skolbot.Chatbot IA para escuelas
ProductoPrecios
Demo gratuita
Demo gratuita
Guía RGPD para la protección de datos estudiantiles en la educación superior
  1. Inicio
  2. /Blog
  3. /Cumplimiento
  4. /RGPD y datos estudiantiles: guía completa para escuelas
Volver al blog
Cumplimiento15 min read

RGPD y datos estudiantiles: guía completa para escuelas

Todo lo que las escuelas necesitan saber sobre el RGPD aplicado a datos de estudiantes: bases legales, consentimiento, DPD, IA Act y obligaciones por país.

S

Equipo Skolbot · 23 de enero de 2026

Resumir este artículo con

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Índice

  1. 01El RGPD se aplica a cada dato que su escuela recopila sobre un candidato o estudiante
  2. 02Categorías de datos personales tratados por una escuela
  3. Datos de candidatos (pre-matrícula)
  4. Datos de estudiantes matriculados
  5. Datos de alumni
  6. 03Bases legales aplicables en la educación superior
  7. Las 6 bases legales del RGPD y su aplicación a las escuelas
  8. Error frecuente: el consentimiento como base por defecto
  9. 04El consentimiento en el contexto educativo
  10. Consentimiento de menores
  11. Consentimiento y chatbot IA
  12. 05Derechos de las personas interesadas
  13. Los 8 derechos que su escuela debe garantizar
  14. La supresión en cascada: un reto técnico
  15. 06El DPD: función y obligaciones para las escuelas
  16. ¿Cuándo es obligatoria la designación de un DPD?
  17. ¿DPD interno o externo?
  18. 07El Reglamento de IA y sus implicaciones para las escuelas
  19. Clasificación de los sistemas IA en la educación
  20. Calendario de entrada en vigor
  21. 08Obligaciones específicas por país
  22. España — AEPD
  23. Francia — CNIL
  24. Alemania — BfDI
  25. Países Bajos — AP
  26. Portugal — CNPD
  27. Reino Unido — ICO
  28. 09Seguridad de los datos: medidas técnicas y organizativas
  29. El principio de minimización
  30. Medidas técnicas indispensables
  31. Evaluación de impacto (EIPD)

El RGPD se aplica a cada dato que su escuela recopila sobre un candidato o estudiante

Desde el 25 de mayo de 2018, el Reglamento General de Protección de Datos (RGPD — Reglamento 2016/679) regula todo tratamiento de datos personales en la Unión Europea. Para una escuela de educación superior, el alcance va mucho más allá de los expedientes de matrícula: formularios de contacto, interacciones con chatbot, analítica web, inscripciones a jornadas de puertas abiertas, resultados académicos, datos de salud e incluso fotografías tomadas en eventos del campus.

El incumplimiento no es un riesgo teórico. En 2025, la AEPD (Agencia Española de Protección de Datos) sancionó a organismos educativos por falta de base legal y recopilación excesiva de datos. El techo de las multas — 20 millones de euros o el 4 % de la facturación anual mundial — concentra la atención.

Esta guía cubre las obligaciones concretas para los centros de educación superior privados: tipos de datos, bases legales, consentimiento, derechos de los interesados, función del DPD, y las implicaciones del Reglamento de IA para las herramientas de admisión y los chatbots.

Categorías de datos personales tratados por una escuela

Datos de candidatos (pre-matrícula)

Los datos recopilados antes de la matrícula constituyen el primer perímetro RGPD de una escuela:

  • Datos de identificación — nombre, correo electrónico, número de teléfono, recogidos a través de formularios de contacto, chatbot o inscripción a jornadas de puertas abiertas
  • Datos de navegación — páginas visitadas, tiempo de permanencia, fuente de adquisición, recogidos por Google Analytics o herramientas equivalentes
  • Datos conversacionales — preguntas formuladas al chatbot, historial de conversación, idioma utilizado
  • Datos de solicitud — CV, carta de motivación, expediente académico, documentos de identidad

El 89 % de los candidatos pregunta por las tasas de matrícula y el 78 % se interesa por las prácticas en empresa (Fuente: análisis de 12.000 conversaciones chatbot Skolbot, sept. 2025 — feb. 2026). Estos intercambios constituyen datos personales en cuanto un identificador (nombre, correo) se asocia a la conversación.

