Obligaciones del Reglamento de IA de la UE para la IA en educación: admisiones, calificación automatizada, vigilancia de exámenes y plataformas de aprendizaje. Abarca la categoría 3 del Anexo III y las protecciones especiales para estudiantes.

El sector educativo y el Reglamento de IA de la UE — Por qué los derechos de los estudiantes son centrales

El Reglamento de IA de la UE (Reglamento (UE) 2024/1689) identifica la educación y la formación profesional como un ámbito de riesgo elevado, clasificando determinadas aplicaciones de IA dentro de él como de alto riesgo en virtud del Anexo III, categoría 3. Esta clasificación refleja un juicio fundamental del legislador europeo: los sistemas de IA que condicionan el acceso a oportunidades educativas o determinan resultados académicos comprometen derechos de profunda importancia individual — el derecho a la educación (Art. 14, Carta de Derechos Fundamentales de la UE), el derecho a la no discriminación (Art. 21) y, para la gran proporción de estudiantes que son menores de edad, las protecciones reforzadas del Art. 8 del GDPR y los marcos internacionales, incluida la Convención de las Naciones Unidas sobre los Derechos del Niño (CDN).

El sector educativo presenta un perfil de cumplimiento singular. La mayoría de las instituciones educativas — universidades, colegios y centros de formación profesional — ocupan la función de operador en virtud del Reglamento de IA de la UE: adquieren y utilizan sistemas de IA desarrollados por proveedores de EdTech en lugar de desarrollar IA internamente. Esta distinción no reduce sus obligaciones. Los operadores de IA de alto riesgo conforme al Art. 26 asumen deberes legales independientes que no pueden cumplirse simplemente adquiriendo un producto con marcado CE. Al mismo tiempo, las empresas de EdTech que desarrollan y comercializan sistemas de IA en el mercado de la UE son proveedores sujetos al régimen completo de evaluación de conformidad establecido en el Capítulo III, Sección 2.

El sector se caracteriza también por una elevada concentración de datos personales sensibles. Los datos sobre comportamiento estudiantil, registros de evaluación, patrones de participación, dificultades de aprendizaje y perfiles demográficos son procesados a gran escala por plataformas de aprendizaje adaptativo y herramientas de analítica. Esta concentración de datos implica que el cumplimiento del Reglamento de IA de la UE en educación no puede diseñarse de forma aislada respecto del GDPR — ambos marcos normativos deben abordarse como una obligación de cumplimiento integrada.

IA de alto riesgo en educación — Admisiones, calificación y vigilancia de exámenes

El Anexo III, categoría 3 define dos categorías diferenciadas de IA de alto riesgo en educación. Comprender el alcance de cada categoría es esencial para las decisiones de clasificación.

IA de admisiones — Determinación del acceso a instituciones educativas

El Anexo III, categoría 3(a) abarca los sistemas de IA destinados a ser utilizados para la determinación del acceso o la asignación a instituciones o programas de educación y formación profesional. Esta categoría comprende la IA que puntúa, clasifica o filtra a los solicitantes en los procesos de admisión universitaria, la IA que evalúa las cualificaciones previas o el reconocimiento de credenciales profesionales, y la IA que determina la elegibilidad para itinerarios académicos específicos o programas especializados.

La clasificación de alto riesgo se aplica cuando la salida del sistema de IA tiene un efecto significativo sobre el acceso de un solicitante a una oportunidad educativa. Este umbral se cumple en la mayoría de los sistemas de admisión desplegados operativamente: un modelo de puntuación cuyos resultados son revisados y aplicados por los responsables de admisiones sin una reevaluación sistemática de la valoración subyacente determina efectivamente los resultados, incluso si un ser humano aprueba formalmente cada decisión. Los proveedores de dichos sistemas deben cumplir los Arts. 9 a 15 (gobernanza de datos, documentación técnica, registro, transparencia, supervisión humana, exactitud y robustez). Las instituciones que los implementen deben verificar el cumplimiento e implementar las obligaciones del operador del Art. 26 antes de que el sistema se utilice en cualquier proceso de admisión.

El riesgo de sesgo es especialmente agudo en la IA de admisiones. Los sistemas entrenados con datos históricos de admisión y rendimiento académico pueden codificar desigualdades existentes — brechas de género en determinadas disciplinas, disparidades socioeconómicas en la preparación académica, diferencias de rendimiento entre solicitantes nacionales e internacionales. El Art. 10 exige que los datos de entrenamiento estén sujetos a prácticas de gobernanza que aborden los sesgos conocidos, y el Art. 9 impone medidas de gestión del riesgo calibradas en función de la gravedad del daño potencial, que en este contexto incluye la denegación de oportunidades educativas a solicitantes cualificados de grupos desfavorecidos.

