CoRubrics
Versión 1.0Fecha de efecto: 30 de mayo de 2026

CoRubrics — Acuerdo de Encargo de Tratamiento

Acuerdo de Encargo de Tratamiento

Este Acuerdo de Encargo de Tratamiento (en adelante «AET» o «Acuerdo») regula el tratamiento de datos personales que CoRubrics lleva a cabo por cuenta del docente o responsable del tratamiento que utiliza la plataforma, conforme a lo exigido por el artículo 28 del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD).

Aceptación e incorporación

Este AET queda incorporado por referencia a las Condiciones de Uso de CoRubrics. Los responsables del tratamiento sujetos al RGPD que introduzcan datos personales de estudiantes u otras personas en la plataforma aceptan este Acuerdo al utilizar el servicio. En caso de conflicto entre este AET y las Condiciones de Uso respecto al tratamiento de datos personales, prevalecerá este AET.

Este Acuerdo tiene efecto automático. Al registrar una cuenta en CoRubrics o continuar utilizando el servicio, el responsable del tratamiento acepta las condiciones de este Acuerdo en su nombre y en el de su organización, si procede. No se requiere firma manuscrita.

1. Definiciones e interpretación

A los efectos del presente Acuerdo se aplicarán las siguientes definiciones:

  • «RGPD» designa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales.
  • «LOPD-GDD» designa la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  • «Responsable del tratamiento» (o «Cliente») designa al docente o entidad que acepta este Acuerdo y que determina los fines y medios del tratamiento de datos personales en el contexto de su uso de CoRubrics.
  • «Encargado del tratamiento» (o «CoRubrics») designa a Roger Feliu Vert, operando bajo la marca CoRubrics, con correo de contacto legal@corubrics.co.
  • «Datos del Cliente» designa los datos personales que el Responsable introduce, carga o genera a través del uso de los Servicios.
  • «Servicios» designa la plataforma educativa de evaluación accesible en corubrics.co, incluyendo la creación de rúbricas, gestión de clases y alumnado, formularios de evaluación, cálculo de calificaciones e informes.
  • «Subencargado» designa a cualquier tercero contratado por CoRubrics para tratar Datos del Cliente en nombre del Responsable.
  • «Violación de seguridad de los datos» designa toda violación de la seguridad que ocasione, de modo accidental o ilícito, la destrucción, pérdida, alteración, comunicación no autorizada o el acceso a datos personales transmitidos, conservados o tratados de otra forma.
  • Los términos «datos personales», «tratamiento», «interesado», «autoridad de control» y «transferencia internacional» tendrán los significados atribuidos en el RGPD.

2. Tratamiento de los datos del Cliente

CoRubrics tratará los Datos del Cliente únicamente según las instrucciones documentadas del Responsable, incluyendo las establecidas en las Condiciones de Uso de CoRubrics y en el presente Acuerdo, salvo que una obligación legal imponga un tratamiento distinto, en cuyo caso CoRubrics informará previamente al Responsable, excepto cuando dicha información estuviera prohibida por ley.

El objeto, la naturaleza y la finalidad del tratamiento es la prestación de los Servicios de evaluación educativa descritos anteriormente. Las categorías de datos personales tratadas incluyen: datos identificativos de estudiantes (nombre, apellidos, correo electrónico si el docente los aporta), resultados de evaluación, puntuaciones de rúbricas y datos de cuenta del docente. Los interesados son los estudiantes y alumnos gestionados por el Responsable, así como el propio Responsable como usuario de la plataforma.

El Encargado no tratará los Datos del Cliente para fines propios, para publicidad comportamental ni para ningún otro fin distinto de la prestación de los Servicios.

3. Personal del Encargado

CoRubrics garantiza que las personas autorizadas para tratar los Datos del Cliente han asumido el deber de confidencialidad, ya sea mediante compromiso contractual o por obligación legal.

CoRubrics adoptará todas las medidas razonables para garantizar que únicamente acceda a los Datos del Cliente el personal cuyo acceso sea necesario para prestar los Servicios, y tomará las medidas adecuadas para garantizar que dicho personal cumpla las obligaciones de confidencialidad y seguridad establecidas en este Acuerdo.

4. Medidas de seguridad (art. 32 RGPD)

CoRubrics implementará y mantendrá medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, de conformidad con el artículo 32 del RGPD. Dichas medidas incluyen, entre otras:

  • Cifrado de los datos en tránsito mediante TLS 1.2 o superior.
  • Cifrado de los datos en reposo en la infraestructura de base de datos.
  • Controles de acceso y autenticación, incluyendo enlaces de un solo uso con verificación por correo electrónico para docentes y tokens seguros de un solo uso para estudiantes.
  • Registro de auditoría de las acciones relevantes realizadas en la plataforma.
  • Evaluaciones periódicas y pruebas de las medidas de seguridad.
  • Procedimientos para garantizar la disponibilidad y la capacidad de restauración oportunas de los sistemas y servicios de tratamiento en caso de incidente físico o técnico.

