RGPD y datos estudiantiles: guía completa para escuelas

El RGPD se aplica a cada dato que su escuela recopila sobre un candidato o estudiante

Desde el 25 de mayo de 2018, el Reglamento General de Protección de Datos (RGPD — Reglamento 2016/679) regula todo tratamiento de datos personales en la Unión Europea. Para una escuela de educación superior, el alcance va mucho más allá de los expedientes de matrícula: formularios de contacto, interacciones con chatbot, analítica web, inscripciones a jornadas de puertas abiertas, resultados académicos, datos de salud e incluso fotografías tomadas en eventos del campus.

El incumplimiento no es un riesgo teórico. En 2025, la AEPD (Agencia Española de Protección de Datos) sancionó a organismos educativos por falta de base legal y recopilación excesiva de datos. El techo de las multas — 20 millones de euros o el 4 % de la facturación anual mundial — concentra la atención.

Esta guía cubre las obligaciones concretas para los centros de educación superior privados: tipos de datos, bases legales, consentimiento, derechos de los interesados, función del DPD, y las implicaciones del Reglamento de IA para las herramientas de admisión y los chatbots.

Categorías de datos personales tratados por una escuela

Datos de candidatos (pre-matrícula)

Los datos recopilados antes de la matrícula constituyen el primer perímetro RGPD de una escuela:

• Datos de identificación — nombre, correo electrónico, número de teléfono, recogidos a través de formularios de contacto, chatbot o inscripción a jornadas de puertas abiertas
• Datos de navegación — páginas visitadas, tiempo de permanencia, fuente de adquisición, recogidos por Google Analytics o herramientas equivalentes
• Datos conversacionales — preguntas formuladas al chatbot, historial de conversación, idioma utilizado
• Datos de solicitud — CV, carta de motivación, expediente académico, documentos de identidad

El 89 % de los candidatos pregunta por las tasas de matrícula y el 78 % se interesa por las prácticas en empresa (Fuente: análisis de 12.000 conversaciones chatbot Skolbot, sept. 2025 — feb. 2026). Estos intercambios constituyen datos personales en cuanto un identificador (nombre, correo) se asocia a la conversación.

Datos de estudiantes matriculados

Una vez matriculado, el estudiante genera un volumen de datos considerablemente mayor:

• Datos académicos — calificaciones, asistencia, progresión, títulos
• Datos financieros — tasas de matrícula, planes de pago, becas
• Datos de vida en el campus — acceso a edificios (tarjeta), comedor, alojamiento asociado
• Datos sensibles — discapacidad, situación social, datos de salud (servicio médico del campus)

Los datos sensibles (artículo 9 del RGPD) exigen protecciones reforzadas: base legal específica, limitación estricta de acceso y prohibición de tratamiento automatizado para la toma de decisiones salvo excepciones explícitas.

Datos de alumni

El tratamiento de datos de alumni (directorio, donaciones, eventos de networking) requiere una base legal distinta de la utilizada durante los estudios. El consentimiento otorgado para la matrícula no cubre automáticamente el seguimiento post-graduación.

Bases legales aplicables en la educación superior

Las 6 bases legales del RGPD y su aplicación a las escuelas

El RGPD (artículo 6) define seis bases legales para el tratamiento de datos personales. En la educación superior, cuatro se utilizan principalmente:

• Ejecución de un contrato (artículo 6.1.b) — La base más sólida para los datos vinculados a la matrícula, la formación y la facturación. El contrato formativo justifica el tratamiento de los datos necesarios para su ejecución.

• Interés legítimo (artículo 6.1.f) — Aplicable al marketing de captación (envío de folletos, seguimientos) y a la analítica web. Exige un test de ponderación documentado: el interés de la escuela no debe prevalecer sobre los derechos de la persona. El EDPB (Comité Europeo de Protección de Datos) recomienda una documentación formal de esta ponderación para cada tratamiento.

• Consentimiento (artículo 6.1.a) — Requerido para newsletters de marketing, cookies no esenciales y cesión de datos a terceros. El consentimiento debe ser libre, específico, informado e inequívoco. Un formulario de contacto con una casilla premarcada «Deseo recibir comunicaciones» no constituye un consentimiento válido.

• Obligación legal (artículo 6.1.c) — Abarca la transmisión de datos a las autoridades (ANECA, Ministerio de Universidades, sistemas de acreditación) y la conservación de títulos durante el plazo legal.

