Rethinking Higher Education/es/Chapter 3

From China Studies Wiki
Jump to navigation Jump to search

Idioma: ES · EN · ZH · EN-ZH · DE · FR · IT · ← Libro

Previous◀ es
Rethinking_Higher_Education
Nextes ▶

Protección de datos estudiantiles en la universidad digital: comparación entre RGPD y PIPL china

Martin Woesler

Universidad Normal de Hunan

Resumen

La transformación digital de la educación superior genera volúmenes sin precedentes de datos estudiantiles —desde interacciones en sistemas de gestión del aprendizaje y registros de evaluación hasta datos biométricos de supervisión y perfiles de analítica predictiva—. Dos de los regímenes de protección de datos más importantes del mundo gobiernan ahora cómo las universidades recopilan, procesan y transfieren estos datos: el Reglamento General de Protección de Datos de la Unión Europea (RGPD, vigente desde 2018) y la Ley de Protección de Información Personal de China (PIPL, vigente desde 2021). Sin embargo, a pesar de las similitudes superficiales —ambos establecen derechos individuales sobre los datos personales, ambos imponen sanciones significativas por infracciones, y ambos restringen las transferencias transfronterizas de datos—, los dos regímenes reflejan orientaciones filosóficas fundamentalmente diferentes: la autonomía individual frente a la soberanía estatal. Este artículo proporciona una comparación sistemática del RGPD y la PIPL tal como se aplican al contexto específico de la educación superior. Basándose en datos de aplicación que muestran que las autoridades de protección de datos de la UE han impuesto 270 multas por un total de más de 29,3 millones de euros a instituciones educativas, y en investigaciones que documentan que el 81 por ciento de las universidades del Reino Unido no cumplen los estándares del RGPD, demostramos que ninguno de los dos sistemas ha logrado una protección de datos satisfactoria en la práctica. Examinamos la analítica del aprendizaje, la evaluación impulsada por IA, la captación transfronteriza de estudiantes y los programas académicos conjuntos UE-China como cuatro ámbitos donde los marcos regulatorios enfrentan sus pruebas más serias. Sostenemos que las universidades que operan en ambas jurisdicciones enfrentan un desafío de cumplimiento dual que la orientación actual aborda de manera inadecuada, y proponemos un marco para navegar estas obligaciones superpuestas.

Palabras clave: RGPD, PIPL, protección de datos estudiantiles, analítica del aprendizaje, educación superior, flujos transfronterizos de datos, privacidad, comparación UE-China, IA en la educación

1. Introducción

La universidad digital es, en su esencia, una institución generadora de datos. Cada interacción que un estudiante tiene con un sistema de gestión del aprendizaje, cada envío a una plataforma de calificación automatizada, cada inicio de sesión en una red de campus y cada participación en una herramienta de aprendizaje adaptativo produce datos que se recopilan, almacenan, analizan y —cada vez más— se comparten a través de fronteras institucionales y nacionales. La pandemia de COVID-19 aceleró este proceso de manera dramática: el rápido paso al aprendizaje en línea e híbrido normalizó la recopilación de flujos de datos que habrían sido impensables hace una década, incluyendo grabaciones de cámara web de sistemas de supervisión remota, dinámica de pulsaciones de teclas para la verificación de identidad, y métricas de participación que rastrean con qué frecuencia y durante cuánto tiempo los estudiantes interactúan con los materiales del curso.

Dos regímenes integrales de protección de datos gobiernan ahora cómo las universidades manejan esta información. El Reglamento General de Protección de Datos de la Unión Europea, que entró plenamente en vigor en mayo de 2018, estableció el primer marco integral del mundo para la protección de datos personales, con implicaciones específicas para las instituciones educativas que procesan datos estudiantiles. La Ley de Protección de Información Personal de China, vigente desde noviembre de 2021, creó un marco paralelo que, si bien es estructuralmente similar al RGPD en muchos aspectos, refleja suposiciones fundamentalmente diferentes sobre la relación entre individuos, instituciones y Estado.

Para las universidades que participan en cooperación internacional —programas de doble titulación, intercambio estudiantil, investigación colaborativa, captación transfronteriza—, estos dos regímenes crean un desafío de cumplimiento dual de considerable complejidad. Una universidad europea que capta estudiantes chinos debe cumplir con los requisitos de la PIPL para el procesamiento de la información personal de residentes chinos; una universidad china que participa en una asociación Erasmus+ debe comprender las obligaciones del RGPD que pueden aplicarse a los datos sobre estudiantes europeos. Sin embargo, los dos sistemas divergen precisamente donde los desafíos de cumplimiento son más agudos: en sus enfoques de la transferencia transfronteriza de datos, los requisitos de consentimiento, los mecanismos de aplicación y el tratamiento de los menores.

Este artículo proporciona una comparación sistemática del RGPD y la PIPL tal como se aplican a la educación superior, organizada en torno a cuatro preguntas. Primera, ¿cómo regula cada marco las actividades de procesamiento de datos fundamentales de las universidades —matrícula, evaluación, analítica y comunicación—? Segunda, ¿dónde convergen los dos sistemas y dónde divergen en sus fundamentos filosóficos y requisitos prácticos? Tercera, ¿qué desafíos específicos surgen para las instituciones que operan simultáneamente bajo ambos regímenes? Cuarta, ¿qué estrategias prácticas pueden adoptar las universidades para lograr un cumplimiento significativo con ambos marcos?

