ChatGPT
Claude
Perplexity
Gemini
Grok¿Cuánto tiempo puede conservar una universidad los datos de sus prospectos?
El artículo 5.1.e del RGPD — el principio de limitación del plazo de conservación — establece que los datos personales deben mantenerse de forma que permita identificar al interesado durante no más tiempo del necesario para los fines para los que se tratan. Para datos de prospección y marketing educativo, la AEPD (Agencia Española de Protección de Datos) establece 3 años desde el último contacto activo como límite máximo para los registros de prospectos en universidades y escuelas de negocio. Superado ese plazo, ninguna finalidad legítima de captación puede justificar la conservación continuada.
Esta no es una preocupación abstracta de cumplimiento. Universidades privadas, escuelas de negocio y centros de educación superior en España acumulan datos de prospectos a gran escala en CRM, chatbots de IA, plataformas de email y formularios de jornadas de puertas abiertas — y la mayoría no tiene sistemas de purga automatizada. Saber exactamente qué se puede conservar, durante cuánto tiempo y en qué formato es el punto de partida de todo programa de conformidad RGPD defensible para tu equipo de admisiones.
Para el marco completo que regula los datos de prospectos, consulta nuestra guía RGPD para datos estudiantiles.
El marco legal: RGPD, LOPDGDD y la AEPD
El RGPD es el instrumento europeo directamente aplicable en España desde el 25 de mayo de 2018. La Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), complementa y adapta el RGPD al ordenamiento jurídico español. Ambos instrumentos se aplican a todas las universidades privadas, escuelas de negocio, escuelas de ingeniería, centros adscritos y centros de formación superior, con independencia de su acreditación ante la ANECA o de su reconocimiento para participar en la EBAU/Selectividad.
La AEPD es la autoridad de control responsable del cumplimiento en España. Ha publicado orientaciones específicas sobre prospección comercial y comunicaciones de marketing que se aplican directamente a la captación de estudiantes.
Tres artículos del RGPD rigen directamente la conservación:
- Artículo 5.1.e — limitación del plazo de conservación: los datos se conservarán de forma que permita la identificación durante no más tiempo del necesario.
- Artículo 5.2 — responsabilidad proactiva: el responsable del tratamiento debe poder demostrar el cumplimiento del principio de limitación del plazo.
- Artículo 30 — Registro de Actividades de Tratamiento (RAT): los plazos de conservación deben documentarse para cada actividad de tratamiento, incluyendo el marketing a prospectos.
Adicionalmente, la normativa española establece obligaciones específicas: el artículo 19 de la LOPDGDD refuerza el derecho de oposición en materia de comunicaciones comerciales; la Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI) regula las comunicaciones electrónicas comerciales y su interacción con el consentimiento del prospecto.
Plazos de conservación por categoría de dato: la tabla de referencia
Los siguientes plazos reflejan las orientaciones de la AEPD y la práctica establecida para universidades y escuelas superiores españolas. Representan el período máximo defensible, no un objetivo. Cuando la institución tenga una finalidad legítima específica que justifique un plazo más corto, ese plazo menor debe adoptarse.
