ChatGPT
Claude
Perplexity
Gemini
GrokCuando un prospecto solicita la supresión de sus datos personales, la institución responsable del tratamiento dispone de un mes natural para responder con una actuación efectiva. El derecho de supresión — recogido en el artículo 17 del Reglamento General de Protección de Datos (RGPD, UE 2016/679) y completado en España por la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) — no es potestativo: la obligación de actuar nace en el momento en que la solicitud llega a la institución, con independencia de que el interesado aporte o no justificación. Universidades privadas, escuelas de negocio y centros de FP que gestionan prospectos a través de CRM, chatbots de IA, plataformas de email y carpetas compartidas deben ser capaces de localizar, analizar y suprimir esos datos dentro del plazo legal.
Para el marco completo de protección de datos de prospectos en su institución, consulte nuestra guía RGPD para datos estudiantiles.
Qué es el derecho de supresión según el RGPD
El derecho de supresión — también conocido como «derecho al olvido» — otorga al interesado la facultad de solicitar al responsable del tratamiento que elimine sus datos personales sin dilación indebida. El artículo 17 del RGPD enumera seis causas que activan este derecho. Para las instituciones educativas que gestionan datos de candidatos, las tres más frecuentes son: el prospecto retira el consentimiento en que se basaba el tratamiento; los datos ya no son necesarios para la finalidad para la que se recabaron; o el prospecto se opone al tratamiento y la institución no puede acreditar motivos legítimos imperiosos que lo justifiquen.
La Agencia Española de Protección de Datos (AEPD) es la autoridad de control responsable de supervisar el ejercicio de este derecho en España. Su guía sobre el derecho de supresión establece con claridad el plazo de un mes desde la recepción de la solicitud para dar respuesta. Si la solicitud es compleja o si la institución recibe varias simultáneamente, ese plazo puede prorrogarse dos meses más — pero el interesado debe ser informado de la prórroga y de sus motivos antes de que expire el primer mes. No responder en plazo constituye por sí solo una infracción del RGPD, con independencia de si los datos debían o no suprimirse.
¿A quién ampara este derecho? A cualquier persona cuyos datos personales obren en poder de la institución: candidatos que contactaron a través de una feria universitaria, del chatbot del sitio web, de un formulario de consulta de programas, de un código QR en un evento o de una campaña de generación de leads en redes sociales. El derecho no se limita a los estudiantes matriculados ni a los candidatos que hayan completado su solicitud de admisión.
La modalidad de recogida de datos no condiciona el derecho. Un prospecto cuyo email fue añadido a una secuencia de nurturing tras llamar al teléfono de información después de la EBAU tiene exactamente los mismos derechos que uno que rellenó un formulario detallado en línea.
Cuándo se aplica el derecho de supresión a los datos de prospectos
El derecho de supresión se aplica a los datos de prospectos en tres escenarios principales. Comprender cada uno resulta imprescindible para los equipos de admisiones y marketing, porque el análisis jurídico difiere en cada caso — y también la respuesta adecuada.
| Causa de activación | Base jurídica afectada | Obligación de la institución |
|---|---|---|
| El prospecto retira el consentimiento de marketing | Consentimiento (art. 6.1.a) | Supresión obligatoria — no subsiste base jurídica para el tratamiento de marketing |
| Datos ya no necesarios (límite de 3 años) | Cualquier base | Supresión proactiva, incluso sin solicitud previa |
| El prospecto se opone al tratamiento | Interés legítimo (art. 6.1.f) | Supresión salvo que se acrediten motivos legítimos imperiosos |
La retirada del consentimiento es la causa más nítida. Si la institución recabó los datos de contacto de un prospecto con su consentimiento para comunicaciones de marketing — emails de nurturing, invitaciones a jornadas de puertas abiertas, actualizaciones sobre programas — y ese prospecto retira el consentimiento, la institución debe cesar el tratamiento para esa finalidad y suprimir los datos, salvo que otra base jurídica independiente justifique su conservación. Conviene tener presente que darse de baja de un email no equivale automáticamente a revocar el consentimiento sobre el conjunto de los datos: el prospecto puede ejercer por separado el derecho de supresión sobre todos sus datos en poder de la institución.
