ChatGPT
Claude
Perplexity
Gemini
GrokCuatro categorías de riesgo, un reglamento: lo que su universidad necesita saber ahora
El Reglamento Europeo de Inteligencia Artificial (Reglamento IA, Reglamento UE 2024/1689) asigna a cada sistema de IA una categoría de riesgo, y esa categoría determina qué obligaciones debe cumplir un centro educativo como desplegador. Para universidades privadas, escuelas de negocio y centros superiores acreditados por ANECA en España, esto ya no es un debate teórico: el plazo para los sistemas de alto riesgo vence el 2 de agosto de 2026.
El reglamento distingue cuatro niveles: riesgo inaceptable (prohibido), alto riesgo (obligaciones estrictas), riesgo limitado (obligaciones de transparencia) y riesgo mínimo (sin obligaciones específicas). La categoría de un sistema depende de lo que hace, no de cómo lo denomina su proveedor.
Las cuatro categorías de riesgo en detalle
Riesgo inaceptable — sistemas prohibidos
Estos sistemas están prohibidos desde el 2 de febrero de 2025. El Reglamento IA prohíbe, entre otros, los sistemas de puntuación social que evalúan el comportamiento de personas fuera de su contexto inmediato, los sistemas de manipulación subliminal y el reconocimiento biométrico en tiempo real en espacios públicos por fuerzas de seguridad.
En el contexto universitario, el escenario relevante es el de una herramienta de scoring de candidatos que incorpora datos conductuales de redes sociales, participación en eventos o patrones de navegación para calcular probabilidades de admisión. Este tipo de práctica cruza la línea hacia la puntuación social generalizada — está prohibida aunque se comercialice como enfoque «holístico».
Alto riesgo — las universidades como desplegadoras bajo el foco
Esta es la categoría más importante y exigente para la educación superior. El Anexo III del Reglamento IA clasifica explícitamente como de alto riesgo los sistemas de IA utilizados para «determinar el acceso o la admisión a instituciones de educación y formación profesional» (Anexo III, punto 3a). Esta formulación abarca numerosos sistemas ya activos en universidades españolas.
También se clasifican como alto riesgo los sistemas de IA utilizados para «la evaluación de alumnos en instituciones de enseñanza y formación profesional y para la evaluación de los participantes en pruebas» (Anexo III, punto 3b). Este supuesto cubre herramientas de corrección automatizada con impacto en calificaciones, algoritmos de orientación académica y cualquier sistema que influya de forma determinante en la trayectoria académica del estudiante.
Como «desplegadora» en el sentido del artículo 3, apartado 4, del Reglamento IA, la universidad es cualquier persona jurídica que utilice un sistema de IA de alto riesgo bajo su propia responsabilidad — independientemente de si ha desarrollado el sistema o lo contrata como servicio.
Riesgo limitado — obligaciones de transparencia para chatbots
Los chatbots de admisiones y sistemas de información que interactúan con candidatos caen en esta categoría. La obligación central deriva del artículo 50, apartado 1, del Reglamento IA: las personas que interactúan con un sistema de IA deben ser informadas de que están interactuando con una IA y no con un ser humano, salvo que esto resulte evidente.
Para un chatbot universitario, esto significa: una identificación clara en el mensaje de bienvenida, permanentemente visible en la interfaz. Una formulación como «Soy un asistente de IA de [Nombre del centro]. Un asesor humano está disponible bajo solicitud» cumple el requisito legal.
También se incluyen en esta categoría los textos generados por IA en comunicaciones con candidatos (correos automatizados, descripciones de programas), cuando no sean reconocibles como contenido de IA, y los sistemas de reconocimiento de emociones utilizados en entrevistas de selección en vídeo.
Riesgo mínimo — sin obligaciones específicas
Correctores ortográficos, filtros de spam, optimizadores de horarios y algoritmos de recomendación sin impacto en derechos fundamentales caen en esta categoría. No existen obligaciones regulatorias específicas, aunque las buenas prácticas de transparencia siguen siendo recomendables.