2. El marco del RGPD para la educación

2.1 Bases jurídicas para el procesamiento de datos estudiantiles

El RGPD (Reglamento 2016/679) proporciona seis bases jurídicas para el procesamiento de datos personales, de las cuales tres son las más relevantes para las universidades: el consentimiento (artículo 6(1)(a)), la ejecución de un contrato (artículo 6(1)(b)) y los intereses legítimos (artículo 6(1)(f)). Las universidades europeas típicamente se basan en una combinación de estas bases. La matrícula y la administración académica se procesan generalmente bajo la necesidad contractual —el estudiante ha suscrito un contrato educativo con la institución—. La investigación que involucra datos estudiantiles puede basarse en intereses legítimos o, cuando están involucradas categorías de datos sensibles, en el consentimiento explícito.

La aplicación de estas bases jurídicas a la analítica del aprendizaje ha resultado particularmente contenciosa. Liu y Khalil (2023), en una revisión sistemática de 47 estudios publicados en revistas líderes de tecnología educativa, identifican una tensión fundamental: el principio de limitación de finalidad del RGPD —que los datos recogidos para una finalidad no deben ser reutilizados sin base jurídica adicional— encaja incómodamente con la naturaleza abierta y exploratoria de la analítica del aprendizaje, donde el valor de los datos a menudo emerge solo a través de un análisis que no se anticipó en el momento de la recopilación. Prinsloo, Slade y Khalil (2022) argumentan desde una perspectiva crítica de los estudios de datos que las soluciones puramente tecnológicas a esta tensión son insuficientes; la asimetría de poder entre instituciones y estudiantes significa que el consentimiento significativo es a menudo ilusorio, particularmente cuando los estudiantes sienten que no pueden rechazar la recopilación de datos sin consecuencias académicas.

2.2 Panorama de la aplicación

La aplicación del RGPD en el sector educativo ha sido desigual pero cada vez más significativa. Según el Informe de Seguimiento de la Aplicación del RGPD de CMS para 2024/2025, las autoridades de protección de datos de 25 Estados miembros de la UE han impuesto un total de 270 multas a escuelas, universidades y otras instituciones educativas, por un total de más de 29,3 millones de euros. Las infracciones más comunes son el procesamiento sin base jurídica suficiente (90 multas) y las medidas técnicas y organizativas insuficientes para proteger los datos (76 multas) (CMS 2025).

El caso individual más relevante para la educación superior fue la decisión de la autoridad italiana de protección de datos de 2021 contra la Universidad Bocconi, que impuso una multa de 200.000 euros por el uso del software de supervisión de exámenes a distancia Respondus. La autoridad determinó que la universidad no había obtenido un consentimiento válido, no había realizado una evaluación de impacto de protección de datos, había proporcionado transparencia insuficiente sobre el procesamiento de datos y carecía de base jurídica para el procesamiento de datos biométricos —infracciones que colectivamente ilustran los desafíos de cumplimiento que enfrentan las universidades al desplegar tecnologías educativas adyacentes a la vigilancia (Garante 2021)—.

Sin embargo, la aplicación captura solo parte del panorama. Un estudio de 2024 de la consultora 7DOTS examinó 335 universidades y centros de educación superior del Reino Unido y encontró una tasa de incumplimiento del 81 por ciento con los estándares del RGPD. Solo el 32 por ciento había implementado una Plataforma de Gestión del Consentimiento, y de esas, el 66 por ciento estaban configuradas incorrectamente (7DOTS 2024). Estos hallazgos sugieren que el déficit de cumplimiento del sector educativo no es principalmente una cuestión de incumplimiento deliberado sino de capacidad institucional: las universidades carecen de los recursos, la experiencia y las estructuras organizativas para implementar los requisitos del RGPD de manera efectiva.

2.3 Privacidad estudiantil más allá del aula

Los desafíos de privacidad que enfrentan las universidades se extienden mucho más allá del sistema de gestión del aprendizaje. Giuffrida y Hall (2023) demuestran que la integración tecnológica en la educación superior crea riesgos de privacidad a nivel empresarial —sistemas de datos institucionales, redes de campus y plataformas administrativas— que son distintos del contexto pedagógico. Blackmon y Major (2023), en una revisión sistemática basada en PRISMA de las perspectivas de los estudiantes sobre la privacidad en cursos mejorados con tecnología, encuentran brechas significativas de conocimiento: los estudiantes a menudo no entienden qué datos se recopilan sobre ellos, cómo se utilizan o qué derechos tienen. Kumi-Yeboah y colegas (2023) documentan temor y ansiedad ante la invasión de datos entre poblaciones estudiantiles diversas, con preocupaciones particulares sobre los sistemas de gestión del aprendizaje y la integración de redes sociales. Estos hallazgos sugieren colectivamente que el énfasis del RGPD en el consentimiento informado enfrenta un obstáculo práctico: la asimetría de información entre instituciones y estudiantes es tan grande que el verdadero consentimiento informado puede ser inalcanzable para muchas actividades de procesamiento de datos.