| Categoría de dato | Plazo de conservación | Momento de inicio | Base legal / fuente |
|---|---|---|---|
| Datos de contacto del prospecto (email, teléfono — no convertido) | 3 años | Último contacto activo | Orientación AEPD sobre prospección comercial |
| Registros de conversación de chatbot (prospecto identificado) | 3 años | Último contacto activo | Parte del período de conservación del prospecto |
| Cookies de analítica web | 13 meses | Colocación de cookie | Orientación AEPD / LOPDGDD |
| Datos de inscripción a Jornadas de Puertas Abiertas | 3 años (si no convierte) | Último contacto activo | Orientación AEPD sobre prospección comercial |
| Datos de candidatura — candidato rechazado | 2 años | Fecha de la resolución de denegación | RGPD art. 5.1.e / práctica AEPD |
| Datos de candidatura — candidato que renuncia | 2 años | Fecha de renuncia | RGPD art. 5.1.e / práctica AEPD |
| Expediente administrativo del alumno matriculado | 5 años | Fin de los estudios | Normativa universitaria española |
| Registros financieros y contables | 10 años | Fin del ejercicio contable | Código de Comercio / Ley 58/2003 General Tributaria |
| Datos de pago con tarjeta | 13–18 meses | Fecha de la transacción | PCI DSS / período de devolución de cargos |
| Registros de consentimiento de marketing | 3 años | Evento de consentimiento o retirada | Principio de responsabilidad proactiva AEPD |
Dos aspectos merecen atención especial. Primero, el plazo de 3 años para datos de contacto de prospectos empieza en el último contacto activo — no en la fecha de recogida. Una respuesta a un email, la asistencia a una jornada de puertas abiertas, o una interacción con el chatbot restablece el cómputo. Segundo, los registros de conversación del chatbot vinculados a un prospecto identificado forman parte del registro global del prospecto y siguen el mismo plazo de 3 años; los datos de conversación anonimizados o agregados quedan fuera del régimen de datos personales.
El ciclo de vida de la conservación en tres fases
Las orientaciones de la AEPD y las buenas prácticas en materia de RGPD describen un enfoque de tres fases para gestionar los datos personales a lo largo de su ciclo de vida.
Fase 1 — Conservación activa
Durante la conservación activa, los datos son operativamente accesibles para los equipos de admisiones y marketing. Un prospecto que ha enviado un formulario de solicitud de información está en conservación activa desde la fecha de recogida. El cómputo del plazo de conservación parte del último contacto significativo: un email respondido, una interacción con el chatbot, el envío de un formulario, la asistencia a una Jornada de Puertas Abiertas, la descarga de una guía de grado o máster.
Para prospectos interesados en grados, másteres o programas de escuelas de negocio que nunca presentan candidatura formal, la fase activa debería limitarse a 12–18 meses desde el último contacto — más allá de ese horizonte, la efectividad de las campañas de reactivación cae de forma significativa.
Fase 2 — Archivo intermedio
El archivo intermedio cubre el período entre el fin del uso operativo y la supresión definitiva o anonimización. En esta fase, los datos ya no son accesibles para la actividad cotidiana de admisiones, pero se conservan para finalidades específicas justificadas: posibles reclamaciones legales, auditorías de la AEPD o reclamaciones administrativas en curso. El acceso está restringido y los datos se mantienen en un entorno controlado y separado.
Para datos de candidatura rechazada, esta fase cubre el período de 2 años tras la resolución de denegación durante el cual podría plantearse una reclamación ante la institución o ante la ANECA. Para datos de prospectos puros, el archivo intermedio raramente es necesario — el límite máximo de 3 años engloba ambas fases.
Fase 3 — Supresión o anonimización
Al término del plazo de conservación, los datos deben suprimirse de forma segura o anonimizarse hasta un nivel que haga imposible la reidentificación. La anonimización es una alternativa válida a la supresión según el RGPD, siempre que el resultado sea genuinamente irreversible. Los datos seudonimizados — donde la reidentificación es posible con una clave — siguen siendo datos personales y continúan sujetos al RGPD.
La purga automatizada configurada en el CRM y en la plataforma de email es el enfoque operativamente más sencillo. Los procesos de supresión manual en múltiples sistemas generan errores y lagunas de responsabilidad proactiva.
Obligaciones del RAT: documentar los plazos
El artículo 30 del RGPD exige a los responsables del tratamiento mantener un Registro de Actividades de Tratamiento. Para universidades y escuelas superiores, el RAT debe documentar cada actividad de tratamiento que involucre datos personales — incluyendo el marketing a prospectos — y debe especificar el plazo de conservación o, cuando eso no sea posible, los criterios para determinarlo.
