skolbot.Chatbot IA para escuelas
ProductoPrecios
Demo gratuita
Demo gratuita
Guia operativa de proteccion de datos de prospectos estudiantiles
  1. Inicio
  2. /Blog
  3. /Cumplimiento
  4. /Proteger los datos de tus prospectos estudiantiles: guia operativa RGPD para universidades
Volver al blog
Cumplimiento10 min read

Proteger los datos de tus prospectos estudiantiles: guia operativa RGPD para universidades

Como recopilar, almacenar y utilizar los datos de prospectos en cumplimiento del RGPD. Checklist operativo para equipos de admisiones y marketing educativo.

S

Equipo Skolbot · 12 de marzo de 2026

Resumir este artículo con

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Índice

  1. 01Tus prospectos tienen derechos antes incluso de solicitar admision
  2. 02Bases juridicas para el tratamiento de datos de prospectos
  3. Consentimiento (articulo 6.1.a)
  4. Interes legitimo (articulo 6.1.f)
  5. Ejecucion de medidas precontractuales (articulo 6.1.b)
  6. 03Lo que recoges — y lo que no deberias recoger
  7. El principio de minimizacion
  8. Datos recogidos por el chatbot
  9. 04Plazos de conservacion: la zona gris
  10. Plazos recomendados por tipo de datos
  11. El error de "guardarlo todo"
  12. 05Derechos de los prospectos: lo que tu equipo debe saber responder
  13. 06El caso de los menores
  14. 07Checklist operativo para equipos de admisiones
  15. Recogida de datos
  16. Almacenamiento y acceso
  17. Conservacion y purga
  18. Ejercicio de derechos
  19. 08Los cinco errores RGPD mas frecuentes en admisiones
  20. 09La confianza como activo: mas alla del cumplimiento

Tus prospectos tienen derechos antes incluso de solicitar admision

El cumplimiento del RGPD no empieza con la matricula. Empieza con el primer contacto. En cuanto un prospecto comparte su email, nombre o telefono — a traves de un formulario, chatbot, feria o Jornada de Puertas Abiertas — la institucion se convierte en responsable del tratamiento en el sentido del RGPD (Fuente: AEPD — Agencia Espanola de Proteccion de Datos, guia sobre responsables de tratamiento, actualizada 2025).

Esto importa porque los equipos de admisiones y marketing tratan datos de prospectos mucho antes de la fase de candidatura formal. Y esos datos suelen ser los menos protegidos de todo el sistema: archivos Excel compartidos por email, listas de contactos exportadas de ferias sin consentimiento documentado, conversaciones de chatbot almacenadas sin politica de conservacion.

El 62% de las instituciones encuestadas no tiene un procedimiento documentado para el tratamiento de datos de prospectos (Fuente: encuesta Skolbot a 62 responsables de marketing de instituciones europeas, diciembre 2025). Esta guia operativa aborda ese vacio.

Para una vision global del cumplimiento RGPD en la educacion superior, consulta nuestra guia RGPD completa para datos estudiantiles.

Bases juridicas para el tratamiento de datos de prospectos

El RGPD exige una base juridica para cada tratamiento de datos personales. En el contexto de la captacion de estudiantes, tres bases son relevantes.

Consentimiento (articulo 6.1.a)

El consentimiento es la base mas utilizada — y la peor implementada. Para ser valido debe ser libre (no obligar a aceptar marketing para recibir un folleto), especifico (un consentimiento por finalidad, no un "acepto todo"), informado (informacion visible en el momento de la recogida, no solo un enlace) e inequivoco (accion afirmativa clara, no casilla premarcada).

Error frecuente: recoger emails en una feria educativa con una tableta que dice "Deja tu email para mas informacion" no constituye un consentimiento RGPD valido.

Interes legitimo (articulo 6.1.f)

El interes legitimo permite tratar datos sin consentimiento explicito — seguimiento de formularios abandonados, informacion complementaria sobre un grado de interes. No justifica comunicaciones no solicitadas, cesion a terceros ni scoring comportamental. Cada uso debe documentarse en una evaluacion de ponderacion de intereses.

La AEPD ha publicado orientaciones detalladas sobre interes legitimo que son lectura obligada para cualquier equipo de admisiones que se apoye en esta base.

Ejecucion de medidas precontractuales (articulo 6.1.b)

Cuando un prospecto presenta una solicitud formal de admision, el tratamiento de su expediente es necesario para la ejecucion de medidas precontractuales. Base solida, pero limitada a la fase de candidatura formal.

Lo que recoges — y lo que no deberias recoger

El principio de minimizacion

El RGPD exige que solo se recojan los datos estrictamente necesarios para la finalidad declarada. En la practica, cada campo de formulario debe poder justificarse.

Datos necesarios para una solicitud de informacion: nombre, apellidos, email, grado de interes. Cuatro campos bastan.

