Skip to content
Confir.
Prueba gratuita
Blog

Cumplimiento de la Ley de IA de la UE en la educación: centros escolares, universidades y EdTech

Industry Guide20 March 2026· 20 min de lectura

La Ley de IA de la UE en la educación: el Anexo III, punto 3, clasifica como de alto riesgo la IA de admisiones y la supervisión de exámenes. La supervisión con detección de emociones está prohibida desde el 2 feb. 2025.

La Ley de IA de la UE destaca la educación como una de sus ocho áreas de alto riesgo del Anexo III. El punto 3 del Anexo III cubre cuatro usos distintos de la IA en la educación, cada uno con todo el conjunto de obligaciones de alto riesgo. Y por encima de ellos —desde el 2 de febrero de 2025 y ya en vigor— hay una prohibición tajante que veta por completo una de las categorías de IA comercialmente más activas en las aulas europeas. Equivocarse en esto no es un riesgo de cumplimiento abstracto. El techo de la multa por infringir el artículo 5 es de 35 millones de euros o el 7 % del volumen de negocios anual mundial, si esta última cifra es mayor.

Este artículo cartografía qué sistemas están prohibidos, cuáles son de alto riesgo y cuáles están meramente sujetos a la transparencia de riesgo limitado. A continuación, expone qué deben hacer realmente los proveedores (los proveedores de EdTech) y los responsables del despliegue (centros escolares, universidades, organismos públicos de educación).

Qué cubre el Anexo III, punto 3: cuatro categorías de alto riesgo

El Anexo III, punto 3, del Reglamento (UE) 2024/1689 designa como de alto riesgo todo sistema de IA que realice una de las siguientes acciones:

  1. Determina el acceso a centros de educación o de formación profesional, o la asignación dentro de ellos. Los algoritmos de puntuación de admisiones, los filtros de solicitudes con clasificación por orden, los sistemas de calificación prevista utilizados para el acceso selectivo y las decisiones algorítmicas de agrupamiento por niveles entran aquí cuando su resultado influye materialmente en si una persona obtiene una plaza.

  2. Evalúa los resultados del aprendizaje, incluso cuando dicho resultado orienta el proceso de aprendizaje. La puntuación automatizada de redacciones utilizada para la evaluación sumativa, las pruebas de certificación calificadas por IA y los sistemas adaptativos que utilizan puntuaciones de competencia derivadas de la IA para bloquear o acelerar el itinerario curricular de un estudiante entran en el ámbito.

  3. Evalúa el nivel de educación adecuado que recibirá una persona. Esto cubre las herramientas de IA que recomiendan —y, cuando esa recomendación da forma a la decisión real— si un estudiante se sitúa en un itinerario de refuerzo, estándar o avanzado, o en un programa de formación profesional concreto.

  4. Supervisa a los estudiantes y detecta comportamientos prohibidos durante los exámenes. Los sistemas de supervisión de exámenes que utilizan IA para señalar sospechas de fraude se nombran explícitamente en el Anexo III, punto 3. Son de alto riesgo si producen un resultado que influye en los resultados de los exámenes.

El filtro del artículo 6, apartado 3, ofrece una salida estrecha: un sistema técnicamente dentro del Anexo III no es de alto riesgo si no presenta un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales —por ejemplo, un sistema que solo realiza una tarea preparatoria o procedimental estrecha, o que mejora un resultado que un humano ya ha producido—. Pero ningún sistema que elabore perfiles de personas físicas puede utilizar esta salida. Los proveedores de EdTech que reclaman la exención deben documentar la evaluación y registrar de todos modos el sistema con arreglo al artículo 49.

Una prohibición tajante: el reconocimiento de emociones en los centros educativos

Antes de llegar al nivel de alto riesgo, obsérvese el artículo 5, apartado 1, letra f. Prohíbe, sin excepción, el uso de sistemas de IA para inferir las emociones de personas físicas en el lugar de trabajo y en los centros educativos, salvo por razones médicas o de seguridad. Esta prohibición se aplica desde el 2 de febrero de 2025.