IA de evaluación automatizada — Calificación y asignación de itinerarios académicos

El Anexo III, categoría 3(b) abarca los sistemas de IA que evalúan y califican a los estudiantes, incluidas las herramientas de calificación automatizada y los sistemas que asignan a los estudiantes itinerarios académicos diferenciados, cuando dichos sistemas tienen un efecto significativo en sus trayectorias educativas. Una herramienta automatizada de corrección de ensayos que produce calificaciones definitivas que determinan si un estudiante supera o no una asignatura, obtiene una titulación o progresa al siguiente nivel académico es de alto riesgo. Del mismo modo, la IA que asigna a los estudiantes a itinerarios de refuerzo, estándar o avanzado basándose en datos de rendimiento tiene un efecto significativo en las trayectorias educativas y queda comprendida en esta categoría.

El límite para las herramientas de evaluación formativa — herramientas utilizadas exclusivamente para proporcionar retroalimentación a los estudiantes en las que el docente conserva el control pleno y efectivo sobre todos los resultados calificados — es más estrecho. Tales herramientas pueden quedar fuera de la categoría 3(b), pero esta clasificación debe documentarse y justificarse, y las instituciones deben garantizar que la supervisión humana sea genuinamente sustantiva y no un mero trámite formal de ratificación de los resultados generados por la IA.

IA de vigilancia remota de exámenes

Los sistemas de vigilancia remota de exámenes que monitorizan el comportamiento de los estudiantes durante las pruebas mediante análisis de vídeo, seguimiento ocular, bloqueo del navegador, registro de pulsaciones de teclas o detección de anomalías conductuales constituyen una de las aplicaciones de IA jurídicamente más complejas en el ámbito educativo. Cuando dichos sistemas señalan o descalifican a estudiantes basándose en su análisis automatizado — o cuando sus resultados son utilizados por revisores humanos de forma que determinan sustancialmente los desenlaces —, constituyen IA de alto riesgo en virtud del Anexo III, categoría 3, en cuanto IA que evalúa a los estudiantes y tiene efectos significativos en sus trayectorias académicas.

La IA de vigilancia de exámenes también queda afectada por la prohibición del Art. 5(1)(d) sobre identificación biométrica remota en tiempo real en espacios de acceso público. Cuando los sistemas de vigilancia utilizan el reconocimiento facial para verificar continuamente la identidad del estudiante durante un examen en tiempo real, esto constituye identificación biométrica prohibida, salvo que sea de aplicación una excepción legislativa estatal muy limitada conforme al Art. 5(2) a (6). Las instituciones que implementen IA de vigilancia deben distinguir cuidadosamente entre la verificación de identidad en el momento del acceso al examen (potencialmente lícita cuando es conforme) y la vigilancia biométrica continua en tiempo real durante toda la sesión de examen (sujeta a la prohibición del Art. 5).

Proveedor frente a operador — Empresas de EdTech e instituciones educativas

El Reglamento de IA de la UE distribuye las obligaciones de forma asimétrica entre proveedores y operadores. Comprender esta distribución es fundamental para la planificación del cumplimiento tanto de los proveedores de EdTech como de las instituciones que utilizan sus productos.

Obligaciones del proveedor de EdTech

Las empresas de EdTech que desarrollan y comercializan sistemas de IA de alto riesgo en el mercado de la UE son proveedores conforme al Art. 3(3) y deben cumplir los requisitos completos para la IA de alto riesgo establecidos en el Capítulo III, Sección 2:

Los proveedores también deben suministrar a las instituciones operadoras instrucciones de uso suficientemente específicas para que puedan cumplir sus propias obligaciones como operadoras — incluida información sobre los subgrupos de la población estudiantil para los que el sistema ha sido probado, las limitaciones de rendimiento conocidas, los resultados de las pruebas de sesgo y los procedimientos de gestión de registros.

Obligaciones del operador institucional

Las universidades, colegios y centros de formación profesional que implementen IA de EdTech de alto riesgo en virtud del Art. 26 deben:

Interacción con el GDPR, los derechos de la infancia y la legislación nacional de educación

El GDPR y el tratamiento de datos de los estudiantes

La IA en educación opera sobre datos intrínsecamente sensibles. Las plataformas de analítica del aprendizaje, los sistemas de tutoría adaptativa y las herramientas de vigilancia conductual procesan datos que pueden incluir registros de rendimiento académico, métricas de participación, señales conductuales y comunicaciones — todo ello vinculado a estudiantes identificables.

