Este documento describe cómo PinTeach cumple con el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPD-GDD), y sirve como referencia para usuarios, auditores y organismos reguladores.
1. Roles en el Tratamiento de Datos
PinTeach actúa en dos roles distintos según el contexto:
Responsable del Tratamiento
Cuando recopila y trata datos de los Profesores registrados (datos de cuenta, uso de la plataforma, facturación), PinTeach actúa como Responsable del Tratamiento y determina los fines y medios del tratamiento.
Encargado del Tratamiento
Cuando los Profesores introducen en la plataforma datos de sus Alumnos (nombre, contacto, historial de clases, notas), PinTeach actúa como Encargado del Tratamiento por cuenta del Profesor, quien es el Responsable. PinTeach trata estos datos únicamente siguiendo las instrucciones del Profesor y para la prestación del servicio contratado.
Los Profesores que introduzcan datos de alumnos en PinTeach asumen la responsabilidad de disponer de la base jurídica adecuada para dicho tratamiento y de informar a sus alumnos conforme al RGPD.
2. Bases Jurídicas del Tratamiento
PinTeach trata datos personales exclusivamente cuando existe una base jurídica válida conforme al artículo 6 del RGPD:
| Tratamiento | Base jurídica |
|---|---|
| Creación y gestión de cuenta | Ejecución de contrato (art. 6.1.b) |
| Prestación de las funcionalidades de la plataforma | Ejecución de contrato (art. 6.1.b) |
| Emisión de facturas y cumplimiento fiscal | Obligación legal (art. 6.1.c) |
| Integración con APIs de Google (Calendar, Drive) | Consentimiento explícito (art. 6.1.a) |
| Comunicaciones de servicio y notificaciones | Ejecución de contrato (art. 6.1.b) |
| Análisis de uso para mejora del producto (datos anonimizados) | Interés legítimo (art. 6.1.f) |
| Marketing y comunicaciones promocionales | Consentimiento (art. 6.1.a) |
3. Principios de Protección de Datos
PinTeach aplica en su diseño y operación los siguientes principios del RGPD:
- Licitud, lealtad y transparencia: los usuarios son informados de forma clara sobre el tratamiento de sus datos antes de su recogida.
- Limitación de la finalidad: los datos se recogen con fines específicos y no se tratan de manera incompatible con dichos fines.
- Minimización de datos: únicamente se recogen los datos estrictamente necesarios para cada finalidad.
- Exactitud: se habilitan mecanismos para que los usuarios actualicen y corrijan sus datos.
- Limitación del plazo de conservación: los datos se eliminan cuando dejan de ser necesarios, conforme a los plazos definidos en nuestra Política de Privacidad.
- Integridad y confidencialidad: se aplican medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos.
- Responsabilidad proactiva (accountability): PinTeach documenta y puede demostrar el cumplimiento de los principios anteriores.
4. Privacy by Design y by Default
PinTeach incorpora la protección de datos desde el diseño y por defecto:
- Las nuevas funcionalidades son evaluadas desde una perspectiva de privacidad antes de su implementación.
- La configuración predeterminada es siempre la más restrictiva en términos de privacidad.
- Se aplica el principio de minimización: solo se solicitan los permisos de API de Google estrictamente necesarios para cada funcionalidad.
- Los datos de alumnos no son accesibles para otros Profesores ni para terceros ajenos al servicio.
5. Transferencias Internacionales
Algunos de nuestros proveedores tecnológicos están establecidos fuera del Espacio Económico Europeo (EEE). En todos los casos, las transferencias se realizan bajo alguna de las siguientes garantías previstas en el RGPD:
| Proveedor | País | Garantía |
|---|---|---|
| Google LLC | EE. UU. | Cláusulas Contractuales Tipo (CCT) de la Comisión Europea |
| Stripe, Inc. | EE. UU. | Cláusulas Contractuales Tipo (CCT) de la Comisión Europea |
PinTeach verifica periódicamente que sus proveedores mantienen las garantías adecuadas.
6. Acuerdo de Encargo de Tratamiento (DPA)
Los Profesores que traten datos de alumnos a través de PinTeach pueden solicitar la firma de un Acuerdo de Encargo de Tratamiento (Data Processing Agreement) escribiendo a privacy@pinteach.com. Este acuerdo regula:
- Las instrucciones del Responsable (Profesor) al Encargado (PinTeach).
- Las medidas de seguridad aplicadas.
- Los subencargados utilizados.
- El procedimiento ante brechas de seguridad.
- La devolución o supresión de datos al término del servicio.
7. Evaluaciones de Impacto (EIPD)
Cuando se introduce una nueva funcionalidad que implique un tratamiento de alto riesgo para los derechos y libertades de los interesados, PinTeach realiza una Evaluación de Impacto relativa a la Protección de Datos (EIPD) conforme al artículo 35 del RGPD, antes de iniciar dicho tratamiento.
8. Brechas de Seguridad
PinTeach dispone de un procedimiento interno de gestión de brechas de seguridad que incluye:
- Detección e identificación de la brecha.
- Evaluación del riesgo para los derechos y libertades de los afectados.
- Notificación a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas desde el conocimiento de la brecha, cuando sea probable que entrañe un riesgo para las personas (art. 33 RGPD).
- Comunicación a los interesados afectados cuando la brecha entrañe un alto riesgo (art. 34 RGPD).
- Registro interno de todas las brechas, incluidas las que no requieran notificación.
9. Derechos de los Interesados
PinTeach garantiza el ejercicio efectivo de los derechos reconocidos en el RGPD. Los usuarios pueden ejercer sus derechos mediante solicitud a privacy@pinteach.com. El plazo de respuesta es de un mes, ampliable a tres meses en casos de especial complejidad.
Los derechos disponibles son: acceso, rectificación, supresión, limitación del tratamiento, portabilidad, oposición y decisiones automatizadas individualizadas.
En caso de no obtener respuesta satisfactoria, el interesado puede presentar reclamación ante la AEPD (www.aepd.es).
10. Contacto para Cuestiones de Privacidad
Correo electrónico: privacy@pinteach.com
Sitio web: https://pinteach.com
Autoridad de control competente: Agencia Española de Protección de Datos — www.aepd.es