Error frecuente: el consentimiento como base por defecto

Muchas escuelas utilizan el consentimiento como base legal única para todos los tratamientos. Es un error estratégico. El consentimiento es revocable en cualquier momento (artículo 7.3), lo que significa que si un estudiante retira su consentimiento, la escuela pierde el derecho a tratar sus datos — incluidos los necesarios para su formación.

El enfoque correcto: utilizar la ejecución del contrato para los tratamientos vinculados a la formación, la obligación legal para las transmisiones reglamentarias, el interés legítimo para la captación (con test de ponderación documentado), y el consentimiento únicamente para el marketing y las cookies.

El consentimiento en el contexto educativo

Consentimiento de menores

El RGPD (artículo 8) fija el umbral de consentimiento digital en 16 años, pero cada Estado miembro puede reducirlo hasta 13 años. En España, la LOPDGDD (Ley Orgánica 3/2018) fija este umbral en 14 años. Para la mayoría de los programas de educación superior, los candidatos son mayores de edad, pero los ciclos formativos de grado superior y los dobles grados pueden incluir a menores de 18 años.

Para candidatos menores: el consentimiento de los padres o tutores legales es necesario para cualquier tratamiento basado en el consentimiento (newsletter de marketing, cookies de marketing). Los formularios deben prever un mecanismo de verificación (correo electrónico parental, doble opt-in).

Consentimiento y chatbot IA

Un chatbot IA que recopila datos personales debe informar al candidato antes del inicio de la conversación:

• Que interactúa con una inteligencia artificial (obligación de transparencia del Reglamento de IA, artículo 52)
• Qué datos se recopilan y con qué finalidad
• Cómo ejercer sus derechos (acceso, rectificación, supresión)
• El período de conservación de las conversaciones

Un banner informativo al inicio del chatbot, con enlace a la política de privacidad, cumple esta obligación. El chatbot no debe condicionar el acceso a la información a la aportación de datos personales: un candidato debe poder preguntar sobre los programas sin dar su nombre ni su correo electrónico.

Derechos de las personas interesadas

Los 8 derechos que su escuela debe garantizar

El RGPD confiere a las personas interesadas (candidatos, estudiantes, alumni) ocho derechos fundamentales. Su escuela debe disponer de procedimientos operativos para responder a cada uno en un plazo de un mes:

• Derecho de acceso (artículo 15) — El estudiante puede solicitar una copia de todos los datos que usted posee sobre él.
• Derecho de rectificación (artículo 16) — Corrección de datos inexactos o incompletos.
• Derecho de supresión (artículo 17) — El «derecho al olvido». Limitado por las obligaciones legales de conservación (títulos, contabilidad).
• Derecho a la limitación (artículo 18) — Congelación del tratamiento en caso de impugnación.
• Derecho a la portabilidad (artículo 20) — Transferencia de los datos en formato estructurado a otra institución.
• Derecho de oposición (artículo 21) — Rechazo del tratamiento basado en interés legítimo, incluido el perfilado con fines de marketing.
• Derecho a no ser objeto de decisiones automatizadas (artículo 22) — Fundamental para las herramientas de admisión que utilizan IA.
• Derecho a retirar el consentimiento (artículo 7.3) — En cualquier momento, sin justificación.

La supresión en cascada: un reto técnico

Cuando un candidato ejerce su derecho de supresión, todos los datos que le conciernen deben eliminarse de todos los sistemas: CRM, chatbot, herramienta de email, analítica nominativa, copias de seguridad. El coste de captación por estudiante matriculado oscila entre 1.500 y 2.200 EUR en España (Fuente: estimaciones basadas en datos EAIE, StudyPortals, EAB, SEPIE). Cada solicitud de supresión representa una pérdida de inversión en marketing — razón adicional para minimizar la recopilación de datos desde el principio.

La supresión debe ser efectiva en el plazo de un mes. Un proceso de supresión en cascada documentado, probado periódicamente, es indispensable.

El DPD: función y obligaciones para las escuelas

¿Cuándo es obligatoria la designación de un DPD?

El RGPD (artículo 37) hace obligatoria la designación de un Delegado de Protección de Datos (DPD) cuando el tratamiento lo realiza un organismo público, o cuando las actividades principales del responsable requieren un seguimiento regular y sistemático de personas a gran escala.