4.1 Evolución de las medidas de seguridad

CoRubrics podrá actualizar o modificar las medidas de seguridad a lo largo del tiempo, siempre que dichas actualizaciones o modificaciones no reduzcan el nivel de protección general ofrecido a los Datos del Cliente.

5. Subencargo del tratamiento

El Responsable autoriza a CoRubrics a contratar subencargados para el tratamiento de Datos del Cliente. La lista actual de subencargados autorizados figura en el Anexo A de este Acuerdo y está disponible permanentemente en corubrics.co/dpa.

CoRubrics informará al Responsable de cualquier cambio previsto en la lista de subencargados (incorporación o sustitución) mediante la actualización del Anexo A publicado en corubrics.co/dpa con un preaviso mínimo de diez (10) días naturales antes de que el cambio entre en vigor. El Responsable podrá objetar dichos cambios mediante comunicación escrita a legal@corubrics.co. Si no se recibe ninguna objeción en el plazo indicado, se entenderá que el Responsable acepta el cambio.

CoRubrics impondrá a cada subencargado obligaciones de protección de datos equivalentes a las establecidas en este Acuerdo. En caso de que un subencargado incumpla sus obligaciones de protección de datos, CoRubrics conservará su plena responsabilidad ante el Responsable respecto al cumplimiento de las obligaciones del subencargado.

6. Derechos de los interesados

Teniendo en cuenta la naturaleza del tratamiento, CoRubrics asistirá al Responsable, mediante las medidas técnicas y organizativas apropiadas, para que pueda cumplir su obligación de responder a las solicitudes de ejercicio de los derechos de los interesados reconocidos en el Capítulo III del RGPD (acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición).

Si CoRubrics recibe una solicitud de un interesado en relación con Datos del Cliente tratados por cuenta del Responsable, CoRubrics redirigirá dicha solicitud al Responsable en el menor plazo posible, sin tramitarla directamente salvo instrucción expresa del Responsable o cuando así lo exija la ley aplicable.

CoRubrics facilitará al Responsable las herramientas técnicas disponibles en la plataforma para gestionar, exportar y suprimir datos de estudiantes y de cuenta, a fin de colaborar en la atención de las solicitudes de los interesados.

7. Violación de seguridad de los datos personales

CoRubrics notificará al Responsable toda violación de seguridad de los datos personales sin dilación indebida y, en cualquier caso, a más tardar en el plazo de setenta y dos (72) horas desde que CoRubrics tenga conocimiento de ella. La notificación se realizará a la dirección de correo electrónico asociada a la cuenta del Responsable.

La notificación incluirá, en la medida en que sea posible y se vaya disponiendo de la información: la descripción de la naturaleza de la violación, las categorías y el número aproximado de interesados y registros afectados, las posibles consecuencias de la violación y las medidas adoptadas o propuestas para remediarla.

CoRubrics cooperará con el Responsable y le prestará toda la asistencia razonable en relación con cualquier notificación a la autoridad de control competente o a los propios interesados, tal como requieren los artículos 33 y 34 del RGPD.

8. Evaluación de impacto y consulta previa

CoRubrics prestará asistencia razonable al Responsable en la realización de evaluaciones de impacto relativas a la protección de datos (EIPD) y en las consultas previas a la autoridad de control que resulten necesarias en virtud de los artículos 35 y 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información de que dispone CoRubrics.

Dicha asistencia se limitará a información técnica sobre la arquitectura del tratamiento, las medidas de seguridad implementadas y los subencargados utilizados, y estará sujeta a los límites de confidencialidad aplicables.

9. Supresión o devolución de datos

Tras la finalización de la prestación de los Servicios, CoRubrics, a elección del Responsable y previa solicitud escrita, suprimirá o devolverá todos los Datos del Cliente al Responsable en un plazo de diez (10) días hábiles, salvo que la ley aplicable exija la conservación de los datos.

La «finalización de la prestación» se entenderá producida cuando el Responsable cierre su cuenta, solicite la eliminación de su cuenta a través de los controles RGPD disponibles en la plataforma, o cuando el Acuerdo sea rescindido por cualquier causa.

Una vez finalizado el plazo de supresión, CoRubrics confirmará por escrito al Responsable que los Datos del Cliente han sido eliminados de todos los sistemas del Encargado y sus subencargados, salvo en la medida en que la ley aplicable exija su conservación.

