RGPD – Cumplimiento y Protección de Datos

Última actualización: 7 de octubre de 2025

Esta página explica de forma práctica cómo Orientia cumple el RGPD y la LOPDGDD en el contexto educativo andaluz. Completa y complementa la Política de Privacidad, la Política de Cookies y los Términos de Servicio.

1. Marco normativo y alcance

Orientia se rige por el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD), la normativa ePrivacy, así como por las directrices y criterios de la Agencia Española de Protección de Datos (AEPD). Este marco se aplica al uso de Orientia por parte de docentes y centros educativos en Andalucía para la creación y gestión de informes psicopedagógicos y documentación asociada.

2. Roles: Responsable vs. Encargado

Orientia como Responsable: respecto a cuentas de usuario, soporte, analítica operativa y facturación (B2B/B2C).

Orientia como Encargado: respecto a datos de alumnado y familias incorporados en los informes y expedientes psicopedagógicos. En este caso, el Centro educativo o la Administración titular del fichero actúa como Responsable del tratamiento, y Orientia ejecuta las instrucciones del Responsable conforme al art. 28 RGPD.

3. Bases legales del tratamiento

FinalidadBase jurídica (art. 6)Observaciones (art. 9 si aplica)
Gestión de cuentas y prestación del servicioEjecución de contrato (6.1.b)Usuarios profesionales autorizados
Facturación y obligaciones contablesObligación legal (6.1.c)Normativa fiscal/mercantil
Mejora y seguridad del servicioInterés legítimo (6.1.f)Métricas agregadas, detección de abuso
Datos de alumnado en informesResponsable: 6.1.e/6.1.c/6.1.b (según régimen jurídico)Si hay datos especiales: art. 9.2 (p.ej., g/h). Orientia: Encargado
Comunicaciones comerciales (si aplica)Consentimiento (6.1.a)Revocable en cualquier momento

4. Categorías de datos tratados

  • Identificativos de cuenta: nombre, apellidos, email, centro, rol.
  • Operativos: configuración, plantillas, actividad, logs.
  • Facturación (Stripe): datos de pago y facturas.
  • Soporte: comunicaciones y tickets.
  • Alumnado (encargo): identificativos, académicos, y en su caso datos especiales vinculados a valoración psicopedagógica.

5. Registros de Actividades de Tratamiento (RoPA)

Mantenemos un RoPA actualizado que describe finalidades, categorías, cesiones, transferencias, plazos, medidas y roles. El extracto correspondiente puede solicitarse a privacidad@orientia.es.

6. Acuerdo de Encargo de Tratamiento (art. 28)

Con los centros educativos formalizamos un Acuerdo de Encargo de Tratamiento (AET/DPA) que incluye objeto, duración, naturaleza y fines del tratamiento; tipo de datos y categorías de interesados; medidas de seguridad; régimen de subencargados; asistencia en el ejercicio de derechos; notificación de brechas; retorno/supresión al finalizar el servicio; y auditorías razonables.

Si necesita un modelo de AET, solicítelo a privacidad@orientia.es.

7. EIPD/DPIA (Evaluación de Impacto, art. 35)

Trabajamos con los Responsables para valorar si procede una EIPD, especialmente ante tratamiento a gran escala de datos de menores o uso de tecnologías nuevas. Cuando aplica, realizamos evaluación de riesgos y plan de mitigación (pseudonimización, controles de acceso reforzados, etc.).

RiesgoProb.ImpactoMedidas de mitigación
Acceso no autorizado a informesMediaAltoCifrado, RBAC, MFA opcional, registros de acceso y alertas
Pérdida de disponibilidadBajaAltoBackups, redundancia, plan de continuidad y DR
Reidentificación tras anonimizaciónBajaMedioRevisión k-anonimato, supresión de cuasi-identificadores

8. Minimización, exactitud y limitación de la finalidad

  • Minimización: solo datos pertinentes y necesarios para la finalidad educativa.
  • Exactitud: procedimientos para corrección/actualización y control de versiones.
  • Limitación: bloqueos lógicos que evitan usos no previstos (p. ej., exportaciones restringidas).

9. Conservación y supresión

Aplicamos periodos de conservación diferenciados y supresión/anonimización al expirar la necesidad. Como Encargado, seguimos las instrucciones del Responsable (devolución o borrado al fin del servicio, art. 28.3.g).

CategoríaPlazo orientativoObservaciones
Cuenta/servicioVida de la cuenta + bloqueo 3–6 añosAtención de responsabilidades
Facturación4–6 añosNormativa fiscal/mercantil
Logs de seguridadHasta 12 mesesAmpliable si hay incidentes
Datos de alumnadoSegún instrucción del ResponsableRetorno/supresión al finalizar el servicio

Consulte también: Eliminación de Datos de Usuario.