Para una escuela privada de educación superior, la AEPD considera que el tratamiento de datos de centenares o miles de candidatos y estudiantes constituye un tratamiento a gran escala. La designación de un DPD es, en la práctica, prácticamente siempre obligatoria.

¿DPD interno o externo?

Ambas opciones son válidas. Un DPD interno conoce mejor los procesos de la escuela pero corre el riesgo de conflicto de intereses si acumula funciones decisorias (director de IT, director jurídico). Un DPD externo aporta experiencia especializada e independencia garantizada, pero necesita tiempo para comprender las especificidades de la educación superior.

El DPD debe tener acceso directo a la dirección, no puede ser sancionado por el ejercicio de su función, y debe disponer de medios suficientes (presupuesto, tiempo, herramientas).

El Reglamento de IA y sus implicaciones para las escuelas

Clasificación de los sistemas IA en la educación

El Reglamento de IA de la UE (Reglamento 2024/1689) clasifica los sistemas de inteligencia artificial por nivel de riesgo. Para la educación superior, dos categorías son relevantes:

Alto riesgo (Anexo III) — Los sistemas de IA utilizados para la admisión, la evaluación de solicitudes o la calificación automatizada de exámenes se clasifican como de alto riesgo. Exigen:

• Un sistema documentado de gestión de riesgos
• Conjuntos de datos de entrenamiento de calidad, representativos y sin sesgos
• Supervisión humana efectiva (la IA recomienda, el humano decide)
• Transparencia completa ante las personas afectadas
• Registro en la base de datos europea de sistemas IA de alto riesgo

Riesgo limitado (artículo 52) — Los chatbots informativos previos a la admisión se encuadran en el riesgo limitado. La obligación principal es la transparencia: el candidato debe saber que interactúa con una IA. Sin evaluación de conformidad, sin registro, pero con una obligación clara de información.

Calendario de entrada en vigor

El Reglamento de IA entra en vigor de forma progresiva. Las prohibiciones sobre sistemas de riesgo inaceptable están vigentes desde febrero de 2025. Las obligaciones para sistemas de alto riesgo se aplican plenamente desde agosto de 2026. Las escuelas que utilizan herramientas de IA para la preselección de solicitudes deben prepararse ya.

Obligaciones específicas por país

España — AEPD

La AEPD es la autoridad de control española. Más allá del RGPD, la LOPDGDD (Ley Orgánica 3/2018) impone obligaciones adicionales:

• Consentimiento digital a los 14 años (frente a 16 en el RGPD)
• Regulación específica de las comunicaciones comerciales electrónicas (LSSI)
• Obligaciones reforzadas en materia de videovigilancia en centros educativos
• La AEPD ha publicado guías específicas para el sector educativo, incluyendo orientaciones sobre plataformas digitales y captación de imágenes

Francia — CNIL

La CNIL es la autoridad francesa. Impone el consentimiento digital a los 15 años y requisitos reforzados para cookies. Publica directrices específicas para el sector de la formación.

Alemania — BfDI

El BfDI supervisa la protección de datos a nivel federal, pero cada Land dispone de su propia autoridad de control para la educación. Las interpretaciones a veces divergentes complican el cumplimiento para escuelas con sedes en varios Lander.

Países Bajos — AP

La AP (Autoriteit Persoonsgegevens) presta especial atención al sector educativo neerlandés. Se han impuesto sanciones contra instituciones por el uso de software de supervisión de exámenes en línea (proctoring) sin base legal adecuada.

Portugal — CNPD

La CNPD aplica el RGPD en el marco de la Ley 58/2019. Las instituciones portuguesas deben prestar especial atención a la conservación de datos de titulados, regulada por plazos legales nacionales.

Reino Unido — ICO

El ICO aplica el UK GDPR post-Brexit. Las escuelas europeas que captan en el Reino Unido deben tratar la transferencia de datos como transferencia internacional, con las garantías apropiadas (cláusulas contractuales tipo).

Seguridad de los datos: medidas técnicas y organizativas

El principio de minimización

El artículo 5.1.c del RGPD exige recopilar únicamente los datos estrictamente necesarios para la finalidad declarada. Para un chatbot, esto significa: no exigir nombre, correo electrónico ni número de teléfono para responder a una pregunta sobre los programas. La recopilación de identificadores solo se justifica cuando el candidato desea ser recontactado.