Cuando los estudiantes son menores de edad, el Art. 8 del GDPR restringe el tratamiento de datos personales basado en el consentimiento: los Estados miembros han establecido la edad a partir de la cual se requiere el consentimiento de los padres o tutores entre los 13 y los 16 años. Las plataformas de EdTech que se basan en el consentimiento del estudiante como base jurídica para el tratamiento deben implementar controles de edad en sus sistemas y mecanismos para verificar y registrar el consentimiento parental cuando sea necesario. Las instituciones que actúen como responsables del tratamiento conforme al GDPR deben garantizar que sus contratos con proveedores de EdTech incluyan los correspondientes acuerdos de tratamiento de datos conforme al Art. 28 del GDPR y que los datos de los estudiantes no se transfieran fuera del EEE sin las garantías adecuadas.

El tratamiento de categorías especiales de datos — que puede producirse cuando están implicadas evaluaciones de dificultades de aprendizaje, cribado de salud mental o elaboración de perfiles demográficos — requiere una base jurídica explícita conforme al Art. 9(2) del GDPR y, por lo general, una Evaluación de Impacto relativa a la Protección de Datos conforme al Art. 35.

Art. 50 — Transparencia en los chatbots tutores de IA

El Art. 50 del Reglamento de IA de la UE impone una obligación específica de transparencia a los sistemas de IA diseñados para interactuar directamente con personas físicas. Los chatbots tutores impulsados por IA, los asistentes virtuales de aprendizaje y las herramientas de retroalimentación generada por IA implementadas en entornos educativos deben revelar claramente su naturaleza de IA a los estudiantes al inicio de cada interacción. Cuando el público estudiantil incluye menores de edad, la divulgación debe adaptarse para ser adecuada a su edad y genuinamente comprensible. Las instituciones que implementen herramientas de tutoría por IA deben verificar que la implementación del proveedor satisface esta obligación y no deben configurar el sistema de manera que suprima u oculte la divulgación de la IA.

Legislación nacional de educación

La legislación nacional de educación de los Estados miembros de la UE puede imponer obligaciones adicionales sobre el uso de IA en entornos académicos — por ejemplo, requisitos relativos a la integridad de los exámenes, la conservación de datos en los registros académicos y la equidad procedimental en los recursos de admisión. Los programas de cumplimiento de las instituciones educativas deben cartografiar las obligaciones del Reglamento de IA de la UE y del GDPR frente a la legislación nacional aplicable, incluidas las instrucciones ministeriales sectoriales emitidas por los ministerios de educación nacionales. Cuando los sistemas de IA producen resultados utilizados en procesos formalmente regulados (exámenes estatales, titulaciones acreditadas), la interfaz entre las obligaciones de la Ley de IA y la legislación nacional de exámenes requiere un análisis jurídico específico.

Aplicación — Autoridades de protección de datos y autoridades educativas

La aplicación en el sector educativo implica una estructura de autoridades competentes en distintos niveles. Las autoridades nacionales de supervisión de la IA (designadas conforme al Art. 70) tienen la jurisdicción primaria sobre el cumplimiento del Reglamento de IA de la UE, incluidas la evaluación de conformidad, la vigilancia del mercado y las sanciones. Para las instituciones educativas, esta autoridad puede ser una autoridad general de supervisión de la IA o, en algunos Estados miembros, un organismo sectorial designado.

Las Autoridades de Protección de Datos (APD) desempeñan un papel de aplicación independiente de gran importancia. Dado el volumen y la sensibilidad de los datos de los estudiantes tratados por la IA en educación, las APD supervisan activamente las implementaciones de IA en colegios y universidades. Las infracciones del GDPR relacionadas con la IA en educación — tratamiento ilícito de datos de menores, acuerdos de tratamiento de datos inadecuados con proveedores de EdTech, incumplimiento de la obligación de realizar las evaluaciones de impacto requeridas — pueden conllevar multas de las APD de hasta 20 millones de euros o el 4 % del volumen de negocios anual global conforme al Art. 83 del GDPR. Las actuaciones de las APD han precedido históricamente a la aplicación formal de la Ley de IA en ámbitos regulados, y la IA en el sector educativo debe planificarse teniendo en cuenta el escrutinio de las APD como riesgo a corto plazo.

