Se aplica al utilizar la plataforma Tutlio.
Nota: Este Acuerdo de tratamiento de datos (DPA) forma parte integrante del Contrato de prestación de servicios (si se ha firmado), de las Reglas internas de la Plataforma Tutlio y de la Política de privacidad. Se aplica a todos los Tutores y Organizaciones que utilizan la plataforma Tutlio y tratan datos personales de alumnos.
1. PARTES Y DEFINICIONES
1.1. Partes y roles
Este Acuerdo de tratamiento de datos (en adelante, el DPA) se celebra entre:
- MB Tutlio (en adelante, el Proveedor de servicios o la Plataforma), que presta los servicios de la plataforma Tutlio, y
- el Tutor/la Organización (en adelante, el Cliente), que utiliza la Plataforma para gestionar datos de alumnos y organizar clases.
Las partes acuerdan expresamente que, conforme al Reglamento General de Protección de Datos (RGPD), al tratar datos personales en la Plataforma, el Cliente actúa exclusivamente como Responsable del tratamiento, mientras que MB Tutlio actúa exclusivamente como Encargado del tratamiento (conforme al artículo 28 del RGPD).
1.2. Definiciones
- RGPD significa el Reglamento General de Protección de Datos (UE 2016/679).
- Datos personales significa cualquier información sobre una persona física (alumno, padre/tutor) cuya identidad sea conocida o pueda determinarse.
- Responsable del tratamiento significa una persona física o jurídica (el Cliente) que determina los fines y medios del tratamiento de datos.
- Encargado del tratamiento significa una persona física o jurídica (MB Tutlio) que trata datos personales exclusivamente en nombre y siguiendo las instrucciones del responsable del tratamiento.
- Interesado significa una persona física (alumno, padre/tutor) cuyos datos personales son tratados.
- Subencargado significa un tercero utilizado por el Proveedor de servicios para operaciones de tratamiento de datos (por ejemplo, Supabase, Stripe, Perlas Finance).
2. ALCANCE Y FINALIDADES DEL TRATAMIENTO DE DATOS
2.1. Datos tratados
En la Plataforma, siguiendo instrucciones del Cliente, pueden tratarse los siguientes datos personales de alumnos y padres/tutores:
- Nombre y apellidos
- Dirección de correo electrónico
- Número de teléfono
- Edad y curso (opcional)
- Códigos de invitación
- Historial de clases (fechas, horas, temas, notas)
- Información de pagos (importe, estado, plazos de pago)
- Datos de padres/tutores (si el pagador no es el propio alumno): nombre, correo electrónico
2.2. Finalidades del tratamiento de datos
Los datos se tratan con las siguientes finalidades:
- Prestación de servicios de la Plataforma: Planificación de clases, gestión de calendario, envío de recordatorios.
- Administración de pagos: Procesamiento de pagos por clases, generación y envío de facturas.
- Comunicación: Envío de notificaciones automáticas (recordatorios, confirmaciones, invitaciones).
- Contabilidad: Gestión de registros financieros conforme a los requisitos legales.
- Mejora de la Plataforma: Estadísticas anónimas para mejorar los servicios de la plataforma.
2.3. Duración del tratamiento de datos
Los datos se conservan:
- Mientras esté vigente el contrato de prestación de servicios o el uso de la cuenta entre el Cliente y la Plataforma.
- Los registros financieros (pagos, facturas) durante 10 años conforme a los requisitos de las leyes contables.
- Tras la terminación del contrato / eliminación de la cuenta: hasta 30 días, salvo que el Cliente solicite una eliminación anterior o la exportación de datos.
3. OBLIGACIONES Y RESPONSABILIDADES DE LAS PARTES
3.1. Obligaciones del Proveedor de servicios (Encargado del tratamiento)
El Proveedor de servicios se compromete a:
- Tratar los datos únicamente conforme a las instrucciones del Cliente (Responsable del tratamiento) y para las finalidades indicadas en este DPA.