3. La PIPL de China: estructura e implicaciones educativas

3.1 Visión general de la arquitectura

La Ley de Protección de Información Personal de China, vigente desde el 1 de noviembre de 2021, establece un marco integral para la protección de datos personales que es estructuralmente paralelo al RGPD en muchos aspectos —alcance extraterritorial, derechos individuales (acceso, rectificación, supresión, portabilidad), requisitos para evaluaciones de impacto de protección de datos y sanciones significativas por infracciones— al tiempo que refleja compromisos filosóficos fundamentalmente diferentes (Li y Chen 2024; Lim y Oh 2025).

La PIPL define la «información personal» de manera amplia como cualquier información relacionada con una persona física identificada o identificable registrada por medios electrónicos u otros (artículo 4). Al igual que el RGPD, establece bases jurídicas para el procesamiento —consentimiento, necesidad contractual, obligación legal, emergencias de salud pública, información periodística de interés público y procesamiento razonable de información accesible al público (artículo 13)—. Sin embargo, a diferencia del RGPD, la PIPL no incluye los «intereses legítimos» como base jurídica independiente, lo que convierte el consentimiento en el mecanismo principal para el procesamiento lícito en la mayoría de los contextos educativos (IAPP 2021; Zhu 2022).

3.2 Protección reforzada para menores

El tratamiento de los menores en la PIPL representa una de sus divergencias más significativas respecto al RGPD. El artículo 28 clasifica toda la información personal de personas menores de 14 años como «información personal sensible», independientemente de su naturaleza, exigiendo el consentimiento parental para el procesamiento y una evaluación de impacto de privacidad separada. Zhang y Kollnig (2024), en un estudio publicado en International Data Privacy Law, rastrean cinco desarrollos legislativos que progresivamente reforzaron las protecciones de los menores bajo la ley china, al tiempo que documentan brechas significativas entre los requisitos legales y la práctica real en las aplicaciones chinas.

Para las universidades, las implicaciones son indirectas pero importantes. Aunque la mayoría de los estudiantes universitarios son mayores de 14 años, las actividades de captación en educación secundaria, los programas de verano para menores y los programas de doble matrícula implican el procesamiento de datos de personas que pueden caer dentro de esta categoría protegida. El enfoque de la PIPL es, sin duda, más estricto que el del RGPD en este ámbito específico: el RGPD fija la edad del consentimiento digital en 16 años (con discreción del Estado miembro para reducirla a 13), pero no clasifica automáticamente todos los datos de los menores como sensibles.

3.3 Localización de datos y transferencia transfronteriza

Los requisitos de la PIPL para la transferencia transfronteriza de datos se encuentran entre sus disposiciones más relevantes en la práctica para las universidades internacionales. El artículo 38 establece tres mecanismos para transferir información personal fuera de China: superar una evaluación de seguridad organizada por la Administración del Ciberespacio de China (CAC), obtener una certificación de protección de información personal de una institución especializada, o celebrar un contrato estándar formulado por la CAC con el destinatario en el extranjero. En octubre de 2025, la CAC y la Administración Estatal de Regulación del Mercado emitieron conjuntamente las Medidas para la Certificación de la Transferencia Transfronteriza de Información Personal, vigentes desde el 1 de enero de 2026, completando este marco de tres pilares (CMS Law-Now 2025).

Adicionalmente, los Reglamentos sobre Gestión de la Seguridad de los Datos de Red, vigentes desde el 1 de enero de 2025, exigen que las organizaciones que procesan información personal de más de 10 millones de personas designen un responsable de seguridad de datos y realicen auditorías periódicas (Consejo de Estado 2024). Aunque pocas universidades individuales alcanzan este umbral, las plataformas educativas agregadas y los sistemas nacionales de información estudiantil lo hacen con frecuencia.

Las implicaciones prácticas para la cooperación académica internacional son significativas. Como ha señalado la Oficina del Consejero General del MIT (2022), la PIPL se activa cuando una institución obtiene solicitudes de admisión de ciudadanos chinos residentes en China, realiza actividades de captación allí, ofrece cursos en línea accesibles a residentes chinos, realiza investigaciones con seres humanos utilizando datos de residentes chinos, o colabora con instituciones académicas chinas que comparten datos estudiantiles. La Asociación Americana de Registradores Universitarios y Oficiales de Admisión (AACRAO 2022) ha publicado orientaciones específicas de cumplimiento para oficinas de admisión y registro, reflejando la creciente conciencia de que la captación internacional de estudiantes de rutina conlleva ahora obligaciones de protección de datos bajo tanto el RGPD como la PIPL.