Un plazo de conservación no documentado es un riesgo de auditoría ante la AEPD. Cuando un inspector o un interesado pregunta cuánto tiempo conserva la institución los datos de prospectos, "todavía no lo hemos decidido" no es una respuesta conforme. El RAT no es mero trámite burocrático — es el mecanismo a través del cual se materializa el principio de responsabilidad proactiva del artículo 5.2.
El RAT debe recoger, para los datos de prospectos:
- Las categorías de interesados (prospectos, solicitantes de información, asistentes a jornadas de puertas abiertas)
- Las categorías de datos personales (nombre, email, teléfono, programa de interés, registros del chatbot)
- Las finalidades del tratamiento (marketing, captación, seguimiento de eventos)
- El plazo de conservación para cada actividad de tratamiento
- Las medidas técnicas y organizativas de seguridad aplicadas
La dimensión del chatbot y la IA en la captación
El 72% de las consultas de prospectos al chatbot de la escuela son preguntas FAQ simples automatizables; solo el 7% requiere escalado a un agente humano (Fuente: análisis Skolbot de 12.000 conversaciones de chatbot de IA, 2025). Esto significa que la aplastante mayoría de las interacciones con el chatbot genera registros de conversación que no contienen revelaciones personales complejas que requieran tratamiento especial — pero esos registros siguen constituyendo datos personales cuando están vinculados a un individuo identificado o identificable.
Tres reglas se aplican a los datos de prospectos generados por chatbot:
Identificar al usuario al inicio de la sesión. Si la conversación involucra a un visitante no identificado, los datos son menos sensibles pero pueden seguir siendo personales si la reidentificación es posible a partir del contenido. Un prospecto que facilita su nombre y email en el primer intercambio se convierte en identificable — y el cómputo de los 3 años comienza desde ese momento.
Aplicar redacción automática a datos sensibles. Los prospectos revelan espontáneamente discapacidades, dificultades económicas o condiciones de salud en las conversaciones del chatbot. Estas categorías de datos requieren protección reforzada y el tratamiento específico previsto en el artículo 9 del RGPD. La redacción o anonimización automática de datos sensibles a los 30 días es la práctica recomendada.
Incluir los datos del chatbot en el mapa de datos para solicitudes de supresión. Cuando un prospecto solicita la supresión según el artículo 17 del RGPD, los registros de conversación de la plataforma del chatbot deben suprimirse junto con los registros del CRM, los perfiles de la plataforma de email y los datos de asistencia a jornadas. Para un proceso detallado, consulta nuestra guía sobre gestión de solicitudes de supresión RGPD para prospectos en universidades.
Errores frecuentes de conservación en universidades españolas
Error 1 — El CRM heredado. Registros de prospectos de 2020, 2021 y 2022 todavía activos en la base de datos, recibiendo emails de marketing ocasionales. Estos registros muy probablemente superan el límite de 3 años y representan tanto un riesgo regulatorio ante la AEPD como un lastre para la entregabilidad del email.
Error 2 — La hoja de cálculo de la feria educativa. Listas de contactos descargadas de ferias AULA, Unitour o similares como archivos Excel, almacenados en los portátiles del personal, nunca importados al CRM ni purgados. Estos registros en la sombra son invisibles para cualquier política de conservación.
Error 3 — El archivo "por si acaso". Datos de candidatura de alumnos rechazados conservados indefinidamente bajo el argumento de que "podrían volver a solicitar admisión en el siguiente curso". El límite de 2 años tras la resolución de denegación es claro; el interés futuro especulativo no lo supera.
Error 4 — El RAT no actualizado. La política de conservación existe en papel pero no se refleja en el RAT, no está configurada en el CRM y no se comunica al personal de admisiones. El principio de responsabilidad proactiva exige que política y práctica estén alineadas.
