Acuerdo de Tratamiento de Datos (DPA)

Adenda de Tratamiento de Datos (DPA). Vigente desde: 25 de marzo de 2026. Entidad jurídica: MB Tutlio. Contacto: info@tutlio.lt.

Al utilizar la plataforma Tutlio e introducir datos de alumnos, confirma que ha leído y acepta este Acuerdo de Tratamiento de Datos (DPA), la Política de Privacidad y las Condiciones del Servicio.

✓ Acepto los términos del DPA

Documento creado: 2026-03-25

Entidad jurídica: MB Tutlio

Versión: 1.0

Nota: Este Acuerdo de Tratamiento de Datos (DPA) es parte integral de las Condiciones del Servicio y la Política de Privacidad de la plataforma Tutlio. Se aplica a todos los Tutores y Organizaciones que utilizan la plataforma Tutlio y tratan datos personales de alumnos.

10. TERMINACIÓN DEL CONTRATO Y DEVOLUCIÓN DE DATOS

• Devolución de datos: El Prestador del Servicio entrega todos los datos del Cliente en formato JSON o CSV en un plazo de 30 días
• Eliminación de datos: El Prestador del Servicio elimina de forma segura todos los datos del Cliente y de los alumnos en un plazo de 30 días

10.1. Devolución o eliminación de datos

Tras la terminación del acuerdo entre el Cliente y el Prestador del Servicio, el Cliente puede elegir:

• Requisitos legales (ej., leyes contables – 10 años para registros de pago)
• Reclamaciones legales (resolución de disputas)
• Necesidad técnica (ej., copias de seguridad, que se eliminan automáticamente en 30 días)

10.2. Excepciones

El Prestador del Servicio puede conservar ciertos datos durante más tiempo si así lo requiere:

• El Prestador del Servicio es responsable de incumplimientos de las medidas de seguridad técnicas y organizativas, incidentes de seguridad de datos por culpa propia
• El Cliente es responsable de tratar datos sin base legal, notificación inadecuada a los interesados, introducción de datos injustificados o incorrectos
• Responsabilidad mutua: Si un interesado presenta una reclamación por violación del RGPD, las partes cooperan y son responsables según sus respectivas áreas de competencia

11. RESPONSABILIDAD E INDEMNIZACIÓN

Cada parte es responsable del incumplimiento de sus obligaciones en virtud de este DPA:

La limitación de responsabilidad se establece en las Condiciones del Servicio de la Plataforma y la legislación aplicable.

Contactos de MB Tutlio para asuntos del RGPD:

Correo electrónico: info@tutlio.lt

Nota: Actualmente MB Tutlio no tiene un Delegado de Protección de Datos (DPO) designado, ya que no cumple los requisitos del Art. 37 del RGPD. Todos los asuntos del RGPD se gestionan a través del contacto general.

En un plazo de 5 días hábiles

Tiempo de respuesta:

«RGPD / Protección de datos»

Asunto: «RGPD / Protección de datos»

12. CONTACTOS Y DELEGADO DE PROTECCIÓN DE DATOS

• Condiciones del Servicio de Tutlio
• Política de Privacidad de Tutlio
• Acuerdos de la organización (si procede)

13. ANEXOS E INFORMACIÓN ADICIONAL

Este DPA es parte integral de los siguientes documentos:

• Vigencia: Este DPA entra en vigor a partir del 2026-03-25 y es válido durante toda la duración del acuerdo entre el Cliente y el Prestador del Servicio
• Modificaciones: El Prestador del Servicio puede actualizar este DPA notificando al Cliente por correo electrónico con no menos de 30 días de antelación antes de la entrada en vigor de los cambios
• Legislación aplicable: Este DPA se rige por la legislación de la República de Lituania y el RGPD
• Disputas: Las disputas se resuelven mediante negociación; en caso de desacuerdo, ante los tribunales de la República de Lituania

14. DISPOSICIONES FINALES

1. PARTES Y DEFINICIONES

• MB Tutlio (en adelante, el Prestador del Servicio, Plataforma), que presta servicios de la plataforma Tutlio, y
• Tutor/Organización (en adelante, el Cliente), que utiliza la Plataforma para la gestión de datos de alumnos y la organización de clases.

1.1. Partes

Este Acuerdo de Tratamiento de Datos (en adelante, DPA) se celebra entre:

• RGPD – Reglamento General de Protección de Datos (UE 2016/679)
• Datos personales – cualquier información relativa a una persona física (alumno, padre/tutor legal) cuya identidad sea conocida o pueda determinarse
• Responsable del tratamiento – persona física o jurídica que determina los fines y medios del tratamiento de datos
• Encargado del tratamiento – persona física o jurídica que trata datos personales por cuenta del responsable del tratamiento
• Interesado – persona física (alumno, padre/tutor legal) cuyos datos personales son objeto de tratamiento
• Subencargado – tercero utilizado por el Prestador del Servicio para operaciones de tratamiento de datos (ej., Supabase, Stripe)

