGPD) y conservados durante 2 años tras la resolución del proceso de admisión. Para ejercer sus derechos de acceso, rectificación o supresión, consulte nuestra [política de privacidad] o contacte con nuestro DPD en dpd@escuela.es.» Este texto no requiere ninguna casilla de aceptación.
¿Puedo enviar emails de seguimiento sin consentimiento explícito?
Sí, al amparo del régimen de opt-out para usuarios existentes (art. 21 LSSI-CE), siempre que se ofrezca una vía sencilla de oposición y el envío se refiera a servicios similares a los que motivaron el contacto inicial — en este caso, programas formativos de la misma institución. No obstante, para comunicaciones de carácter puramente comercial o para candidatos que no han iniciado ningún proceso formal, el consentimiento explícito sigue siendo la base más segura.
¿Cuánto tiempo debo conservar los datos de candidatos no admitidos?
La AEPD recomienda un plazo máximo de 2 años tras la resolución del proceso de admisión. Consulte nuestro artículo completo sobre plazos de conservación de datos de prospectos.
¿Qué sanciones prevé la normativa en caso de incumplimiento?
La AEPD puede imponer multas de hasta 20 millones de euros o el 4 % del volumen de negocio anual global, según lo establecido en el art. 83 RGPD. Para instituciones con acreditación ANECA, una resolución pública también implica un riesgo reputacional significativo frente a candidatos y sus familias.
¿Un DPO externalizado puede ayudar a revisar el formulario de candidatura?
Sí, y en muchos casos es la opción más eficiente para escuelas privadas que no tienen un departamento jurídico interno. Un DPO externalizado puede revisar los textos del formulario, identificar bases jurídicas inadecuadas y proponer las correcciones necesarias. Para más información, consulte nuestro artículo sobre el DPO externalizado para escuelas privadas.
El consentimiento RGPD en los formularios de candidatura universitaria no es una elección entre cumplir la ley o proteger la conversión. Es entender qué base jurídica aplica realmente — y diseñar el formulario en consecuencia. Un texto informativo claro, una casilla de marketing opcional y desmarcada, y un enlace a la política de privacidad completa: eso es todo lo que la normativa exige y todo lo que un candidato necesita ver para seguir adelante.
Para profundizar en el marco normativo completo, consulte nuestra guía RGPD completa sobre datos estudiantiles y el artículo sobre plazos de conservación de datos de prospectos.
Prueba Skolbot en tu escuela en 30 segundos
