RGPD

RGPD y directorio alumni: checklist de 12 puntos antes de abrir

Su proyecto alumni está listo para lanzarse. Base limpia, plataforma elegida, comunicación preparada. Luego el DPO envía su correo: «12 puntos a verificar antes de la puesta en producción». Dos meses de retraso, negociaciones duras con el editor, a veces abandono del proyecto. Aquí está la checklist RGPD completa para un directorio alumni, a validar antes de elegir su plataforma — no después.

14 de abril de 2026 Lectura ~8 min Por Thibault Sabathier

Por qué el RGPD mata al 30 % de los proyectos alumni

El esquema se repite en 1 proyecto alumni de cada 3. La dirección alumni elige una plataforma, negocia el contrato, parametriza, prepara la comunicación. El DPO de la escuela o de la asociación es consultado en el último momento — a veces a D-15 del lanzamiento. Bloquea. El proyecto sufre 2 a 6 meses de retraso, o peor, cambia completamente de plataforma con contrato ya firmado.

Tres casos de rechazo se repiten sistemáticamente. Primero: rechazo de validación del alojamiento en Estados Unidos tras la sentencia Schrems II. Segundo: rechazo del import automático de perfiles LinkedIn sin consentimiento explícito de las personas. Tercero: rechazo de envío de emails masivos sin opt-in documentado con un log horodatado. Cada uno de estos rechazos es legítimo — y previsible si el DPO se consulta desde el inicio.

El impacto típico: 2 a 6 meses de retraso, costes ocultos de doble parametrización, pérdida de confianza interna entre dirección y área de TI, y en el 15 % de los casos observados, rescisión del contrato con el editor con costes de salida. La lección es simple: validar la conformidad RGPD antes de la firma, no después.

Los 12 puntos críticos a validar

Aquí está la checklist mínima a hacer firmar por el DPO antes de firmar con un editor. Ninguno de estos puntos es negociable en conformidad — todos están en la letra o el espíritu del RGPD y de las recomendaciones de la autoridad de protección de datos (en Francia, la CNIL).

  1. Base legal del tratamiento. Interés legítimo de la escuela para el directorio institucional, o consentimiento explícito para la asociación alumni. Documentar la elección en el registro de tratamientos. No confundir ambos: no tienen las mismas obligaciones.
  2. Registro de tratamientos actualizado. Obligación para toda entidad > 250 empleados o que trate datos sensibles. El directorio alumni debe figurar con finalidades, duración, destinatarios.
  3. Plazo de conservación. ¿Alumni = toda la vida? No. Definir una duración (a menudo 10 años tras la última conexión) y un proceso de purga automática. Conservar «por defecto» es una violación.
  4. Transferencias fuera de la UE. Desde Schrems II, alojamiento Francia o UE recomendado. Si transferencia a EE. UU. inevitable, SCC (Cláusulas Contractuales Tipo) + medidas complementarias documentadas.
  5. Cookies y trackers. Banner conforme (deliberación CNIL 2020), rechazo tan simple como la aceptación, registro de consentimiento conservado 5 años. Sin trackers mientras no haya consentimiento.
  6. Anonimización vs seudonimización. Para las estadísticas de inserción (CGE/CTI), se requiere la anonimización — no solo la seudonimización. Ver la guía encuesta CGE para las modalidades exactas.
  7. Derecho al olvido. Un alumni elimina su cuenta en 3 clics desde su espacio, no vía un email al soporte que tarde 3 semanas. Proceso documentado, plazo máximo 30 días.
  8. Derecho a la portabilidad. Export JSON o CSV de todos los datos del usuario a petición, entregado en 30 días máximo. Probar la funcionalidad antes de la puesta en producción.
  9. Notificación de violación. Proceso interno documentado para informar a la autoridad en 72h en caso de fallo. Incluir el proceso del editor en el DPA.
  10. DPO designado. Escuela pública: obligación. Asociación alumni: según umbrales y tratamientos. Posibilidad de compartir un DPO externo entre escuela y asociación si la gobernanza es clara.
  11. AIPD (Análisis de Impacto). Obligatorio para los tratamientos de riesgo: scoring mentoría automatizado, enriquecimiento LinkedIn, cruce de datos sensibles, perfilado. No opcional.
  12. DPA firmado con el editor. Anexo obligatorio al contrato. Un editor que se niega a firmar un DPA es descalificatorio — no hay contrato sin DPA.

Casos especiales: doblemente inscritos, alumni en el extranjero, datos sensibles

Algunas situaciones complican la tabla estándar. El caso del doblemente inscrito primero: un alumni está al mismo tiempo en el directorio institucional de la escuela (base legal: interés legítimo) y en el archivo de la asociación alumni (base legal: consentimiento). Ambos tratamientos coexisten pero deben documentarse separadamente. No mezclar las bases legales en un único tratamiento opaco.