Sistemas de IA en universidades y escuelas de negocio por categoría de riesgo
| Sistema de IA | Categoría de riesgo | Base legal |
|---|---|---|
| Scoring automatizado de candidatos (ranking, filtrado) | Alto riesgo | Anexo III, punto 3a |
| Detección de plagio con IA con impacto en calificación | Alto riesgo | Anexo III, punto 3b |
| Algoritmo de acceso vinculado a EBAU/Selectividad | Alto riesgo | Anexo III, punto 3a |
| Algoritmo de recomendación de programas o itinerarios | Alto riesgo | Anexo III, punto 3b |
| Corrección automatizada con efecto en nota final | Alto riesgo | Anexo III, punto 3b |
| Chatbot de admisiones e información | Riesgo limitado | Art. 50 apartado 1 |
| Correos automatizados generados por IA | Riesgo limitado | Art. 50 apartado 4 |
| Entrevistas en vídeo con análisis de tono o emoción | Riesgo limitado | Art. 50 apartado 2 |
| Corrector ortográfico, filtro de spam | Riesgo mínimo | — |
| Optimizador de horarios sin efecto en decisiones | Riesgo mínimo | — |
| Scoring social basado en datos de comportamiento en redes | Riesgo inaceptable | Art. 5 apartado 1 |
Obligaciones para centros educativos con sistemas de alto riesgo
El artículo 29 del Reglamento IA regula las obligaciones de los desplegadores de sistemas de alto riesgo. Para las universidades, esto implica un catálogo de obligaciones que debe estar implementado antes del 2 de agosto de 2026.
Sistema de gestión de riesgos: El centro debe asegurarse, en coordinación con el proveedor, de que existe un sistema de gestión de riesgos documentado conforme al artículo 9. Este sistema debe cubrir los riesgos específicos del contexto de despliegue universitario — en particular, riesgos de sesgo en colectivos subrepresentados (primera generación universitaria, candidatos internacionales, estudiantes de EBAU con acceso de cupo).
Supervisión humana: Ninguna decisión de admisión puede ser completamente automatizada. El artículo 14 del Reglamento IA obliga a los desplegadores a garantizar la supervisión humana mediante medidas técnicas y organizativas adecuadas. Un proceso de admisión conforme a ANECA debe incluir un paso documentado de revisión humana.
Registro de incidencias: Las universidades deben conservar los datos de registro generados automáticamente por el sistema de alto riesgo, en la medida en que estén bajo su control, conforme al artículo 26, apartado 5. El período mínimo de conservación es habitualmente la duración del período de uso más tres años.
Verificación de las obligaciones del proveedor: Como desplegadora, la universidad debe consultar la documentación técnica del proveedor y verificar que el sistema cumple los requisitos del reglamento. Exija a cada proveedor una declaración de conformidad actualizada, la clasificación de riesgo con justificación y el comprobante de registro en la base de datos de la UE (artículo 71 del Reglamento IA).
Evaluación de Impacto sobre la Protección de Datos (EIPD): Los sistemas de IA de alto riesgo activan habitualmente la obligación de EIPD conforme al artículo 35 del RGPD. El EDPB ha confirmado que los requisitos de ambos reglamentos son acumulativos. La EIPD debe completarse antes de la puesta en producción del sistema.
Obligación de transparencia para el chatbot de admisiones
El 72% de las consultas de los candidatos son automatizables mediante FAQ — solo el 7% requieren intervención humana (Fuente: clasificación automática de 12.000 conversaciones Skolbot, 2025). Un chatbot de admisiones bien configurado libera al equipo de orientación para los casos que realmente lo necesitan. Las obligaciones de cumplimiento para esta categoría son más manejables que las del alto riesgo — pero son innegociables.
Tres medidas concretas para la conformidad del chatbot:
-
Identificación como IA: El mensaje de bienvenida debe indicar explícitamente que el usuario interactúa con un sistema de IA. Una identificación permanente en la interfaz (por ejemplo, un distintivo «Asistente IA») refuerza el cumplimiento.
-
Opción de contacto humano: Los candidatos deben poder solicitar en cualquier momento hablar con un asesor humano. Un botón «Hablar con un orientador» o equivalente debe estar siempre visible en la interfaz del chatbot.