1.2. Definiciones

2. ALCANCE Y FINES DEL TRATAMIENTO DE DATOS

• Nombre y apellidos
• Dirección de correo electrónico
• Número de teléfono
• Edad y curso (opcional)
• Códigos de invitación
• Historial de clases (fechas, horarios, temas, notas)
• Información de pago (importe, estado, plazos de pago)
• Datos del padre/tutor legal (si el pagador no es el alumno): nombre, correo electrónico

2.1. Datos tratados

Los siguientes datos personales de alumnos y padres/tutores legales pueden ser tratados en la Plataforma:

• Prestación del servicio de la Plataforma: Programación de clases, gestión del calendario, envío de recordatorios
• Administración de pagos: Procesamiento de pagos de clases, envío de facturas
• Comunicación: Envío de notificaciones automatizadas (recordatorios, confirmaciones, invitaciones)
• Contabilidad: Gestión de registros financieros conforme a los requisitos legales
• Mejora de la Plataforma: Estadísticas anónimas para mejorar los servicios de la plataforma

2.2. Fines del tratamiento de datos

Los datos se tratan para los siguientes fines:

• Mientras el acuerdo entre el Cliente y la Plataforma esté vigente
• Registros financieros (pagos, facturas) – 10 años según la legislación contable
• Tras la terminación del contrato: hasta 30 días, salvo que el Cliente solicite la eliminación o devolución anticipada de los datos

2.3. Duración del tratamiento de datos

Los datos se conservan:

3. OBLIGACIONES Y RESPONSABILIDADES DE LAS PARTES

• Tratar los datos únicamente según las instrucciones del Cliente y para los fines especificados en este DPA
• Implementar medidas de seguridad técnicas y organizativas apropiadas:

Cifrado de datos (en tránsito y en reposo)

Control de acceso (autenticación, autorización, políticas RLS)

Copias de seguridad periódicas y planes de recuperación

Auditoría y supervisión de seguridad

Formación de empleados en protección de datos

• Notificar violaciones de seguridad de datos en un plazo de 72 horas desde su descubrimiento al Cliente y al DPA (si es necesario)
• Asistir en la implementación de los derechos de los interesados:

Derecho de acceso – proporcionar la posibilidad de exportar datos

Derecho de supresión – eliminar datos en un plazo de 30 días

Derecho de rectificación – permitir la corrección de datos a través de la Plataforma

Derecho a la portabilidad de datos – exportar datos en formato JSON/CSV

• Utilizar únicamente subencargados aprobados (véase la sección 4) e informar al Cliente de cualquier cambio
• Devolver o eliminar los datos tras la terminación del contrato según la elección del Cliente
• Permitir auditorías – proporcionar la información y documentos necesarios para la verificación del cumplimiento del RGPD
• No transferir datos fuera de la UE/EEE sin las garantías adecuadas (ej., cláusulas contractuales tipo)

3.1. Obligaciones del Prestador del Servicio

El Prestador del Servicio se compromete a:

• Contar con una base legal para el tratamiento de todos los datos introducidos en la Plataforma (consentimiento, contrato, interés legítimo conforme al Art. 6 del RGPD)
• Informar a los interesados (alumnos, padres) sobre:

Qué datos se tratan

Por qué se tratan (fines)

Que los datos serán tratados en la plataforma Tutlio

Enlace a la Política de Privacidad de Tutlio: tutlio.lt/privacy-policy

Sus derechos (acceso, supresión, rectificación, etc.)

• Obtener el consentimiento adecuado: Si el interesado es menor (menor de 16 años), obtener el consentimiento del padre/tutor legal
• Garantizar la exactitud de los datos: Introducir únicamente datos correctos y actualizados en la Plataforma
• Introducir solo los datos necesarios: Cumplir con el principio de minimización de datos
• Responder a las solicitudes de los interesados: Utilizando las funciones de la Plataforma o contactando con el Prestador del Servicio para asistencia
• Notificar incidentes de seguridad: Informar inmediatamente al Prestador del Servicio de cualquier violación de seguridad de datos observada
• Utilizar la Plataforma de forma responsable: No compartir el acceso con terceros, proteger las credenciales de inicio de sesión

3.2. Obligaciones del Cliente

El Cliente se compromete a:

Cumplimiento del RGPD:

Ubicación de los datos:

Política de privacidad:

Resend (Zernonia, Inc.)

Cumplimiento del RGPD: Conforme al RGPD

Ubicación de los datos: EE. UU. (AWS)

Servicio: Envío de correos electrónicos (recordatorios, invitaciones, notificaciones)

Servicio:

Stripe, Inc.

Cumplimiento del RGPD: Conforme al RGPD, certificado PCI DSS Nivel 1

Ubicación de los datos: EE. UU., UE (con cláusulas contractuales tipo)

Servicio: Procesamiento de pagos, gestión de suscripciones

Supabase Inc.