El Responsable puede, en cualquier momento durante la vigencia del Acuerdo, exportar sus datos a través de la función de exportación RGPD disponible en la plataforma.

10. Auditorías y supervisión

CoRubrics pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD y permitirá y contribuirá a la realización de auditorías, incluidas inspecciones, llevadas a cabo por el Responsable o por un auditor autorizado por éste.

Las auditorías estarán sujetas a un preaviso escrito mínimo de treinta (30) días naturales, se realizarán en horario hábil, no podrán interferir de manera desproporcionada en las operaciones de CoRubrics y estarán sujetas a las disposiciones de confidencialidad aplicables. El coste de las auditorías correrá a cargo del Responsable, salvo que la auditoría revele incumplimientos materiales por parte de CoRubrics.

A efectos de este Acuerdo, el Responsable reconoce que la publicación de informes de cumplimiento de terceros (p. ej., SOC 2) o la respuesta a cuestionarios de seguridad estandarizados puede satisfacer razonablemente los requisitos de auditoría antes descritos.

11. Transferencias internacionales de datos

Los Datos del Cliente se almacenan principalmente en la Unión Europea, en la infraestructura de Supabase ubicada en Frankfurt (Alemania).

Determinadas operaciones de tratamiento pueden implicar la transferencia de datos a terceros países, en particular a los Estados Unidos, a través de los subencargados detallados en el Anexo A. Todas las transferencias internacionales se realizan amparándose en las Cláusulas Contractuales Tipo adoptadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea, u otro mecanismo de transferencia legalmente válido según el artículo 46 del RGPD.

CoRubrics evaluará periódicamente si las garantías previstas por los mecanismos de transferencia empleados son suficientes para garantizar un nivel de protección esencialmente equivalente al garantizado en la Unión Europea.

12. Disposiciones generales

12.1 Confidencialidad

Cada parte mantendrá la confidencialidad de los Datos del Cliente y de cualquier información confidencial de la otra parte. CoRubrics no divulgará los Datos del Cliente a ningún tercero excepto según lo dispuesto en este Acuerdo, según sea necesario para prestar los Servicios, o cuando lo exija la ley aplicable.

12.2 Notificaciones

Todas las notificaciones que deban cursarse en virtud de este Acuerdo se realizarán por escrito a la dirección de correo electrónico que cada parte haya designado: al Responsable, a la dirección de correo asociada a su cuenta de CoRubrics; a CoRubrics, a legal@corubrics.co.

12.3 Prelación

En caso de conflicto entre el presente AET y las Condiciones de Uso de CoRubrics respecto a materias de protección de datos, prevalecerá el presente AET. En cualquier otra materia, prevalecerán las Condiciones de Uso.

12.4 Divisibilidad

Si cualquier disposición del presente Acuerdo fuera declarada inválida, nula o inaplicable por un tribunal competente, el resto de disposiciones del Acuerdo continuarán siendo plenamente válidas y eficaces.

13. Ley aplicable y jurisdicción

El presente Acuerdo se rige por la legislación española, en particular por el RGPD y la LOPD-GDD, sin perjuicio de las normas imperativas del RGPD que puedan resultar de aplicación en función del lugar de establecimiento del Responsable.

Para la resolución de cualquier disputa derivada del presente Acuerdo, las partes se someten a la jurisdicción exclusiva de los Juzgados y Tribunales de la ciudad de Barcelona (España), salvo que la ley aplicable obligue a otra jurisdicción.

El Responsable también podrá presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), sita en Calle Jorge Juan 6, 28001 Madrid, España (www.aepd.es).

Anexo A — Subencargados autorizados

El Encargado utiliza los siguientes subencargados para prestar el servicio. Todos los subencargados están sujetos a obligaciones contractuales equivalentes a las establecidas en este Acuerdo. Las transferencias internacionales se efectúan mediante las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión de Ejecución 2021/914/UE), salvo que el país de destino cuente con una decisión de adecuación reconocida.

Sub-processorService
Supabase, Inc.Base de datos, autenticación y almacenamiento de ficheros
Plus Five Five, Inc. (Resend)Envío de correo electrónico transaccional
Vercel, Inc.Alojamiento de la aplicación web e infraestructura de edge
Anthropic, PBCGeneración de rúbricas asistida por IA (solo contenido de rúbricas seudonimizado; sin datos de estudiantes ni menores)
Functional Software, Inc. (Sentry)Seguimiento de errores y supervisión del rendimiento
Upstash, Inc.Limitación de velocidad de solicitudes (Redis en memoria)

Contacto para cuestiones de tratamiento de datos

Para cualquier consulta relacionada con este Acuerdo o con el tratamiento de datos personales, contacta con CoRubrics en legal@corubrics.co.

legal@corubrics.co
Volver a CoRubrics