Error 5 — Cookies de analítica más allá de 13 meses. Las cookies de analítica y los píxeles de publicidad conservados más allá del máximo de 13 meses de la AEPD — a menudo porque la plataforma de gestión del consentimiento se configuró en el momento del lanzamiento y nunca se revisó. Para un tratamiento detallado de esta área, consulta nuestra guía sobre consentimiento de cookies RGPD para universidades.
Checklist de supresión: lo que tu institución debe hacer
- Los plazos de conservación están documentados en el RAT para cada actividad de tratamiento que involucre datos de prospectos
- El CRM está configurado con purga automatizada en el plazo de conservación declarado para cada categoría de dato
- Las listas de suscriptores de la plataforma de email están sincronizadas con la purga del CRM: los registros suprimidos del CRM se dan de baja y se eliminan
- Plataforma del chatbot: confirmar con el proveedor que los registros de conversación pueden suprimirse por prospecto individual (no solo de forma masiva)
- Datos de asistencia a Jornadas de Puertas Abiertas: revisados y purgados a los 3 años del evento
- Datos de candidatura de candidatos no admitidos: suprimidos 2 años después de la resolución de denegación
- Registros de consentimiento de cookies y datos de analítica: revisados a los 13 meses
- Registros financieros y contables: conservados un mínimo de 10 años (Código de Comercio / Ley General Tributaria)
- El personal conoce la política de conservación y sabe que no debe mantener copias Excel paralelas
- Existe un proceso para reiniciar el cómputo del plazo cuando un prospecto vuelve a tener contacto activo
Para un marco completo de extremo a extremo, consulta nuestra guía sobre protección de datos de prospectos bajo el RGPD.
Descubra cómo las escuelas mejoran su captaciónPreguntas frecuentes
¿Cuál es el plazo estándar de conservación para datos de prospectos en universidades españolas?
Las orientaciones de la AEPD sobre prospección comercial establecen 3 años desde el último contacto activo como límite máximo para los datos de prospectos y marketing. Este es un techo, no un objetivo — si un prospecto claramente no tiene interés activo, una conservación más corta es más defensible. El cómputo se restablece cada vez que el prospecto se involucra activamente.
¿Puede una universidad conservar datos de un prospecto de forma indefinida si nunca se da de baja?
No. El principio de limitación del plazo de conservación del artículo 5.1.e del RGPD se aplica con independencia de que el prospecto haya ejercido algún derecho. La ausencia de oposición no crea una base legítima para la conservación indefinida. La institución debe aplicar su propia política de conservación de forma proactiva.
¿Deben figurar los plazos de conservación en el aviso de privacidad?
Sí. El artículo 13 del RGPD exige que en el momento de la recogida de datos personales, el responsable informe al interesado del plazo de conservación o, cuando no sea posible determinarlo, de los criterios utilizados. Un aviso de privacidad que solo diga "conservaremos tus datos durante el tiempo necesario" sin especificar esos criterios no cumple este requisito.
¿Cuáles son las consecuencias de no cumplir los plazos de conservación ante la AEPD?
La AEPD puede imponer multas de hasta 20 millones de euros o el 4% del volumen de negocio anual global (la cantidad que sea mayor) por infracciones graves del RGPD, incluidas las relativas a la limitación del plazo de conservación. También puede emitir advertencias, apercibimientos y órdenes de limitación del tratamiento. El sector educativo privado ha sido objeto de investigaciones regulatorias; la conservación excesiva de datos de prospectos ha figurado en resoluciones de la AEPD.
¿La LOPDGDD añade obligaciones específicas más allá del RGPD para las universidades?
Sí. El artículo 19 de la LOPDGDD refuerza el derecho de oposición en materia de comunicaciones comerciales: el responsable tiene la obligación de facilitar al interesado un sistema sencillo, gratuito y accesible para ejercer este derecho. Adicionalmente, el artículo 21 de la LSSI prohíbe el envío de comunicaciones comerciales por correo electrónico u otros medios electrónicos sin el consentimiento previo del destinatario, con excepciones limitadas para clientes existentes con una relación contractual vigente.