4. Comparación sistemática

4.1 Fundamentos filosóficos

La diferencia más fundamental entre el RGPD y la PIPL no reside en sus disposiciones técnicas sino en sus orientaciones filosóficas. El RGPD emerge de una tradición de protección de derechos individuales, arraigada en el Convenio Europeo de Derechos Humanos y la Carta de los Derechos Fundamentales de la UE. Su suposición fundamental es que la protección de datos personales es un derecho fundamental del individuo, que solo puede limitarse bajo condiciones especificadas y sujetas a revisión de proporcionalidad. Li y Chen (2024), en su análisis del «efecto Bruselas» en la ley china de protección de datos, introducen un modelo de «asistencia gravitatoria»: aunque la influencia estructural del RGPD en la PIPL es evidente, la adopción por parte de China refleja no convergencia sino adaptación estratégica a su contexto político, cultural y jurídico distinto.

La PIPL, por el contrario, refleja lo que Lim y Oh (2025) describen como una orientación de «soberanía estatal». La ley sirve a múltiples objetivos simultáneamente: proteger la privacidad individual, ciertamente, pero también salvaguardar la seguridad nacional, promover la economía digital y mantener la estabilidad social. La aplicación de la ley está centralizada bajo la CAC, que es simultáneamente responsable de la censura de internet, la ciberseguridad y la gobernanza de datos —una combinación que sería inadmisible bajo el requisito del RGPD de autoridades de supervisión independientes (artículo 52)—.

4.2 Diferencias estructurales

Varias diferencias estructurales tienen implicaciones directas para las universidades:

Consentimiento. El RGPD reconoce seis bases jurídicas para el procesamiento; la ausencia de una base de «intereses legítimos» en la PIPL hace que el consentimiento sea más central, particularmente para el procesamiento de datos educativos que va más allá de la necesidad contractual. La PIPL exige adicionalmente un consentimiento separado para las transferencias transfronterizas (artículo 39) y para el procesamiento de información personal sensible (artículo 29).

Sanciones. El RGPD impone multas máximas de 20 millones de euros o el 4 por ciento del volumen de negocios anual global, lo que sea mayor. La PIPL impone multas máximas de 50 millones de RMB (aproximadamente 6,4 millones de euros) o el 5 por ciento de los ingresos anuales del año anterior para infracciones graves, más la posible responsabilidad personal de los individuos responsables —una característica sin equivalente directo en el RGPD (IAPP 2021; DataGuidance 2022)—.

Aplicación. La aplicación del RGPD está descentralizada entre las autoridades nacionales de protección de datos, con coordinación a través del Comité Europeo de Protección de Datos. La aplicación de la PIPL está centralizada bajo la CAC, con supervisión sectorial adicional del Ministerio de Educación para las instituciones educativas. El RGPD exige que las autoridades de supervisión sean independientes; la PIPL no impone tal requisito.

Transferencias transfronterizas. El RGPD permite transferencias a países con protección de datos «adecuada» (decisiones de adecuación), o mediante Cláusulas Contractuales Tipo (CCT) y Normas Corporativas Vinculantes (NCV). La PIPL ofrece evaluación de seguridad, contratos estándar y certificación, pero no emplea un mecanismo de adecuación —no hay lista de países «seguros» a los que los datos puedan fluir libremente (Fernandez-Novel Escobar 2025)—.

Derechos del interesado. Ambos marcos proporcionan derechos individuales ampliamente similares: acceso, rectificación, supresión y portabilidad. La PIPL otorga adicionalmente a los familiares más cercanos el derecho a ejercer los derechos de datos de las personas fallecidas —una disposición con relevancia potencial para las universidades que gestionan los expedientes de estudiantes fallecidos (DataGuidance 2022)—. La PIPL también incluye una definición más amplia de «información personal sensible» que abarca datos financieros, datos de localización e información biométrica junto con las categorías reconocidas por el RGPD.

4.3 Convergencia y divergencia

A pesar de estas diferencias, los dos marcos convergen de maneras importantes. Ambos exigen evaluaciones de impacto de protección de datos para el procesamiento de alto riesgo. Ambos imponen obligaciones de transparencia que requieren avisos de privacidad claros y accesibles. Ambos prevén la portabilidad de datos —el derecho a recibir los datos personales propios en un formato estructurado y legible por máquina—. Ambos establecen un alcance extraterritorial, aplicándose a entidades fuera de su jurisdicción que procesan datos de sus residentes. Y ambos imponen requisitos de notificación de brechas de datos, aunque con plazos diferentes: 72 horas bajo el RGPD (artículo 33), frente a un plazo no especificado pero rápido bajo la PIPL.

El patrón que emerge es convergencia a nivel de principios —ambos sistemas reconocen que los datos personales merecen protección, que los individuos deben tener derechos sobre sus datos, y que las organizaciones deben rendir cuentas de sus actividades de procesamiento— con divergencia significativa a nivel de implementación, justificación filosófica y cultura de aplicación. Como observa Solove (2022), la PIPL se describe a menudo como «el RGPD de China», pero esta caracterización oscurece diferencias estructurales importantes que tienen consecuencias prácticas directas para las organizaciones que operan bajo ambos regímenes.

5. Analítica del aprendizaje: el caso de prueba crítico

La analítica del aprendizaje representa el ámbito donde la tensión entre la protección de datos y la innovación educativa es más aguda. Las universidades despliegan cada vez más sistemas de analítica predictiva que utilizan datos históricos de estudiantes para identificar a los que están en riesgo de fracaso, recomendar intervenciones y personalizar itinerarios de aprendizaje. Estos sistemas requieren el procesamiento de grandes volúmenes de datos estudiantiles —a menudo agregados de múltiples fuentes y analizados mediante algoritmos de aprendizaje automático— de maneras que desafían los principios fundamentales tanto del RGPD como de la PIPL.

