ChatGPT
Claude
Perplexity
Gemini
GrokLo que el Reglamento IA exige realmente a su centro educativo
El Reglamento Europeo de Inteligencia Artificial (Reglamento IA, Reglamento UE 2024/1689) no impone la misma documentación a todos los sistemas de IA: para un chatbot de captación de alumnos (riesgo limitado) basta con cumplir las obligaciones de transparencia del artículo 50, mientras que un sistema de scoring automatizado de candidatos (alto riesgo) exige un paquete documental completo conforme a los artículos 9 a 15. La fecha límite para ambas categorías es el 2 de agosto de 2026 — los centros que ese día no dispongan de la documentación adecuada se exponen a multas de hasta 15 millones de euros o el 3 % de su facturación mundial anual.
Esta guía le ofrece la checklist completa de documentación para cada escenario y un calendario concreto para organizar el proceso de conformidad.
Nota: este artículo tiene carácter informativo y no constituye asesoramiento jurídico. Para una evaluación vinculante de sus obligaciones de cumplimiento, consulte a un jurista especializado en regulación de IA o a su Delegado de Protección de Datos.
¿Qué sistemas IA de su centro están afectados?
El punto de partida es un inventario completo de todos los sistemas de IA que su centro utiliza o tiene previsto implantar. La tabla siguiente recoge los sistemas más habituales en universidades privadas, escuelas de negocio y centros universitarios acreditados por ANECA, su categoría de riesgo según el Reglamento IA y la obligación documental que generan:
| Sistema de IA | Categoría de riesgo | Base legal | Obligación documental |
|---|---|---|---|
| Chatbot de admisiones e información sobre grados y másteres | Limitado | Art. 50 Ap. 1 | Identificación como IA, aviso de privacidad |
| Scoring automatizado de candidatos / ranking de admisiones | Alto | Anexo III, punto 3a | Paquete documental completo (Arts. 9–15) |
| Detector de plagio con IA con impacto en calificaciones | Alto | Anexo III, punto 3b | Paquete documental completo (Arts. 9–15) |
| Algoritmo de recomendación de programas en CRM | Alto | Anexo III, punto 3b | Paquete documental completo (Arts. 9–15) |
| Correos de admisión generados por IA | Limitado | Art. 50 Ap. 4 | Identificación como contenido generado por IA |
| Reconocimiento de emociones en entrevistas en vídeo | Prohibido desde feb. 2025 | Art. 5 Ap. 1 lit. f | Retirada inmediata obligatoria |
| Corrector ortográfico, filtro de spam | Mínimo | — | Sin obligación específica |
| Optimizador de horarios sin efecto en decisiones | Mínimo | — | Sin obligación específica |
Nota relevante sobre el Anexo III: El acuerdo ómnibus de mayo de 2026 ha pospuesto la aplicación del Anexo III a los sistemas de alto riesgo al 2 de diciembre de 2027. Para los sistemas de scoring de candidatos esto implica que las obligaciones del artículo 29 (obligaciones del operador) son exigibles desde agosto de 2026, pero la documentación técnica completa del Anexo IV no lo será hasta diciembre de 2027. No obstante, construir la estructura documental ahora sigue siendo estratégicamente recomendable.
La checklist de documentación completa
1. Inventario de sistemas IA (todas las categorías de riesgo)
Cualquier centro educativo debería, con independencia de la categoría de riesgo de sus sistemas, mantener un inventario interno de IA. Aunque no es un documento legalmente exigido a los operadores de sistemas de riesgo limitado, es la base de cualquier proceso de conformidad coherente.
Checklist — Inventario de sistemas:
- Lista completa de todos los sistemas de IA en uso, con nombre del proveedor y versión
- Descripción funcional de cada sistema redactada en lenguaje propio (no copiada del folleto comercial del proveedor)
- Categoría de riesgo asignada según el Reglamento IA, con justificación escrita
- Fecha de puesta en producción y período de uso previsto
- Responsable interno designado para cada sistema (propietario del sistema)
- Fecha de la última revisión de la clasificación (al menos anual)
2. Documentación de transparencia para chatbots (riesgo limitado, Art. 50)
Para un chatbot de IA en un centro educativo — ya sea para responder preguntas sobre el proceso de admisión, informar sobre grados, másteres y selectividad/EBAU o gestionar FAQ generales — la obligación central a partir del 2 de agosto de 2026 es la transparencia frente al usuario, conforme al artículo 50 del Reglamento IA.
Checklist — Documentación de transparencia:
- Obligación de identificación documentada por escrito: el chatbot se identifica como sistema de IA en el primer mensaje
- Texto del mensaje de bienvenida archivado (p. ej.: «Soy el asistente de IA de [Nombre del centro]. Si desea hablar con un orientador humano, puede solicitarlo en cualquier momento.»)
- Captura de pantalla o evidencia técnica de la identificación permanente como IA en la interfaz
- Botón o mecanismo para solicitar contacto con un orientador humano (documentado y testado)
- Aviso de privacidad integrado en el chatbot: base jurídica, finalidad, plazo de conservación, enlace a la política de privacidad completa
- Contrato de encargo de tratamiento con el proveedor del chatbot conforme al art. 28 RGPD
- Fecha de la última verificación de la identificación de IA
Para profundizar en los requisitos RGPD específicos del chatbot consulte nuestra guía Chatbot RGPD: cumplimiento para escuelas y proveedores.
