Última actualización: 12 de marzo de 2026
Orientia se rige por el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD), la normativa ePrivacy, así como por las directrices y criterios de la Agencia Española de Protección de Datos (AEPD). Este marco se aplica al uso de Orientia por parte de docentes y centros educativos en Andalucía para la creación y gestión de informes psicopedagógicos y documentación asociada.
Orientia como Responsable: respecto a cuentas de usuario, soporte, analítica operativa y facturación (B2B/B2C).
Orientia como Encargado: respecto a datos de alumnado y familias incorporados en los informes y expedientes psicopedagógicos. En este caso, el Centro educativo o la Administración titular del fichero actúa como Responsable del tratamiento, y Orientia ejecuta las instrucciones del Responsable conforme al art. 28 RGPD.
| Finalidad | Base jurídica (art. 6) | Observaciones (art. 9 si aplica) |
|---|---|---|
| Gestión de cuentas y prestación del servicio | Ejecución de contrato (6.1.b) | Usuarios profesionales autorizados |
| Facturación y obligaciones contables | Obligación legal (6.1.c) | Normativa fiscal/mercantil |
| Mejora y seguridad del servicio | Interés legítimo (6.1.f) | Métricas agregadas, detección de abuso |
| Datos de alumnado en informes | Responsable: 6.1.e/6.1.c/6.1.b (según régimen jurídico) | Si hay datos especiales: art. 9.2 (p.ej., g/h). Orientia: Encargado |
| Comunicaciones comerciales (si aplica) | Consentimiento (6.1.a) | Revocable en cualquier momento |
Mantenemos un RoPA actualizado que describe finalidades, categorías, cesiones, transferencias, plazos, medidas y roles. El extracto correspondiente puede solicitarse a privacidad@orientia.es.
Con los centros educativos formalizamos un Acuerdo de Encargo de Tratamiento (AET/DPA) que incluye objeto, duración, naturaleza y fines del tratamiento; tipo de datos y categorías de interesados; medidas de seguridad; régimen de subencargados; asistencia en el ejercicio de derechos; notificación de brechas; retorno/supresión al finalizar el servicio; y auditorías razonables.
Trabajamos con los Responsables para valorar si procede una EIPD, especialmente ante tratamiento a gran escala de datos de menores o uso de tecnologías nuevas. Cuando aplica, realizamos evaluación de riesgos y plan de mitigación (pseudonimización, controles de acceso reforzados, etc.).
| Riesgo | Prob. | Impacto | Medidas de mitigación |
|---|---|---|---|
| Acceso no autorizado a informes | Media | Alto | Cifrado, RBAC, MFA opcional, registros de acceso y alertas |
| Pérdida de disponibilidad | Baja | Alto | Backups, redundancia, plan de continuidad y DR |
| Reidentificación tras anonimización | Baja | Medio | Revisión k-anonimato, supresión de cuasi-identificadores |
Aplicamos periodos de conservación diferenciados y supresión/anonimización al expirar la necesidad. Como Encargado, seguimos las instrucciones del Responsable (devolución o borrado al fin del servicio, art. 28.3.g).
| Categoría | Plazo orientativo | Observaciones |
|---|---|---|
| Cuenta/servicio | Vida de la cuenta + bloqueo 3–6 años | Atención de responsabilidades |
| Facturación | 4–6 años | Normativa fiscal/mercantil |
| Logs de seguridad | Hasta 12 meses | Ampliable si hay incidentes |
| Datos de alumnado | Según instrucción del Responsable | Retorno/supresión al finalizar el servicio |
Consulte también: Eliminación de Datos de Usuario.
Procedimiento de respuesta a incidentes con evaluación en 24 h. Notificación a la AEPD en 72 h cuando proceda, y a las personas afectadas sin dilación si el riesgo es alto. Registro interno de incidentes y medidas correctivas.
| Tipo | Ejemplo | Comunicación |
|---|---|---|
| Confidencialidad | Acceso indebido a informe | AEPD & usuarios si riesgo alto |
| Integridad | Alteración de registros | AEPD si riesgo; aviso a responsables |
| Disponibilidad | Pérdida temporal de acceso | Información operativa y medidas |
Derechos: acceso, rectificación, supresión, oposición, limitación, portabilidad y no ser objeto de decisiones automatizadas. Canal: privacidad@orientia.es.
Cuando intervienen proveedores fuera del EEE, aplicamos salvaguardas adecuadas (decisiones de adecuación o CCT/ SCCs de la UE) y evaluaciones de impacto de transferencia. Puede solicitar detalle a privacidad@orientia.es.
Utilizamos subencargados para funciones específicas. Mantenemos acuerdos art. 28, auditorías razonables y cláusulas de seguridad/privacidad. La lista vigente puede variar por razones operativas; comunicamos cambios materiales con antelación razonable.
| Proveedor | Función | Ubicación | Garantías |
|---|---|---|---|
| Clerk | Autenticación/gestión de sesión | [UE/EE.UU.] | CCT/adecuación, medidas técnicas |
| Supabase | BBDD/almacenamiento | [UE/EE.UU.] | CCT/adecuación, cifrado |
| Vercel | Hosting/CDN/analytics | [UE/EE.UU.] | CCT/adecuación, hardening |
| Stripe | Pagos/facturación | UE/EE.UU. | CCT/PCI DSS |
| [Email transaccional] | Envíos y métricas | [UE/EE.UU.] | CCT/adecuación |
El alumnado no se registra en Orientia. Los datos de menores son tratados por Orientia como Encargado para fines educativos determinados por el Responsable. Se aplican salvaguardas reforzadas, minimización y restricciones de acceso.
Orientia no adopta decisiones con efectos jurídicos basadas exclusivamente en tratamientos automatizados sobre alumnado. Las funcionalidades de ayuda a la redacción u organización no sustituyen el criterio profesional. Cualquier analítica es agregada y con fines de mejora del servicio.
Conservamos evidencias de cumplimiento (registros, decisiones, notificaciones, controles, restauraciones de backup, etc.) y versionamos políticas y acuerdos. Las versiones vigentes están publicadas en el sitio y disponibles bajo solicitud.
Orientia actúa como Responsable para cuentas y facturación y como Encargado para datos de alumnado. Hay AET art. 28, medidas art. 32, respuesta a brechas en 72 h, EIPD cuando procede, RoPA actualizado, subencargados controlados, transferencias con garantías, y derechos atendidos con SLA claros.