Medidas técnicas indispensables

• Cifrado — En tránsito (TLS 1.3) y en reposo (AES-256) para todos los datos personales
• Alojamiento europeo — Servidores en la UE, conforme a las recomendaciones del EDPB sobre transferencias internacionales
• Pseudonimización — Separación de identificadores directos y datos de comportamiento
• Registro de accesos — Trazabilidad de quién accede a qué datos y cuándo
• Copias de seguridad cifradas — Con prueba periódica de restauración
• Supresión automatizada — Purga de datos más allá del período de conservación definido

Evaluación de impacto (EIPD)

El artículo 35 del RGPD exige una evaluación de impacto relativa a la protección de datos (EIPD) antes de cualquier tratamiento que pueda entrañar un riesgo elevado. Para una escuela, esto concierne:

• El despliegue de un chatbot IA que recopila datos personales
• El uso de herramientas de IA para la evaluación de solicitudes
• La videovigilancia del campus
• El perfilado de candidatos con fines de marketing

La EIPD debe describir el tratamiento, evaluar su necesidad y proporcionalidad, identificar los riesgos y proponer medidas de mitigación.

El 67 % de las interacciones con candidatos tiene lugar fuera del horario laboral (Fuente: registros de interacción Skolbot, 200.000 sesiones, oct. 2025 — feb. 2026). Esto significa que un chatbot operativo 24/7 procesa datos personales de forma continua — y que sus medidas de seguridad deben ser igualmente robustas fuera del horario de oficina.

FAQ

¿Un chatbot IA es conforme al RGPD?

Sí, siempre que se respeten cuatro obligaciones: informar al candidato de que interactúa con una IA (transparencia del Reglamento de IA), recopilar únicamente los datos estrictamente necesarios (minimización), ofrecer un acceso, rectificación y supresión sencillos (derechos de los interesados) y alojar los datos en la UE. Un chatbot conforme informa antes de recopilar y no condiciona el acceso a la información a la aportación de datos personales.

¿Cuánto tiempo pueden conservarse los datos de un candidato no matriculado?

La AEPD recomienda una duración máxima de 3 años tras el último contacto para datos de prospección comercial. Para un candidato que no ha dado seguimiento: supresión tras 3 años. Para un candidato cuya solicitud fue denegada: conservación del expediente durante 1 año (posible litigio), después supresión. Estos plazos deben figurar en el registro de actividades de tratamiento.

¿El Reglamento de IA prohíbe el uso de IA en las admisiones?

No. El Reglamento de IA no lo prohíbe, pero lo clasifica como sistema de alto riesgo (Anexo III). Esto impone obligaciones reforzadas: gestión de riesgos, calidad de los datos de entrenamiento, supervisión humana efectiva, transparencia ante los candidatos y registro. La IA puede recomendar, pero la decisión final de admisión debe ser humana.

¿Es obligatorio designar un DPD en una escuela de 500 estudiantes?

En la práctica, sí. La AEPD considera que el tratamiento de datos de centenares de estudiantes (calificaciones, datos financieros, salud) constituye un tratamiento a gran escala. La designación de un DPD es prácticamente siempre obligatoria para los centros de educación superior, independientemente de su tamaño. El DPD puede ser compartido entre varias instituciones o externalizado.

¿Cómo gestionar una solicitud de supresión de un estudiante titulado?

La supresión no puede ser total: la escuela tiene la obligación legal de conservar las pruebas de expedición del título (obligación legal, artículo 6.1.c). Los datos financieros están sujetos a plazos de conservación contable (6 años en España, Código de Comercio). Sin embargo, los datos de vida en el campus, de navegación y de comunicación comercial deben suprimirse. Documente la respuesta por escrito detallando qué datos se suprimieron y cuáles se conservan con su base legal.

El cumplimiento del RGPD no es un proyecto puntual. Es un proceso continuo que afecta a cada departamento de su escuela — admisiones, secretaría académica, marketing, IT, dirección. Las instituciones que lo integran desde el diseño de sus herramientas (privacidad desde el diseño) protegen a sus estudiantes y se protegen a sí mismas.

Para comprender cómo el Reglamento de IA modifica específicamente las obligaciones de las escuelas, consulte nuestro artículo sobre el Reglamento de IA y la educación superior. Para las medidas técnicas de protección, descubra nuestra guía sobre la protección de datos de candidatos.