-
Información sobre tratamiento de datos: Los datos recogidos y tratados por el chatbot deben documentarse en la política de privacidad del centro. Las obligaciones de información del artículo 13 del RGPD se aplican sin modificación; el chatbot debe enlazar a la política de privacidad o resumir su contenido esencial en la secuencia de bienvenida.
Para la documentación completa de los requisitos de protección de datos de los chatbots de IA universitarios, consulte nuestra guía Chatbot IA y RGPD: recogida de datos en universidades.
AEPD y AESIA: las autoridades competentes en España
España cuenta con dos autoridades relevantes para la supervisión del Reglamento IA en centros educativos.
La Agencia Española de Protección de Datos (AEPD) es la autoridad nacional de control en materia de protección de datos y tiene atribuida competencia de supervisión para los sistemas de IA que implican el tratamiento de datos personales. La AEPD ya ha publicado guías interpretativas sobre la articulación entre el RGPD y el Reglamento IA, y participa activamente en el Comité Europeo de Inteligencia Artificial.
La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), creada en 2024, es la primera agencia española dedicada específicamente a la supervisión del Reglamento IA. La AESIA actúa como autoridad de vigilancia del mercado para sistemas de IA no cubiertos por otros organismos sectoriales, coordina con la AEPD cuando los sistemas de IA implican datos personales y gestiona el registro nacional de sistemas de IA de alto riesgo.
Para las universidades privadas, la interlocución práctica se distribuye entre ambas agencias: la AEPD para las cuestiones de protección de datos vinculadas a los sistemas de IA (EIPD, derechos de candidatos, transferencias internacionales), y la AESIA para las obligaciones de vigilancia del mercado y el cumplimiento técnico del Reglamento IA.
Hoja de ruta de cumplimiento para universidades españolas
Fase 1: Inventario de sistemas IA (duración: 2–4 semanas) Identificar todos los sistemas de IA en uso — chatbot, CRM con scoring, detector de plagio, plataforma de admisiones, recomendador de programas, herramientas de evaluación. Para cada sistema: proveedor, descripción funcional, categorías de datos afectados, relevancia decisional.
Fase 2: Clasificación de riesgo (duración: 1–2 semanas) Asignar a cada sistema una de las cuatro categorías. En caso de duda, solicitar la clasificación al proveedor y revisarla de forma crítica. Los proveedores tienden a clasificar sus sistemas en categorías inferiores a las que corresponden legalmente — el riesgo de responsabilidad recae en el desplegador.
Fase 3: Verificación de conformidad del proveedor (duración: 4–8 semanas) Para cada sistema de alto riesgo: solicitar documentación técnica, declaración de conformidad, registro en la base de datos de la UE y resultados de auditoría de sesgos. Para chatbots: verificar la conformidad de transparencia y actualizar la identificación de IA si es necesario.
Fase 4: Medidas internas (duración: 4–8 semanas) Documentar los procesos de supervisión humana para sistemas de alto riesgo, asegurar las obligaciones de registro, completar las EIPD pendientes, actualizar la política de privacidad.
Fase 5: Formación y revisión continua (permanente) Formar a los equipos de admisiones y académicos sobre sus obligaciones. Incorporar la auditoría de cumplimiento del Reglamento IA en el ciclo anual de revisión RGPD.
Para el marco RGPD completo en el que se integra el Reglamento IA, consulte nuestra guía RGPD para datos de estudiantes. Las implicaciones del derecho de supresión del RGPD en el contexto de prospectos universitarios son especialmente relevantes para los datos tratados por sistemas de IA en admisiones.
Sanciones y riesgos de incumplimiento
El Reglamento IA prevé multas escalonadas: hasta 35 millones de euros o el 7% de la facturación mundial por el despliegue de sistemas prohibidos; hasta 15 millones de euros o el 3% por incumplimiento de las obligaciones de alto riesgo. Como desplegadoras — no proveedoras — los umbrales de sanción aplicables a las universidades son algo más reducidos, pero no despreciables.
