Hacia una regulación de uso de IA en los centros educativos

El uso masivo de la IA generativa en la vida cotidiana de estudiantes y docentes está llevando a las instituciones educativas a empezar a pensar qué modelo de uso ofrecer de forma reglada en los centros educativos. La preocupación se centra más en la privacidad y seguridad que en la realidad de uso. Primero que sea seguro, después ya veremos cómo integrarlo. El enfoque es más preventivo que didáctico. Se busca un entorno de aprendizaje de IA generativa reglado y cerrado, que asegure privacidad y no genere casuísticas indeseables desde un punto de vista jurídico. 

Cualquier uso formal y reglado de la IA generativa pasaría por un modelo previamente establecido por las Consejerías de Educación. Fuera de ese entorno y criterios, no se reconocerían créditos de formación y en caso de problemas de uso el docente no estaría asegurado. Existe un temor institucional al uso de herramientas de IA generativa que no aseguren un entorno privado con garantías. Sin embargo, aunque el aula sea un espacio seguro a la hora de usar la IA, no lo es fuera del aula. No se puede obviar el contexto desde el que el estudiante utiliza estas herramientas y el impacto que tiene sobre su percepción de la realidad, el aprendizaje, el trabajo y sus relaciones interpersonales. Ofrecer un entorno seguro no garantiza que el estudiante cambie sus rutinas de uso. De ahí que el enfoque debiera ser sistemático, integrando a familias y contexto social. Igualmente, de nada sirve dotar individualmente al docente de competencias con píldoras formativas funcionales si no se amplía con un modelo formativo más integral y didáctico, que vertebre el diseño curricular, incluida la evaluación. Para adquirirlas debe hacerlo en un entorno colaborativo para que cuaje en las rutinas de aula, la vida del centro y fuera de él. 

La formación se integrará dentro del plan digital de cada comunidad autónoma y el especifico de cada centro educativo, bajo el formato de acreditación ya existente, el Marco Común Europeo de Competencia Digital (DIGCOMP) que clasifica las competencias digitales en niveles de A1 a C2, de manera muy similar al MCER para idiomas.

Ese entorno de uso solo es posible mediante subcontrata de servicios de plataformas de IA que cumplan con estándares europeos y se adapten a contenidos didácticos previos. Un entorno “reglado y cerrado” para IA generativa en K-12 (Infantil a Bachillerato) mediante suites con control administrativo, DPA (Data Processing Agreement, contrato de encargo de tratamiento, un acuerdo exigido por el art. 28 del RGPD entre la consejería/centro y el proveedor de IA) y residencia de datos en la UE. 

Hoy, existen tres rutas realistas de suites educativas con IA y garantías (viables ya):

• Google Workspace for Education + Gemini Gemini for Education: Es un servicio con protección de datos de nivel empresarial, administración centralizada y compromiso de no usar los datos para entrenar modelos, bajo los términos de Workspace for Education. 
• Microsoft 365 Education + Copilot: Copilot hereda las salvaguardas de M365 (GDPR, ISO/IEC 27018), datos privados y controlados por el inquilino, con EU Data Boundary (salvo búsquedas web). 
• ChatGPT Edu: Posee controles de seguridad empresariales y, desde 2025, residencia de datos en Europa para instituciones. Está más extendido en universidad, pero aplicable a redes educativas. No está implantado apenas en Europa, a pesar de que Chat GPT es la herramienta más usada por los estudiantes y los docentes, tanto en entornos cotidianos como profesionales.

El modelo adoptado por Extremadura en 2025 es Google for Education (160.000 licencias alumnado/40.000 docencia) con foco en seguridad y formación; implantación a través de integrador (Gesein-Solutia). La Consejería de Educación de Andalucia renovó convenios con Google Workspace y Microsoft 365 para toda la red de centros (plataformas cloud educativas a gran escala). Galicia no posee “tenant cerrado” específico de IA anunciado, pero pilota herramientas “útiles y seguras” y ha presentado una Ley de Educación Digital que prepara el terreno regulatorio.

Todas las consejerías exigirán unos requisitos mínimos al proveedor:

1) DPA educativo + datos en la UE y cifrados. Un contrato donde la empresa promete no usar datos del cole para nada fuera del servicio, guardarlos en Europa y tenerlos cifrados. Esto supone:

• DPA específico para educación (RGPD art. 28).
• “No entrenamos modelos con vuestros datos”.
• Ubicación UE/EEE y cifrado en tránsito y en reposo.
• Comprueba: te dan el DPA para firmar + documento de ubicación de datos + certificaciones (ISO 27001/27018 o similar).

2) Privacidad: historial y entrenamiento apagados, control de adjuntos, “caducidad” de datos y logs exportables. Que la herramienta no guarde ni aprenda de lo que hacéis por defecto, que no permita subir archivos sensibles si lo decides, que lo que se guarda caduca y que puedas descargar el registro de uso. Esto supone:

• Historial/entrenamiento OFF por defecto (con opción de activarlo solo para profes si queréis).
• Bloqueo de adjuntos o filtros por tipo de archivo.
• TTL (tiempo de vida) de datos configurable (p. ej., 30–90 días).
• Logs exportables (quién usó, cuándo, prompts/salidas).
• Comprueba: pantallazos del panel admin con esos switches + ficha técnica.

