CoRubrics
Versió 1.0Data d'efecte: 30 de maig de 2026

CoRubrics — Acord d'Encàrrec de Tractament

Acord d'Encàrrec de Tractament

Aquest Acord d'Encàrrec de Tractament (en endavant «AET» o «Acord») regula el tractament de dades personals que CoRubrics du a terme per compte del docent o responsable del tractament que utilitza la plataforma, d'acord amb el que exigeix l'article 28 del Reglament (UE) 2016/679 (RGPD) i la Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals (LOPDGDD).

Acceptació i incorporació

Aquest AET queda incorporat per referència a les Condicions d'Ús de CoRubrics. Els responsables del tractament subjectes al RGPD que introdueixin dades personals d'estudiants o d'altres persones a la plataforma accepten aquest Acord en fer servir el servei. En cas de conflicte entre aquest AET i les Condicions d'Ús respecte al tractament de dades personals, prevaldrà aquest AET.

Aquest Acord té efecte automàtic. En registrar un compte a CoRubrics o continuar utilitzant el servei, el responsable del tractament accepta les condicions d'aquest Acord en nom propi i en nom de la seva organització, si escau. No es requereix signatura manuscrita.

1. Definicions i interpretació

Als efectes d'aquest Acord s'aplicaran les definicions següents:

  • «RGPD» designa el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals.
  • «LOPDGDD» designa la Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals.
  • «Responsable del tractament» (o «Client») designa el docent o entitat que accepta aquest Acord i que determina les finalitats i els mitjans del tractament de dades personals en el context del seu ús de CoRubrics.
  • «Encarregat del tractament» (o «CoRubrics») designa Roger Feliu Vert, que opera sota la marca CoRubrics, amb correu de contacte legal@corubrics.co.
  • «Dades del Client» designa les dades personals que el Responsable introdueix, carrega o genera a través de l'ús dels Serveis.
  • «Serveis» designa la plataforma educativa d'avaluació accessible a corubrics.co, incloent-hi la creació de rúbriques, gestió de classes i alumnat, formularis d'avaluació, càlcul de qualificacions i informes.
  • «Subencàrrec» designa qualsevol tercer contractat per CoRubrics per tractar Dades del Client en nom del Responsable.
  • «Violació de seguretat de les dades» designa tota violació de la seguretat que ocasioni, de manera accidental o il·lícita, la destrucció, pèrdua, alteració, comunicació no autoritzada o l'accés a dades personals transmeses, conservades o tractades d'una altra manera.
  • Els termes «dades personals», «tractament», «interessat», «autoritat de control» i «transferència internacional» tindran els significats atribuïts al RGPD.

2. Tractament de les dades del Client

CoRubrics tractarà les Dades del Client únicament seguint les instruccions documentades del Responsable, incloent-hi les establertes en les Condicions d'Ús de CoRubrics i en aquest Acord, tret que una obligació legal imposi un tractament diferent, en aquest cas CoRubrics n'informarà prèviament el Responsable, excepte quan aquesta informació estigués prohibida per llei.

L'objecte, la naturalesa i la finalitat del tractament és la prestació dels Serveis d'avaluació educativa descrits anteriorment. Les categories de dades personals tractades inclouen: dades identificatives d'estudiants (nom, cognoms, correu electrònic si el docent els aporta), resultats d'avaluació, puntuacions de rúbriques i dades de compte del docent. Els interessats són els estudiants i alumnes gestionats pel Responsable, així com el propi Responsable com a usuari de la plataforma.

L'Encarregat no tractarà les Dades del Client per a fins propis, per a publicitat comportamental ni per a cap altra finalitat diferent de la prestació dels Serveis.

3. Personal de l'Encarregat

CoRubrics garanteix que les persones autoritzades per tractar les Dades del Client han assumit el deure de confidencialitat, ja sigui mitjançant compromís contractual o per obligació legal.

CoRubrics adoptarà totes les mesures raonables per garantir que únicament accedeixi a les Dades del Client el personal el qual accés sigui necessari per prestar els Serveis, i prendrà les mesures adequades per garantir que aquest personal compleixi les obligacions de confidencialitat i seguretat establertes en aquest Acord.

4. Mesures de seguretat (art. 32 RGPD)

CoRubrics implementarà i mantindrà mesures tècniques i organitzatives apropiades per garantir un nivell de seguretat adequat al risc, de conformitat amb l'article 32 del RGPD. Aquestes mesures inclouen, entre d'altres:

  • Xifratge de les dades en trànsit mitjançant TLS 1.2 o superior.
  • Xifratge de les dades en repòs a la infraestructura de base de dades.
  • Controls d'accés i autenticació, incloent-hi enllaços d'un sol ús amb verificació per correu electrònic per a docents i tokens segurs d'un sol ús per a estudiants.
  • Registre d'auditoria de les accions rellevants realitzades a la plataforma.
  • Avaluacions periòdiques i proves de les mesures de seguretat.
  • Procediments per garantir la disponibilitat i la capacitat de restauració oportunes dels sistemes i serveis de tractament en cas d'incident físic o tècnic.