Datos de estudiantes matriculados

Una vez matriculado, el estudiante genera un volumen de datos considerablemente mayor:

  • Datos académicos — calificaciones, asistencia, progresión, títulos
  • Datos financieros — tasas de matrícula, planes de pago, becas
  • Datos de vida en el campus — acceso a edificios (tarjeta), comedor, alojamiento asociado
  • Datos sensibles — discapacidad, situación social, datos de salud (servicio médico del campus)

Los datos sensibles (artículo 9 del RGPD) exigen protecciones reforzadas: base legal específica, limitación estricta de acceso y prohibición de tratamiento automatizado para la toma de decisiones salvo excepciones explícitas.

Datos de alumni

El tratamiento de datos de alumni (directorio, donaciones, eventos de networking) requiere una base legal distinta de la utilizada durante los estudios. El consentimiento otorgado para la matrícula no cubre automáticamente el seguimiento post-graduación.

Bases legales aplicables en la educación superior

Las 6 bases legales del RGPD y su aplicación a las escuelas

El RGPD (artículo 6) define seis bases legales para el tratamiento de datos personales. En la educación superior, cuatro se utilizan principalmente:

  • Ejecución de un contrato (artículo 6.1.b) — La base más sólida para los datos vinculados a la matrícula, la formación y la facturación. El contrato formativo justifica el tratamiento de los datos necesarios para su ejecución.

  • Interés legítimo (artículo 6.1.f) — Aplicable al marketing de captación (envío de folletos, seguimientos) y a la analítica web. Exige un test de ponderación documentado: el interés de la escuela no debe prevalecer sobre los derechos de la persona. El EDPB (Comité Europeo de Protección de Datos) recomienda una documentación formal de esta ponderación para cada tratamiento.

  • Consentimiento (artículo 6.1.a) — Requerido para newsletters de marketing, cookies no esenciales y cesión de datos a terceros. El consentimiento debe ser libre, específico, informado e inequívoco. Un formulario de contacto con una casilla premarcada «Deseo recibir comunicaciones» no constituye un consentimiento válido.

  • Obligación legal (artículo 6.1.c) — Abarca la transmisión de datos a las autoridades (ANECA, Ministerio de Universidades, sistemas de acreditación) y la conservación de títulos durante el plazo legal.

Error frecuente: el consentimiento como base por defecto

Muchas escuelas utilizan el consentimiento como base legal única para todos los tratamientos. Es un error estratégico. El consentimiento es revocable en cualquier momento (artículo 7.3), lo que significa que si un estudiante retira su consentimiento, la escuela pierde el derecho a tratar sus datos — incluidos los necesarios para su formación.

El enfoque correcto: utilizar la ejecución del contrato para los tratamientos vinculados a la formación, la obligación legal para las transmisiones reglamentarias, el interés legítimo para la captación (con test de ponderación documentado), y el consentimiento únicamente para el marketing y las cookies.

El consentimiento en el contexto educativo

Consentimiento de menores

El RGPD (artículo 8) fija el umbral de consentimiento digital en 16 años, pero cada Estado miembro puede reducirlo hasta 13 años. En España, la LOPDGDD (Ley Orgánica 3/2018) fija este umbral en 14 años. Para la mayoría de los programas de educación superior, los candidatos son mayores de edad, pero los ciclos formativos de grado superior y los dobles grados pueden incluir a menores de 18 años.

Para candidatos menores: el consentimiento de los padres o tutores legales es necesario para cualquier tratamiento basado en el consentimiento (newsletter de marketing, cookies de marketing). Los formularios deben prever un mecanismo de verificación (correo electrónico parental, doble opt-in).

Consentimiento y chatbot IA

Un chatbot IA que recopila datos personales debe informar al candidato antes del inicio de la conversación:

  • Que interactúa con una inteligencia artificial (obligación de transparencia del Reglamento de IA, artículo 52)
  • Qué datos se recopilan y con qué finalidad
  • Cómo ejercer sus derechos (acceso, rectificación, supresión)
  • El período de conservación de las conversaciones

Un banner informativo al inicio del chatbot, con enlace a la política de privacidad, cumple esta obligación. El chatbot no debe condicionar el acceso a la información a la aportación de datos personales: un candidato debe poder preguntar sobre los programas sin dar su nombre ni su correo electrónico.