Bajo el RGPD, los sistemas de analítica del aprendizaje enfrentan desafíos en múltiples frentes. La limitación de finalidad (artículo 5(1)(b)) requiere que los datos se recojan para fines especificados y explícitos y no se procesen ulteriormente de manera incompatible con esos fines. Pero el valor de la analítica del aprendizaje a menudo depende precisamente de este tipo de reutilización: los datos recogidos para la administración del curso se analizan en busca de patrones que informan la estrategia institucional. La minimización de datos (artículo 5(1)(c)) requiere que solo se procesen datos adecuados, pertinentes y limitados a lo necesario —sin embargo, los modelos predictivos típicamente funcionan mejor con más datos, creando un incentivo estructural hacia la recopilación máxima—. La transparencia (artículos 13-14) requiere que los individuos sean informados sobre la toma de decisiones automatizada —pero la complejidad de los modelos de aprendizaje automático a menudo dificulta la explicación significativa—.

Bajo la PIPL, la analítica del aprendizaje enfrenta desafíos adicionales. La ausencia de una base de intereses legítimos significa que las universidades deben basarse típicamente en el consentimiento para la analítica que va más allá de la prestación educativa directa. El requisito de consentimiento separado para el procesamiento de información sensible (artículo 29) puede activarse por la analítica que procesa datos de rendimiento académico de maneras que revelan características protegidas. Y los requisitos de localización de datos significan que las plataformas de analítica operadas por proveedores internacionales deben navegar por reglas complejas de transferencia transfronteriza.

Xue y colegas (2025), en un análisis de las preocupaciones sobre la privacidad de la IA en la educación superior en los medios chinos y en lengua inglesa, encontraron que, si bien ambos contextos identifican la supervisión impulsada por IA, la seguridad de los datos estudiantiles y la gobernanza institucional como preocupaciones centrales, el énfasis difiere: la cobertura occidental pone en primer plano los derechos de privacidad individual, mientras que la cobertura china aborda con más frecuencia la relación entre la innovación educativa impulsada por IA y la gobernanza institucional. Esta divergencia refleja la diferencia filosófica más amplia entre los dos marcos regulatorios.

Lachheb y colegas (2023) argumentan que el mantenimiento de la privacidad estudiantil en la tecnología educativa requiere atención no solo a la política y la ley, sino a la ética del diseño —los principios incorporados en los propios sistemas tecnológicos—. Proponen un marco para ayudar a los diseñadores instruccionales a evaluar si los patrones de diseño socavan involuntariamente la agencia del aprendiz, sugiriendo que el cumplimiento tanto del RGPD como de la PIPL requiere intervención en la etapa de diseño, no meramente a nivel de política. Liu, Khalil y colegas (2025) exploran la generación de datos sintéticos con mecanismos de privacidad diferencial como un enfoque técnico a este desafío, permitiendo la investigación en analítica del aprendizaje sin exponer los registros individuales de los estudiantes.

6. Evaluación y supervisión impulsadas por IA

El AI Act de la UE (Reglamento 2024/1689), que entró en vigor el 1 de agosto de 2024, añade una capa regulatoria adicional para las universidades europeas. El Reglamento clasifica los sistemas de IA utilizados para la evaluación educativa y la supervisión como «de alto riesgo» bajo el Anexo III, Sección 3, exigiendo evaluaciones de conformidad, supervisión humana y documentación técnica. El artículo 5(1)(f) prohíbe los sistemas de reconocimiento de emociones en entornos educativos (Parlamento Europeo y Consejo 2024).

La interacción entre el AI Act y el RGPD crea una obligación de cumplimiento estratificada: las universidades que despliegan herramientas de evaluación potenciadas por IA deben satisfacer tanto los requisitos del AI Act para sistemas de alto riesgo como los requisitos del RGPD para el procesamiento lícito de datos. El caso de la Universidad Bocconi demuestra las consecuencias del incumplimiento de este último; el AI Act añadirá requisitos adicionales a partir de agosto de 2026. Un informe de 2025 del Rockefeller Institute of Government recomienda que las universidades mapeen sus casos de uso de IA contra las categorías de riesgo del Reglamento como primer paso hacia el cumplimiento, citando los modelos de gobernanza desarrollados por la Universidad de Utrecht y la Universidad de Edimburgo como marcos de referencia (Rockefeller Institute 2025).

El enfoque de China hacia la IA en la evaluación educativa refleja su filosofía regulatoria sectorial. En lugar de una ley integral única de IA, China gobierna la IA educativa a través de una combinación de las Medidas Provisionales de 2023 para los Servicios de IA Generativa, las disposiciones de la PIPL sobre la toma de decisiones automatizada y las directivas del Ministerio de Educación. El uso de tecnologías de supervisión y vigilancia por IA en las universidades chinas, aunque sujeto a los requisitos de consentimiento de la PIPL, no enfrenta las restricciones categóricas impuestas por la prohibición de reconocimiento de emociones del AI Act de la UE. Esta asimetría regulatoria tiene implicaciones prácticas para las empresas tecnológicas que desarrollan herramientas de evaluación educativa para ambos mercados: los sistemas diseñados para China pueden incluir funciones que están prohibidas en la UE, y viceversa.

