Se aplica al utilizar la plataforma Tutlio.
1. Disposiciones generales
Esta política de privacidad (en adelante, la Política) establece cómo MB Tutlio (código de empresa 307617263), que gestiona la plataforma Tutlio (en adelante, el Proveedor de servicios, nosotros), recopila, utiliza y protege los datos personales. Actuamos de conformidad con la legislación de la República de Lituania: el Reglamento General de Protección de Datos (RGPD) (UE 2016/679), la Ley de la República de Lituania sobre protección jurídica de datos personales, las leyes sobre servicios electrónicos y comunicaciones electrónicas, y demás legislación aplicable.
2. Responsable del tratamiento y Encargado del tratamiento (roles)
Al prestar servicios en la nube B2B (empresa a empresa), los roles de protección de datos están estrictamente separados conforme a los requisitos del RGPD: el Tutor / la Organización (cliente de la Plataforma) actúa exclusivamente como Responsable del tratamiento respecto de todos los datos personales de los alumnos (y de sus padres/tutores) introducidos en la Plataforma. MB Tutlio actúa exclusivamente como Encargado del tratamiento (en el sentido del artículo 28 del RGPD) respecto de los datos personales de los alumnos, tratándolos únicamente según las instrucciones del Cliente. MB Tutlio actúa como Responsable del tratamiento únicamente respecto de los datos de registro y facturación de los propios Tutores/Organizaciones (sus clientes B2B directos).
2.1. El Tutor/la Organización, como Responsable del tratamiento, es responsable de:
- Base jurídica: Contar con una base jurídica para el tratamiento de todos los datos personales de alumnos introducidos en la Plataforma (consentimiento, contrato, interés legítimo).
- Información: Informar a los alumnos y a sus padres/tutores sobre el tratamiento de datos en la Plataforma y proporcionar un enlace a esta Política de privacidad.
- Exactitud de los datos: Garantizar que los datos introducidos en la Plataforma sean correctos, actuales y se limiten a lo necesario (minimización de datos).
- Derechos de los interesados: Responder a las solicitudes de los alumnos sobre sus datos (acceso, supresión, rectificación, portabilidad), utilizando de forma independiente las funciones de la Plataforma.
2.2. MB Tutlio, como Encargado del tratamiento, trata los datos de los alumnos con las siguientes finalidades:
- Prestación de la Plataforma: Garantizar el funcionamiento de la infraestructura de la Plataforma, soporte técnico y prestación de servicios en la nube conforme al contrato B2B.
- Seguridad: Seguridad técnica de los datos e implementación de medidas de seguridad (cifrado, copias de seguridad).
- Procesos automáticos: Envío de notificaciones automáticas (recordatorios de clases, pagos) estrictamente según la configuración del Tutor/la Organización.
- Procesamiento de pagos: Soporte técnico de los procesos de pago, actuando como agente comercial autorizado.
3. Qué datos recopilamos
- Datos de registro y cuenta (Clientes): correo electrónico, nombre y apellidos, número de teléfono, contraseña (almacenada de forma cifrada, es decir, en formato hash).
- Datos de pago: historial de pagos, estado de pago de sesiones. Los datos de tarjetas de pago o bancarios se tratan únicamente a través de socios autorizados (Stripe o UAB Perlas Finance). MB Tutlio no ve ni almacena datos completos de tarjetas de pago ni credenciales bancarias.
- Datos de suscripción: plan de suscripción, fecha de vencimiento, uso del periodo de prueba.
- Datos de clases y calendario: horarios de clases, temas, notas, cancelaciones, envío de recordatorios.
- Datos de alumnos (introducidos por el Tutor): nombres de alumnos, correos electrónicos, teléfonos, datos del pagador (padres/tutores).
- Datos técnicos: dirección IP, tipo de navegador, horas de inicio de sesión, con fines de intereses legítimos (seguridad del sistema, prevención de abusos).
4. Uso de datos de Google API (Google API Limited Use Policy)
Para garantizar una gestión cómoda de los horarios, la Plataforma permite a los usuarios vincular su cuenta con Google Calendar (mediante autenticación OAuth). Solicitamos acceso únicamente a sus eventos de Google Calendar (permisos de lectura y escritura) para poder sincronizar las clases planificadas en la Plataforma con su calendario personal.