Derechos de las personas interesadas

Los 8 derechos que su escuela debe garantizar

El RGPD confiere a las personas interesadas (candidatos, estudiantes, alumni) ocho derechos fundamentales. Su escuela debe disponer de procedimientos operativos para responder a cada uno en un plazo de un mes:

  • Derecho de acceso (artículo 15) — El estudiante puede solicitar una copia de todos los datos que usted posee sobre él.
  • Derecho de rectificación (artículo 16) — Corrección de datos inexactos o incompletos.
  • Derecho de supresión (artículo 17) — El «derecho al olvido». Limitado por las obligaciones legales de conservación (títulos, contabilidad).
  • Derecho a la limitación (artículo 18) — Congelación del tratamiento en caso de impugnación.
  • Derecho a la portabilidad (artículo 20) — Transferencia de los datos en formato estructurado a otra institución.
  • Derecho de oposición (artículo 21) — Rechazo del tratamiento basado en interés legítimo, incluido el perfilado con fines de marketing.
  • Derecho a no ser objeto de decisiones automatizadas (artículo 22) — Fundamental para las herramientas de admisión que utilizan IA.
  • Derecho a retirar el consentimiento (artículo 7.3) — En cualquier momento, sin justificación.

La supresión en cascada: un reto técnico

Cuando un candidato ejerce su derecho de supresión, todos los datos que le conciernen deben eliminarse de todos los sistemas: CRM, chatbot, herramienta de email, analítica nominativa, copias de seguridad. El coste de captación por estudiante matriculado oscila entre 1.500 y 2.200 EUR en España (Fuente: estimaciones basadas en datos EAIE, StudyPortals, EAB, SEPIE). Cada solicitud de supresión representa una pérdida de inversión en marketing — razón adicional para minimizar la recopilación de datos desde el principio.

La supresión debe ser efectiva en el plazo de un mes. Un proceso de supresión en cascada documentado, probado periódicamente, es indispensable.

El DPD: función y obligaciones para las escuelas

¿Cuándo es obligatoria la designación de un DPD?

El RGPD (artículo 37) hace obligatoria la designación de un Delegado de Protección de Datos (DPD) cuando el tratamiento lo realiza un organismo público, o cuando las actividades principales del responsable requieren un seguimiento regular y sistemático de personas a gran escala.

Para una escuela privada de educación superior, la AEPD considera que el tratamiento de datos de centenares o miles de candidatos y estudiantes constituye un tratamiento a gran escala. La designación de un DPD es, en la práctica, prácticamente siempre obligatoria.

¿DPD interno o externo?

Ambas opciones son válidas. Un DPD interno conoce mejor los procesos de la escuela pero corre el riesgo de conflicto de intereses si acumula funciones decisorias (director de IT, director jurídico). Un DPD externo aporta experiencia especializada e independencia garantizada, pero necesita tiempo para comprender las especificidades de la educación superior.

El DPD debe tener acceso directo a la dirección, no puede ser sancionado por el ejercicio de su función, y debe disponer de medios suficientes (presupuesto, tiempo, herramientas).

El Reglamento de IA y sus implicaciones para las escuelas

Clasificación de los sistemas IA en la educación

El Reglamento de IA de la UE (Reglamento 2024/1689) clasifica los sistemas de inteligencia artificial por nivel de riesgo. Para la educación superior, dos categorías son relevantes:

Alto riesgo (Anexo III) — Los sistemas de IA utilizados para la admisión, la evaluación de solicitudes o la calificación automatizada de exámenes se clasifican como de alto riesgo. Exigen:

  • Un sistema documentado de gestión de riesgos
  • Conjuntos de datos de entrenamiento de calidad, representativos y sin sesgos
  • Supervisión humana efectiva (la IA recomienda, el humano decide)
  • Transparencia completa ante las personas afectadas
  • Registro en la base de datos europea de sistemas IA de alto riesgo

Riesgo limitado (artículo 52) — Los chatbots informativos previos a la admisión se encuadran en el riesgo limitado. La obligación principal es la transparencia: el candidato debe saber que interactúa con una IA. Sin evaluación de conformidad, sin registro, pero con una obligación clara de información.