La supervisión con detección de emociones —sistemas que escanean expresiones faciales, patrones de la mirada o microexpresiones para inferir el estado de alerta, el estrés o el engaño— no es de alto riesgo. Está prohibida. Un proveedor que ofrezca tal producto en un centro escolar o una universidad de la UE después del 2 de febrero de 2025 infringe la prohibición, no está meramente sujeto al proceso de evaluación de la conformidad. El techo de la multa es de 35 millones de euros o el 7 % del volumen de negocios anual mundial con arreglo al artículo 99, apartado 3.

La línea importa en la práctica. Un sistema de supervisión que señala un comportamiento sospechoso del teclado o un movimiento ocular inusual únicamente como indicador para la detección de comportamientos prohibidos (sin inferir estados emocionales) sigue siendo de alto riesgo con arreglo al Anexo III, punto 3, no prohibido. Pero todo sistema comercializado como detector de estrés, atención o estado emocional en un contexto de realización de exámenes cruza al terreno del artículo 5.

Proveedor frente a responsable del despliegue: a quién corresponde cada obligación

La mayoría de las empresas de EdTech son proveedores: desarrollan e introducen sistemas de IA en el mercado con su propio nombre. Los centros escolares y las universidades son normalmente responsables del despliegue: utilizan el sistema de un proveedor en un contexto profesional. Las obligaciones difieren sustancialmente.

Una trampa merece atención. Con arreglo al artículo 25, un responsable del despliegue que modifica sustancialmente un sistema de alto riesgo, lo utiliza fuera de su finalidad prevista o estampa en él su propio nombre se convierte en proveedor y hereda todo el conjunto de obligaciones del proveedor. Una universidad que toma el modelo de puntuación de admisiones de un proveedor y lo reentrena con sus propios datos históricos probablemente lo haya activado. También lo ha hecho un centro escolar que reempaqueta una herramienta de supervisión comercial como un sistema institucional a medida.

Obligaciones del proveedor (artículos 9 a 17)

Una empresa de EdTech que introduce un sistema de alto riesgo en el mercado de la UE debe, antes del marcado CE:

  • Artículo 9 — mantener un sistema de gestión de riesgos a lo largo de todo el ciclo de vida del producto. Para la IA de admisiones, esto debe abordar los resultados discriminatorios entre características protegidas: sexo, etnia, discapacidad, origen socioeconómico. Los datos de entrenamiento históricos que reflejan decisiones de admisión pasadas pueden codificar sesgos institucionales; el sistema de gestión de riesgos debe sacarlos a la luz y abordarlos.
  • Artículo 10 — establecer la gobernanza de datos sobre los conjuntos de datos de entrenamiento, validación y prueba. Los conjuntos de datos deben ser pertinentes, suficientemente representativos y estar revisados en cuanto a errores y sesgos. Cuando un modelo de calificación de titulaciones se ha entrenado con cohortes demográficamente sesgadas, esta es la disposición que muerde.
  • Artículo 11 — producir la documentación técnica completa del Anexo IV: arquitectura, metodología de entrenamiento, métricas de exactitud desagregadas por subgrupo demográfico, limitaciones conocidas, casos de uso previstos y contraindicaciones.
  • Artículo 13 — proporcionar a los centros responsables del despliegue la información que necesitan para operar el sistema de forma lícita: su finalidad, capacidades, limitaciones de rendimiento y las condiciones en las que se requiere supervisión humana.
  • Artículo 14 — diseñar el sistema de modo que los responsables del despliegue puedan anularlo, intervenir en él o detenerlo de forma significativa. Ninguna decisión de admisión o de examen puede delegarse por completo en un sistema de IA sin una capacidad de revisión humana preservada.
  • Artículo 15 — documentar y mantener la exactitud, la robustez y la ciberseguridad. Los sistemas de supervisión deben resistir la manipulación adversaria: los estudiantes sondearán la lógica de puntuación.
  • Artículo 17 — operar un sistema de gestión de la calidad que cubra todo el ciclo de vida.

