Política de privacidad

Cuando un docente o centro educativo utiliza CoRubrics para gestionar información de clases, estudiantes, rúbricas, formularios, entregas y calificaciones, dicho docente o centro actúa normalmente como responsable del tratamiento. CoRubrics actúa como encargado del tratamiento y procesa esos datos siguiendo sus instrucciones.

CoRubrics actúa como responsable independiente respecto de los datos necesarios para administrar cuentas, operar el sitio web, gestionar seguridad, facturación si existiera, comunicaciones de servicio, soporte, cumplimiento legal y mejora interna del producto.

Los centros educativos y docentes que actúen como responsables del tratamiento y precisen formalizar un Acuerdo de Encargo de Tratamiento (AET) conforme al artículo 28 del RGPD pueden consultarlo en corubrics.co/dpa. Los docentes que necesiten formalizar un AET pueden descargarlo en esa URL.

Tratamos únicamente los datos razonablemente necesarios para operar una herramienta educativa de evaluación. La información concreta depende de cómo configure el docente o centro la plataforma.

Tratamos datos personales para prestar CoRubrics, mantener la seguridad del servicio y cumplir obligaciones aplicables. Según el contexto, la base jurídica puede ser la ejecución de un contrato o medidas precontractuales, el interés legítimo en operar y mejorar el servicio, el cumplimiento de obligaciones legales o las bases que determine el centro educativo como responsable del tratamiento. Cuando nos apoyamos en intereses legítimos, velamos por que no prevalezcan sobre los intereses o derechos fundamentales de los interesados.

CoRubrics está diseñado para contextos educativos y puede tratar datos de menores cuando un docente o centro introduce esa información. Los estudiantes no necesitan una cuenta completa para responder un formulario; acceden mediante enlaces o tokens generados para una evaluación concreta.

En España, la LOPD-GDD (art. 7) fija los 14 años como edad mínima para el consentimiento digital. Para estudiantes menores de esa edad, el docente o centro debe amparar el tratamiento en una base jurídica distinta al consentimiento, como el ejercicio de sus funciones docentes o la habilitación legal aplicable.

El docente o centro educativo debe asegurarse de contar con la base jurídica, información a familias y autorizaciones que sean necesarias para usar la plataforma en su entorno. CoRubrics no usa datos de estudiantes para publicidad ni perfiles comerciales.

No vendemos datos personales. Compartimos datos solo cuando es necesario para prestar el servicio, cumplir la ley o proteger derechos legítimos. Los proveedores actúan bajo acuerdos contractuales y solo pueden tratar datos para las finalidades autorizadas.

Las funciones de IA son opcionales y están pensadas para ayudar a docentes a crear o mejorar rúbricas. Cuando un docente utiliza una función de IA, el contenido introducido en el prompt se envía a Anthropic (proveedor de IA, con sede en Estados Unidos) a través de Vercel AI Gateway para generar una respuesta. El modelo utilizado es Claude Haiku.

Recomendamos no incluir datos personales sensibles ni información innecesaria de estudiantes en los prompts. CoRubrics puede analizar internamente datos de uso, errores, prompts y resultados de forma agregada o seudonimizada para mejorar la calidad, seguridad y fiabilidad del producto. No usamos esos datos para vender perfiles ni para publicidad de terceros.

Cuando un docente envía feedback sobre CoRubrics, la respuesta se vincula inicialmente a su cuenta para comprender el contexto y poder hacer seguimiento. Tras revisarla, podemos anonimizarla eliminando ese vínculo y conservar las puntuaciones y comentarios para mejorar el producto. La anonimización no reescribe los datos personales que el docente haya incluido dentro del texto libre, por lo que recomendamos no incluir información sensible ni datos de estudiantes.

CoRubrics procura utilizar infraestructura ubicada en el Espacio Económico Europeo cuando esté disponible y sea razonable para la prestación del servicio. El proveedor principal de base de datos (Supabase, región UE) procesa los datos de aplicación dentro del EEE.

Algunos proveedores necesarios para el servicio operan desde Estados Unidos o con infraestructura global: Anthropic (IA), Vercel (alojamiento e infraestructura), Resend (correo transaccional), Sentry (monitorización de errores), Upstash (limitación de uso), Google cuando se conecta Google Classroom y Microsoft cuando se conecta Microsoft Teams. Para estas transferencias se aplican garantías adecuadas conforme al RGPD, como decisiones de adecuación, cláusulas contractuales tipo (CCT) en su versión vigente, medidas complementarias u otros mecanismos reconocidos por la normativa aplicable.

