Empezar el curso con IA sin incumplir normativa
Checklist de 10 puntos para arrancar el curso 26-27 con IA cumpliendo AI Act, RGPD/AEPD y la guía de tu CCAA, con responsable y plazo para cada punto.
Para empezar el curso 26-27 con IA sin incumplir normativa hacen falta tres cosas: alfabetización IA del claustro (AI Act, obligatoria desde febrero de 2025), consentimiento parental para menores de 14 años (AEPD/RGPD) y revisar la guía de tu comunidad autónoma. Un checklist de 10 puntos con responsable y plazo evita que se quede en tierra de nadie.
¿Por qué se cruzan tres normativas a la vez?
No es un despiste del legislador: son tres capas que regulan cosas distintas y llegan al mismo sitio, el aula. El AI Act regula la IA como tecnología: usos prohibidos, formación obligatoria de quien la usa. El RGPD, vía AEPD, regula los datos que procesa: si hay menores, reglas más estrictas. Las guías autonómicas aterrizan ambas en el día a día: qué herramientas están permitidas, qué circuito sigue un profesor que quiere probar una nueva.
Cada capa tiene su calendario, y si nadie las mira juntas, el centro cumple una y se salta otra. Ejemplo real: forma al claustro en IA (AI Act, hecho) pero deja que alumnos de 12 años se registren en un chatbot sin consentimiento parental (RGPD, incumplido).
Más detalle en qué cambia el AI Act para los colegios: conviene reunir todas las fechas en un mismo documento antes de empezar el curso.
¿Qué exige el AI Act este curso?
Dos cosas están ya en vigor. Desde febrero de 2025 rigen las prácticas prohibidas: categorizar alumnado por comportamiento inferido, reconocimiento de emociones en el aula (salvo excepción estrecha) o scraping masivo de imágenes de menores para entrenar modelos. Si usas cámaras “inteligentes” de asistencia con análisis emocional, revísalo.
También desde febrero de 2025 es obligatoria la alfabetización IA: formar a quien usa o supervisa sistemas de IA en sus capacidades y límites. No exige curso homologado, pero sí evidencia: sesión documentada, materiales, asistentes.
La categoría de alto riesgo (evaluación o admisión automatizada) tenía fecha el 2 de agosto de 2026, pero el Digital Omnibus de la Comisión Europea plantea aplazarla a diciembre de 2027. A julio de 2026 es propuesta, no norma aprobada: prepárate asumiendo que puede no retrasarse.
Prompt para el claustro: “Redacta un resumen de una página para profesorado no técnico sobre qué usos de IA prohíbe el AI Act en el aula, qué significa ‘alfabetización IA’ obligatoria y qué debemos documentar. Tono claro, sin jerga legal, con 3 ejemplos de nuestra etapa educativa.”
¿Qué exige la AEPD para menores de 14 años?
La AEPD es tajante en un punto: por debajo de los 14 años, tratar datos personales de un menor con una herramienta de IA requiere consentimiento de madre, padre o tutor legal, no basta con el del propio alumno ni la autorización genérica de matrícula. Afecta a cualquier herramienta que identifique al alumno, guarde su historial o genere un perfil de aprendizaje, aunque sea “solo” un tutor de repaso.
En la práctica, revisa la autorización de inicio de curso: la hoja de “autorizo el uso de imagen y plataformas digitales” rara vez menciona IA generativa explícitamente. Conviene que lo haga, con lenguaje claro sobre qué datos se procesan y con qué finalidad.
Cuando el tratamiento implica alto riesgo (perfiles de aprendizaje persistentes, decisiones que afectan a la evaluación), la AEPD recomienda una EIPD (Evaluación de Impacto en Protección de Datos) antes de desplegar la herramienta: qué se procesa, por qué y con qué medidas se mitiga el riesgo.
ZOE, el tutor de IA de noobe, guía sin dar las respuestas y trata los datos en la UE, lo que simplifica esta parte de la EIPD. Amplía en la guía de RGPD e IA educativa para dirección.
¿Cómo saber qué exige mi comunidad autónoma?
Aquí es donde más varía la exigencia real. Algunas comunidades han publicado guías propias con circuito de autorización de herramientas o formularios de consentimiento; otras se remiten a la normativa estatal. Ninguna situación te exime de las dos capas anteriores, pero cambia el papeleo: identifica si tu comunidad exige registro previo de herramientas (varias lo piden antes de empezar el curso) y si añade formación más allá de la alfabetización genérica del AI Act.
Tienes el detalle actualizado por comunidad en nuestro semáforo de normativa IA por CCAA. Si tu centro está redactando su plan digital, es más fácil incorporar estos requisitos en el documento marco que parchearlos después, curso a curso.
Checklist de 10 puntos para septiembre
Orden recomendado, con quién lidera cada punto y para cuándo. Adáptalo a tu centro, pero no lo dejes sin responsable: es la causa número uno de que estas cosas no se hagan.
| # | Punto | Responsable | Plazo sugerido |
|---|---|---|---|
| 1 | Sesión de alfabetización IA documentada para el claustro | Dirección / TIC | Antes de inicio de curso |
| 2 | Actualizar autorización de familias mencionando IA generativa | Secretaría / DPD | Julio-agosto |
| 3 | Confirmar circuito de consentimiento parental <14 años por herramienta | DPD / dirección | Antes del primer uso |
| 4 | Inventariar herramientas de IA activas (oficiales y “por libre”) | Coordinación TIC | Primeras dos semanas |
| 5 | EIPD para herramientas de alto riesgo (perfiles, evaluación automatizada) | DPD | Antes de desplegar |
| 6 | Revisar prácticas prohibidas del AI Act (emociones, categorización) | Dirección | Antes de inicio de curso |
| 7 | Consultar si la comunidad exige registro previo de herramientas | Coordinación TIC | Según plazo autonómico |
| 8 | Redactar o actualizar la política de uso de IA del centro | Dirección + claustro | Primer mes |
| 9 | Comunicar a familias qué herramientas se usan y con qué garantías | Dirección / tutores | Reunión de inicio de curso |
| 10 | Fijar fecha de revisión del checklist (mínimo trimestral) | Dirección | Recurrente |
Para no partir de cero, usa una plantilla editable de política de uso de IA que cubra los puntos 8 y 9. Si el centro ya usa MIA, el asistente de IA para docentes de noobe, parte de ahí: describe cómo se alinea con la LOMLOE y el currículo autonómico, y el punto 8 queda medio resuelto.
¿Qué pasa si un colegio no hace nada de esto?
El riesgo real no es tanto una sanción inmediata (la AEPD suele empezar por requerimiento de subsanación, no multa directa) como quedar expuesto: ante una inspección que pida la documentación de alfabetización IA o los consentimientos, o ante una familia que pregunte qué se hace con los datos de su hijo. Se evita con una tarde de trabajo.
Hay también un argumento a favor: los centros que ya han pasado por esto cuentan que documentar el uso de IA les obliga a decidir, por fin, para qué la quieren de verdad. MIA, el asistente de IA para docentes de noobe, ya trabaja sobre la LOMLOE y los currículos autonómicos, lo que facilita justificar en la EIPD una finalidad pedagógica concreta, no difusa. Si el centro trabaja también la práctica oral, BOB, el asistente de inglés hablado de noobe, practica speaking con seguimiento del profesor y el mismo tratamiento de datos en la UE.
En los centros que ya han implantado IA de forma ordenada, este checklist de normativa fue el primer bloque de trabajo, antes de tocar ninguna herramienta.
¿Quieres revisar el checklist con nosotros antes de septiembre? Pide una clase en vivo y lo repasamos punto por punto con tu caso real.
Preguntas frecuentes
¿Puedo usar IA en clase en septiembre sin haber hecho nada de esto?
Sin alfabetización IA obligatoria (AI Act, en vigor desde febrero de 2025) y sin base legal de datos (RGPD) no deberías. No es una prohibición de usar IA, es una obligación de usarla con dos requisitos mínimos ya activos: formar al profesorado y tener consentimiento parental si hay menores de 14 años implicados. El resto del checklist reduce riesgo, pero estos dos son innegociables desde ya.
¿La EIPD es obligatoria para cualquier herramienta de IA en el centro?
Es obligatoria cuando el tratamiento de datos de menores conlleva alto riesgo: perfiles de aprendizaje, decisiones automatizadas o datos sensibles a gran escala. Un corrector de exámenes que solo procesa texto sin identificar al alumno tiene menos riesgo que un tutor conversacional que guarda historial. Ante la duda, la AEPD recomienda hacerla: cuesta menos que una sanción.
¿Qué comunidades autónomas ya tienen guía propia de IA educativa?
El número crece cada trimestre y varía por comunidad, con diferencias reales en el nivel de detalle y las exigencias añadidas. Consulta el detalle actualizado por comunidad antes de septiembre, porque algunas exigen registro previo de herramientas o formularios de consentimiento propios.
¿Quién debe ser el responsable de este checklist en el centro?
Lo habitual es repartirlo entre dirección (marco general y EIPD), el delegado de protección de datos si el centro lo tiene (consentimientos y RGPD) y jefatura de estudios o coordinación TIC (formación y registro de herramientas). Que nadie lo lidere solo es, de hecho, el primer punto de riesgo: cae entre sillas y no lo hace nadie.