RGPD e IA educativa: qué exigir a un proveedor (2026)
Guía legal para dirección: base legal, DPA y AI Act antes de firmar con cualquier IA educativa en 2026. Incluye checklist de 12 puntos lista para copiar.
Antes de firmar con cualquier proveedor de IA educativa, dirección debe exigir tres cosas por escrito: una base legal clara para tratar datos de menores (RGPD), un contrato de encargo de tratamiento (DPA) conforme al artículo 28, y evidencias de cumplimiento del AI Act europeo, que desde el 2 de agosto de 2026 aplica de lleno a los sistemas de IA de alto riesgo en educación. Si el proveedor no acredita las tres, la herramienta no debería entrar en el centro, por bien que funcione en la demo.
Esta guía resume qué significa cada exigencia, qué documento la acredita y termina con una checklist de 12 puntos que puedes copiar en el orden del día de tu próxima reunión con proveedores.
Quién responde de los datos: el centro, no el proveedor
Lo primero que conviene tener claro es el reparto de papeles del RGPD, porque las sanciones y la responsabilidad ante las familias recaen sobre quien decide, no sobre quien programa:
- Responsable del tratamiento: el centro. Decide para qué y cómo se usan los datos de sus alumnos. Da igual que la herramienta sea de un tercero.
- Encargado del tratamiento: el proveedor de IA. Solo puede tratar los datos siguiendo instrucciones documentadas del centro.
- Subencargados: la infraestructura (cloud, modelos de lenguaje de terceros). El proveedor debe listarlos y el centro tiene derecho a conocerlos y objetar.
De aquí se derivan dos obligaciones propias del centro que ningún proveedor puede asumir por ti: contar con delegado de protección de datos (DPD), obligatorio para centros docentes según la LOPDGDD, y realizar una evaluación de impacto (EIPD) cuando el tratamiento de datos de menores sea a gran escala o incluya perfilado, como ocurre con tutores de IA que adaptan la práctica al nivel de cada alumno.
Exigencia 1: base legal (y por qué “las familias firmaron” no basta)
Contra la intuición, el consentimiento no es la base legal preferente en la escuela. La AEPD viene señalando que, en la enseñanza reglada, la base adecuada es la función educativa (misión de interés público, art. 6.1.e RGPD, sobre la legislación educativa). El consentimiento queda para usos accesorios y voluntarios, y en menores de 14 años deben prestarlo los titulares de la patria potestad.
Lo que sí es irrenunciable es la transparencia: informar a familias y alumnado de qué herramienta se usa, qué datos trata, con qué finalidad y cómo ejercer derechos. Y la minimización: un asistente que genera actividades para el docente no necesita datos personales de alumnos; un tutor del estudiante sí, pero solo los imprescindibles. Pregunta al proveedor qué campos pide cada módulo y por qué. En el ecosistema noobe, por ejemplo, MIA trabaja para el docente sobre el currículo y la identidad del centro (no sobre expedientes de alumnos), mientras que el acompañamiento al estudiante con ZOE ocurre dentro de la plataforma del centro, no en una app de consumo. Esa separación de datos por rol es exactamente lo que hay que buscar, sea cual sea el proveedor. Lo desarrollamos en IA segura para menores en el aula.
Exigencia 2: el DPA, cláusula a cláusula
El DPA no es un PDF de cortesía: es el documento que te protegerá si algo sale mal. Antes de firmar, verifica que concreta:
| Qué exigir | Documento que lo acredita | Señal de alarma |
|---|---|---|
| Base legal y finalidades del tratamiento | Registro de actividades + cláusula de información | “Ya lo cubre nuestra política de privacidad” |
| Contrato de encargo (art. 28 RGPD) | DPA firmado por ambas partes | Solo aceptan sus términos generales, sin firma |
| Ubicación de los datos | Lista de subencargados con país y garantías | Datos fuera de la UE sin cláusulas tipo ni marco de adecuación |
| No uso para entrenar modelos | Cláusula explícita en el DPA | Silencio o “datos anonimizados para mejorar el servicio” |
| Seguridad y brechas | Medidas técnicas + compromiso de notificación sin dilación | “Cumplimos estándares del sector” sin detalle |
| Supresión al terminar | Cláusula de devolución/borrado con plazo | No hay plazo ni procedimiento de exportación |
Un matiz que en 2026 marca la diferencia: la mayoría de herramientas de IA educativa se apoyan en modelos de lenguaje de terceros. El DPA debe decir qué proveedor de modelo hay debajo, dónde procesa y si conserva los prompts. Si el comercial no lo sabe, pide hablar con su DPD.
