Este Acuerdo de Tratamiento de Datos (el "DPA") complementa los Términos de Servicio y la Política de Privacidad y regula el tratamiento de datos personales realizado por Grupo VLA ("Encargado") por cuenta del centro educativo contratante ("Responsable"), con motivo del uso de la plataforma Grades.
1. Objeto y roles
El Responsable determina los fines y medios del tratamiento de los datos personales de estudiantes, padres o tutores, docentes y personal administrativo. El Encargado trata dichos datos exclusivamente en su nombre, siguiendo sus instrucciones documentadas y esta política.
2. Categorías de titulares y tipos de datos
Titulares
- Estudiantes (personas menores de edad en su mayoría).
- Padres, madres, tutores u otras personas responsables.
- Personal directivo, docente y administrativo del Centro.
- Personal financiero o de facturación.
Categorías de datos
- Datos identificativos (nombre, correo, teléfono, documentos).
- Datos académicos (matrícula, evaluaciones, asistencia, competencias, boletines).
- Datos de contacto de padres o tutores y relación con el estudiante.
- Datos técnicos de uso del Servicio (IP, sesión, agente de usuario, auditoría).
- Datos de facturación fiscal del Centro.
No se procesan de forma habitual categorías especiales (datos de salud, biométricos o de origen étnico) salvo indicación expresa y base legal comprobada del Responsable.
3. Duración del tratamiento
El tratamiento se realiza por el tiempo de vigencia del contrato de suscripción y durante el período de conservación descrito en la Política de Privacidad, cláusula 7.
4. Obligaciones del Encargado
- Tratar los datos únicamente conforme a las instrucciones documentadas del Responsable, incluidas aquellas contenidas en la configuración del Servicio.
- Garantizar que el personal autorizado se comprometa a la confidencialidad.
- Aplicar medidas técnicas y organizativas razonables descritas en la cláusula 8.
- Asistir al Responsable, en la medida de lo posible y mediante medidas técnicas y organizativas apropiadas, en el cumplimiento de solicitudes de titulares.
- Notificar al Responsable sin dilación indebida cualquier violación de seguridad que afecte a los datos personales, con la información razonable disponible.
- Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento de las obligaciones acordadas.
5. Obligaciones del Responsable
- Contar con base legal para el tratamiento (matrícula, contrato, autorización de tutores).
- Ejercer un rol activo en la gestión de accesos y permisos dentro del Servicio.
- Atender en primera instancia las solicitudes de titulares dirigidas al Centro.
- Configurar responsablemente las funcionalidades de comunicación (correo, WhatsApp, SMS) respetando los canales autorizados por los titulares.
6. Sub-encargados
El Responsable autoriza al Encargado a utilizar sub-encargados para la prestación del Servicio, sujeto a que:
- El Encargado suscriba con cada sub-encargado obligaciones equivalentes a las contenidas en este DPA.
- El Encargado mantenga un listado accesible de sub-encargados vigentes y notifique al Responsable con antelación razonable la incorporación de nuevos sub-encargados relevantes.
- El Responsable pueda objetar por motivos justificados dentro de treinta (30) días desde la notificación; el Encargado propondrá una alternativa o cesará la contratación con el sub-encargado objetado, sin garantía de continuidad si esto es técnicamente inviable.
Sub-encargados actuales referenciales (a documentar en anexo firmado):
- Proveedor de hosting y respaldo.
- Proveedor de correo transaccional.
- Pasarela de pago autorizada.
- Proveedor opcional de mensajería WhatsApp / SMS.
- Proveedor opcional de servicios de inteligencia artificial cuando el Responsable active dichas funciones.
7. Transferencias internacionales
Cuando un sub-encargado opere fuera de Nicaragua, el Encargado exigirá cláusulas contractuales tipo o compromisos contractuales de nivel equivalente al aquí establecido y limitará el acceso al personal necesario.
8. Medidas técnicas y organizativas
- Control de accesos: autenticación con contraseña, doble factor obligatorio para roles privilegiados, sesiones auditadas.
- Cifrado en tránsito: TLS 1.2+ para toda comunicación web y API.
- Cifrado en reposo opcional: AES-256-CBC para respaldos protegidos.
- Segregación multi-tenant: aislamiento lógico por identificador de centro en todas las consultas.
- Respaldos diarios verificados con retención mínima de treinta (30) días.
- Registros de auditoría de operaciones críticas.
- Monitoreo operativo de plataforma y alertas automatizadas.
- Revisiones periódicas de dependencias y buenas prácticas OWASP.
9. Devolución y eliminación
Al terminar la relación contractual, y salvo obligación legal de conservación, el Encargado eliminará o anonimizará los datos personales tratados. Antes de la eliminación, el Responsable dispondrá de un plazo mínimo de noventa (90) días para exportar los datos en formato estructurado.
10. Auditoría
El Responsable puede solicitar una vez al año, con preaviso razonable, información documental sobre las medidas técnicas y organizativas implementadas por el Encargado. Auditorías presenciales requieren acuerdo previo, sujeción a confidencialidad y cobertura de costos por parte del Responsable.
11. Contacto
Consultas relacionadas con este DPA:
- Correo DPO: dpo@grupovla.com
- Domicilio: Managua, Nicaragua