Aplicamos medidas técnicas y organizativas orientadas a proteger los datos contra acceso no autorizado, pérdida, alteración o divulgación indebida. Entre otras medidas, CoRubrics utiliza autenticación, control de acceso por usuario, políticas de seguridad a nivel de base de datos, tokens de formulario con hash, límites de uso, registros de auditoría y comunicaciones cifradas cuando el servicio se sirve por HTTPS.

Ningún sistema es absolutamente seguro. En caso de brecha de seguridad que afecte a datos personales, notificaremos a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas desde que tengamos conocimiento del incidente, cuando así lo exija la normativa aplicable. Informaremos a las personas afectadas sin dilación indebida cuando la brecha pueda entrañar un alto riesgo para sus derechos y libertades.

Conservamos datos personales durante el tiempo necesario para prestar el servicio, mantener la cuenta, cumplir obligaciones académicas o legales, resolver disputas, prevenir abuso y proteger la seguridad de la plataforma.

Los docentes pueden exportar sus datos y solicitar la supresión desde las herramientas de privacidad disponibles en la cuenta. Al ejecutar una supresión, CoRubrics revoca tokens de formulario activos y marca como eliminados los datos académicos asociados, salvo la información que deba conservarse durante un plazo razonable por seguridad, auditoría, obligaciones legales o copias de respaldo.

El feedback que todavía esté vinculado a la cuenta docente se elimina al ejecutar la supresión. El feedback anonimizado previamente ya no puede asociarse a una cuenta y puede conservarse para el análisis interno del producto.

Como orientación sobre plazos: los datos de cuenta docente se conservan mientras la cuenta esté activa y hasta 3 años tras la supresión para atender reclamaciones u obligaciones legales; los registros de auditoría y seguridad se conservan hasta 12 meses; las copias de respaldo pueden retener datos hasta 90 días adicionales tras la supresión efectiva. Los datos de estudiantes se eliminan cuando el docente los suprime o al eliminar la cuenta.

Conforme a la normativa aplicable, puedes solicitar acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad de tus datos. También puedes retirar el consentimiento cuando el tratamiento se base en consentimiento, sin afectar a la licitud del tratamiento anterior.

Respondemos a las solicitudes en un plazo de 30 días desde su recepción. En casos de especial complejidad o volumen, este plazo puede prorrogarse dos meses adicionales, comunicándotelo en el primer mes.

Si eres estudiante o familiar y tus datos han sido introducidos por un centro educativo o docente, CoRubrics puede necesitar remitir o coordinar la solicitud con dicho responsable. También puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): C/ Jorge Juan, 6, 28001 Madrid — www.aepd.es — o ante la autoridad de control competente en tu país.

CoRubrics utiliza cookies y tecnologías similares necesarias para autenticación, sesiones, idioma, seguridad y funcionamiento básico del servicio. Las cookies de sesión del docente (gestionadas por Supabase Auth) son cookies de sesión HTTP-only que expiran al cerrar la sesión o tras un periodo de inactividad. La cookie de dispositivo para formularios de estudiante (cr_dev) es una cookie HTTP-only de larga duración que vincula el formulario al navegador del estudiante por razones de seguridad. En la versión actual no utilizamos cookies publicitarias de terceros ni vendemos información obtenida mediante cookies.

Si en el futuro incorporamos analítica opcional o tecnologías no esenciales, se informará de forma adecuada y se solicitará consentimiento cuando sea legalmente necesario conforme a la LSSI y el RGPD.

Podemos actualizar esta política para reflejar cambios legales, técnicos o de producto. Publicaremos la versión vigente en esta página e indicaremos la fecha de última actualización. Si los cambios son materiales, procuraremos avisar por medios razonables (por ejemplo, correo electrónico a docentes registrados) antes de que entren en vigor.

CoRubrics no está actualmente obligado a designar un Delegado de Protección de Datos (DPD/DPO) conforme al artículo 37 del RGPD y la LOPD-GDD. Las consultas y solicitudes en materia de privacidad se atienden directamente a través de privacy@corubrics.co. Si el volumen o la naturaleza de los tratamientos cambiara de forma que exigiera la designación de un DPD, lo comunicaríamos en esta política.

Esta política se rige principalmente por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (RGPD), y por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD). En materia de servicios de la sociedad de la información resulta asimismo de aplicación la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI-CE).

La autoridad de control competente en España es la Agencia Española de Protección de Datos (AEPD). Puedes obtener más información y presentar reclamaciones en www.aepd.es o en C/ Jorge Juan, 6, 28001 Madrid.