Cumplimiento del RGPD: Conforme al RGPD, certificado ISO 27001

Ubicación de los datos: Unión Europea (AWS eu-central-1)

Servicio: Alojamiento y gestión de bases de datos

4. SUBENCARGADOS

4.1. Subencargados aprobados

El Prestador del Servicio utiliza los siguientes subencargados para las operaciones de tratamiento de datos:

4.2. Cambios de subencargados

Si el Prestador del Servicio planea añadir un nuevo subencargado o sustituir uno existente, informará al Cliente por correo electrónico con no menos de 30 días de antelación antes del cambio. El Cliente tiene derecho a oponerse al nuevo subencargado, en cuyo caso podrá rescindir el contrato sin cargos adicionales.

5. DERECHOS DE LOS INTERESADOS

• Derecho de acceso (Art. 15): Obtener una copia de sus datos
• Derecho de rectificación (Art. 16): Corregir datos inexactos
• Derecho de supresión (Art. 17): «Derecho al olvido» (con excepciones, ej., leyes contables)
• Derecho a la limitación (Art. 18): Restringir el tratamiento de ciertos datos
• Derecho a la portabilidad (Art. 20): Recibir datos en un formato estructurado y legible por máquina
• Derecho de oposición (Art. 21): Oponerse al tratamiento de datos basado en intereses legítimos
• Derecho a presentar una reclamación (Art. 77): Presentar una reclamación ante la Inspección Estatal de Protección de Datos (VDAI)

5.1. Ejercicio de derechos

Los interesados (alumnos, padres) tienen los siguientes derechos en virtud del RGPD:

• Directamente al Cliente (tutor/organización)
• A través de la configuración de la Plataforma (si el alumno tiene cuenta)
• Por correo electrónico al Prestador del Servicio: info@tutlio.lt

5.2. Plazos y procedimientos de respuesta

Las solicitudes de los interesados pueden presentarse:

Plazo de respuesta: No más de 30 días desde la recepción de la solicitud (puede ampliarse a 60 días en casos complejos, notificando al interesado).

6. MEDIDAS DE SEGURIDAD DE DATOS

• Cifrado: TLS 1.3 en tránsito, AES-256 en reposo
• Autenticación: Almacenamiento seguro de contraseñas (bcrypt), capacidad MFA
• Control de acceso: Políticas de seguridad a nivel de fila (RLS) en la base de datos
• Copias de seguridad: Copias de seguridad diarias automáticas con retención de 30 días
• Supervisión: Seguimiento de eventos de seguridad y notificaciones
• Actualizaciones: Actualizaciones periódicas del sistema y dependencias

6.1. Medidas técnicas

• Formación de empleados: Formación en RGPD y protección de datos
• Obligaciones de confidencialidad: Todos los empleados firman acuerdos de confidencialidad
• Restricción de acceso: Solo los empleados autorizados tienen acceso a los datos
• Gestión de incidentes: Procedimientos documentados para la gestión de violaciones de seguridad de datos
• Auditorías: Auditorías internas de seguridad periódicas

6.2. Medidas organizativas

7. VIOLACIONES DE SEGURIDAD DE DATOS

• Inmediatamente (en un plazo de 72 horas) notifica al Cliente por correo electrónico
• Describe la violación: Naturaleza de la violación, qué datos se vieron afectados, cuántos interesados
• Indica las medidas adoptadas: Cómo se contuvo la violación, qué medidas se tomaron para restaurar los datos
• Recomienda acciones: Qué debe comunicar el Cliente a los interesados
• Si la violación supone un alto riesgo para los derechos de los interesados, el Prestador del Servicio notifica al DPA y asiste al Cliente en la notificación a los interesados afectados

7.1. Procedimiento de notificación

En caso de violación de seguridad de datos, el Prestador del Servicio:

7.2. Responsabilidad del Cliente

El Cliente se compromete a informar inmediatamente al Prestador del Servicio de cualquier incidente de seguridad observado relacionado con su cuenta o datos en la Plataforma.

• Cumplir con los requisitos del RGPD
• Utilizar Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea
• Contar con medidas de seguridad técnicas y organizativas adecuadas

8. TRANSFERENCIAS INTERNACIONALES DE DATOS

Los datos principales se almacenan en la Unión Europea (Supabase AWS región eu-central-1). Algunos subencargados (Stripe, Resend) pueden almacenar datos en EE. UU., pero:

El Prestador del Servicio no transferirá datos a terceros países fuera de la UE/EEE sin las garantías adecuadas e informar al Cliente.

• Proporcionar documentos que confirmen la implementación de medidas de seguridad
• Proporcionar una lista de subencargados y su cumplimiento del RGPD
• Permitir auditorías (previa solicitud razonable y acuerdo previo)
• Cooperar con las autoridades de control (VDAI)

9. AUDITORÍA Y VERIFICACIÓN DEL CUMPLIMIENTO

El Cliente tiene derecho a solicitar información sobre el cumplimiento del RGPD por parte del Prestador del Servicio. El Prestador del Servicio se compromete a: