ChatGPT
Claude
Perplexity
Gemini
GrokAviso legal: Este artículo tiene finalidad informativa y no constituye asesoramiento jurídico. Para su situación concreta, consulte con un Delegado de Protección de Datos o asesor legal especializado en RGPD.
El Registro de Actividades de Tratamiento (RAT) es el documento obligatorio que toda escuela privada española debe mantener actualizado para demostrar su cumplimiento con el artículo 30 del RGPD. Sin él, una inspección de la AEPD puede derivar en sanciones que arrancan en los 10.000 € para infracciones leves. Esta guía le ofrece una plantilla lista para rellenar con las tres actividades más críticas para una institución educativa privada en España: admisiones, marketing de captación y chatbot de IA.
Qué es el RAT y por qué su escuela no puede esquivarlo
El artículo 30 del RGPD obliga al responsable del tratamiento a mantener un registro escrito de todas las operaciones de tratamiento de datos personales bajo su responsabilidad. Para las escuelas e universidades privadas españolas, esto se complementa con lo dispuesto en la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
La excepción del artículo 30.5 del RGPD exime del RAT a las organizaciones con menos de 250 empleados, pero únicamente cuando el tratamiento sea ocasional, no incluya categorías especiales de datos y no entrañe riesgos para los derechos de las personas. Prácticamente ninguna escuela privada española cumple estas tres condiciones simultáneamente: los datos académicos de menores, los expedientes de salud para adaptaciones curriculares y el tratamiento sistemático de datos de candidatos para admisiones y marketing destruyen esa exención de raíz.
Consulte la guía RGPD para responsables de tratamiento de la AEPD para una lectura de referencia, y la herramienta Facilita RGPD para valorar si su organización podría acogerse a la versión simplificada del registro.
Para una visión de conjunto sobre el tratamiento de datos en el contexto educativo, consulte nuestra guía RGPD de datos de estudiantes.
Las tres actividades de tratamiento más relevantes para escuelas privadas españolas
1. Admisiones (EBAU/Selectividad y solicitudes directas)
El proceso de admisión recopila datos personales en múltiples puntos: formularios de solicitud, notas de Selectividad/EBAU, entrevistas personales, cartas de motivación, referencias académicas y, en ocasiones, documentación médica para adaptaciones. La base jurídica varía según la fase: la ejecución de un contrato (art. 6.1.b RGPD) cubre el proceso una vez el candidato acepta plaza; el interés legítimo (art. 6.1.f) puede justificar el tratamiento previo en la fase de valoración, siempre que se supere el test de ponderación.
Los datos de candidatos no admitidos plantean el riesgo más habitual: muchas escuelas los conservan de forma indefinida sin base jurídica. Para conocer los plazos concretos, consulte nuestro artículo sobre plazos de retención de datos de prospectos en universidades.
2. Marketing y captación de prospectos
Las actividades de marketing de una escuela privada abarcan formularios web de contacto, descarga de dossiers informativos, asistencia a jornadas de puertas abiertas y campañas de correo electrónico. Aquí la base jurídica más sólida es el consentimiento libre, específico, informado e inequívoco (art. 6.1.a RGPD), que debe obtenerse mediante una casilla de verificación no premarcada.
El envío de comunicaciones comerciales por vía electrónica también queda sujeto al artículo 21 de la Ley de Servicios de la Sociedad de la Información (LSSI), que requiere opt-in expreso para destinatarios con los que no existe relación comercial previa.
3. Chatbot de IA para atención a candidatos
El chatbot de IA es la actividad que más escuelas olvidan documentar en su RAT. Sin embargo, implica tratamiento de datos personales desde el primer mensaje: dirección de correo electrónico para identificar al usuario, historial de conversaciones, datos sobre el programa de interés y, en ocasiones, información sensible que el candidato comparte voluntariamente.
El 72% de las consultas de los candidatos son automatizables por un chatbot de IA (Fuente: análisis Skolbot, 12.000 conversaciones 2025–2026). Esto convierte al chatbot en un canal de alto volumen que procesa más datos personales que muchos otros sistemas de la institución. Si externaliza el chatbot a un proveedor externo — como Skolbot — ese proveedor actúa como encargado del tratamiento y debe estar vinculado mediante un contrato de encargo (art. 28 RGPD). Véase también nuestra guía sobre cumplimiento RGPD de chatbots y proveedores para escuelas.
Plantilla RAT para escuelas privadas: tabla lista para rellenar
La siguiente tabla refleja las columnas mínimas exigidas por el artículo 30 del RGPD. Adapte los valores a su institución antes de incorporarla a su registro formal.
| Actividad de Tratamiento | Finalidad | Base Jurídica (art. 6 RGPD) | Categorías de Datos | Destinatarios / Encargados | Plazo de Conservación | Transferencias Internacionales |
|---|---|---|---|---|---|---|
| Gestión de solicitudes de admisión | Evaluar candidaturas y formalizar matrícula | Art. 6.1.b (ejecución de contrato) — fase precontractual; art. 6.1.f (interés legítimo) — evaluación previa | Nombre, DNI/NIE, expediente académico, nota EBAU, carta de motivación, referencias | CRM interno; plataforma de gestión académica (encargado) | 2 años para candidatos no admitidos; duración de la relación + 5 años para matriculados | No (si CRM alojado en UE); indicar país y garantías si fuera de UE |
| Marketing y captación de prospectos | Envío de comunicaciones comerciales, gestión de leads | Art. 6.1.a (consentimiento) + art. 21 LSSI para email comercial | Nombre, email, teléfono, programa de interés, fuente del lead | Plataforma de email marketing (encargado); CRM de ventas (encargado) | Hasta revocación del consentimiento; máximo 3 años de inactividad | Indicar si el proveedor de email marketing transfiere datos fuera del EEE y garantías (SCCs, etc.) |
| Chatbot IA de atención a candidatos | Responder consultas automatizadas sobre programas, admisiones y campus | Art. 6.1.a (consentimiento en primera interacción) o art. 6.1.f (interés legítimo para consultas anónimas) | Email de identificación, historial de conversación, programa consultado, datos voluntariamente aportados | Proveedor del chatbot (encargado — contrato art. 28 RGPD obligatorio) | 12 meses desde la última interacción | Verificar país de alojamiento de servidores del proveedor; exigir garantías si fuera del EEE |
| Gestión de alumnos matriculados | Prestación del servicio educativo, expediente académico | Art. 6.1.b (contrato) + art. 6.1.c (obligación legal — normativa educativa) | Datos identificativos, expediente, calificaciones, asistencia, datos de salud si hay adaptación (art. 9 RGPD) | Profesorado; secretaría académica; plataforma e-learning (encargado) | Duración de los estudios + 5 años mínimo (normativa de conservación de expedientes académicos) | No, salvo plataforma e-learning con servidores fuera del EEE |
| Videovigilancia en instalaciones | Seguridad de personas e instalaciones | Art. 6.1.f (interés legítimo) | Imagen captada en zonas comunes | Empresa de seguridad privada (encargado, si procede) | 30 días máximo (LOPDGDD art. 22) | No |
Errores frecuentes en el RAT de escuelas privadas españolas
1. Omitir las transferencias internacionales. Muchos CRM (Salesforce, HubSpot) y plataformas de email marketing (Mailchimp, Brevo) almacenan datos en servidores fuera del Espacio Económico Europeo o los transfieren a filiales en EE. UU. Si su RAT no recoge la base de la transferencia — habitualmente Cláusulas Contractuales Tipo (SCCs) — su registro es incompleto ante una auditoría.
2. No distinguir entre responsable y encargado. El proveedor del chatbot, el CRM y la plataforma de gestión académica son encargados del tratamiento, no responsables independientes. Su RAT debe listarlos como destinatarios/encargados y usted debe tener firmado un contrato de encargo con cada uno.
3. Plazos de conservación genéricos o en blanco. Indicar "el tiempo necesario" no es suficiente. La AEPD exige plazos concretos justificados en la normativa aplicable o en el análisis de riesgo.
4. Mezclar finalidades bajo una sola entrada. Admisiones y marketing tienen bases jurídicas distintas. Agruparlas en una única fila oscurece la realidad del tratamiento y dificulta responder a solicitudes de derechos de los interesados.
5. No actualizar el RAT tras adoptar nuevas herramientas. Cada vez que incorpora un nuevo software (plataforma LMS, herramienta de IA generativa, sistema de videoconferencia) nace una nueva actividad de tratamiento. El RAT es un documento vivo, no un archivo que se crea una vez.
Para saber si debe contar con un Delegado de Protección de Datos (DPD) que supervise el registro, consulte nuestro artículo sobre DPD externalizado para escuelas privadas.
Cómo mantener el RAT actualizado en la práctica
El RAT no tiene una periodicidad legal de revisión, pero la AEPD recomienda revisarlo al menos una vez al año y cada vez que se produzca un cambio significativo en los tratamientos. Una rutina eficaz para escuelas privadas incluye:
- Revisión anual antes del inicio del curso académico, cuando se renuevan contratos con proveedores tecnológicos.
- Revisión puntual cada vez que se contrate un nuevo software, proveedor de servicios digitales o herramienta de IA.
- Revisión inmediata tras cualquier brecha de seguridad o incidente de privacidad, para verificar que el tratamiento afectado estaba correctamente documentado.
Designe a un responsable interno — o a su DPD externalizado — para mantener el documento. Sin propietario claro, el RAT queda desactualizado en cuestión de meses.
Preguntas frecuentes
¿El artículo 30 del RGPD aplica a escuelas privadas pequeñas con menos de 250 empleados?
Sí, en la práctica. La exención del artículo 30.5 RGPD solo opera cuando el tratamiento es ocasional, no incluye categorías especiales de datos (salud, origen étnico, etc.) y no entraña riesgos para los derechos de los interesados. Las escuelas privadas — incluso las pequeñas — tratan datos de forma sistemática (admisiones continuas, marketing recurrente, videovigilancia) y en muchos casos gestionan datos de menores o de salud para adaptaciones curriculares. La exención rara vez es aplicable.
¿Cuál es la diferencia entre el RAT y la política de privacidad?
Son documentos con funciones distintas. La política de privacidad es un documento público dirigido a los interesados (candidatos, alumnos, familias) que les informa de cómo se tratan sus datos (arts. 13 y 14 RGPD). El RAT es un documento interno de cumplimiento dirigido a las autoridades de control — en España, la AEPD — que detalla todas las operaciones de tratamiento de la organización. La información de ambos debe ser coherente, pero su nivel de detalle y su destinatario son diferentes.
¿Necesitamos un Delegado de Protección de Datos (DPD) para llevar el RAT?
No necesariamente. El RAT es obligatorio con independencia de si la escuela tiene DPD o no. No obstante, el artículo 37 del RGPD obliga a designar un DPD cuando el tratamiento a gran escala de categorías especiales de datos o de datos de menores sea la actividad principal de la organización. Muchas escuelas privadas con más de 500 alumnos entran en este supuesto. Un DPD externalizado puede asumir la gestión y actualización del RAT como parte de su servicio.
¿Cuánto tiempo debemos conservar los datos de candidatos no admitidos?
La AEPD no fija un plazo universal, pero el criterio de proporcionalidad y el principio de limitación del plazo de conservación (art. 5.1.e RGPD) apuntan a un máximo de 2 años para candidatos no admitidos, salvo que exista una base jurídica para conservarlos más tiempo — por ejemplo, si el candidato consintió recibir comunicaciones de marketing o si existe un litigio pendiente. Pasado ese plazo, los datos deben suprimirse o anonimizarse de forma irreversible.
¿Debe el chatbot de IA figurar en el RAT como actividad de tratamiento independiente?
Sí, siempre que procese datos personales identificables — lo que ocurre desde el momento en que el usuario introduce su nombre o correo electrónico, o cuando el historial de conversación se vincula a un perfil de lead. El chatbot debe aparecer en el RAT con su propia entrada, especificando el proveedor como encargado del tratamiento, la base jurídica, los datos tratados y el plazo de conservación de los logs de conversación.
Siguiente paso: automatice la captación cumpliendo desde el primer contacto
Documentar el tratamiento del chatbot en su RAT es el primer paso; el segundo es asegurarse de que el chatbot en sí funciona conforme al RGPD — aviso de privacidad en el widget, gestión de consentimiento, minimización de datos y contrato de encargo con el proveedor firmado antes del primer mensaje.
Skolbot está diseñado específicamente para escuelas e universidades privadas: incluye documentación RGPD lista para incorporar a su RAT, contrato de encargo conforme al artículo 28 y configuración de consentimiento integrada. +62% de leads cualificados y -38% de coste por lead en instituciones que ya lo utilizan.
Solicitar una demo personalizada