10. Medidas técnicas y organizativas (art. 32)

  • Cifrado: TLS en tránsito; cifrado en reposo en servicios gestionados; gestión segura de claves.
  • Control de acceso: RBAC, principio de mínimo privilegio, revisión periódica, MFA opcional para usuarios.
  • Seguridad de aplicación: revisiones de código, dependabot/CodeQL, SDLC con pruebas, cabeceras de seguridad.
  • Monitorización y registros: logs con retención limitada, alertas de anomalías, trazabilidad.
  • Backups y continuidad: copias cifradas, pruebas de restauración, plan de continuidad y DR.
  • Segregación de entornos: dev/staging/prod, datos reales no usados en desarrollo.
  • Políticas internas: control de dispositivos, acuerdos de confidencialidad, baja segura de personal.

11. Brechas de seguridad (arts. 33–34)

Procedimiento de respuesta a incidentes con evaluación en 24 h. Notificación a la AEPD en 72 h cuando proceda, y a las personas afectadas sin dilación si el riesgo es alto. Registro interno de incidentes y medidas correctivas.

TipoEjemploComunicación
ConfidencialidadAcceso indebido a informeAEPD & usuarios si riesgo alto
IntegridadAlteración de registrosAEPD si riesgo; aviso a responsables
DisponibilidadPérdida temporal de accesoInformación operativa y medidas

12. Derechos de las personas (SLA y flujo)

Derechos: acceso, rectificación, supresión, oposición, limitación, portabilidad y no ser objeto de decisiones automatizadas. Canal: privacidad@orientia.es.

  • Ack inicial: 72 h laborables.
  • Resolución: máximo 30 días naturales (ampliable 60 días en casos complejos).
  • Identidad: verificación desde email registrado y, si procede, documentación mínima.
  • Datos de alumnado: tramitación a través del Responsable (centro); Orientia apoya como Encargado.

13. Transferencias internacionales

Cuando intervienen proveedores fuera del EEE, aplicamos salvaguardas adecuadas (decisiones de adecuación o CCT/ SCCs de la UE) y evaluaciones de impacto de transferencia. Puede solicitar detalle a privacidad@orientia.es.

14. Subencargados y control de proveedores

Utilizamos subencargados para funciones específicas. Mantenemos acuerdos art. 28, auditorías razonables y cláusulas de seguridad/privacidad. La lista vigente puede variar por razones operativas; comunicamos cambios materiales con antelación razonable.

ProveedorFunciónUbicaciónGarantías
ClerkAutenticación/gestión de sesión[UE/EE.UU.]CCT/adecuación, medidas técnicas
SupabaseBBDD/almacenamiento[UE/EE.UU.]CCT/adecuación, cifrado
VercelHosting/CDN/analytics[UE/EE.UU.]CCT/adecuación, hardening
StripePagos/facturaciónUE/EE.UU.CCT/PCI DSS
[Email transaccional]Envíos y métricas[UE/EE.UU.]CCT/adecuación

15. Tratamiento de datos de menores

El alumnado no se registra en Orientia. Los datos de menores son tratados por Orientia como Encargado para fines educativos determinados por el Responsable. Se aplican salvaguardas reforzadas, minimización y restricciones de acceso.

16. Privacidad desde el diseño y por defecto (art. 25)

  • Configuraciones conservadoras por defecto (p. ej., visibilidad limitada, exportaciones deshabilitadas si no se habilitan).
  • Revisión de nuevas funcionalidades con checklist RGPD y evaluación de riesgos.
  • Pseudonimización y separación lógica de datos sensibles cuando procede.

17. Perfiles y decisiones automatizadas

Orientia no adopta decisiones con efectos jurídicos basadas exclusivamente en tratamientos automatizados sobre alumnado. Las funcionalidades de ayuda a la redacción u organización no sustituyen el criterio profesional. Cualquier analítica es agregada y con fines de mejora del servicio.

18. Formación, confidencialidad y auditoría

  • Cláusulas de confidencialidad para el personal con acceso a datos.
  • Formación periódica en protección de datos y seguridad.
  • Auditorías internas y revisiones de proveedores con base de riesgo.

19. Documentación, evidencias y versionado

Conservamos evidencias de cumplimiento (registros, decisiones, notificaciones, controles, restauraciones de backup, etc.) y versionamos políticas y acuerdos. Las versiones vigentes están publicadas en el sitio y disponibles bajo solicitud.

20. Contacto, DPO y autoridad de control

  • Responsable (datos de cuenta): ORIENTIA, [Nombre fiscal], NIF [NIF/CIF], [Dirección], Andalucía (España)
  • Email privacidad: privacidad@orientia.es
  • DPO (si aplica): dpo@orientia.es
  • Autoridad de control: AEPD

Glosario RGPD

  • Responsable: decide fines y medios del tratamiento.
  • Encargado: trata datos por cuenta del Responsable.
  • Datos especiales (art. 9): salud, origen étnico, etc.
  • EIPD/DPIA: evaluación de impacto en protección de datos.
  • RoPA: registro de actividades de tratamiento.
  • CCT/SCC: cláusulas contractuales tipo para transferencias.

Resumen práctico

Orientia actúa como Responsable para cuentas y facturación y como Encargado para datos de alumnado. Hay AET art. 28, medidas art. 32, respuesta a brechas en 72 h, EIPD cuando procede, RoPA actualizado, subencargados controlados, transferencias con garantías, y derechos atendidos con SLA claros.