4.1 Evolució de les mesures de seguretat

CoRubrics podrà actualitzar o modificar les mesures de seguretat al llarg del temps, sempre que aquestes actualitzacions o modificacions no redueixin el nivell de protecció general ofert a les Dades del Client.

5. Subencàrrec del tractament

El Responsable autoritza CoRubrics a contractar subencàrregats per al tractament de Dades del Client. La llista actual de subencàrregats autoritzats figura a l'Annex A d'aquest Acord i està disponible permanentment a corubrics.co/dpa.

CoRubrics informarà el Responsable de qualsevol canvi previst a la llista de subencàrregats (incorporació o substitució) mitjançant l'actualització de l'Annex A publicat a corubrics.co/dpa amb un preavís mínim de deu (10) dies naturals abans que el canvi entri en vigor. El Responsable podrà objectar aquests canvis mitjançant comunicació escrita a legal@corubrics.co. Si no es rep cap objecció en el termini indicat, s'entendrà que el Responsable accepta el canvi.

CoRubrics imposarà a cada subencàrrec obligacions de protecció de dades equivalents a les establertes en aquest Acord. En cas que un subencàrrec incompleixi les seves obligacions de protecció de dades, CoRubrics conservarà la seva plena responsabilitat davant el Responsable respecte al compliment de les obligacions del subencàrrec.

6. Drets dels interessats

Tenint en compte la naturalesa del tractament, CoRubrics assistirà el Responsable, mitjançant les mesures tècniques i organitzatives apropiades, perquè pugui complir la seva obligació de respondre a les sol·licituds d'exercici dels drets dels interessats reconeguts en el Capítol III del RGPD (accés, rectificació, supressió, limitació del tractament, portabilitat i oposició).

Si CoRubrics rep una sol·licitud d'un interessat en relació amb Dades del Client tractades per compte del Responsable, CoRubrics redirigirà aquesta sol·licitud al Responsable en el menor termini possible, sense tramitar-la directament tret d'instrucció expressa del Responsable o quan ho exigeixi la llei aplicable.

CoRubrics facilitarà al Responsable les eines tècniques disponibles a la plataforma per gestionar, exportar i suprimir dades d'estudiants i de compte, a fi de col·laborar en l'atenció de les sol·licituds dels interessats.

7. Violació de seguretat de les dades personals

CoRubrics notificarà al Responsable tota violació de seguretat de les dades personals sense dilació indeguda i, en qualsevol cas, com a molt tard en el termini de setanta-dues (72) hores des que CoRubrics en tingui coneixement. La notificació es realitzarà a l'adreça de correu electrònic associada al compte del Responsable.

La notificació inclourà, en la mesura en que sigui possible i es vagi disposant de la informació: la descripció de la naturalesa de la violació, les categories i el nombre aproximat d'interessats i registres afectats, les possibles conseqüències de la violació i les mesures adoptades o proposades per remeiar-la.

CoRubrics cooperarà amb el Responsable i li prestarà tota l'assistència raonable en relació amb qualsevol notificació a l'autoritat de control competent o als propis interessats, tal com requereixen els articles 33 i 34 del RGPD.

8. Avaluació d'impacte i consulta prèvia

CoRubrics prestarà assistència raonable al Responsable en la realització d'avaluacions d'impacte relatives a la protecció de dades (EIPD) i en les consultes prèvies a l'autoritat de control que siguin necessàries en virtut dels articles 35 i 36 del RGPD, tenint en compte la naturalesa del tractament i la informació de què disposa CoRubrics.

Aquesta assistència es limitarà a informació tècnica sobre l'arquitectura del tractament, les mesures de seguretat implementades i els subencàrregats utilitzats, i estarà subjecta als límits de confidencialitat aplicables.

9. Supressió o devolució de dades

Després de la finalització de la prestació dels Serveis, CoRubrics, a elecció del Responsable i prèvia sol·licitud escrita, suprimirà o retornarà totes les Dades del Client al Responsable en un termini de deu (10) dies hàbils, tret que la llei aplicable exigeixi la conservació de les dades.

La «finalització de la prestació» s'entendrà produïda quan el Responsable tanqui el seu compte, sol·liciti l'eliminació del seu compte a través dels controls RGPD disponibles a la plataforma, o quan l'Acord sigui rescindit per qualsevol causa.

Un cop finalitzat el termini de supressió, CoRubrics confirmarà per escrit al Responsable que les Dades del Client han estat eliminades de tots els sistemes de l'Encarregat i els seus subencàrregats, tret que la llei aplicable exigeixi la seva conservació.

El Responsable pot, en qualsevol moment durant la vigència de l'Acord, exportar les seves dades a través de la funció d'exportació RGPD disponible a la plataforma.

