Volver al inicio
Documento legal
v. abril 2026
privacidad

Política de Privacidad

Protegemos tus datos y los de tu alumnado conforme al RGPD y la LOPDGDD

Contenido

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales recogidos a través de Magisteria es:

  • Razón social / Nombre: [NOMBRE COMPLETO DEL TITULAR]
  • NIF/CIF: [NIF/CIF DEL TITULAR]
  • Domicilio social: [DOMICILIO SOCIAL COMPLETO]
  • Correo electrónico de contacto: [EMAIL DE CONTACTO LEGAL]
  • Teléfono: [TELÉFONO DE CONTACTO]

Si has designado un Delegado de Protección de Datos (DPO), puedes contactarle en:[DPO - NOMBRE Y EMAIL].

2. Datos personales que recogemos

En Magisteria recogemos y tratamos las siguientes categorías de datos personales:

2.1. Datos de docentes y usuarios registrados

  • Identificación: nombre completo, dirección de correo electrónico, contraseña (hash).
  • Profesionales: centro educativo, rol o puesto, comunidad autónoma, materia y etapa educativa.
  • Perfil: biografía, foto de avatar, preferencias de uso y experiencia digital.
  • Técnicos: dirección IP, cookies de sesión, tokens de autenticación, registros de actividad (logs).
  • Financieros (si contratas suscripción): historial de transacciones, referencias de pago (gestionadas por Stripe; no almacenamos datos de tarjeta).

2.2. Datos de alumnado y menores de edad (tratamiento de alto riesgo)

Tratamiento de alto riesgo

Magisteria permite a los docentes introducir datos de su alumnado para fines de planificación, evaluación y seguimiento pedagógico. Se recomienda encarecidamente utilizar iniciales, códigos internos o seudónimos en lugar de nombres completos, salvo cuando la identificación sea estrictamente necesaria y exista base legal suficiente.

Estos datos pueden incluir:

  • Nombre y apellidos del alumno o alumna.
  • Datos académicos: calificaciones, resultados de evaluación, rúbricas aplicadas.
  • Observaciones del tutor o docente: notas de seguimiento, incidencias, sesiones de tutoría.
  • Datos de asistencia y comportamiento (si el centro los registra en la Plataforma).

Base legal para el tratamiento de datos de menores: El tratamiento de datos personales de alumnado menor de edad debe fundamentarse en el cumplimiento de una obligación legal aplicable al responsable del tratamiento (art. 6.1.c RGPD) o en el consentimiento expreso del representante legal (art. 6.1.a y art. 8 RGPD), según la normativa autonómica y la política del centro educativo. El docente o centro que utilice Magisteria es responsable de garantizar que dicha base legal existe antes de introducir datos de menores.

2.3. Datos de centros e instituciones educativas

  • Nombre del centro, código de centro (si aplica), dirección postal y datos de contacto.
  • Datos de los administradores del centro: nombre, email, rol.
  • Relación de profesorado vinculado al centro y sus respectivos permisos de acceso.

2.4. Datos derivados del uso de la inteligencia artificial

  • Prompts y peticiones enviadas al modelo de IA (Google Gemini).
  • Resultados generados (situaciones de aprendizaje, rúbricas, exámenes, fichas) almacenados en la biblioteca del Usuario.
  • Metadatos de generación: fecha, tipo de documento, materia, curso, etapa.

Los prompts enviados a Google Gemini no incluyen nombres individuales de alumnos salvo que el Usuario los incluya expresamente en el texto de la petición.

3. Finalidades del tratamiento y base legal

FinalidadBase legalDatos implicados
Gestión de la cuenta y autenticaciónEjecución del contrato (art. 6.1.b RGPD)Email, contraseña (hash), nombre
Prestación del servicio educativo (planificación, evaluación, seguimiento)Ejecución del contrato / obligación legal (art. 6.1.b y c RGPD)Datos del alumnado, calificaciones, observaciones
Generación de contenidos con IAEjecución del contrato / consentimiento (art. 6.1.b y a RGPD)Prompts, contexto educativo, outputs de IA
Gestión de suscripciones y pagosEjecución del contrato (art. 6.1.b RGPD)Datos de facturación, referencias de pago (Stripe)
Comunicaciones transaccionales y soporteEjecución del contrato / interés legítimo (art. 6.1.b y f RGPD)Email, nombre, contenido de la consulta
Análisis interno de producto y mejora del servicioInterés legítimo (art. 6.1.f RGPD)Datos de uso agregados y anonimizados, eventos de navegación
Fase beta: mejora, detección de errores y priorizaciónInterés legítimo / consentimiento (art. 6.1.f y a RGPD)Email, registros de uso, respuestas a encuestas
Cumplimiento de obligaciones legalesObligación legal (art. 6.1.c RGPD)Datos requeridos por administraciones o tribunales