- Implementar medidas técnicas y organizativas de seguridad adecuadas (cifrado, control de acceso, copias de seguridad, etc.).
- Notificar al Cliente las violaciones de seguridad de datos en un plazo de 72 horas desde que tenga conocimiento.
- Ayudar al Cliente a ejercer los derechos de los interesados (derechos de acceso, supresión, rectificación y portabilidad utilizando la funcionalidad de la Plataforma).
- Utilizar únicamente subencargados aprobados (véase la sección 4) e informar al Cliente sobre sus cambios.
- Devolver o eliminar los datos al finalizar el contrato según la elección del Cliente.
- Permitir auditorías: previa solicitud razonable, proporcionar la información necesaria para verificar el cumplimiento del RGPD.
- No transferir datos fuera de la UE/EEE sin garantías adecuadas.
3.2. Obligaciones del Cliente (Responsable del tratamiento)
El Cliente se compromete a:
- Contar con una base jurídica para el tratamiento de todos los datos introducidos en la Plataforma (consentimiento, contrato, interés legítimo conforme al artículo 6 del RGPD).
- Informar a los interesados (alumnos, padres) sobre qué datos se recopilan, por qué se recopilan y que serán tratados en la plataforma Tutlio (proporcionando un enlace a la Política de privacidad de Tutlio).
- Obtener los consentimientos adecuados (si el interesado es menor, obtener el consentimiento de padres/tutores).
- Garantizar la exactitud de los datos y respetar el principio de minimización de datos (introducir solo los datos necesarios para las clases).
- Responder de forma independiente a las solicitudes de los interesados, utilizando si es necesario la funcionalidad de la Plataforma.
- Utilizar la Plataforma de manera responsable, no transferir el acceso a terceros y proteger los datos de inicio de sesión.
4. SUBENCARGADOS
4.1. Subencargados aprobados
El Cliente concede al Proveedor de servicios una autorización general para utilizar los siguientes subencargados:
Supabase Inc. Servicio: alojamiento y gestión de base de datos. Ubicación de los datos: Unión Europea (región AWS eu-central-1). Cumplimiento RGPD: cumple el RGPD, certificado ISO 27001.
Stripe, Inc. Servicio: procesamiento de pagos (mercados internacionales). Ubicación de los datos: EE. UU., UE (utilizando Cláusulas Contractuales Tipo, SCC). Cumplimiento RGPD: cumple el RGPD, certificado PCI DSS Level 1.
UAB Perlas Finance Servicio: servicios de banca abierta y procesamiento de pagos (mercado local). Ubicación de los datos: Unión Europea (Lituania). Cumplimiento RGPD: entidad de pago autorizada por el Banco de Lituania, cumple el RGPD.
Resend (Zernonia, Inc.) Servicio: envío de correos electrónicos (recordatorios, notificaciones). Ubicación de los datos: EE. UU. (AWS, utilizando SCC). Cumplimiento RGPD: cumple el RGPD.
4.2. Cambio de subencargados
Si el Proveedor de servicios prevé añadir un nuevo subencargado o sustituir uno existente, informará al Cliente por correo electrónico a más tardar 30 días antes del cambio. El Cliente tiene derecho a oponerse al nuevo subencargado (si existen motivos razonables relacionados con la protección de datos); en tal caso, el Cliente tiene derecho a resolver el contrato de prestación de servicios.
5. DERECHOS DE LOS INTERESADOS
5.1. Ejercicio de derechos
Los interesados (alumnos, padres) tienen los siguientes derechos conforme al RGPD: derecho de acceso, derecho de rectificación, derecho de supresión (derecho al olvido), derecho de limitación, derecho de portabilidad, derecho de oposición, derecho a presentar una reclamación ante la Inspección Estatal de Protección de Datos (VDAI).
5.2. Plazos y procedimientos de respuesta
Las solicitudes de los interesados deben ser tramitadas en primer lugar por el Cliente (Responsable del tratamiento). Si el Cliente necesita asistencia técnica para extraer o eliminar datos, puede contactar con el Proveedor de servicios por correo electrónico en info@tutlio.lt. El Proveedor de servicios responde a dichas solicitudes a más tardar en un plazo de 30 días.