Datos cuestionables: fecha de nacimiento (para que antes de la candidatura?), direccion postal (realmente envias folletos impresos?), telefono (vas a llamar de verdad?).

Datos problematicos: nacionalidad (salvo que sea pertinente para admisiones internacionales), situacion familiar, ingresos de los padres. A veces se recogen "por si acaso", pero suponen un riesgo RGPD sin justificacion documentada.

Cada campo adicional reduce la tasa de finalizacion entre un 5 y un 8% (Fuente: analisis Skolbot de 45 formularios de contacto de instituciones, 2025). La minimizacion no es solo una obligacion legal — es una palanca de conversion. Nuestro articulo sobre benchmarks de conversion de webs universitarias confirma esta correlacion.

Datos recogidos por el chatbot

Un chatbot recoge mas datos que un formulario. Los prospectos comparten espontaneamente informacion sensible (discapacidad, dificultades economicas, salud). Tres medidas son imprescindibles: informar previamente de que la conversacion se graba, purgar automaticamente los datos sensibles y restringir el acceso a los historiales de conversacion.

Plazos de conservacion: la zona gris

La conservacion es el punto debil de la mayoria de instituciones. La AEPD recomienda un plazo maximo de 3 anos tras el ultimo contacto activo para datos de prospectos (Fuente: AEPD, guia de gestion comercial). Pero esta recomendacion es un techo, no un objetivo.

Plazos recomendados por tipo de datos

Datos de primer contacto (formulario, chat): 12 meses tras el ultimo contacto si el prospecto no ha solicitado admision. Mas alla, el proyecto formativo probablemente esta abandonado.

Datos de candidatura incompleta: 24 meses tras el ultimo contacto. El prospecto podria presentarse al curso siguiente.

Datos de candidatura rechazada: 6 meses tras la notificacion del rechazo. Conservar mas tiempo no tiene justificacion operativa.

Conversaciones de chatbot: 12 meses, con anonimizacion automatica de datos sensibles a los 30 dias.

Datos de eventos (jornadas, ferias): 12 meses tras el evento si el prospecto no ha iniciado ninguna accion posterior.

El error de "guardarlo todo"

El 47% de las instituciones conserva los datos de prospectos indefinidamente (Fuente: encuesta Skolbot, diciembre 2025). Doble riesgo: regulatorio (multas AEPD de hasta 20 millones EUR o el 4% de la facturacion anual segun el RGPD) y operativo (deliverability degradada, metricas falseadas, superficie de ataque ampliada).

Derechos de los prospectos: lo que tu equipo debe saber responder

El RGPD otorga ocho derechos a los interesados. En la practica, cuatro se ejercen regularmente por parte de prospectos estudiantiles.

Derecho de acceso (art. 15): el prospecto puede solicitar que datos tiene la institucion. Respuesta obligatoria en 30 dias, lo que implica saber donde estan almacenados (CRM, chatbot, archivos, emails).

Derecho de rectificacion (art. 16): correccion de datos inexactos, propagada a todos los sistemas.

Derecho de supresion (art. 17): eliminacion de todos los datos. Absoluto cuando el tratamiento se basa en el consentimiento. La supresion debe ser efectiva en todos los sistemas: CRM, plataforma de email, chatbot, archivos compartidos.

Derecho de oposicion (art. 21): la oposicion al marketing directo es absoluta y no requiere justificacion. Un prospecto que dice "dejad de enviarme emails" debe ser dado de baja inmediatamente.

El caso de los menores

En Espana, la edad para el consentimiento digital autonomo es de 14 anos (Fuente: Ley Organica 3/2018 de Proteccion de Datos, art. 7). Por debajo, se requiere consentimiento parental. Para programas preuniversitarios, orientacion en institutos y campanas en redes sociales dirigidas a menores de 14 anos, incluye una pregunta de edad en tus formularios y ten preparado un flujo de consentimiento parental.

Checklist operativo para equipos de admisiones

Recogida de datos

  • Cada formulario muestra la informacion obligatoria (identidad del responsable, finalidad, plazo de conservacion, derechos)
  • Las casillas de consentimiento no estan premarcadas
  • Los consentimientos son granulares (uno por finalidad)
  • El chatbot se identifica como IA e informa de que las conversaciones se graban
  • Los formularios de ferias incluyen clausulas informativas de proteccion de datos
  • Solo se recogen los datos necesarios (principio de minimizacion)

Almacenamiento y acceso

  • Los datos de prospectos se almacenan en un CRM con control de acceso por roles
  • Ningun archivo Excel con datos personales circula por email
  • Los accesos a datos quedan registrados
  • Los datos sensibles (discapacidad, situacion familiar) estan aislados con acceso restringido
  • Las contrasenas del CRM cumplen las recomendaciones de la AEPD (12+ caracteres, MFA activado)