La evaluación de la conformidad para los sistemas del Anexo III, punto 3, sigue la vía de autoevaluación interna del Anexo VI (se requiere un organismo notificado para los sistemas biométricos del punto 1, no para los sistemas de educación del punto 3). Tras la evaluación interna, el proveedor registra el sistema en la base de datos de la UE con arreglo al artículo 49 y emite la declaración UE de conformidad del artículo 47.

Obligaciones del responsable del despliegue (artículos 26 y 27)

Los centros escolares y las universidades que utilizan la herramienta de IA de alto riesgo de un proveedor cargan con sus propias obligaciones legales con arreglo al artículo 26:

  • Utilizar el sistema con arreglo a las instrucciones de uso del proveedor, no para fines que el proveedor no haya documentado.
  • Garantizar que la supervisión humana sea operativa: el centro, no el algoritmo, toma la decisión final en los casos individuales de gran trascendencia.
  • Vigilar el funcionamiento del sistema y notificar cualquier incidente grave o mal funcionamiento al proveedor (y, en su caso, a la autoridad competente) con arreglo a los plazos del artículo 73: en un plazo de 15 días desde que se tiene conocimiento de un incidente grave; en un plazo de 2 días cuando esté implicada una infracción generalizada o un riesgo para infraestructuras críticas.
  • Conservar los registros del funcionamiento del sistema durante al menos 6 meses con arreglo al artículo 26.

Los centros escolares y las universidades son también casi siempre organismos públicos a efectos del artículo 27. Eso significa que desplegar cualquier sistema de IA de alto riesgo activa una evaluación de impacto relativa a los derechos fundamentales (EIDF) antes de que comience el despliegue. La EIDF cubre: la finalidad del sistema; la población de personas afectadas; los derechos fundamentales en riesgo (no discriminación, libertad académica, debido proceso, privacidad, derechos del menor cuando hay menores implicados); las medidas de mitigación; las disposiciones de supervisión; y los mecanismos de reparación disponibles. El artículo 27, apartado 4, permite que la EIDF remita a una evaluación de impacto relativa a la protección de datos (EIPD) del RGPD existente, pero no puede sustituirla. Los dos instrumentos cubren terrenos diferentes, y ambos se exigen cuando el tratamiento de datos personales es a gran escala.

Prohibición del reconocimiento de emociones frente a la supervisión: la prueba práctica

Los centros que evalúan proveedores de supervisión deben aplicar esta prueba de dos pasos antes de la contratación:

Paso 1 — ¿Infiere el sistema estados emocionales? Si el proveedor comercializa el sistema como detector de estrés, atención, concentración o engaño mediante análisis facial o fisiológico, la respuesta es casi con seguridad afirmativa. Eso lo hace prohibido con arreglo al artículo 5, apartado 1, letra f, con independencia de cómo lo llame el proveedor. No lo despliegue.

Paso 2 — ¿Influye la funcionalidad restante en los resultados de los exámenes? Si el sistema vigila los patrones de pulsación de teclas, las señales del entorno o la desviación de la mirada únicamente para señalar posibles infracciones de las normas a fin de que las revise un humano —y un supervisor humano toma la determinación real—, la clasificación como de alto riesgo con arreglo al Anexo III, punto 3, sigue siendo probable, pero el sistema es al menos lícito. Exija al proveedor que aporte la documentación técnica del artículo 11, los registros de la evaluación de la conformidad y la confirmación del registro del artículo 49 antes de desplegarlo.

EdTech general: riesgo mínimo y limitado

No todo en una pila de tecnología educativa es de alto riesgo. Los asistentes de tutoría por IA que ofrecen retroalimentación formativa sin determinar calificaciones, los motores de recomendación de aprendizaje que sugieren materiales de estudio y los chatbots de programación o administrativos son generalmente de riesgo mínimo: no se vinculan obligaciones obligatorias.

La excepción es el artículo 50, que se aplica a partir del 2 de agosto de 2026. Todo sistema de IA que interactúe directamente con los estudiantes y pueda confundirse con un humano —incluidos los chatbots de tutoría y los asistentes docentes de IA— debe revelar su naturaleza automatizada de forma clara y en tiempo real. Esta es una obligación de transparencia, no un requisito de evaluación de la conformidad. Se aplica con independencia de que el sistema lo despliegue o no un centro público.