3. Documentación del operador para sistemas de alto riesgo (Arts. 26 y 29)
Cuando su centro utiliza un sistema que evalúa candidaturas, establece rankings de admisión o incide en la decisión de acceso, el artículo 29 del Reglamento IA es de aplicación directa. Como operador, usted es responsable del cumplimiento de las obligaciones del operador independientemente de si el sistema está desarrollado internamente o lo contrata a un proveedor externo.
Checklist — Obligaciones del operador (Art. 29):
- Uso documentado exclusivamente para el propósito previsto por el proveedor (sin desviación de uso)
- Procedimiento escrito de supervisión humana (Art. 14): ¿quién revisa las recomendaciones automatizadas? ¿con qué frecuencia? ¿mediante qué proceso?
- Protocolo de conservación de registros (Art. 26 Ap. 5): los registros generados automáticamente por el sistema se conservan durante el período de uso más tres años
- Procedimiento de notificación de incidentes graves al proveedor y, cuando proceda, a la AEPD (Agencia Española de Protección de Datos) o a la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial)
- Verificación de la documentación de conformidad del proveedor (declaración de conformidad, registro en la base de datos de la UE según Art. 71, informe de auditoría de sesgos)
- Evaluación de Impacto sobre la Protección de Datos (EIPD) conforme al Art. 35 RGPD, ya que los sistemas de IA de alto riesgo la activan habitualmente
- Plazo de conservación de toda la documentación del operador: 10 años desde la retirada del sistema (Art. 26 Ap. 5 en relación con el Considerando 79)
4. Documentación técnica (obligación del proveedor, deber de verificación del operador)
La documentación técnica del Anexo IV recae sobre el proveedor del sistema, no sobre el centro como operador. Sin embargo, su obligación como operador es verificar que esa documentación existe y está actualizada antes de desplegar el sistema.
Checklist — Documentación del proveedor (deber de verificación del operador):
- Declaración de conformidad del proveedor solicitada y archivada
- Confirmación escrita del registro en la base de datos de la UE (Art. 71)
- Descripción del enfoque de entrenamiento y los conjuntos de datos (Anexo IV, punto 2) revisada
- Informe de sesgo (bias audit) para grupos relevantes solicitado — especialmente para candidatos de primera generación universitaria, estudiantes internacionales y alumnos de acceso a través de EBAU con cupo especial
- Cláusula contractual que obliga al proveedor a facilitar actualizaciones de la documentación de conformidad de forma inmediata
- Verificación de que el sistema está previsto para el contexto de uso concreto del centro (un uso fuera del propósito previsto puede convertir al centro en proveedor, con las obligaciones que ello implica)
5. Aprovechar las simplificaciones para PYME
Los centros con menos de 250 empleados se benefician de las reglas de simplificación del Reglamento IA para pequeñas y medianas empresas. Las universidades privadas, escuelas de negocio y centros universitarios que se sitúen por debajo de ese umbral pueden beneficiarse de una carga documental reducida — concretamente en la profundidad de la documentación interna y en algunos requisitos de justificación ante la autoridad de supervisión del mercado. Sin embargo, las obligaciones nucleares (transparencia, registro, supervisión humana) son aplicables con independencia del tamaño del centro.
Checklist — Condición de PYME:
- Número de empleados del centro determinado y documentado
- Si < 250 empleados: condición de PYME registrada por escrito
- Valoración jurídica de qué simplificaciones son aplicables al caso concreto (preferiblemente acordada con el DPD)
Calendario concreto para su centro
El siguiente calendario recoge los hitos principales en el camino hacia la conformidad con el Reglamento IA antes de agosto de 2026:
| Fecha límite | Hito | Responsable | Estado |
|---|---|---|---|
| Inmediato | Elaborar el inventario de sistemas IA | TI / DPD | ☐ |
| Inmediato | Retirar cualquier sistema de reconocimiento de emociones en entrevistas (prohibido desde feb. 2025) | TI / Dirección | ☐ |
| Julio 2026 | Verificar y documentar la identificación de IA del chatbot | TI / Marketing | ☐ |
| 2 ago. 2026 | Fecha límite: obligaciones de transparencia (Art. 50) y del operador (Art. 29) exigibles | Dirección del centro | ☐ |
| Sep. 2026 | Documentación de conformidad del proveedor completa para todos los sistemas de alto riesgo | Compras / Jurídico | ☐ |
| Oct. 2026 | EIPD completada o encargada para sistemas de alto riesgo | DPD | ☐ |
| 2 dic. 2027 | Documentación técnica completa del Anexo IV exigible para sistemas de alto riesgo | DPD / TI | ☐ |
| Continuo | Revisión anual del inventario y de la documentación de conformidad | DPD | ☐ |
Qué implica esto para su chatbot de captación de alumnos
Para la mayoría de los centros educativos españoles, el chatbot de IA es el sistema más relevante en la práctica bajo el Reglamento IA — y también aquel para el que la carga documental es menor. El 72% de las preguntas realizadas a chatbots de centros educativos son consultas FAQ simples automatizables (Fuente: análisis de 12.000 conversaciones Skolbot, 2025–2026). Esto significa que una parte sustancial de la carga del equipo de orientación puede liberarse mediante un chatbot bien configurado, sin que el Reglamento IA convierta ese despliegue en un proceso excesivamente burocrático.
