Cumplimiento & compras
RGPD y nLPD suiza en la comunicación con familias: qué revisar antes de firmar
Si su colegio elige una herramienta de comunicación con familias conforme al RGPD, la demo del producto es la parte fácil. La parte difícil es la documentación que pedirá su responsable de protección de datos — y la mayoría de las herramientas de esta categoría se diseñaron para un mercado estadounidense donde esa documentación es secundaria. Esta guía explica qué debe demostrar realmente un software escolar con datos alojados en la UE, por qué la nLPD suiza impone su propio listón, y las preguntas exactas que conviene hacer a cualquier proveedor antes de que un solo dato de una familia cambie de manos.
Por qué la comunicación con familias es sensible bajo el RGPD
Una plataforma de comunicación con familias trata nombres, datos de contacto e información sobre menores — y los datos de menores son una categoría especial que merece un cuidado reforzado. Bajo el RGPD (Reglamento UE 2016/679), el colegio es el responsable del tratamiento y cualquier proveedor que trate esos datos por cuenta del colegio es un encargado del tratamiento. Esa relación no es opcional ni informal: el RGPD exige que se rija por un contrato escrito — el contrato de encargado del tratamiento (DPA).
Por eso la primera pregunta de compra no es «¿qué hace la herramienta?», sino «¿firmará el proveedor un DPA, y qué dice?». Un proveedor que trata el DPA como un trámite, o solo lo ofrece en su plan empresa, le está diciendo algo.
Qué significa realmente «datos alojados en la UE»
«Alojado en Europa» es una expresión que se usa con ligereza. Para un colegio que necesita que los datos permanezcan en la UE, importan las preguntas concretas:
- ¿Dónde se almacenan los datos? La base de datos con los registros de familias y alumnos debe estar en infraestructura europea.
- ¿Dónde se ejecuta la IA? Si la herramienta resume o traduce correos con IA, la inferencia en sí — no solo el almacenamiento — debe ejecutarse en Europa. Un modelo alojado en EE. UU. envía el contenido al extranjero aunque la base de datos se quede.
- ¿Se transfiere algo a Estados Unidos? Muchas herramientas enrutan metadatos operativos (facturación, monitorización) por proveedores fuera de la UE. Puede ser aceptable bajo cláusulas contractuales tipo, pero debe declararse con claridad.
- ¿Se usan los datos del colegio para entrenar IA? Debe ser un no contractual, por escrito — no una frase de la política de privacidad que pueda cambiar el trimestre siguiente.
La posición de C’noté sobre cada punto está documentada en el dossier de confianza: alojamiento en Francia, inferencia de IA en París, ningún dato del colegio usado jamás para entrenar un modelo, y una nota honesta sobre los escasos metadatos operativos que pueden transitar por proveedores fuera de la UE bajo cláusulas contractuales tipo.
La nLPD suiza: el segundo listón
Los colegios que operan en Suiza — incluidos los colegios internacionales con familias expatriadas — también están sujetos a la Ley Federal de Protección de Datos revisada (la nLPD / LPD, en vigor desde septiembre de 2023). Está muy alineada con el RGPD, pero es una ley propia con sus propias expectativas. Una herramienta presentada como «conforme al RGPD» no ha superado automáticamente el listón suizo. Un software escolar conforme a la nLPD debe nombrar explícitamente la nLPD y alinear su DPA con ella.
Es un rincón del mercado realmente desatendido: la mayoría de las plataformas de difusión consolidadas son centradas en EE. UU. y dicen poco del derecho suizo. Una herramienta creada en Suiza, para colegios internacionales, parte de aquí en lugar de añadirlo después.
El contrato de encargado del tratamiento: una lista de verificación
Cuando pida su DPA a un proveedor de herramientas de comunicación escolar, esto es lo que un responsable de protección de datos comprobará que contiene:
- Roles — el colegio como responsable, el proveedor como encargado.
- Alcance y finalidad — qué datos se tratan, y solo para la finalidad acordada.
- Subencargados — una lista publicada y actualizada de los terceros (alojamiento, inferencia de IA) y una vía para oponerse a los cambios.
- Ubicación de los datos — alojamiento e inferencia en la UE declarados, con cualquier transferencia transfronteriza cubierta por cláusulas contractuales tipo.
- Notificación de brechas — un plazo comprometido (el estándar del RGPD es en 72 horas).
- Entrenamiento de IA — una garantía explícita de que sus datos nunca se usan para entrenar modelos.
- Supresión y devolución — qué ocurre con los datos al terminar el contrato.
C’noté facilita el DPA, el diagrama de flujo de datos y la lista actualizada de subencargados antes de un piloto — no después de la orden de compra. El detalle está en la página de confianza, redactado para quien tiene que firmar.
Una nota sobre la exactitud, que también es una cuestión de cumplimiento
Una IA que resume el correo de un colegio también puede inventar cosas — y un asistente que inventa información sobre un menor es un problema de calidad de datos y de confianza, no solo un fallo de funcionalidad. La restricción de diseño correcta: la herramienta solo repite lo que el colegio escribió realmente, vincula cada afirmación a su fuente y lo dice con claridad cuando no está segura en lugar de adivinar. Ese anclaje es parte de lo que hace defendible la herramienta ante un responsable de protección de datos, no solo útil para una familia.
Para llevarlo a compras
Si está evaluando C’noté para su colegio, las respuestas de cumplimiento están pensadas para entregarse directamente a su responsable de protección de datos. La visión del comprador está en la página para colegios, y el dossier de seguridad completo — DPA, diagrama de flujo de datos, lista de subencargados — está disponible antes de que termine su demo a través del dossier de confianza.