El riesgo reputacional es al menos igual de significativo: un centro de enseñanza superior sancionado por incumplimiento del Reglamento IA, que al mismo tiempo se posiciona como formador de profesionales digitales o proclama la IA como ventaja competitiva en sus rankings (QS, Financial Times), socava su credibilidad de manera difícilmente reversible. Los riesgos de sesgo algorítmico en la captación de estudiantes merecen atención específica — nuestro artículo sobre sesgos de IA en la captación de estudiantes profundiza en este aspecto.
Este artículo tiene carácter informativo general y no constituye asesoramiento jurídico. Para una evaluación vinculante de sus obligaciones específicas de cumplimiento del Reglamento IA, consulte a un jurista especializado en regulación de IA o a su Delegado de Protección de Datos.
Preguntas frecuentes
¿Mi chatbot de admisiones es de alto riesgo?
No, salvo que tome decisiones de admisión de forma autónoma. Un chatbot que informa, cualifica candidatos y canaliza solicitudes hacia el equipo humano se clasifica como «riesgo limitado» (artículo 50 del Reglamento IA). Debe identificarse como IA y ofrecer acceso a un asesor humano, pero no está sujeto a las obligaciones pesadas del alto riesgo. Si el chatbot decide automáticamente si un candidato recibe seguimiento prioritario, si es redirigido a un programa alternativo o si su solicitud avanza, la clasificación puede cambiar. La frontera está en la relevancia decisional, no en la sofisticación tecnológica.
¿Qué diferencia hay entre las obligaciones del proveedor y las del desplegador?
Los proveedores (artículo 3, apartado 1) son las empresas que desarrollan y comercializan el sistema de IA. Las obligaciones técnicas — marcado CE, registro en la base de datos de la UE, documentación técnica — recaen principalmente sobre ellos. Los desplegadores (artículo 3, apartado 4) son quienes utilizan el sistema en su contexto propio. La universidad, como desplegadora, debe asegurarse de utilizar el sistema solo para los usos previstos, garantizar la supervisión humana y conservar los registros (artículo 29 del Reglamento IA). Si la universidad modifica sustancialmente el sistema o lo usa fuera de su propósito original, puede convertirse en proveedora y asumir el conjunto de obligaciones correspondiente.
¿Cómo interactúan el Reglamento IA y el RGPD para los datos de candidatos?
Ambos reglamentos se aplican simultáneamente y de forma complementaria. El RGPD regula el tratamiento de datos personales (base jurídica, transparencia, derechos de los interesados). El Reglamento IA regula el sistema de IA como tal, con independencia de si trata datos personales. Cuando un sistema de IA trata datos de candidatos, se aplican ambos marcos de forma acumulativa. La EIPD del artículo 35 del RGPD y la verificación de conformidad del Reglamento IA son instrumentos separados pero relacionados; en la práctica, se recomienda abordarlos de forma conjunta.
¿Cuánto cuesta el cumplimiento para una universidad mediana?
Para una universidad con chatbot (riesgo limitado) y CRM sin scoring automatizado de candidatos: 2–4 semanas de trabajo, principalmente interno, más 2.000–5.000 euros de asesoramiento externo y apoyo en EIPD. Para una universidad con herramienta de preselección automatizada de candidatos (alto riesgo): 2–4 meses y 15.000–40.000 euros, con una parte significativa imputable al proveedor. Los costes recurrentes (auditoría anual, gestión de registros, formación) se sitúan entre 3.000 y 8.000 euros anuales.
¿Se aplica el Reglamento IA a proveedores extranjeros que utilizamos?
Sí. El Reglamento IA tiene efecto extraterritorial: se aplica a todo sistema de IA desplegado en la UE o cuyos resultados se utilicen en la UE, con independencia del domicilio del proveedor. Un proveedor estadounidense cuya herramienta de gestión de admisiones se utilice en una universidad española debe cumplir el Reglamento IA. Como desplegadora, no puede ampararse en la sede extranjera del proveedor: la obligación de verificar y asegurar la conformidad es suya.
Pruebe Skolbot en su centro educativo en 30 segundosLectura complementaria: Ley de IA y educación superior — visión general · Chatbot IA y RGPD: recogida de datos en universidades · Guía RGPD para datos de estudiantes