Los proveedores de modelos fundacionales (GPAI) cuyos modelos impulsan productos de EdTech —productos construidos sobre modelos de proveedores externos o que los incorporan— afrontan sus propias obligaciones con arreglo a los artículos 53 y 55, que se aplican desde el 2 de agosto de 2025. Pero esas obligaciones recaen sobre el proveedor del modelo, no sobre el centro que utiliza el producto de EdTech.

Intersección con el RGPD

Los centros educativos que tratan datos de los estudiantes a través de sistemas de IA afrontan obligaciones de protección de datos en capas junto a la Ley de IA. La base jurídica estándar para los organismos públicos de educación es el artículo 6, apartado 1, letra e, del RGPD (misión de interés público), pero debe fundamentarse en un mandato legal específico: un interés general en la educación no es suficiente.

Cuando los sistemas de IA tratan datos de categoría especial —planes de apoyo al aprendizaje, información sobre neurodivergencia, condiciones de salud que afectan a las adaptaciones de la evaluación—, se aplican además las condiciones de tratamiento del artículo 9 del RGPD. La obligación de EIPD con arreglo al artículo 35 del RGPD corre en paralelo con la obligación de EIDF de la Ley de IA con arreglo al artículo 27. Cuando hay menores implicados, la minimización de datos es especialmente importante: el artículo 8 del RGPD fija el umbral de edad para el consentimiento de los niños al tratamiento de datos, y las legislaciones nacionales varían en cómo lo aplican.

El artículo 22 del RGPD restringe las decisiones totalmente automatizadas con efectos jurídicos significativos o de manera similar significativos. En la práctica, esto significa que los algoritmos de admisión no pueden producir resultados vinculantes sin una persona que tome la decisión en el bucle, un requisito que refleja y refuerza la obligación de supervisión humana del artículo 14 de la Ley de IA.

El plazo que se movió

La Ley de IA de la UE original fijó el 2 de agosto de 2026 como fecha en la que se aplicarían plenamente las obligaciones de alto riesgo del Anexo III. Esa fecha se ha movido. En virtud del Ómnibus Digital —un acuerdo político entre el Parlamento Europeo y el Consejo alcanzado el 7 de mayo de 2026—, los sistemas de IA de alto riesgo autónomos del Anexo III afrontan un plazo revisado del 2 de diciembre de 2027. La fecha de agosto de 2026 rige ahora las obligaciones de transparencia de riesgo limitado del artículo 50 y la aplicación general del Reglamento; ya no rige el conjunto de alto riesgo del Anexo III.

Para los proveedores de EdTech, esto no es motivo para detener el trabajo de cumplimiento. La documentación técnica del artículo 11, la gestión de riesgos del artículo 9 y las pruebas de exactitud del artículo 15 tardan cada una meses en reunirse adecuadamente. Los proveedores que inicien el proceso de evaluación de la conformidad a finales de 2026 afrontarán un calendario comprimido. La obligación de EIDF para los centros responsables del despliegue está vinculada a la misma fecha de diciembre de 2027, pero las universidades públicas con ciclos de contratación de IA existentes deberían incorporar ya los requisitos de EIDF a los contratos con proveedores.

La prohibición del artículo 5, apartado 1, letra f —reconocimiento de emociones en los centros educativos— no se ve afectada por el Ómnibus Digital. Se aplica desde el 2 de febrero de 2025.