Los datos ya no son necesarios cuando se ha cumplido la finalidad para la que se recabaron o cuando ha transcurrido el plazo máximo de conservación previsto. La guía de protección de datos en educación de la AEPD señala 3 años desde el último contacto activo como límite orientativo para datos de prospectos. Los datos conservados más allá de ese umbral carecen de justificación para una finalidad legítima de captación y su mera retención puede constituir una infracción del principio de limitación del plazo de conservación (art. 5.1.e del RGPD).
El derecho de oposición (art. 21 RGPD) es pertinente cuando el tratamiento se basa en el interés legítimo. Un prospecto puede oponerse a que sus datos figuren en el CRM «a efectos de seguimiento comercial» si la institución no ha obtenido su consentimiento explícito. La institución debe entonces demostrar motivos legítimos imperiosos que prevalezcan sobre los intereses del prospecto — un umbral elevado para datos de captación y marketing.
Cuándo puede negarse legalmente a suprimir los datos
El derecho de supresión no es absoluto. El artículo 17.3 del RGPD enumera las circunstancias en que el responsable del tratamiento puede denegar total o parcialmente una solicitud de supresión.
Obligación jurídica es la causa más relevante para las instituciones educativas. Si la normativa obliga a conservar determinados registros — por ejemplo, expedientes de acceso a financiación pública, documentación fiscal exigida por la legislación tributaria, o registros de notificaciones a ANECA —, la supresión de esos datos específicos puede ser denegada. La denegación debe estar acotada con precisión: no puede ampararse en una obligación legal que afecta a un campo concreto para retener la totalidad del expediente del prospecto.
Ejercicio o defensa de reclamaciones autoriza la conservación cuando los datos son necesarios para la formulación, el ejercicio o la defensa de reclamaciones. Si un prospecto ha presentado una reclamación formal ante la institución por el proceso de admisión, conservar su expediente hasta que la reclamación quede resuelta es lícito. Una vez resuelta, desaparece la habilitación y los datos deben suprimirse salvo que concurra otra causa.
Supresión parcial no solo está permitida — con frecuencia es la respuesta jurídicamente correcta. Si el expediente de un prospecto contiene datos que deben conservarse (por ejemplo, el registro de una reclamación o de una interacción documentada con fines acreditativos) y otros que no tienen justificación (un perfil de puntuación comportamental en el CRM, etiquetas de segmentación de campañas), procede suprimir estos últimos y conservar únicamente lo estrictamente necesario. La denegación global cuando la supresión parcial es posible constituye un error — y la AEPD ha mostrado especial atención a la sobreconservación en el sector educativo.
Documente siempre la base legal de cualquier denegación y comuníquela al interesado de forma clara y dentro del plazo de un mes.
Proceso en 5 pasos para gestionar una solicitud de supresión
Paso 1 — Acuse de recibo (Día 1). Confirme la recepción de la solicitud de forma inmediata, antes de iniciar la investigación. El plazo de un mes empieza a correr desde la fecha de recepción, no desde la fecha en que se comienza a tramitar. El acuse de recibo debe confirmar la recepción, asignar un número de referencia e indicar la fecha límite de respuesta.
Paso 2 — Verificación de identidad (Días 1–3). Confirme que la persona que formula la solicitud es quien dice ser. Una respuesta desde la dirección de email que consta en el expediente suele ser suficiente. No solicite documentación desproporcionada. La AEPD advierte que los trámites de verificación no deben utilizarse para retrasar el cumplimiento.
Paso 3 — Localización de los datos (Días 3–10). Identifique todos los sistemas en los que obran datos del prospecto: registros del CRM, listas de suscriptores de la plataforma de email, logs de conversación del chatbot, carpetas compartidas, hojas de cálculo de ferias y eventos, etiquetas de automatización de marketing. Este paso pone de manifiesto la complejidad real: los datos de un único prospecto pueden estar distribuidos en 8 a 12 sistemas distintos en una institución mediana.
Paso 4 — Análisis jurídico (Días 10–20). Para cada conjunto de datos, plantee: ¿existe alguna causa del artículo 17.3 que autorice la conservación? ¿Subsiste una base jurídica independiente — obligación legal, defensa de reclamaciones — que justifique conservar específicamente esos datos? Documente el análisis. Si procede la supresión, programe la eliminación. Si está justificada la conservación parcial, acótela con precisión.