4. Encargados del tratamiento y comunicación de datos

Para la prestación de determinados servicios, el Titular recurre a proveedores externos que actúan como encargados del tratamiento conforme al art. 28 RGPD:

  • Supabase (Supabase Inc.): alojamiento de base de datos, autenticación, almacenamiento de ficheros y funciones serverless. Sus servidores se encuentran en la UE (región de Fráncfort). Se dispone de un contrato de encargo de tratamiento.
  • Google Cloud / Gemini API: generación de contenidos mediante IA. Los datos se procesan en infraestructura de Google. Recomendamos revisar el DPA de Google Cloud.
  • Stripe, Inc.: procesamiento de pagos y suscripciones. Opera como encargado del tratamiento conforme a su DPA. No almacenamos datos de tarjetas.
  • Resend: envío de correos electrónicos transaccionales (confirmaciones, notificaciones).
  • Vercel, Inc.: hosting y despliegue de la aplicación web.
  • Upstash: servicio de rate limiting (Redis) para protección contra abusos.
  • Expo (Expo Push Service): envío de notificaciones push a dispositivos móviles.

No se cederán datos personales a terceros salvo en los casos anteriormente descritos, por obligación legal o con el consentimiento previo e inequívoco del Usuario.

5. Transferencias internacionales de datos

La mayoría de nuestros proveedores operan desde la Unión Europea o cuentan con garantías adecuadas (Cláusulas Contractuales Tipo de la Comisión Europea) para las transferencias internacionales. En particular:

  • Supabase: datos alojados en la UE (Fráncfort).
  • Stripe: opera con garantías adecuadas (SCCs) y certificación PCI DSS.
  • Google Cloud: opera bajo el DPA de Google Cloud con SCCs incorporadas.
  • Vercel: puede procesar datos en EE.UU. con base en SCCs y medidas complementarias.

6. Conservación de los datos

Los datos personales se conservarán durante los siguientes plazos:

  • Datos de cuenta: mientras el Usuario mantenga una cuenta activa. Si la cuenta se elimina, los datos se suprimirán o anonimizarán en un plazo máximo de 30 días, salvo obligación legal de conservación.
  • Datos de alumnado: mientras el docente mantenga al alumno en su clase dentro de la Plataforma. Si el docente elimina la clase o su cuenta, los datos del alumnado se suprimirán en un plazo máximo de 30 días.
  • Documentos generados (biblioteca): mientras el Usuario decida mantenerlos. Pueden eliminarse en cualquier momento desde la interfaz de la aplicación.
  • Datos financieros: conforme a la normativa fiscal española ( Ley 58/2003, de 17 de diciembre, General Tributaria), durante el plazo de 4 años desde la fecha de la operación, salvo que la normativa aplicable exija un plazo superior.
  • Logs y registros técnicos: entre 30 y 90 días, salvo que deban conservarse para la investigación de incidentes de seguridad.

7. Seguridad de la información

El Titular ha implementado las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, incluyendo:

  • Cifrado de comunicaciones mediante TLS/SSL (HTTPS).
  • Cifrado en reposo de la base de datos y almacenamiento de objetos (Supabase).
  • Políticas de control de acceso basadas en roles (RLS) en la base de datos.
  • Autenticación multifactor disponible para cuentas sensibles.
  • Rate limiting (Upstash Redis) para prevenir abusos y ataques de fuerza bruta.
  • Auditorías periódicas de seguridad y revisión de políticas de acceso.