Obligaciones clave por actor

ActorTipo de sistemaObligaciones clave
Proveedor de EdTechIA de admisiones (Anexo III, pto. 3)Arts. 9, 10, 11, 13, 14, 15, 17; conformidad del Anexo VI; registro del art. 49
Proveedor de EdTechIA de supervisión de exámenes (sin detección de emociones)Igual que arriba; confirmar que no hay infracción del art. 5, apdo. 1, letra f
Proveedor de EdTechSupervisión con detección de emocionesProhibida — art. 5, apdo. 1, letra f; retirar del mercado de la UE
Proveedor de EdTechChatbot de tutoría por IADivulgación del art. 50 (a partir del 2 ago. 2026)
Universidad / centro escolar (responsable del despliegue)Cualquier sistema del Anexo III, pto. 3Art. 26, EIDF del art. 27, EIPD del RGPD, registros del art. 26, apdo. 6
Universidad / centro escolar (responsable del despliegue)Chatbot de tutoría por IAAviso de transparencia del art. 50 a los estudiantes

Cómo ayuda Confir

El flujo de trabajo de clasificación y evaluación de Confir es basado en reglas y determinista: las mismas respuestas de admisión producen el mismo nivel de riesgo, con la regla que se activó mostrada en lenguaje sencillo. Para los equipos del sector educativo, dos elementos son los más relevantes.

Primero, la admisión de clasificación guía a los responsables de cumplimiento a través de la lógica del artículo 6 y del Anexo III para cada sistema de IA de su pila, derivando el nivel de riesgo y el rol de proveedor o de responsable del despliegue a partir de preguntas de escenario en lenguaje sencillo. Para los centros con carteras mixtas —IA de admisiones de un proveedor, supervisión de otro, tutoría por chatbot de un tercero—, esto produce un inventario clasificado en una sola sesión, normalmente en menos de dos horas.

Segundo, el flujo de trabajo de la EIDF del artículo 27 cubre todas las secciones requeridas —población afectada, derechos fundamentales en riesgo, medidas de mitigación, disposiciones de supervisión, mecanismos de reparación— y genera un documento de evaluación listo para imprimir. Los organismos públicos que necesitan completar EIDF antes de las decisiones de contratación pueden realizar la evaluación en paralelo con la diligencia debida sobre los proveedores.

No se requiere ningún consultor ni una implantación de seis meses.

Preguntas frecuentes

¿La supervisión con detección de emociones se considera IA de alto riesgo, o es otra cosa?

Está prohibida, no es de alto riesgo. El artículo 5, apartado 1, letra f, prohíbe los sistemas de IA que infieren las emociones de personas físicas en los centros educativos (y en los lugares de trabajo), salvo por razones médicas o de seguridad. Esto se aplica desde el 2 de febrero de 2025. Los sistemas que escanean expresiones faciales o señales fisiológicas para inferir el estado de alerta, el estrés o el engaño durante los exámenes entran de lleno en esta prohibición. El techo de la multa es de 35 millones de euros o el 7 % del volumen de negocios anual mundial con arreglo al artículo 99, apartado 3. Un sistema de supervisión que detecta comportamientos sospechosos sin inferir estados emocionales sigue estando sujeto al Anexo III, punto 3, como de alto riesgo —obligaciones diferentes, nivel de multa diferente (15 millones de euros o el 3 % con arreglo al artículo 99, apartado 4)—, pero es lícito utilizarlo.

¿Qué usos de la IA en la educación son de alto riesgo con arreglo al Anexo III, punto 3?

Cuatro categorías: la IA que determina la admisión o la asignación a un centro educativo; la IA que evalúa los resultados del aprendizaje (incluida la orientación del proceso de aprendizaje sobre la base de esas evaluaciones); la IA que evalúa el nivel de educación adecuado que debería recibir una persona; y la IA que supervisa a los estudiantes y detecta comportamientos prohibidos durante los exámenes (supervisión de exámenes). Todo sistema cuyo resultado influya materialmente en una de estas decisiones y que elabore perfiles de personas físicas no puede escapar de la clasificación de alto riesgo a través del filtro de exención del artículo 6, apartado 3.

¿Afrontan los centros de educación secundaria y los organismos de formación profesional las mismas obligaciones que las universidades?

Sí. El Anexo III, punto 3, no distingue por nivel educativo ni por tipo de centro. Un centro de educación secundaria que utiliza IA para agrupar a los estudiantes en itinerarios académicos o de formación profesional afronta las mismas obligaciones de cumplimiento de alto riesgo que una universidad que utiliza IA para las admisiones. La diferencia práctica es el rol: los centros escolares son casi siempre responsables del despliegue, no proveedores, por lo que las obligaciones principales son las del responsable del despliegue del artículo 26 y la EIDF del artículo 27.