Calendario de entrada en vigor

El Reglamento de IA entra en vigor de forma progresiva. Las prohibiciones sobre sistemas de riesgo inaceptable están vigentes desde febrero de 2025. Las obligaciones para sistemas de alto riesgo se aplican plenamente desde agosto de 2026. Las escuelas que utilizan herramientas de IA para la preselección de solicitudes deben prepararse ya.

Obligaciones específicas por país

España — AEPD

La AEPD es la autoridad de control española. Más allá del RGPD, la LOPDGDD (Ley Orgánica 3/2018) impone obligaciones adicionales:

  • Consentimiento digital a los 14 años (frente a 16 en el RGPD)
  • Regulación específica de las comunicaciones comerciales electrónicas (LSSI)
  • Obligaciones reforzadas en materia de videovigilancia en centros educativos
  • La AEPD ha publicado guías específicas para el sector educativo, incluyendo orientaciones sobre plataformas digitales y captación de imágenes

Francia — CNIL

La CNIL es la autoridad francesa. Impone el consentimiento digital a los 15 años y requisitos reforzados para cookies. Publica directrices específicas para el sector de la formación.

Alemania — BfDI

El BfDI supervisa la protección de datos a nivel federal, pero cada Land dispone de su propia autoridad de control para la educación. Las interpretaciones a veces divergentes complican el cumplimiento para escuelas con sedes en varios Lander.

Países Bajos — AP

La AP (Autoriteit Persoonsgegevens) presta especial atención al sector educativo neerlandés. Se han impuesto sanciones contra instituciones por el uso de software de supervisión de exámenes en línea (proctoring) sin base legal adecuada.

Portugal — CNPD

La CNPD aplica el RGPD en el marco de la Ley 58/2019. Las instituciones portuguesas deben prestar especial atención a la conservación de datos de titulados, regulada por plazos legales nacionales.

Reino Unido — ICO

El ICO aplica el UK GDPR post-Brexit. Las escuelas europeas que captan en el Reino Unido deben tratar la transferencia de datos como transferencia internacional, con las garantías apropiadas (cláusulas contractuales tipo).

Seguridad de los datos: medidas técnicas y organizativas

El principio de minimización

El artículo 5.1.c del RGPD exige recopilar únicamente los datos estrictamente necesarios para la finalidad declarada. Para un chatbot, esto significa: no exigir nombre, correo electrónico ni número de teléfono para responder a una pregunta sobre los programas. La recopilación de identificadores solo se justifica cuando el candidato desea ser recontactado.

Medidas técnicas indispensables

  • Cifrado — En tránsito (TLS 1.3) y en reposo (AES-256) para todos los datos personales
  • Alojamiento europeo — Servidores en la UE, conforme a las recomendaciones del EDPB sobre transferencias internacionales
  • Pseudonimización — Separación de identificadores directos y datos de comportamiento
  • Registro de accesos — Trazabilidad de quién accede a qué datos y cuándo
  • Copias de seguridad cifradas — Con prueba periódica de restauración
  • Supresión automatizada — Purga de datos más allá del período de conservación definido

Evaluación de impacto (EIPD)

El artículo 35 del RGPD exige una evaluación de impacto relativa a la protección de datos (EIPD) antes de cualquier tratamiento que pueda entrañar un riesgo elevado. Para una escuela, esto concierne:

  • El despliegue de un chatbot IA que recopila datos personales
  • El uso de herramientas de IA para la evaluación de solicitudes
  • La videovigilancia del campus
  • El perfilado de candidatos con fines de marketing

La EIPD debe describir el tratamiento, evaluar su necesidad y proporcionalidad, identificar los riesgos y proponer medidas de mitigación.

El 67 % de las interacciones con candidatos tiene lugar fuera del horario laboral (Fuente: registros de interacción Skolbot, 200.000 sesiones, oct. 2025 — feb. 2026). Esto significa que un chatbot operativo 24/7 procesa datos personales de forma continua — y que sus medidas de seguridad deben ser igualmente robustas fuera del horario de oficina.

FAQ

¿Un chatbot IA es conforme al RGPD?

Sí, siempre que se respeten cuatro obligaciones: informar al candidato de que interactúa con una IA (transparencia del Reglamento de IA), recopilar únicamente los datos estrictamente necesarios (minimización), ofrecer un acceso, rectificación y supresión sencillos (derechos de los interesados) y alojar los datos en la UE. Un chatbot conforme informa antes de recopilar y no condiciona el acceso a la información a la aportación de datos personales.

¿Cuánto tiempo pueden conservarse los datos de un candidato no matriculado?

La AEPD recomienda una duración máxima de 3 años tras el último contacto para datos de prospección comercial. Para un candidato que no ha dado seguimiento: supresión tras 3 años. Para un candidato cuya solicitud fue denegada: conservación del expediente durante 1 año (posible litigio), después supresión. Estos plazos deben figurar en el registro de actividades de tratamiento.

¿El Reglamento de IA prohíbe el uso de IA en las admisiones?

No. El Reglamento de IA no lo prohíbe, pero lo clasifica como sistema de alto riesgo (Anexo III). Esto impone obligaciones reforzadas: gestión de riesgos, calidad de los datos de entrenamiento, supervisión humana efectiva, transparencia ante los candidatos y registro. La IA puede recomendar, pero la decisión final de admisión debe ser humana.

¿Es obligatorio designar un DPD en una escuela de 500 estudiantes?

En la práctica, sí. La AEPD considera que el tratamiento de datos de centenares de estudiantes (calificaciones, datos financieros, salud) constituye un tratamiento a gran escala. La designación de un DPD es prácticamente siempre obligatoria para los centros de educación superior, independientemente de su tamaño. El DPD puede ser compartido entre varias instituciones o externalizado.

¿Cómo gestionar una solicitud de supresión de un estudiante titulado?

La supresión no puede ser total: la escuela tiene la obligación legal de conservar las pruebas de expedición del título (obligación legal, artículo 6.1.c). Los datos financieros están sujetos a plazos de conservación contable (6 años en España, Código de Comercio). Sin embargo, los datos de vida en el campus, de navegación y de comunicación comercial deben suprimirse. Documente la respuesta por escrito detallando qué datos se suprimieron y cuáles se conservan con su base legal.

El cumplimiento del RGPD no es un proyecto puntual. Es un proceso continuo que afecta a cada departamento de su escuela — admisiones, secretaría académica, marketing, IT, dirección. Las instituciones que lo integran desde el diseño de sus herramientas (privacidad desde el diseño) protegen a sus estudiantes y se protegen a sí mismas.

Para comprender cómo el Reglamento de IA modifica específicamente las obligaciones de las escuelas, consulte nuestro artículo sobre el Reglamento de IA y la educación superior. Para las medidas técnicas de protección, descubra nuestra guía sobre la protección de datos de candidatos. Para profundizar en las bases jurídicas, plazos de conservación y la obligación de EIPD propios del chatbot de su institución, consulte nuestra guía: Chatbot IA y RGPD: qué datos se pueden recopilar.

El cumplimiento digital va más allá de la protección de datos: nuestra guía sobre accesibilidad digital del sitio web universitario cubre las obligaciones de la Ley 11/2023 y WCAG vigentes desde junio de 2025 para centros privados.

Para una guía práctica sobre el consentimiento de cookies y los formularios de inscripción, consulte nuestro artículo sobre el consentimiento de cookies y formularios RGPD para escuelas.

Artículos relacionados

Guia operativa de proteccion de datos de prospectos estudiantiles
Cumplimiento

Proteger los datos de tus prospectos estudiantiles: guia operativa RGPD para universidades

Accesibilidad digital web universidad: requisitos WCAG y obligaciones Ley 11/2023 para centros educativos
Cumplimiento

Accesibilidad digital web universitaria: obligaciones legales 2026

Auditoría RGPD universidad checklist: escudo, registro de tratamientos y DPD en ilustración isométrica
Cumplimiento

Auditoría RGPD para universidades: checklist de 20 puntos

Guía del Reglamento Europeo de IA para universidades
Cumplimiento

La Ley de IA de la UE y la educación superior: lo que tu universidad necesita saber

Guía completa del chatbot IA para la captación de alumnos en educación superior
Chatbot IA

Chatbot IA para universidades: la guía completa 2026

Volver al blog

RGPD · Ley de IA de la UE · Alojamiento UE

skolbot.

SoluciónPreciosBlogCasos de éxitoComparativaAI CheckFAQEquipoAviso legalPolítica de privacidad

© 2026 Skolbot