En caso de producirse una brecha de seguridad que afecte a los datos personales de los Usuarios, el Titular se compromete a notificarlo a la Agencia Española de Protección de Datos (AEPD) en el plazo de 72 horas, y a los Usuarios afectados cuando el riesgo para sus derechos y libertades sea alto.

8. Derechos de los usuarios

De acuerdo con el RGPD y la LOPDGDD, el Usuario puede ejercer los siguientes derechos contactando con el Titular a través de [EMAIL DE CONTACTO LEGAL], acreditando debidamente su identidad:

  • Derecho de acceso: conocer qué datos personales se están tratando y obtener copia.
  • Derecho de rectificación: solicitar la corrección de datos inexactos o incompletos.
  • Derecho de supresión ("derecho al olvido"): solicitar la eliminación de los datos cuando ya no sean necesarios para las finalidades para las que fueron recogidos.
  • Derecho de oposición: oponerse al tratamiento basado en el interés legítimo o en el consentimiento.
  • Derecho de limitación del tratamiento: solicitar la limitación del tratamiento en determinadas circunstancias.
  • Derecho de portabilidad: recibir los datos en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable.
  • Derecho a no ser objeto de decisiones automatizadas: Magisteria no toma decisiones automatizadas que produzcan efectos jurídicos significativos sobre los Usuarios.

El ejercicio de estos derechos es gratuito. Si consideras que el tratamiento de tus datos vulnera la normativa, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).

9. Cláusula específica sobre datos de alumnado y menores

Dado que Magisteria puede utilizarse para introducir datos de alumnado menor de edad, se establecen las siguientes salvaguardas adicionales:

  • Minimización: solo se recogerán los datos estrictamente necesarios para la finalidad educativa concreta.
  • Anonimización recomendada: se recomienda utilizar códigos, iniciales o seudónimos en lugar de nombres completos siempre que sea posible.
  • Control de acceso: cada docente solo puede acceder a los datos del alumnado de sus propias clases, salvo que el centro haya configurado permisos específicos de coordinación o dirección.
  • Consentimiento del representante legal: el centro o docente debe garantizar que existe el consentimiento informado de los padres/madres/tutores legales, o que el tratamiento se fundamente en otra base legal aplicable (obligación legal o interés público en el ámbito educativo).
  • Eliminación periódica: se recomienda eliminar los datos del alumnado al finalizar el curso académico o cuando el alumno deje de estar matriculado en la clase, salvo que el centro deba conservarlos por obligación legal.

10. Cláusula específica sobre uso de inteligencia artificial

Inteligencia artificial generativa

Magisteria utiliza modelos de IA de Google (Gemini). Los datos enviados se usan únicamente para generar la respuesta solicitada. Magisteria no entrena modelos de Google con tus datos. El Usuario es el único responsable de revisar y validar los contenidos generados.
  • Los datos enviados a la API de Gemini se utilizan únicamente para generar la respuesta solicitada por el Usuario.
  • Magisteria no utiliza los datos de los Usuarios para entrenar o mejorar los modelos de IA de Google.
  • Los outputs de IA se almacenan en la cuenta del Usuario para su posterior consulta y edición.
  • El Usuario es el único responsable de revisar y validar la exactitud, adecuación pedagógica y cumplimiento normativo de los contenidos generados antes de su uso.

11. Cláusula específica para beta testers

Durante la fase beta, los datos recogidos se utilizan para: (i) garantizar el funcionamiento técnico de la Plataforma; (ii) detectar errores y vulnerabilidades; (iii) recopilar feedback cualitativo y cuantitativo; y (iv) priorizar el desarrollo de funcionalidades.

Los beta testers podrán solicitar la eliminación completa de su cuenta y datos asociados en cualquier momento. Los datos agregados y anonimizados para fines estadísticos podrán conservarse una vez finalizada la fase beta.

12. Modificaciones de la política de privacidad

El Titular se reserva el derecho de modificar la presente Política de Privacidad para adaptarla a novedades legislativas o cambios en los tratamientos de datos. Cualquier modificación será notificada a través del correo electrónico registrado o mediante un aviso destacado en la Plataforma con al menos 15 días de antelación a su entrada en vigor.

Este documento forma parte integral de los acuerdos entre el usuario y Magisteria.
TérminosPrivacidadCookiesAviso Legal