6. MEDIDAS DE SEGURIDAD DE LOS DATOS
6.1. Medidas técnicas
- Cifrado: TLS 1.3 para transporte, AES-256 en reposo (almacenamiento).
- Autenticación: Almacenamiento seguro de contraseñas (hash bcrypt).
- Control de acceso: Acceso separado a los datos (Row-Level Security - RLS).
- Copias de seguridad: Copias de seguridad automáticas diarias (conservadas 30 días).
- Monitorización: Supervisión de eventos de seguridad y métricas de servidores.
6.2. Medidas organizativas
- Formación de empleados y compromisos de confidencialidad (todos los empleados firman un NDA).
- Limitación de acceso: Solo los empleados autorizados tienen acceso técnico a la infraestructura.
- Gestión de incidentes: Procedimientos documentados para gestionar violaciones de seguridad.
7. VIOLACIONES DE SEGURIDAD DE DATOS
Si se produce una violación de seguridad de datos, el Proveedor de servicios notificará sin demora (a más tardar en 72 horas) al Cliente por correo electrónico, describirá la naturaleza de la violación, indicará las medidas adoptadas y proporcionará recomendaciones. El Cliente, como Responsable del tratamiento, es responsable de informar posteriormente a los interesados o a la VDAI conforme a los requisitos del RGPD.
8. TRANSFERENCIA INTERNACIONAL DE DATOS
Los datos personales principales se almacenan en la Unión Europea (AWS eu-central-1). Al utilizar subencargados registrados en EE. UU. (por ejemplo, Stripe, Resend), la transferencia de datos se realiza conforme a las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea, garantizando el nivel de protección exigido por la UE.
9. AUDITORÍA Y VERIFICACIÓN DE CUMPLIMIENTO
El Cliente tiene derecho a solicitar información sobre las medidas de cumplimiento del RGPD aplicadas por el Proveedor de servicios. El Proveedor de servicios se compromete a proporcionar documentos acreditativos. Las auditorías físicas de infraestructura solo podrán realizarse previa coordinación, cubriendo los costes de apoyo a la auditoría del Proveedor de servicios y sin vulnerar la confidencialidad de otros clientes.
10. FINALIZACIÓN DEL CONTRATO Y DEVOLUCIÓN DE DATOS
Al terminar el contrato de prestación de servicios o cuando el Cliente elimina la cuenta, el Proveedor de servicios devuelve (permite exportar) los datos en formato JSON o CSV. Al finalizar el periodo transitorio de 30 días, todos los datos personales del Cliente se eliminan de forma irreversible de los sistemas y copias de seguridad, salvo aquellos datos cuya conservación exija la ley (por ejemplo, operaciones financieras con fines contables).
11. RESPONSABILIDAD E INDEMNIZACIONES
Cada parte responde por los daños derivados de su propia infracción de este DPA y del RGPD. La responsabilidad financiera máxima del Proveedor de servicios (Encargado del tratamiento) por infracciones de este DPA se limita a los importes y condiciones establecidos en el Contrato principal de prestación de servicios o en las Reglas internas de la Plataforma (limitación de responsabilidad / Liability Cap).
12. CONTACTOS
Contactos de MB Tutlio para cuestiones de RGPD y privacidad:
- Correo electrónico: info@tutlio.lt
- Asunto: RGPD / Protección de datos
- Tiempo de respuesta: en 5 días hábiles
13. DISPOSICIONES FINALES
Este DPA entra en vigor cuando el Cliente acepta las Reglas de la Plataforma (o firma el Contrato de prestación de servicios) y permanece vigente durante todo el periodo de prestación de servicios. El Proveedor de servicios puede actualizar este DPA informando al Cliente por correo electrónico a más tardar 30 días antes de la entrada en vigor de los cambios. Este acuerdo se rige por la ley de la República de Lituania y los requisitos del RGPD de la UE.