Versión imprimible y descargable como PDF.
Contrato de encargo del tratamiento de datos (DPA)
Conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD).
Última actualización: 3 de mayo de 2026.
Partes
- RESPONSABLE DEL TRATAMIENTO: el centro educativo, profesor o entidad que utiliza Aulify y que ha aceptado los Términos del servicio (en adelante, "el Responsable").
- ENCARGADO DEL TRATAMIENTO: Aulify (en adelante, "el Encargado"), con dirección de contacto hello@aulify.app.
Este contrato se entiende aceptado automáticamente por el Responsable en el momento en que crea su cuenta y comienza a tratar datos personales de terceros (alumnos) utilizando el servicio Aulify, conforme a los Términos y condiciones.
1. Objeto
El presente DPA regula el tratamiento de datos personales que el Encargado realiza por cuenta del Responsable con motivo de la prestación del servicio Aulify (creación de asistentes educativos con IA, almacenamiento de conversaciones y medición del progreso del alumnado).
2. Duración
Este contrato estará vigente mientras el Responsable disponga de una cuenta activa en Aulify. Tras la cancelación, el Encargado conservará los datos durante un máximo de 30 días antes de proceder a su eliminación, salvo obligación legal de conservación.
3. Naturaleza, finalidad y categorías
- Naturaleza: alojamiento, procesamiento, indexación y generación de respuestas mediante IA.
- Finalidad: prestar el servicio educativo descrito en los Términos.
- Tipos de datos: alias / nombre de pila del alumno, conversaciones con el asistente, mapa de progreso pedagógico.
- Categorías de interesados: alumnos del Responsable, mayores y menores de edad.
- Exclusión expresa — voz del alumno: el dictado por voz disponible en el chat se ejecuta íntegramente en el navegador del alumno mediante la Web Speech API de su dispositivo. El audio no es objeto del presente encargo de tratamiento: no se transmite al Encargado, no se almacena en la infraestructura del Encargado y no se comparte con ningún subencargado. Únicamente el texto resultante (mensaje escrito) se trata conforme a las cláusulas siguientes.
4. Obligaciones del Encargado
- Tratar los datos únicamente conforme a las instrucciones documentadas del Responsable, recogidas en el servicio y en estos términos.
- Garantizar que las personas autorizadas para tratar los datos se hayan comprometido a respetar la confidencialidad.
- Adoptar las medidas técnicas y organizativas adecuadas (art. 32 RGPD): cifrado en tránsito (TLS) y en reposo, control de accesos, RLS en base de datos, copias de seguridad, registro de actividad.
- No subcontratar el tratamiento a terceros distintos de los subencargados autorizados indicados en la cláusula 6 sin informar previamente al Responsable.
- Asistir al Responsable en la atención de derechos de los interesados (acceso, rectificación, supresión, etc.) y en el cumplimiento de las obligaciones de los arts. 32 a 36 RGPD.
- Notificar al Responsable, sin dilación indebida y en un plazo máximo de 72 horas, cualquier violación de seguridad de la que tenga conocimiento.
- A elección del Responsable, suprimir o devolver los datos tratados al finalizar la prestación, salvo conservación obligatoria por ley.
- Poner a disposición del Responsable la información necesaria para acreditar el cumplimiento del art. 28 RGPD y permitir auditorías, incluidas inspecciones, realizadas por el Responsable o un auditor autorizado, con un preaviso razonable.
5. Obligaciones del Responsable
- Disponer de la base jurídica adecuada para tratar los datos de los alumnos (en el contexto educativo, generalmente "misión de interés público" o consentimiento parental conforme al art. 7 LOPDGDD para menores de 14 años en España).
- Informar a las familias y alumnos del tratamiento, pudiendo apoyarse en la página de información para familias.
- Recabar y custodiar, cuando proceda, el consentimiento parental.
- No introducir en el material subido datos personales de terceros que excedan lo estrictamente necesario para la finalidad educativa.
- Atender en primera instancia los derechos ejercidos por sus alumnos o sus familias.
6. Subencargados autorizados
El Responsable autoriza expresamente al Encargado a apoyarse en los siguientes subencargados:
| Subencargado | Servicio | Ubicación | Garantía de transferencia |
|---|---|---|---|
| Supabase / Lovable Cloud | Base de datos, autenticación, almacenamiento | UE | — |
| Cloudflare, Inc. | CDN y borde de red | UE/Global | SCC + DPF |
| Google LLC (Gemini) | Modelos de IA generativa | EE. UU. | SCC + EU–US Data Privacy Framework |
| OpenAI, OpCo LLC | Modelos de IA generativa | EE. UU. | SCC + EU–US Data Privacy Framework |
| Stripe Payments Europe Ltd. | Procesamiento de pagos | UE (Irlanda) | — |
| Resend / proveedor de email transaccional | Envío de correos del servicio | UE | — |
Los proveedores de IA no utilizan los datos para entrenar sus modelos en virtud de los acuerdos comerciales suscritos. El Encargado notificará al Responsable cualquier alta o sustitución de subencargado con al menos 30 días de antelación, dándole la posibilidad de oponerse.
7. Transferencias internacionales
Las transferencias fuera del EEE se amparan en Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea (Decisión 2021/914) y, cuando aplica, en el marco EU–US Data Privacy Framework.
8. Responsabilidad
Cada parte responde de los daños y perjuicios causados al interesado como consecuencia del incumplimiento de sus obligaciones bajo el RGPD. La responsabilidad económica del Encargado frente al Responsable se limita conforme a lo previsto en los Términos del servicio.
9. Ley aplicable
Este contrato se rige por la legislación española y de la Unión Europea aplicable a la protección de datos personales.
Si tu centro requiere la firma de un DPA específico (p. ej. con sello, firma manuscrita o cláusulas adicionales del centro), escríbenos a hello@aulify.app y te atenderemos.