Sus datos de Google Calendar se utilizan exclusivamente para garantizar la sincronización bidireccional de calendarios. No transferimos, vendemos ni compartimos sus datos de usuario de Google con terceros (incluidas redes publicitarias u otros socios comerciales).
El uso y la transferencia por parte de Tutlio de la información recibida de las API de Google a cualquier otra aplicación cumplen estrictamente la Google API Services User Data Policy, incluidos los requisitos de uso limitado (Limited Use).
5. Finalidades y base jurídica (artículo 6 del RGPD)
Tratamos los datos para ejecutar el contrato (administración de cuentas, clases y pagos), perseguir intereses legítimos (seguridad de la plataforma, liquidaciones), sobre la base de su consentimiento (cuando la ley lo exija) y para cumplir la legislación (contabilidad). Utilizamos el correo electrónico para informar sobre pagos y cancelaciones; las reglas de cancelación se describen en las Reglas internas de la Plataforma.
6. Conservación y seguridad de datos
Conservamos los datos solo durante el tiempo necesario para ejecutar el contrato y cumplir la legislación (por ejemplo, contable). Utilizamos medidas técnicas y organizativas adecuadas (cifrado de datos en tránsito y en reposo, control de acceso, copias de seguridad automáticas) para proteger los datos frente a accesos no autorizados, pérdida o abuso.
6.1. Subencargados
MB Tutlio utiliza subencargados cuidadosamente seleccionados y conformes con el RGPD para garantizar la infraestructura en la nube y de pagos:
- Supabase Inc.: Alojamiento y gestión de base de datos (datos almacenados en la región de la UE, en servidores AWS).
- Stripe, Inc.: Procesamiento de pagos y gestión de suscripciones en mercados internacionales.
- UAB Perlas Finance: Servicios de cobro de pagos de banca abierta en el mercado local.
- Resend (Zernonia, Inc.): Servicio de envío de correos electrónicos transaccionales (recordatorios, invitaciones, notificaciones).
Todos los subencargados se comprometen a tratar los datos personales únicamente según nuestras instrucciones, aplicando los estándares de seguridad más estrictos (incluidas las cláusulas contractuales tipo, SCC, al transferir datos fuera de la UE).
7. Sus derechos (RGPD)
Para ejercer sus derechos en materia de datos, contacte por correo electrónico: info@tutlio.lt.
Aclaraciones importantes:
- Si usted es alumno (o padre/tutor de un alumno): Respecto de los datos que su tutor o escuela introdujo en la Plataforma, contacte primero directamente con ellos. Ellos son su Responsable del tratamiento. Ayudaremos técnicamente al Responsable del tratamiento a ejercer sus derechos, pero la persona principalmente responsable es su tutor/organización.
- Si usted es tutor/organización: Puede gestionar, corregir, eliminar o exportar de forma independiente los datos de alumnos desde la configuración de la Plataforma. Si existe una necesidad técnica, le ayudaremos a ejercer los derechos de los interesados.
7.1. Notificación de violaciones de seguridad de datos
Si se produce una violación de seguridad de datos, informaremos al Responsable del tratamiento (Tutor/Organización) a más tardar en un plazo de 72 horas desde que se tenga conocimiento de la violación. El Responsable del tratamiento es responsable de informar posteriormente a los interesados o a las autoridades de control (VDAI), según exige el RGPD.
8. Cookies y analítica
Utilizamos únicamente cookies necesarias (técnicas), requeridas para el inicio de sesión de los usuarios (mantenimiento de sesión) y el funcionamiento seguro de la plataforma. Dentro de la Plataforma no utilizamos cookies de marketing de terceros sin consentimiento separado.
9. Cambios
Esta Política puede actualizarse al mejorar los servicios. Informaremos a los clientes existentes de cambios importantes por correo electrónico o mediante una notificación dentro de la plataforma. Al seguir utilizando los servicios tras la publicación de los cambios, usted acepta la Política de privacidad actualizada. A los clientes B2B se les aplica además el Acuerdo de tratamiento de datos (DPA).