Los órganos de gobierno universitarios y las autoridades nacionales de acreditación pueden imponer consecuencias institucionales — incluidas sanciones reputacionales, suspensión de procesos automatizados y exigencias de auditorías independientes — cuando el uso de IA en admisiones o evaluación haya producido resultados injustos o discriminatorios. La gobernanza académica institucional, incluidos los procedimientos de recurso de los estudiantes, debe diseñarse para dar cabida a impugnaciones de decisiones influidas por la IA.

Hoja de ruta de cumplimiento para instituciones educativas y proveedores de EdTech

Para proveedores de EdTech

  1. Clasificar cada producto frente al Anexo III, categoría 3 — documentar la justificación de la clasificación con referencia específica a la finalidad prevista del sistema y la importancia de su efecto en los resultados educativos.
  2. Implementar el régimen completo de evaluación de conformidad de alto riesgo conforme a los Arts. 9 a 15 para todos los productos clasificados como de alto riesgo, incluidas pruebas de sesgo en subgrupos demográficos representativos de la población estudiantil de la UE.
  3. Registrar los sistemas de alto riesgo en la base de datos de IA de la UE (Art. 49) antes de su comercialización.
  4. Preparar la documentación completa dirigida a los operadores: instrucciones de uso, documentación de conformidad, resultados de pruebas de sesgo y exactitud, y directrices de gestión de registros.
  5. Implementar la transparencia del Art. 50 en todos los sistemas de IA que interactúen directamente con los estudiantes.
  6. Revisar los acuerdos de tratamiento de datos para garantizar el cumplimiento del Art. 28 del GDPR, incluidos los mecanismos de consentimiento parental cuando sea exigible conforme al Art. 8.

Para instituciones educativas

  1. Auditar todos los sistemas de IA en uso — admisiones, calificación, vigilancia de exámenes, analítica, tutoría — y clasificarlos frente al Anexo III, categoría 3.
  2. Solicitar y revisar la documentación de conformidad de todos los proveedores de EdTech para cualquier sistema clasificado o potencialmente clasificable como de alto riesgo.
  3. Realizar evaluaciones del impacto en los derechos fundamentales conforme al Art. 27 antes de implementar o continuar implementando sistemas de IA de admisiones o evaluación.
  4. Asignar la responsabilidad nominativa de supervisión de cada sistema de IA de alto riesgo a personal cualificado con genuina competencia técnica y autoridad institucional.
  5. Revisar los procedimientos de recurso en admisiones y evaluación para garantizar que admiten impugnaciones de decisiones influidas por la IA y prevén una revisión humana efectiva.
  6. Auditar el cumplimiento del GDPR respecto de todos los datos de los estudiantes tratados por plataformas de EdTech — confirmar que los acuerdos de tratamiento de datos, las bases jurídicas y los mecanismos de consentimiento parental están en vigor.
  7. Verificar las configuraciones de la IA de vigilancia de exámenes para el cumplimiento de la prohibición del Art. 5 sobre identificación biométrica en tiempo real — si alguna configuración implica el reconocimiento facial continuo durante las sesiones de examen, obtener asesoramiento jurídico urgente antes del próximo período de exámenes.

Official AI Act Compliance Deadline Calendar

Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation Applies to Original date New date Status Countdown Legal basis
Prohibited Practices (Art. 5) All providers and deployers active AI Act Art. 5
GPAI Rules (Chapter 5) GPAI model providers active AI Act Art. 51-56
High-risk AI — Annex III (standalone) Providers of standalone Annex III systems deferred AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded) AI embedded in Annex I regulated products deferred AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking Providers of generative GPAI systems active AI Act Art. 50(2)
Regulatory Sandboxes National competent authorities active AI Act Art. 57

Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Sí, en prácticamente todas las configuraciones operativamente relevantes. Los sistemas de IA que puntúan, clasifican o filtran a los solicitantes para determinar el acceso a instituciones de educación o formación profesional se encuadran directamente en el Anexo III, categoría 3(a). Esta clasificación se aplica independientemente de si la IA produce una decisión de admisión definitiva o simplemente genera una puntuación que los responsables de admisiones utilizan como dato de entrada — si la salida del sistema tiene un efecto significativo sobre si un solicitante es admitido, la clasificación de alto riesgo resulta de aplicación. Las universidades deben garantizar que el sistema lleve el marcado CE, esté registrado en la base de datos de IA de la UE y que las obligaciones del operador conforme al Art. 26 estén plenamente implementadas antes de que el sistema se utilice en cualquier proceso de admisión.