10. Auditories i supervisió

CoRubrics posarà a disposició del Responsable tota la informació necessària per demostrar el compliment de les obligacions establertes en l'article 28 del RGPD i permetrà i contribuirà a la realització d'auditories, incloses inspeccions, dutes a terme pel Responsable o per un auditor autoritzat per aquest.

Les auditories estaran subjectes a un preavís escrit mínim de trenta (30) dies naturals, es realitzaran en horari hàbil, no podran interferir de manera desproporcionada en les operacions de CoRubrics i estaran subjectes a les disposicions de confidencialitat aplicables. El cost de les auditories anirà a càrrec del Responsable, tret que l'auditoria reveli incompliments materials per part de CoRubrics.

Als efectes d'aquest Acord, el Responsable reconeix que la publicació d'informes de compliment de tercers (p. ex., SOC 2) o la resposta a qüestionaris de seguretat estandarditzats pot satisfer raonablement els requisits d'auditoria descrits anteriorment.

11. Transferències internacionals de dades

Les Dades del Client s'emmagatzemen principalment a la Unió Europea, a la infraestructura de Supabase ubicada a Frankfurt (Alemanya).

Determinades operacions de tractament poden implicar la transferència de dades a tercers països, en particular als Estats Units, a través dels subencàrregats detallats a l'Annex A. Totes les transferències internacionals es realitzen emprant les Clàusules Contractuals Tipus adoptades per la Decisió d'Execució (UE) 2021/914 de la Comissió Europea, o un altre mecanisme de transferència legalment vàlid d'acord amb l'article 46 del RGPD.

CoRubrics avaluarà periòdicament si les garanties previstes pels mecanismes de transferència emprats són suficients per garantir un nivell de protecció essencialment equivalent al garantit a la Unió Europea.

12. Disposicions generals

12.1 Confidencialitat

Cada part mantindrà la confidencialitat de les Dades del Client i de qualsevol informació confidencial de l'altra part. CoRubrics no divulgarà les Dades del Client a cap tercer excepte d'acord amb el que disposa aquest Acord, quan sigui necessari per prestar els Serveis, o quan ho exigeixi la llei aplicable.

12.2 Notificacions

Totes les notificacions que s'hagin de cursar en virtut d'aquest Acord es realitzaran per escrit a l'adreça de correu electrònic que cada part hagi designat: al Responsable, a l'adreça de correu associada al seu compte de CoRubrics; a CoRubrics, a legal@corubrics.co.

12.3 Prelació

En cas de conflicte entre aquest AET i les Condicions d'Ús de CoRubrics respecte a matèries de protecció de dades, prevaldrà aquest AET. En qualsevol altra matèria, prevaldrà les Condicions d'Ús.

12.4 Divisibilitat

Si qualsevol disposició d'aquest Acord fos declarada invàlida, nul·la o inaplicable per un tribunal competent, la resta de disposicions de l'Acord continuaran sent plenament vàlides i eficaces.

13. Llei aplicable i jurisdicció

Aquest Acord es regeix per la legislació espanyola, en particular pel RGPD i la LOPDGDD, sens perjudici de les normes imperatives del RGPD que puguin ser d'aplicació en funció del lloc d'establiment del Responsable.

Per a la resolució de qualsevol disputa derivada d'aquest Acord, les parts se sotmeten a la jurisdicció exclusiva dels Jutjats i Tribunals de la ciutat de Barcelona (Espanya), tret que la llei aplicable obligui a una altra jurisdicció.

El Responsable també pot presentar una reclamació davant l'Agència Espanyola de Protecció de Dades (AEPD), situada al Carrer Jorge Juan 6, 28001 Madrid, Espanya (www.aepd.es).

Annex A — Subencàrregats autoritzats

L'Encarregat utilitza els subencàrregats següents per prestar el servei. Tots els subencàrregats estan subjectes a obligacions contractuals equivalents a les establertes en aquest Acord. Les transferències internacionals s'efectuen mitjançant les Clàusules Contractuals Tipus aprovades per la Comissió Europea (Decisió d'Execució 2021/914/UE), tret que el país de destinació compti amb una decisió d'adequació reconeguda.

Sub-processorService
Supabase, Inc.Base de dades, autenticació i emmagatzematge de fitxers
Plus Five Five, Inc. (Resend)Enviament de correu electrònic transaccional
Vercel, Inc.Allotjament de l'aplicació web i infraestructura d'edge
Anthropic, PBCGeneració de rúbriques assistida per IA (només contingut de rúbriques seudonimitzat; sense dades d'estudiants ni menors)
Functional Software, Inc. (Sentry)Seguiment d'errors i supervisió del rendiment
Upstash, Inc.Limitació de velocitat de sol·licituds (Redis en memòria)

Contacte per a qüestions de tractament de dades

Per a qualsevol consulta relacionada amb aquest Acord o amb el tractament de dades personals, contacteu amb CoRubrics a legal@corubrics.co.

legal@corubrics.co
Tornar a CoRubrics