7. Programas conjuntos UE-China: cumplimiento dual en la práctica

Los desafíos de cumplimiento más agudos surgen en los programas académicos conjuntos UE-China, donde los datos estudiantiles cruzan rutinariamente las fronteras jurisdiccionales. Una universidad europea que ofrece una titulación conjunta con una institución china asociada debe transferir datos de matrícula, expedientes académicos y potencialmente datos de analítica del aprendizaje entre las dos instituciones —transferencias que deben cumplir simultáneamente con los requisitos del RGPD para la transferencia internacional de datos y las disposiciones de transferencia transfronteriza de la PIPL—.

Las dificultades prácticas son considerables. Las transferencias del RGPD a China no pueden basarse actualmente en una decisión de adecuación (la Comisión Europea no ha reconocido a China como proveedor de una protección de datos adecuada). Las Cláusulas Contractuales Tipo pueden utilizarse, pero deben complementarse con una evaluación de impacto de la transferencia que considere las leyes de vigilancia chinas y las disposiciones de acceso gubernamental —una evaluación cuyas conclusiones pueden ser desfavorables—. En la otra dirección, las transferencias de la PIPL a Europa requieren uno de los tres mecanismos descritos anteriormente: evaluación de seguridad de la CAC, contrato estándar o certificación.

Estos desafíos no son hipotéticos. Los programas conjuntos sino-europeos se han expandido significativamente en las últimas décadas. China alberga cientos de programas de educación cooperativa sino-extranjera aprobados por el Ministerio de Educación, muchos de los cuales involucran instituciones europeas asociadas. El programa Erasmus+ de la UE apoya intercambios académicos con universidades chinas. El proyecto EU-China Tuning ha alineado las estructuras de titulación en docenas de instituciones. En cada uno de estos contextos, los flujos de datos estudiantiles entre jurisdicciones son rutinarios y necesarios —sin embargo, el marco jurídico para estos flujos sigue siendo fragmentado e incierto—.

Para las universidades que participan en la cooperación UE-China, identificamos cuatro estrategias prácticas para gestionar el cumplimiento dual. Primera, minimización de datos en el punto de transferencia: compartir solo los datos mínimos necesarios para el programa conjunto, utilizando datos anonimizados o seudonimizados siempre que sea posible. Segunda, separación arquitectónica: mantener sistemas de datos separados para las operaciones en la UE y en China, con interfaces controladas para el intercambio de datos necesario. Tercera, marcos contractuales: desarrollar acuerdos bilaterales de intercambio de datos que aborden explícitamente tanto los requisitos del RGPD como los de la PIPL, incluyendo disposiciones sobre los derechos de los interesados, la notificación de brechas y la retención de datos. Cuarta, desarrollo de capacidades institucionales: invertir en formación del personal y en experiencia en protección de datos que abarque ambos marcos regulatorios.

8. La brecha de preparación

A pesar de la importancia de estos marcos regulatorios, la evidencia empírica sugiere que las universidades de ambas jurisdicciones enfrentan una brecha de preparación sustancial. En el contexto europeo, el hallazgo de 7DOTS (2024) de que el 81 por ciento de las universidades del Reino Unido no cumplen los estándares del RGPD es coherente con los datos del Rastreador de Aplicación de CMS que muestran infracciones persistentes en 25 Estados miembros. El análisis de XL Law and Consulting documenta 45 acciones de aplicación del RGPD contra instituciones educativas, con una multa media de aproximadamente 32.600 euros —modesta en comparación con el sector tecnológico, pero significativa para instituciones con presupuestos ajustados (XL Law 2023)—.

El análisis de XL Law and Consulting sobre las acciones de aplicación del RGPD revela además un patrón sectorial: las instituciones educativas representan menos del 3 por ciento de todas las acciones de aplicación del RGPD, con una multa media de aproximadamente 32.600 euros —frente a 1,8 millones de euros en todos los sectores—. España, Italia y Polonia son responsables de más del 65 por ciento de las acciones de aplicación contra instituciones de educación superior. Cabe destacar que la autonotificación de brechas de datos no protegió a las instituciones de multas sustanciales, lo que sugiere que los esfuerzos proactivos de cumplimiento deben ir más allá de la respuesta a incidentes (XL Law 2023).

En el contexto chino, la brecha de preparación se manifiesta de manera diferente. Aunque la PIPL está en vigor desde noviembre de 2021, la aplicación en el sector educativo ha sido menos visible que en los sectores tecnológico y financiero. El énfasis ha estado en las empresas de plataformas que procesan datos a escala, no en las instituciones educativas individuales. Sin embargo, los Reglamentos sobre Gestión de la Seguridad de los Datos de Red (vigentes desde enero de 2025) y las Medidas de Certificación para las transferencias transfronterizas (vigentes desde enero de 2026) señalan una creciente atención regulatoria a las prácticas de gobernanza de datos en todos los sectores, incluida la educación.