¿Cuándo se convierte una universidad en proveedor en lugar de responsable del despliegue?

Con arreglo al artículo 25, un responsable del despliegue se convierte en proveedor —con todo el conjunto de obligaciones de los artículos 9 a 17— si modifica sustancialmente un sistema de alto riesgo, lo utiliza para una finalidad ajena a su uso previsto documentado, o estampa en él su propio nombre o marca comercial. Reentrenar el modelo de admisiones de un proveedor con los datos históricos propios del centro es el desencadenante más común. Los centros que hacen esto deben realizar su propia evaluación de la conformidad con arreglo al Anexo VI antes de continuar utilizándolo.

¿Puede una EIPD del RGPD sustituir a la EIDF del artículo 27?

No. El artículo 27, apartado 4, permite que la EIDF remita a una EIPD existente y se base en ella, pero los dos son instrumentos jurídicamente distintos. La EIPD (artículo 35 del RGPD) se centra en los riesgos del tratamiento de datos; la EIDF se centra en el impacto más amplio sobre los derechos fundamentales —no discriminación, libertad académica, debido proceso y derechos del menor— que se extiende más allá de la dimensión del tratamiento de datos. Ambas se exigen cuando un centro es un organismo público que despliega IA de alto riesgo y trata datos personales a gran escala.

¿Cuál es el plazo de cumplimiento para la IA de educación de alto riesgo?

En virtud del Ómnibus Digital acordado en mayo de 2026, los sistemas de IA de alto riesgo autónomos del Anexo III afrontan un plazo del 2 de diciembre de 2027 (pospuesto respecto de la fecha original del 2 de agosto de 2026). Las obligaciones de transparencia de riesgo limitado del artículo 50 —pertinentes para los chatbots de tutoría por IA— siguen aplicándose a partir del 2 de agosto de 2026. La prohibición del reconocimiento de emociones en los centros educativos del artículo 5, apartado 1, letra f, se aplica desde el 2 de febrero de 2025 y no se ve afectada por el aplazamiento.

¿Qué debería hacer una universidad si su proveedor de EdTech no puede mostrar una evaluación de la conformidad válida?

Exija al proveedor que aporte la documentación técnica del artículo 11, los registros de la evaluación de la conformidad del Anexo VI y la confirmación del registro en la base de datos de la UE del artículo 49 antes del despliegue. Si el proveedor no puede producirlos para cuando se apliquen las obligaciones, utilizar el sistema expone al centro a una acción de ejecución por parte de la autoridad nacional de vigilancia del mercado en virtud del deber de diligencia debida del responsable del despliegue. Incorpore ahora estos requisitos a los contratos de contratación, de modo que sean exigibles contractualmente cuando llegue el plazo.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Industry Guide

Lista de comprobación de cumplimiento de la Ley de IA de la UE para responsables del despliegue sanitarios

Lista de comprobación de la Ley de IA de la UE para responsables del despliegue sanitarios: inventariar la IA, clasificar (art. 6), verificar al proveedor, supervisión del art. 14, registros de 6 meses. Plazos: dic 2027 / ago 2028.

Industry Guide

¿Se aplica la Ley de IA de la UE a su empresa de SaaS, y en qué papel?

¿Se aplica la Ley de IA de la UE a su SaaS? Proveedor (Art. 16), responsable del despliegue (Art. 26), la trampa del Art. 25 y los niveles de riesgo, explicados. Plazo de alto riesgo: 2 dic 2027.

Industry Guide

La Ley de IA de la UE para el sector fintech: clasificación de alto riesgo, obligaciones y el plazo que importa

La Ley de IA de la UE para el sector fintech: la calificación crediticia (Anexo III, 5, letra b)) es de alto riesgo; la detección de fraude no lo es. Obligaciones, EIDF y el plazo del 2 de diciembre de 2027.