Conservacion y purga

  • Una politica de conservacion esta documentada y se aplica
  • La purga automatica esta configurada en el CRM
  • Los prospectos sin interaccion en 12 meses se purgan o entran en una secuencia de reactivacion antes de la eliminacion
  • Los datos de candidaturas rechazadas se eliminan a los 6 meses

Ejercicio de derechos

  • Un procedimiento para atender solicitudes de acceso, rectificacion y supresion esta documentado
  • El equipo de admisiones sabe a quien contactar internamente
  • El plazo de 30 dias se supervisa y se cumple
  • Las bajas de marketing se procesan inmediatamente

Los cinco errores RGPD mas frecuentes en admisiones

Error 1: la hoja de calculo de la feria. Recoger 200 emails en una feria, enviarse el archivo por email y luego importarlo al CRM sin consentimiento documentado. Triple infraccion.

Error 2: opt-in por defecto. Casilla premarcada "Acepto recibir comunicaciones". Consentimiento invalido.

Error 3: conservacion infinita. Datos de prospectos de 2019 todavia en el CRM. Infraccion mas metricas falseadas por contactos muertos.

Error 4: respuesta tardia. Una solicitud de supresion circulando entre tres departamentos durante tres semanas. Plazo de 30 dias superado.

Error 5: el chatbot sin informar. El chatbot recoge nombre, email, grado de interes sin informar sobre el tratamiento. Infraccion del principio de transparencia.

La confianza como activo: mas alla del cumplimiento

El 73% de los jovenes de 18 a 24 anos declara que la proteccion de sus datos influye en su eleccion de universidad (Fuente: encuesta Harris Interactive para la CNIL, 2025 — datos consistentes con encuestas de la Fundacion CYD en Espana). El cumplimiento del RGPD no es solo una obligacion legal — es una senal de profesionalidad que influye directamente en la captacion.

FAQ

El consentimiento recogido en una feria, es valido?

Solo si esta documentado, es especifico e informado. Un escaneo de acreditacion o una firma en una tableta sin mencion de las finalidades del tratamiento no constituye consentimiento RGPD valido. Prepara un formulario en papel o digital con las menciones obligatorias y conserva la prueba del consentimiento.

Se puede enviar un email de seguimiento sin consentimiento de marketing?

Si, en determinados casos, sobre la base del interes legitimo. Si el prospecto inicio una solicitud sin completarla, un email de seguimiento vinculado a ese proceso concreto es justificable. Sin embargo, un newsletter o la promocion de otro grado requiere consentimiento explicito.

Que hacer en caso de brecha de datos de prospectos?

Notificar a la AEPD en las 72 horas siguientes si la brecha presenta un riesgo para los afectados. Informar a los prospectos si el riesgo es alto. Documentar el incidente (naturaleza, datos afectados, medidas adoptadas). El procedimiento debe ser conocido por todo el personal con acceso a datos.

Un encargado del tratamiento (CRM, proveedor de chatbot) es responsable en caso de fuga?

La institucion sigue siendo la responsable del tratamiento. Un contrato de encargo de tratamiento (articulo 28 del RGPD) debe firmarse con cada proveedor, especificando medidas de seguridad y procedimientos de notificacion de incidentes.

Como formar a los equipos sin DPD interno?

Planifica una sesion de sensibilizacion de dos horas al ano, centrada en casos practicos (recogida en ferias, formularios, seguimientos). Designa un referente de proteccion de datos. La AEPD pone a disposicion guias gratuitas y herramientas disenadas especificamente para organizaciones.

¿El sitio web de nuestro centro también debe ser accesible para personas con discapacidad?

Sí, y desde junio de 2025 es un requisito legal para la mayoría de los centros privados bajo la Ley 11/2023. Nuestra guía sobre accesibilidad digital del sitio web universitario detalla las obligaciones WCAG, las sanciones previstas y los 10 puntos que hay que verificar de forma prioritaria.

Para la gestión específica de cookies y formularios web, consulte nuestra guía sobre el consentimiento de cookies y formularios RGPD para universidades.

Artículos relacionados

Guía RGPD para la protección de datos estudiantiles en la educación superior
Cumplimiento

RGPD y datos estudiantiles: guía completa para escuelas

Ilustración de flujos de datos internacionales para escuelas privadas españolas: globo, flechas de transferencia y escudo AEPD
Cumplimiento

Transferencia de datos fuera de la UE: guía para escuelas internacionales

Derecho supresión RGPD prospecto universidad: proceso de borrado de datos conforme a la AEPD para equipos de admisiones
Cumplimiento

Derecho de supresión RGPD: cómo gestionar la solicitud de borrado de un prospecto

Volver al blog

RGPD · Ley de IA de la UE · Alojamiento UE

skolbot.

SoluciónPreciosBlogCasos de éxitoComparativaAI CheckFAQEquipoAviso legalPolítica de privacidad

© 2026 Skolbot