Exigencia 3: AI Act, alto riesgo en educación desde agosto de 2026
El Reglamento europeo de IA (2024/1689) clasifica en su Anexo III como alto riesgo los sistemas de IA que en educación evalúan resultados de aprendizaje, determinan el acceso o la admisión, orientan el itinerario del alumno o vigilan exámenes. Sus obligaciones plenas para estos sistemas aplican desde el 2 de agosto de 2026. Además, desde febrero de 2025 está prohibido el reconocimiento de emociones en centros educativos y es exigible la alfabetización en IA del personal (art. 4).
Para dirección esto se traduce en dos frentes:
- Al proveedor: pedirle su clasificación de riesgo por escrito, la documentación técnica, el marcado CE cuando proceda y las instrucciones de uso. Si dice que su sistema evaluador “no es alto riesgo”, que lo justifique y lo firme.
- Al propio centro (como deployer): garantizar supervisión humana efectiva (el docente revisa y puede corregir lo que propone la IA), usar el sistema conforme a instrucciones, conservar los registros de actividad e informar a alumnado y familias de que interactúan con una IA.
La supervisión humana no es solo un requisito legal: es el criterio pedagógico correcto. Como resumimos en la guía completa de IA para centros, la decisión pedagógica sigue siendo humana, y la normativa europea lo exige.
Checklist descargable: 12 preguntas antes de firmar
Copia este bloque tal cual y pásalo a cualquier proveedor. Las respuestas deben llegar por escrito:
Checklist RGPD + AI Act para proveedores de IA educativa
- ¿Qué base legal proponéis para el tratamiento y qué datos exactos trata cada módulo?
- ¿Firmáis un DPA conforme al art. 28 RGPD con el centro como responsable?
- ¿Dónde se alojan y procesan los datos? ¿Salen de la UE en algún punto?
- ¿Qué modelo de lenguaje usáis por debajo y qué contrato tenéis con ese proveedor?
- ¿Os comprometéis por escrito a no usar datos de alumnos para entrenar modelos?
- ¿Qué lista de subencargados tenéis y cómo se notifican los cambios?
- ¿Qué datos pide el alta de un alumno? ¿Puede usarse con seudónimos?
- ¿Cómo notificáis una brecha de seguridad y en qué plazo?
- ¿Cómo se exportan y suprimen los datos al terminar el contrato?
- ¿Cómo clasificáis vuestro sistema según el AI Act y podéis justificarlo por escrito?
- ¿Puede el docente revisar, corregir y descartar lo que propone la IA en cada paso?
- ¿Existe registro de actividad accesible para el centro y su DPD?
Nuestra recomendación honesta: incorpora esta checklist a tu plan digital de centro, pásasela también a los proveedores que ya tienes contratados (no solo a los nuevos) y guarda las respuestas junto a la EIPD. Es una tarde de trabajo que evita años de problemas.
¿Quieres ver cómo responde un ecosistema educativo a estas 12 preguntas, con el docente supervisando cada paso? Escríbenos y lo repasamos juntos con tu equipo directivo.
Preguntas frecuentes
¿Necesita el colegio el consentimiento de las familias para usar IA con alumnos?
No siempre. En la enseñanza reglada la base legal habitual es la función educativa (misión de interés público, art. 6.1.e RGPD), no el consentimiento. Este solo se necesita para usos accesorios (fotos, apps voluntarias) y, en menores de 14 años, lo prestan los titulares de la patria potestad. Informar a las familias sí es obligatorio siempre.
¿Qué es un DPA y por qué es obligatorio con un proveedor de IA?
El DPA (Data Processing Agreement) es el contrato de encargo de tratamiento del artículo 28 del RGPD. Convierte al proveedor en encargado que solo trata datos bajo instrucciones del centro: fija finalidades, medidas de seguridad, subencargados, plazos de supresión y auditorías. Sin DPA firmado, el centro está cediendo datos de menores sin cobertura legal.
¿El AI Act afecta a los colegios o solo a las empresas de IA?
Afecta a ambos. El Reglamento (UE) 2024/1689 clasifica como alto riesgo los sistemas de IA que evalúan resultados de aprendizaje o condicionan el acceso a la formación, con obligaciones plenas desde el 2 de agosto de 2026. El centro, como usuario (deployer), debe garantizar supervisión humana, uso conforme a las instrucciones y formación básica en IA de su personal.
¿Puede un profesor usar ChatGPT con datos de sus alumnos?
Con las versiones gratuitas o de consumo, no. Introducir nombres, calificaciones, informes o diagnósticos de alumnos en una herramienta sin contrato de encargo con el centro es un tratamiento sin garantías y una posible brecha. Solo son admisibles herramientas contratadas por el centro con DPA, datos en la UE y sin uso para entrenar modelos.