Contrato de Encargo del Tratamiento

1. Partes y objeto

El presente acuerdo regula el tratamiento de datos personales que Magisteria (en adelante, el Encargado) realiza por cuenta del docente o centro educativo usuario (en adelante, el Responsable), conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD) y a la Ley Orgánica 3/2018 (LOPDGDD).

El Responsable decide los fines y medios del tratamiento de los datos de su alumnado; el Encargado los trata únicamente para prestar el servicio de Magisteria siguiendo las instrucciones del Responsable.

2. Objeto, duración, naturaleza y finalidad

• Objeto: tratamiento de datos del alumnado para apoyar la labor docente (planificación, evaluación, generación de materiales y seguimiento).
• Duración: mientras esté vigente la cuenta del Responsable en Magisteria.
• Naturaleza y finalidad: almacenamiento, organización, consulta y procesamiento (incluida la generación asistida por IA) de los datos introducidos por el Responsable.

3. Tipo de datos y categorías de interesados

• Categorías de datos: identificativos del alumnado (nombre, apellidos), observaciones de seguimiento y conducta, resúmenes generados por IA y, opcionalmente, fotografía.
• Categorías de interesados: alumnado (en su mayoría menores de edad) de las clases gestionadas por el Responsable.

4. Obligaciones del Encargado (art. 28.3 RGPD)

Magisteria, como Encargado, se compromete a:

• Tratar los datos únicamente siguiendo instrucciones documentadas del Responsable.
• Garantizar la confidencialidad de quienes traten los datos.
• Aplicar las medidas de seguridad del art. 32 RGPD (ver apartado 6).
• No recurrir a otro subencargado sin autorización (ver apartado 5).
• Asistir al Responsable para atender los derechos de los interesados (acceso, rectificación, supresión, etc.).
• Ayudar al Responsable a cumplir sus obligaciones de seguridad, notificación de brechas y evaluaciones de impacto.
• A elección del Responsable, suprimir o devolver los datos al finalizar la prestación, salvo conservación exigida por ley.
• Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento y permitir auditorías.

5. Subencargados

El Responsable autoriza al Encargado a servirse de los siguientes subencargados, sujetos a las mismas obligaciones de protección de datos:

• Supabase Inc. — alojamiento de base de datos y autenticación (datos alojados en la UE, región Irlanda).
• Google (Gemini API): generación de contenidos mediante IA. Transferencia a EEUU amparada en las Cláusulas Contractuales Tipo de su DPA. Los datos enviados van pseudonimizados: no se transmiten nombres reales del alumnado.
• Vercel Inc. — alojamiento y ejecución de la aplicación.
• OpenAI — generación de imágenes educativas (solo si se utiliza esa función).

Magisteria informará al Responsable de cualquier cambio de subencargados, dándole la posibilidad de oponerse.

6. Medidas de seguridad (art. 32 RGPD)

• Control de acceso por fila (RLS): cada Responsable solo accede a los datos de sus propias clases.
• Cifrado de los datos en reposo y en tránsito (TLS).
• Pseudonimización del alumnado en los tratamientos con IA (identificadores A1, A2…).
• Registro de auditoría de accesos a datos sensibles.
• Plazos de conservación limitados y borrado a petición.

7. Notificación de violaciones de seguridad

El Encargado notificará al Responsable, sin dilación indebida, cualquier violación de la seguridad de los datos de la que tenga conocimiento, con la información necesaria para que el Responsable cumpla, en su caso, su deber de notificación a la autoridad de control en 72 horas.

8. Fin del encargo

Al finalizar la relación, el Encargado suprimirá o devolverá los datos según indique el Responsable, salvo obligación legal de conservación.