Paso 5 — Ejecución, confirmación y documentación (Días 20–30). Suprima todos los datos para los que no exista causa de conservación, en cada sistema. Confirme al interesado por escrito que la supresión se ha llevado a cabo, detallando qué se ha eliminado y — cuando proceda — qué se ha conservado y por qué. Conserve un registro de la solicitud y de su respuesta — sin retener los datos personales suprimidos — a efectos de la responsabilidad proactiva exigida por el artículo 5.2 del RGPD.
Si no es posible completar el proceso en el plazo de un mes, notifíquelo al interesado antes del día 30, indicando la prórroga y su motivo. La prórroga máxima es de dos meses adicionales.
Plazos de conservación de datos de prospectos
El principio de limitación del plazo de conservación (art. 5.1.e RGPD) exige que los datos personales no se conserven durante más tiempo del necesario para la finalidad con la que se recabaron. Para universidades y escuelas españolas, los plazos orientativos conformes con las directrices de la AEPD para el sector educativo son los siguientes.
Datos de primer contacto (formulario de consulta, conversación de chatbot, registro en feria): 12 meses desde el último contacto activo si el prospecto no ha avanzado hacia una solicitud formal. Más allá de ese plazo, el proyecto formativo está presumiblemente abandonado y la conservación requiere justificación específica.
Prospecto activo en el proceso de captación (asistente a jornada de puertas abiertas, solicitante de folleto, candidatura parcialmente cumplimentada): hasta 24 meses desde el último contacto, en coherencia con los ciclos de convocatoria de la EBAU y el curso académico siguiente.
Datos de candidatura formal (rechazada o desistida): 6 meses desde la notificación del resultado. No existe una obligación legal de conservar datos de prospectos rechazados más allá de ese plazo, salvo que medie una reclamación en curso.
Registros de consentimiento de marketing: conservados durante el tiempo necesario para acreditar el cumplimiento — habitualmente 3 años desde el evento de consentimiento o desde su retirada, si esta es posterior. Esto no justifica la conservación de los datos personales del prospecto; es únicamente el registro de que se obtuvo y, en su caso, se retiró el consentimiento.
El límite de 3 años desde el último contacto activo constituye el techo orientativo para cualquier dato de prospecto. Los datos conservados más allá de ese umbral conllevan riesgo regulatorio y complican la gestión de solicitudes de supresión, porque la institución ya incurre en una infracción del principio de limitación del plazo de conservación. La purga proactiva, configurada en el CRM, reduce el volumen de solicitudes de supresión al eliminar datos obsoletos antes de que nadie tenga que pedirlo.
Implicaciones para el chatbot IA y el CRM
Las solicitudes de supresión ponen de manifiesto la naturaleza multisistema de los datos de captación modernos. Un prospecto que contactó con su institución a través de un chatbot de IA puede tener datos distribuidos en: la plataforma del chatbot (logs de conversación), el CRM (un registro de lead creado a partir del traspaso del chatbot), la plataforma de email marketing (un registro de suscriptor generado cuando el prospecto aceptó recibir actualizaciones) y la plataforma de analítica (datos comportamentales vinculados a un identificador persistente).
Las escuelas que utilizan Skolbot gestionan una mediana de 195 leads cualificados por mes (Fuente: Skolbot Benchmark 2024-2025, panel de 18 instituciones). A ese volumen, una tasa de solicitudes de supresión del 1 % genera aproximadamente 2 solicitudes al mes — y cada una requiere una investigación multisistema. Las instituciones sin herramientas de mapeo de datos automatizadas incurren con regularidad en omisiones de uno o más sistemas durante el proceso de supresión, lo que puede dar lugar a sanciones por cumplimiento parcial.
Cuatro requisitos técnicos son imprescindibles para gestionar solicitudes de supresión sobre datos de chatbot y CRM:
1. Un identificador unificado de prospecto. Cada sistema que almacene datos de un prospecto debe utilizar un identificador común — habitualmente la dirección de email o el ID de CRM — para que una sola solicitud de supresión pueda mapearse en todas las plataformas sin cruces manuales.
