Guía: preguntas RGPD y DPA para evaluar proveedores de IA
Las preguntas exactas para la reunión con cualquier proveedor de IA educativa: contrato de encargado, datos, subencargados y salida. Con las respuestas buenas.
La parte de protección de datos es la que más impone al evaluar un proveedor de IA, y es también donde más se nota quién es serio y quién no. No necesitas ser jurista: necesitas las preguntas correctas y saber qué respuesta es aceptable. Esta guía trae las dos cosas, ordenadas como una conversación real de una hora con el proveedor.
Llévala impresa a la reunión y toma notas al lado de cada pregunta. Al final tienes un criterio de decisión claro. Y un aviso: el documento clave se llama contrato de encargado de tratamiento (en inglés DPA, Data Processing Agreement). Si el proveedor no sabe de qué le hablas, la reunión puede terminar ahí.
Bloque 1: el contrato de encargado (DPA)
- ¿Tenéis un contrato de encargado de tratamiento conforme al artículo 28 del RGPD listo para firmar? Respuesta buena: sí, aquí está el modelo. Mala: “nuestros términos de servicio ya lo cubren” sin enseñarte dónde.
- ¿El contrato identifica al centro como responsable del tratamiento y a vosotros como encargados? Debe ser así casi siempre en educación.
- ¿Qué instrucciones documentadas del centro recoge el DPA sobre el uso de los datos?
- ¿El DPA incluye la obligación de ayudar al centro a responder a los derechos de los interesados (acceso, supresión) y en qué plazo?
- ¿Qué compromisos de notificación de brechas de seguridad recoge? Lo exigible: aviso al centro sin dilación indebida, con detalle suficiente para que el centro pueda notificar a la AEPD en 72 horas si procede.
Bloque 2: qué datos, dónde y para qué
- Lista exacta de datos personales que trata la herramienta, campo a campo. Pídela por escrito; “datos de uso” no es una respuesta.
- ¿Dónde se alojan y procesan los datos? País concreto. Dentro del Espacio Económico Europeo, sin más discusión. Si hay transferencias fuera, ¿con qué garantías (cláusulas contractuales tipo, decisión de adecuación)?
- ¿Usáis datos del alumnado para entrenar o mejorar vuestros modelos? La única respuesta aceptable: no, y consta en el contrato. “Solo datos anonimizados” merece una segunda pregunta: ¿anonimizados cómo, y quién lo ha verificado?
- ¿Hacéis perfilado del alumnado? Si la herramienta adapta contenidos, la respuesta honesta es que sí en algún grado: lo importante es que expliquen qué perfila, con qué efectos y cómo lo supervisa una persona.
- ¿Qué datos son obligatorios y cuáles opcionales? ¿Funciona con seudónimos o requiere nombre real del menor?
Bloque 3: subencargados y cadena de proveedores
- ¿Qué subencargados usáis (nube, modelo de IA, analítica)? Pide la lista publicada con nombres y países.
- Si usáis un modelo de terceros (OpenAI, Google, Anthropic u otros), ¿bajo qué acuerdo? ¿Los datos del alumnado llegan a ese tercero y con qué protecciones?
- ¿Cómo avisáis al centro si cambiáis de subencargado, y puede el centro oponerse?
Bloque 4: seguridad y menores
- ¿Qué medidas de seguridad aplicáis? Mínimo razonable: cifrado en tránsito y en reposo, control de accesos, registro de actividad. Certificaciones como ISO 27001 o el Esquema Nacional de Seguridad suman.
- ¿Habéis hecho una evaluación de impacto (EIPD) de la herramienta o dais al centro la información para hacer la suya? Con menores, la EIPD del centro es casi siempre obligatoria; un buen proveedor trae los deberes hechos.
- ¿Cómo verificáis la edad o gestionáis las cuentas de menores? ¿El alta la controla el centro o el alumno se registra solo?
- ¿Ha habido brechas de seguridad en los últimos tres años? Que haya habido alguna no descalifica; que no te lo cuenten, sí.
Bloque 5: la salida
- Al terminar el contrato, ¿los datos se devuelven o se destruyen, en qué plazo y con qué certificado?
- ¿En qué formato exporta el centro sus datos y a qué coste? Respuesta buena: formato estándar (CSV, JSON), sin coste.
- ¿Qué pasa con los datos si la empresa cierra o es adquirida?
Cómo decidir con las respuestas
Hay tres preguntas eliminatorias: sin DPA firmable no hay trato, con entrenamiento de modelos con datos del alumnado no hay trato, y con alojamiento fuera del EEE sin garantías claras no hay trato. Todo lo demás es negociable y mejorable. Pasa las respuestas a vuestro delegado de protección de datos antes de firmar; su revisión tarda una semana y evita disgustos de años. Y guarda el documento con las respuestas: es la evidencia de que el centro eligió con diligencia, que es exactamente lo que un inspector querrá ver.
Recurso completo gratis
Desbloquéalo con tu email
Sigue leyendo justo donde lo hemos dejado: el recurso entero, sin descargas ni esperas.
Qué te llevas
- Bloque 1: el contrato de encargado (DPA)
- Bloque 2: qué datos, dónde y para qué
- Bloque 3: subencargados y cadena de proveedores