Segundo caso: los alumni que residen fuera de la UE. El RGPD se aplica desde que la recogida se efectúa por una entidad UE, incluso con usuarios finales no UE. Un alumni francés expatriado en Singapur sigue protegido por el RGPD en su relación con la escuela francesa. Los exports de datos hacia países terceros (para un evento local por ejemplo) requieren las mismas garantías que las transferencias a EE. UU.

Tercer caso: los datos sensibles (religiosos, políticos, de salud, orientación sexual, afiliación sindical). A proscribir por defecto en un directorio alumni. Si la recogida es necesaria — por ejemplo para un grupo de afinidad confesional — consentimiento explícito Y finalidad legítima Y almacenamiento aislado de los demás datos. Para los casos específicos extra-UE, ver la guía RGPD diáspora que detalla las reglas cruzadas diáspora / RGPD.

Alojamiento Francia vs SCC (Schrems II en la práctica)

La sentencia Schrems II del Tribunal de Justicia de la Unión Europea (julio de 2020) ha debilitado toda transferencia de datos hacia los Estados Unidos. El motivo: el CLOUD Act estadounidense permite a las autoridades federales acceder a los datos almacenados por las empresas US, incluso si los servidores están situados en la UE. Esta extraterritorialidad es incompatible con el nivel de protección RGPD.

Dos soluciones en la práctica. Solución A: alojamiento Francia o UE en un actor no sometido al CLOUD Act. Las tres referencias: OVHcloud (Roubaix, Gravelines, Estrasburgo), Scaleway (París), Outscale (Dassault, calificado SecNumCloud). Es la solución recomendada por la autoridad de protección y la elección más simple para un DPO.

Solución B: Cláusulas Contractuales Tipo (SCC nueva versión 2021) con medidas complementarias documentadas. Aceptadas jurídicamente pero regularmente impugnadas en la práctica, y los DPO de las escuelas públicas rechazan mayoritariamente esta vía para los datos de estudiantes y alumni.

Consecuencia directa en el mercado: los DPO de escuelas públicas bloquean regularmente AlumnForce cuando hay componentes alojados fuera de la UE, y Hivebrite cuya infraestructura principal está en Estados Unidos. El alojamiento en Francia se convierte en una ventaja competitiva decisiva para los contratos con escuelas públicas o asociaciones reconocidas de utilidad pública.

Template de DPA a firmar con su editor

El DPA (Data Processing Agreement) es el anexo al contrato que enmarca el papel del encargado del tratamiento (el editor) frente al responsable del tratamiento (la escuela o la asociación). Sin DPA, el contrato no es conforme al RGPD. La autoridad pública proporciona un modelo público para adaptar.

Las 9 cláusulas obligatorias del DPA se precisan en el artículo 28 del RGPD:

  • Objeto, naturaleza y finalidad del tratamiento
  • Duración del tratamiento y modalidades de fin de contrato
  • Tipos de datos tratados y categorías de personas afectadas
  • Obligaciones y derechos del responsable de tratamiento
  • Subcontratistas en cascada (lista actualizada, derecho de impugnación)
  • Instrucciones documentadas del responsable del tratamiento
  • Confidencialidad del personal del encargado del tratamiento
  • Seguridad del tratamiento (medidas técnicas y organizativas)
  • Asistencia del encargado para los derechos de las personas y las violaciones

Puntos de negociación frecuentes: responsabilidad en caso de violación (limitada o no), derecho de auditoría (real o documental), subcontratistas en cascada (cambio con preaviso de 30 días). Un editor que se niega a negociar estos puntos se descarta — los DPO los exigirán en cualquier caso.

Checklist final antes de la firma

Antes de firmar el contrato con el editor, hacer validar por el DPO los 12 puntos anteriores. Para cada uno, exigir una respuesta escrita del editor, no solo un argumentario comercial. Un «Proof of Compliance» escrito compromete al editor; un discurso de comercial no vale nada en caso de control.

  • Obtener el registro de tratamientos puesto a disposición por el editor
  • Verificar el alojamiento Francia o las garantías SCC sobre documento
  • Probar en condiciones reales los derechos RGPD (eliminación de cuenta, export de datos)
  • Validar el modelo de DPA con el área jurídica de la escuela y el DPO
  • Documentar todas las respuestas en una tabla de conformidad firmada en la fecha de puesta en producción

Para profundizar: sección dedicada en la página /alumni/ (infraestructura y alojamiento Francia), y la guía migración limpia desde Excel que detalla la gestión de consentimientos durante el cambio desde datos antiguos.

Una plataforma alumni conforme desde el día 1

Alojamiento Francia (OVH), DPA firmado, gestión de derechos automatizada, consentimiento trazado. Prueba 14 días, sin compromiso.

Verificar la conformidad Reservar una demo