Depende de si el software evalúa resultados de aprendizaje con un efecto significativo en las trayectorias académicas de los estudiantes. En virtud del Anexo III, categoría 3(b), los sistemas de IA que evalúan o califican a los estudiantes y tienen consecuencias significativas para su progreso académico — como determinar si un estudiante supera una asignatura, obtiene una titulación o pasa al siguiente nivel académico — son de alto riesgo y deben registrarse. Las herramientas de calificación automatizada utilizadas como paso final o sustancialmente determinante en la asignación de notas son de alto riesgo. Las herramientas utilizadas exclusivamente para retroalimentación formativa, en las que el docente conserva el control pleno sobre la calificación definitiva, presentan un perfil de riesgo menor y pueden no estar sujetas a esta clasificación, pero esto debe quedar documentado y justificado.

No, no en virtud de las disposiciones generales del Reglamento de IA de la UE. El Art. 5(1)(d) prohíbe la identificación biométrica remota en tiempo real en espacios de acceso público, y los centros educativos como colegios y universidades se consideran espacios de acceso público a estos efectos. La prohibición alcanza al reconocimiento facial utilizado para identificar personas en tiempo real. Solo podrán admitirse excepciones limitadas cuando un Estado miembro haya aprobado legislación que autorice expresamente dicho uso y estrictamente dentro de las condiciones establecidas en el Art. 5(2) a (6). En la práctica, el umbral para esas excepciones es muy elevado, y la mayoría de los usos del reconocimiento facial en centros educativos para control de asistencia o vigilancia de exámenes estarían prohibidos por el Art. 5. La categorización biométrica diferida utilizada en la vigilancia de exámenes puede quedar sujeta a las disposiciones sobre alto riesgo en lugar de a la prohibición del Art. 5, pero sigue siendo objeto del régimen completo de evaluación de conformidad.

Los proveedores de EdTech que comercialicen sistemas de IA de alto riesgo deben suministrar a las instituciones operadoras: una Declaración de Conformidad UE cumplimentada y la documentación del marcado CE; instrucciones de uso detalladas que cubran la finalidad prevista del sistema, las limitaciones de rendimiento y las condiciones en que se requiere supervisión humana; información sobre las características de los datos de entrenamiento y los sesgos conocidos, en particular respecto de los grupos demográficos relevantes para la población estudiantil; documentación técnica que acredite la conformidad con los Arts. 9 a 15; y la capacidad del sistema para generar, conservar y exportar registros de funcionamiento conforme a lo exigido por el Art. 12. Las universidades, en su calidad de operadores conforme al Art. 26, deben verificar que esta documentación esté disponible y sea adecuada antes de implementar cualquier sistema de IA clasificado como de alto riesgo.

El Art. 27 del Reglamento de IA de la UE recomienda que las entidades públicas y los operadores de sistemas de IA de alto riesgo en ámbitos sensibles realicen una evaluación del impacto en los derechos fundamentales (FRIA, por sus siglas en inglés) antes de la implementación. Para las universidades, la FRIA debe identificar: qué derechos fundamentales pueden verse afectados (no discriminación conforme al Art. 21 de la Carta de la UE, derecho a la educación conforme al Art. 14, protección de datos conforme al Art. 8); las poblaciones estudiantiles en riesgo de impacto adverso, incluidos grupos minoritarios, estudiantes con discapacidad y estudiantes internacionales; los mecanismos algorítmicos específicos que pueden introducir o amplificar la desigualdad; las medidas de mitigación, como auditorías de sesgos, requisitos de datos de entrenamiento diversos impuestos al proveedor y procedimientos de intervención humana; y un plan de seguimiento que incluya revisiones periódicas de la exactitud desagregadas por grupo demográfico estudiantil. La FRIA debe documentarse y actualizarse cuando el sistema de IA cambie significativamente o cuando el seguimiento revele resultados inesperados.

Sí. El Art. 50 del Reglamento de IA de la UE exige que los sistemas de IA diseñados para interactuar con personas físicas — incluidos los chatbots tutores de IA y los asistentes virtuales de aprendizaje — informen a los usuarios de manera clara, oportuna y efectiva de que están interactuando con un sistema de IA. Esta obligación se aplica tanto al proveedor de EdTech que diseña el chatbot como a la institución educativa que lo implementa. Cuando los estudiantes son menores de edad, esta obligación de transparencia se intersecta con los requisitos del Art. 8 del GDPR sobre comunicación adaptada a la edad. La divulgación debe realizarse antes o al inicio de la interacción y debe ser fácilmente comprensible para el público destinatario, incluidos los estudiantes que pueden tener un conocimiento limitado de los sistemas de IA.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.