2. Un inventario de datos. El Registro de Actividades de Tratamiento (art. 30 RGPD) debe documentar cada sistema que almacena datos de prospectos, las categorías de datos que contiene y los plazos de conservación. Ese inventario es el mapa para el Paso 3 del proceso de supresión.
3. Acceso a API de eliminación o procedimientos manuales documentados. La mayoría de CRM y plataformas de email proporcionan endpoints API para eliminar registros individuales. En el caso de los chatbots, verifique antes del despliegue si los logs de conversación pueden suprimirse por usuario individual o únicamente de forma masiva.
4. Un contrato de encargo de tratamiento (DPA) con cada proveedor. El artículo 28 del RGPD exige que los contratos con proveedores de CRM, chatbot y email especifiquen que el encargado asistirá al responsable en el ejercicio de los derechos de los interesados — incluida la supresión. Sin esta cláusula, la institución queda expuesta y puede no estar en condiciones de cumplir sus obligaciones. Consulte la guía de protección de datos de prospectos para el marco completo de encargados del tratamiento.
En España, la designación de un Delegado de Protección de Datos (DPD) es obligatoria para las instituciones educativas que traten datos a gran escala (art. 37 RGPD + art. 34 LOPDGDD). El DPD debe ser el punto de contacto interno para coordinar la respuesta a todas las solicitudes de supresión. Para las implicaciones específicas de cookies y píxeles de seguimiento, consulte nuestra guía de consentimiento de cookies RGPD para universidades.
FAQ
¿Debe el prospecto justificar su solicitud de supresión?
No. El RGPD no exige que el interesado aporte razones para su solicitud de supresión. Basta con que la formule de forma clara. Su obligación de responder en el plazo de un mes se aplica con independencia de si se proporciona o no una justificación. Cuando la institución pretenda denegar la solicitud, la carga de la justificación recae sobre ella — no sobre el interesado.
¿Qué ocurre si el prospecto solicita la supresión pero tiene abierta una reclamación?
Puede conservar los datos necesarios para la formulación, el ejercicio o la defensa de reclamaciones, al amparo del artículo 17.3.e del RGPD. Una reclamación formal de admisiones en curso habilita esa conservación. Sin embargo, la retención debe limitarse a los datos genuinamente necesarios para la reclamación. Una vez resuelta, desaparece el fundamento y los datos deben suprimirse salvo que concurra otra causa.
¿Están cubiertos los prospectos que contactaron a través de la EBAU o de ferias universitarias?
Sí. Los datos recabados durante ferias universitarias, jornadas de orientación post-EBAU o campañas de captación dirigidas a candidatos de selectividad constituyen datos personales en poder de la institución como responsable del tratamiento. Los datos que obren en poder de plataformas de intermediación — como portales de orientación universitaria — deben gestionarse dirigiéndose a dichas plataformas como responsables separados; su institución debe gestionar las solicitudes relativas a los datos que ella misma conserva.
¿Podemos cobrar por gestionar solicitudes de supresión?
Con carácter general, no. La respuesta a las solicitudes de ejercicio de derechos debe ser gratuita. El RGPD y la LOPDGDD permiten cobrar una tasa razonable únicamente cuando las solicitudes sean «manifiestamente infundadas o excesivas» — un umbral muy elevado. Cobrar en otros supuestos constituye una infracción del RGPD.
¿Qué hacemos si no localizamos ningún dato del prospecto en nuestros sistemas?
Si no encuentra datos que correspondan a la identidad del interesado, debe responder confirmando que no dispone de datos sobre esa persona — o que ya no dispone de ellos, si han sido purgados en virtud de su política de conservación. Esta respuesta es por sí misma válida frente a una solicitud de supresión. No solicite al interesado más información de la razonable para verificar su identidad.
Para formalizar el cumplimiento RGPD de su institución de forma integral, utilice nuestra auditoría RGPD para universidades: cubre gobernanza, consentimiento, seguridad, encargados del tratamiento y obligaciones del Reglamento de IA.
Descubra cómo las escuelas mejoran la captación de estudiantes con Skolbot