9. Recomendaciones para las universidades

Basándonos en nuestro análisis comparativo, proponemos siete recomendaciones para las universidades que buscan navegar los requisitos superpuestos del RGPD y la PIPL:

Primera, realizar un ejercicio integral de mapeo de datos que identifique todas las actividades de procesamiento de datos personales, sus bases jurídicas bajo tanto el RGPD como la PIPL, y todos los flujos transfronterizos de datos. Este mapeo debe cubrir no solo los procesos académicos formales, sino también los sistemas auxiliares: analítica de Wi-Fi del campus, bases de datos de bibliotecas, plataformas de servicios de empleo y sistemas de gestión de antiguos alumnos.

Segunda, establecer un marco unificado de gobernanza de datos que aborde tanto los requisitos del RGPD como los de la PIPL. Aunque las dos leyes difieren en sus orientaciones filosóficas, sus requisitos prácticos se solapan sustancialmente. Un marco diseñado para cumplir el más estricto de los dos requisitos en cada área generalmente logrará el cumplimiento de ambos.

Tercera, adoptar un modelo de consentimiento-plus para la analítica del aprendizaje. Dado que la ausencia de una base de intereses legítimos en la PIPL hace que el consentimiento sea más central que bajo el RGPD, las universidades que participan en cooperación internacional deben construir mecanismos de consentimiento que cumplan los estándares de la PIPL —que típicamente superarán los requisitos del RGPD y, por lo tanto, satisfarán ambos marcos—.

Cuarta, implementar la privacidad desde el diseño en la adquisición y el desarrollo de tecnología educativa. El marco de Lachheb y colegas (2023) para la ética del diseño en tecnología educativa proporciona un punto de partida, al igual que la orientación del CEPD sobre IA y datos personales. Los contratos de adquisición deben exigir explícitamente a los proveedores que demuestren el cumplimiento tanto del RGPD como de la PIPL cuando sea aplicable.

Quinta, invertir en capacidad institucional. La brecha de preparación documentada por 7DOTS (2024) y CMS (2025) refleja no un incumplimiento deliberado sino una experiencia y unos recursos insuficientes. Las universidades deben designar delegados de protección de datos con experiencia específica en datos educativos y flujos de datos internacionales, y proporcionar formación periódica al personal docente y administrativo.

Sexta, desarrollar acuerdos bilaterales de intercambio de datos para los programas conjuntos con instituciones chinas (o europeas) asociadas. Estos acuerdos deben ir más allá de las cláusulas contractuales tipo para abordar los requisitos específicos de los datos educativos: expedientes académicos, datos de evaluación, analítica del aprendizaje y datos de investigación plantean cada uno desafíos de cumplimiento distintos.

Séptima, vigilar activamente los desarrollos regulatorios. Ambos marcos están evolucionando rápidamente. Los requisitos de alto riesgo del AI Act de la UE para la IA educativa entran plenamente en vigor en agosto de 2026. Las medidas de certificación de transferencia transfronteriza de China entraron en vigor en enero de 2026. Las decisiones de adecuación de la Comisión Europea y las disposiciones de contrato estándar de la CAC están sujetas a revisión. Las universidades que tratan la protección de datos como un ejercicio de cumplimiento puntual en lugar de una función de gobernanza continua inevitablemente se quedarán rezagadas.

10. Conclusión

La comparación del RGPD y la PIPL en el contexto educativo revela una paradoja: dos de los regímenes de protección de datos más integrales del mundo, ambos afirmando proteger a los individuos del uso indebido de sus datos personales, divergen tan fundamentalmente en sus suposiciones filosóficas que el cumplimiento de uno no garantiza el cumplimiento del otro. El énfasis del RGPD en la autonomía individual, la supervisión independiente y la limitación de finalidad refleja las tradiciones democráticas europeas; el énfasis de la PIPL en la soberanía estatal, la aplicación centralizada y la seguridad nacional refleja el modelo de gobernanza distinto de China. Ninguno de los dos sistemas ha logrado demostrar una protección de datos adecuada en la práctica —los datos de aplicación europeos documentan un incumplimiento generalizado, mientras que la aplicación china en la educación sigue siendo incipiente—.

Para las universidades, el desafío práctico es navegar estos requisitos superpuestos y a veces conflictivos manteniendo la cooperación internacional que es esencial para la educación superior moderna. El desafío del cumplimiento dual no es meramente una tecnicidad jurídica; refleja cuestiones más profundas sobre el papel de los datos en la educación, el equilibrio entre el poder institucional y los derechos individuales, y la posibilidad de una privacidad significativa en un entorno de aprendizaje cada vez más datificado.

Lo que está en juego en este desafío va más allá del cumplimiento legal. La protección de datos estudiantiles se trata, en última instancia, de confianza: los estudiantes deben confiar en que sus universidades manejarán su información personal de manera responsable, que sus expedientes académicos no serán utilizados en su contra, que sus comportamientos de aprendizaje no serán vigilados sin su conocimiento, y que sus datos no serán compartidos con partes que no han autorizado. Cuando las universidades no cumplen estas expectativas —ya sea a través de infracciones del RGPD documentadas en los datos de aplicación de CMS, a través de sistemas opacos de analítica del aprendizaje, o a través de tecnologías de supervisión desplegadas sin consentimiento adecuado—, erosionan la confianza que es fundamental para la relación educativa.

