Versión imprimible y descargable como PDF.
Evaluación de Impacto en Protección de Datos (DPIA)
Conforme al artículo 35 del RGPD y a las orientaciones de la AEPD.
Última actualización: 3 de mayo de 2026.
1. Descripción del tratamiento
Aulify es una plataforma SaaS que permite a un profesor crear un asistente educativo con inteligencia artificial a partir de su material de clase. Los alumnos conversan con el asistente para resolver dudas y avanzar a su ritmo. La plataforma almacena: alias del alumno, conversaciones y un mapa de progreso pedagógico. El asistente se ciñe estrictamente al material subido, no busca en internet y no añade conocimiento externo.
2. ¿Por qué se realiza esta DPIA?
El tratamiento implica datos de menores, uso de IA generativa y evaluación sistemática del progreso del alumnado, supuestos que la AEPD considera susceptibles de DPIA aunque el riesgo final sea bajo.
3. Necesidad y proporcionalidad
- Solo se recogen los datos imprescindibles: alias del alumno (sin contraseña ni email del alumno), conversaciones y progreso.
- No se recogen datos identificativos directos del menor (apellidos, DNI, fecha de nacimiento, dirección, teléfono, email, foto).
- El profesor recibe un aviso explícito en el alta del asistente para no incluir datos personales del alumnado en el material subido.
- El alumno y el profesor son informados expresamente de que la conversación es visible para el profesor.
- Las conversaciones no se utilizan para entrenar modelos de IA de los proveedores.
- Dictado por voz local-first: la entrada por voz opcional del chat se diseñó deliberadamente para ejecutarse íntegramente en el navegador del alumno (Web Speech API del propio dispositivo). De este modo Aulify no trata audio de menores, no realiza transferencia internacional de voz y evita por diseño el régimen reforzado del art. 9 RGPD asociado al tratamiento de voz como categoría especial cuando se utiliza con fines de identificación. El responsable solo recibe el texto resultante.
4. Riesgos identificados y medidas
| Riesgo | Probabilidad | Impacto | Medidas |
|---|---|---|---|
| Acceso no autorizado a conversaciones del alumno | Baja | Medio | Cifrado TLS y en reposo. RLS por usuario. Autenticación obligatoria. Solo el profesor creador accede. |
| Subida por el profesor de material con datos personales de menores | Media | Medio | Aviso en el alta del asistente y en la documentación. Posibilidad de borrado inmediato por el profesor. |
| Falta de consentimiento parental para menores de 14 años | Media | Alto | Casilla obligatoria de declaración del profesor antes de crear el asistente. Información para familias publicada y enlazada. |
| Transferencia internacional a proveedores de IA | Alta (estructural) | Bajo | Acuerdos con SCC + EU–US Data Privacy Framework. No reutilización para entrenamiento. Datos minimizados. |
| Alucinación o respuesta inadecuada de la IA | Media | Bajo | Tutor restringido al material del profesor. El profesor revisa conversaciones desde su panel. Botón de ayuda y reescritura de explicación. |
| Imposibilidad de ejercer derechos RGPD por el menor | Baja | Medio | Vía rápida a través del profesor (borrado inmediato). Formulario de ejercicio de derechos y contacto en hello@aulify.app. |
| Brecha de seguridad | Baja | Alto | Notificación al responsable en menos de 72h. Copias de seguridad. Procedimiento documentado. |
5. Conclusión
Tras aplicar las medidas anteriores, el riesgo residual para los derechos y libertades de los interesados se considera bajo. No es necesario realizar consulta previa a la autoridad de control (art. 36 RGPD).
6. Revisión
Esta DPIA se revisará al menos una vez al año o cuando se produzcan cambios sustanciales en el tratamiento (nuevos proveedores de IA, nuevas finalidades, cambios normativos).