La documentación exigida para un chatbot de riesgo limitado se reduce esencialmente a:
- Evidencia de la identificación como IA (artículo 50)
- Contrato de encargo de tratamiento con el proveedor del chatbot (RGPD, Art. 28)
- Aviso de privacidad integrado en la interfaz del chatbot
Un chatbot de IA responde en 3 segundos las 24 horas, frente a las 72 horas de un formulario de contacto (Fuente: auditoría Skolbot 2025). El tiempo de respuesta a las consultas de los candidatos es uno de los factores determinantes de la tasa de conversión en el proceso de admisión — y un chatbot que cumple los requisitos del Reglamento IA no tiene por qué ser más lento ni menos eficaz.
El paso clave es elegir un proveedor que acredite la conformidad con el Reglamento IA desde el inicio: con clasificación de riesgo documentada, declaración de conformidad actualizada y contrato de encargo de tratamiento conforme al RGPD. Para el marco RGPD que rodea el despliegue del chatbot, consulte nuestra guía RGPD completa sobre datos de estudiantes y el artículo sobre clasificación de riesgo según el Reglamento IA para centros educativos.
FAQ — Reglamento IA y documentación para centros educativos
¿Se aplica el Reglamento IA a los centros educativos privados de tamaño reducido?
Sí. El Reglamento IA se aplica a cualquier organización que despliegue un sistema de IA en la UE, con independencia de su tamaño, naturaleza jurídica o titularidad pública o privada. Los centros con menos de 250 empleados se benefician de algunas simplificaciones para PYME, pero no están exentos de las obligaciones nucleares: transparencia conforme al artículo 50 y obligaciones del operador conforme al artículo 29. En España, la AEPD tiene atribuida competencia de supervisión para los sistemas de IA que implican tratamiento de datos personales, y la AESIA actúa como autoridad de vigilancia del mercado para el resto.
¿Debe mi centro registrar algún sistema de IA ante la AEPD o la AESIA?
Para operadores de sistemas de alto riesgo, el artículo 26 Ap. 2 del Reglamento IA prevé el registro en el portal de la base de datos de la UE. Esta obligación no se aplica a los sistemas de riesgo limitado, como un chatbot estándar de admisiones. La obligación de registro recae principalmente en el proveedor; como operador, usted debe verificar que el proveedor ha completado ese registro y conservar la evidencia documental.
¿Qué ocurre si un proveedor externo no facilita la documentación de conformidad?
Debe exigirla como condición del contrato o, si el proveedor no puede facilitarla, planificar la sustitución del sistema antes de las fechas límite aplicables. El Reglamento IA hace al centro co-responsable de la conformidad del sistema que utiliza. Un proveedor que no puede presentar una declaración de conformidad actualizada y el registro en la base de datos de la UE o bien no es conforme o no ha clasificado correctamente su sistema — en ambos casos, el riesgo de responsabilidad recae sobre el centro como operador. Incluya la solicitud de documentación de conformidad como punto estándar en los pliegos de condiciones y contratos con proveedores de IA.
¿Cómo se articulan el Reglamento IA y el RGPD/LOPDGDD para los datos de candidatos?
Ambos marcos son de aplicación simultánea y acumulativa. El RGPD (y la LOPDGDD en España) regula el tratamiento de datos personales: base jurídica, derechos de los interesados, encargos de tratamiento. El Reglamento IA regula el sistema de IA como tal, con independencia de si trata datos personales. Cuando un sistema de IA trata datos de candidatos — lo que ocurre prácticamente siempre — se aplican ambos marcos a la vez. La EIPD del artículo 35 del RGPD y la verificación de conformidad del Reglamento IA son instrumentos distintos pero relacionados; en la práctica, resulta más eficiente abordarlos de forma conjunta. Para una guía completa, consulte nuestro artículo sobre RGPD y datos de estudiantes.
El cumplimiento del Reglamento IA no es un fin en sí mismo para los centros educativos. Es el marco que permite utilizar sistemas de IA en la captación y admisión de alumnos sin comprometer la confianza de los candidatos, la acreditación del centro ante ANECA y la relación con las autoridades de supervisión. Un chatbot que cumple el artículo 50 no es un sistema cargado de burocracia — es el requisito mínimo para un primer contacto digital con candidatos que sea legalmente seguro y, al mismo tiempo, eficaz en términos de conversión.
Para ampliar el contexto regulatorio, consulte el texto completo del Reglamento IA en el Diario Oficial de la UE, la web de la AEPD y el portal de estrategia digital de la Comisión Europea.
Pruebe Skolbot en su centro en 30 segundos