Hemos argumentado que ni el enfoque europeo ni el chino proporcionan por sí solos un modelo adecuado. El énfasis del RGPD en los derechos individuales y la supervisión independiente proporciona protecciones importantes contra el exceso institucional, pero su complejidad y las brechas de aplicación socavan su eficacia. La aplicación centralizada de la PIPL y sus vías de cumplimiento claras ofrecen ventajas prácticas, pero su subordinación a los intereses del Estado plantea interrogantes sobre la protección que ofrece contra la vigilancia gubernamental. Una síntesis que combine los principios europeos basados en derechos con la eficiencia regulatoria china —o, más modestamente, un conjunto de directrices prácticas que permita a las universidades satisfacer ambos marcos simultáneamente— sigue siendo el camino más prometedor. Las recomendaciones propuestas en este artículo representan una contribución inicial a esa síntesis, fundamentada en los desafíos específicos de protección de datos que enfrentan las universidades en la era de la educación digital.

Agradecimientos

Esta investigación se realizó en el marco del Centro de Excelencia Jean Monnet «EUSC-DEC» (Subvención de la UE 101126782, 2023–2026). El autor agradece a los miembros del Grupo de Investigación 1 (Regulación de la Digitalización en China y Europa) sus contribuciones al análisis jurídico comparativo.

Referencias

7DOTS. (2024). Report: 81% of Universities at Risk of Fines Due to Failure to Safeguard Student Data. 7DOTS.

AACRAO. (2022). China's Personal Information Protection Law (PIPL). AACRAO.

Blackmon, S. J. & Major, C. H. (2023). Inclusion or infringement? A systematic research review of students' perspectives on student privacy. British Journal of Educational Technology, 54(6), 1542–1565.

CMS Law. (2025). GDPR Enforcement Tracker Report 2024/2025: Public Sector and Education. CMS.

CMS Law-Now. (2025). China issues Measures for the Certification of the Cross-Border Transfer of Personal Information.

DataGuidance. (2022). Comparing Privacy Laws: GDPR v. PIPL. DataGuidance.

EDPB. (2024). Opinion 28/2024 on certain data protection aspects related to AI models.

European Parliament and Council. (2024). Regulation (EU) 2024/1689 (Artificial Intelligence Act).

Fernandez-Novel Escobar, E. (2025). How do the EU's GDPR and China's PIPL regulate cross-border data flows? IE University.

Garante per la protezione dei dati personali. (2021). Decision 9703988 — Fine against Università Bocconi.

Giuffrida, I. & Hall, A. (2023). Technology integration in higher education and student privacy. British Journal of Educational Technology, 54(6), 1587–1603.

IAPP. (2021). Analyzing China's PIPL and how it compares to the EU's GDPR. IAPP.

Kumi-Yeboah, A. et al. (2023). Diverse students' perspectives on privacy and technology integration. British Journal of Educational Technology, 54(6), 1671–1692.

Lachheb, A. et al. (2023). The role of design ethics in maintaining students' privacy. British Journal of Educational Technology, 54(6), 1653–1670.

Li, W. & Chen, J. (2024). From Brussels Effect to Gravity Assists. Computer Law and Security Review, 54, 105994.

Lim, S. & Oh, J. (2025). Navigating Privacy: A Global Comparative Analysis. IET Information Security, 2025(1).

Liu, Q. & Khalil, M. (2023). Understanding privacy and data protection issues in learning analytics. British Journal of Educational Technology, 54(6), 1466–1485.

Liu, Q. et al. (2025). Ensuring privacy through synthetic data generation in education. British Journal of Educational Technology.

MIT Office of General Counsel. (2022). China and the PIPL: New Protections and Rights for Personal Information. MIT.

Prinsloo, P., Slade, S. & Khalil, M. (2022). The answer is (not only) technological. British Journal of Educational Technology, 53(4), 876–893.

Rockefeller Institute of Government. (2025). The European AI Act and Its Implications for Higher Education.

State Council of the PRC. (2024). Regulations on Network Data Security Management.

XL Law and Consulting. (2023). GDPR Enforcement Actions: Lessons for Colleges and Universities.

Xue, Y., Chinapah, V. & Zhu, C. (2025). A Comparative Analysis of AI Privacy Concerns in Higher Education. Education Sciences, 15(6), 650.

Zanfir-Fortuna, G. (2020). The GDPR: Analysis and Guidance for US Higher Education Institutions. Future of Privacy Forum.

Zhang, L. & Kollnig, K. (2024). Theory and practice: children's personal information protection in China. International Data Privacy Law, 14(1), 37–52.

Zhu, J. (2022). The PIPL: China's Version of the GDPR? Columbia Journal of Transnational Law.



Retrieved from "https://bou.de/u/index.php?title=Rethinking_Higher_Education/es/Chapter_3&oldid=175988"