3) Accesos: SSO del dominio educativo, perfiles por rol y políticas por unidad organizativa (OU) + cuotas. Entran con su cuenta del centro; alumnos y docentes tienen permisos distintos; puedes aplicar normas distintas por etapa/centro; y limitar cuánto lo usan. Esto supone:

• SSO (Google/Microsoft/IdP del centro).
• Roles separados alumno/docente/admin.
• Políticas por OU (p. ej., 1º ESO ≠ Bachillerato).
• Cuotas de uso/adjuntos.
• Comprueba: demo del panel con OUs y políticas aplicadas.

4) Trazabilidad: panel para ver prompts/salidas y transparencia en tareas. Un tablero donde puedas auditar lo que se ha pedido a la IA y lo que devolvió, y una norma de clase para que el alumnado diga cómo usó la IA en cada tarea. Esto supone:

• Panel con historial por usuario/grupo (prompts, respuestas, fecha).
• Exportación CSV/JSON para auditoría.
• Plantilla de “declaración de uso” para tareas (el proveedor puede incluirla o la ponéis vosotros).
• Comprueba: ejemplo real exportado + guía de uso docente.

5) Catálogo de apps IA (blanca/gris/negra) y formación sin casarse con marcas. Lista de qué se puede usar (blanca), qué solo en demostraciones (gris) y qué está vetado (negra); y formación centrada en privacidad y didáctica, no en vender una herramienta. Esto supone:

• Mecanismo de bloqueo/permitir apps y actualizaciones trimestrales.
• Materiales de formación sobre datos, sesgos, autoría, evaluación, aplicables a cualquier IA.
• Comprueba: política escrita + sesión formativa tipo + cómo se gestionan altas/bajas en la lista.

La aplicación de este modelo requeriría encajarlo en normas y currículo:

• Instrucciones de inicio de curso: qué usos sí/no y trazabilidad mínima.

• Alineación curricular: qué estándares/competencias se desarrollan en cada etapa.

• Evaluación: rúbrica anti-dependencia y guía de coevaluación con IA.

• Accesibilidad/igualdad: pautas para alumnado NEAE/NEE y brecha digital.

La orientación inicial y formación recaerá en los centros de formación. Debieran determinarse itinerarios y guías de uso por etapa/área (ESO, Bach, FP). No existe aún un protocolo didáctico por etapas ni criterios de integración de la IA generativa en el proceso de aprendizaje y la evaluación. Es fácil caer en un modelo funcional de mero pildoraje con un enfoque individualista, centrado en las meras garantías de seguridad y privacidad, sin una filosofía pedagógica que oriente y ayude al docente en la realidad de su centro y aula, y que vaya más allá de la mera competencia del docente aislado, solo en su aula, y no dentro de un proyecto de centro y en relación con el resto de la comunidad educativa, especialmente las familias, eje esencial de la educación digital fuera de las paredes del centro educativo y germen de múltiples distopías de uso. 

Es previsible que el modelo estándar de formación sea similar a éste:

• Nivel 1 Inicial:
• Marco básico: qué dice el RGPD y por qué importa en el aula.
• Riesgos reales: privacidad, sesgos, alucinaciones y dependencia.
• Prompting responsable: cómo pedir bien (y con límites claros).
• Verificación: trucos para comprobar datos y detectar inventos.
• Buenas prácticas en clase: datos “verdes”, transparencia.

• Nivel 2 Intermedio: 
  
• Diseño de secuencias por etapas (ESO/Bach/FP) integrando IA con sentido pedagógico.
• Andamiaje con IA: cuándo usarla para ideas, borradores, revisión o feedback.
• Uso crítico de herramientas: exactitud, fuentes, sesgos y riesgo de datos.
• Evaluación justa: rúbricas.
• Inclusión: adaptaciones NEAE/NEE, lectura fácil y multimodalidad.

• Nivel 3 Avanzado: 
• Diseñar, pilotar y evaluar un proyecto de área, interdisciplinar y/o de centro con IA.
• Trazabilidad avanzada: evidencias, defensa y mejora continua.
• Gobernanza ligera: lista blanca/gris/negra, protocolos y comunicación a familias.
• Medición de impacto: indicadores sencillos para tomar decisiones.

Este u otro plan formativo se podrá llevar a cabo mediante curso tutorizado online y presencial, formación en centro, seminario docente, acompañamiento en aula, comunidades de práctica...

Pero como indiqué al inicio de este texto, este andamiaje organizativo y formativo es insuficiente si no se dota de criterios didácticos y prácticas integrativas que transformen la forma de dar clase y de entender la relación con el resto de las comunidad educativa. Insisto en que no se puede dejar fuera a las familias, ya que el conflicto con la tecnología viene desde fuera del centro educativo, no se gesta en el aula. De hecho, es en las escuelas donde se puede aprender mejor a usar la IA. Ofrecer un entorno seguro sin hablar de cómo la usamos fuera de esa burbuja ética, sería un grave error que reproduciría las distopías en vez de reducirlas. La vida no es un entorno seguro. La escuela debe no solo proteger, también preparar para afrontar las contingencias vitales con sinceridad y apoyo.