Resum executiu
CoRubrics no ven dades personals, no les lloga i no les comparteix amb xarxes publicitàries. Les dades s'utilitzen per prestar el servei, mantenir-lo segur, complir obligacions legals i millorar internament el producte.
- Les dades acadèmiques pertanyen al docent o centre educatiu que les introdueix i es tracten per prestar el servei sol·licitat.
- Les dades d'estudiants es limiten al que és necessari per identificar-los dins d'una classe, completar avaluacions i calcular resultats.
- Les dades d'ús es poden utilitzar de manera interna, agregada o seudonimitzada, per diagnosticar errors, millorar fluxos i desenvolupar el producte.
- CoRubrics no utilitza dades d'estudiants per a publicitat comportamental ni les ven a tercers.
1. Responsable, encarregat i abast
Quan un docent o centre educatiu utilitza CoRubrics per gestionar informació de classes, estudiants, rúbriques, formularis, lliuraments i qualificacions, aquest docent o centre actua normalment com a responsable del tractament. CoRubrics actua com a encarregat del tractament i processa aquestes dades seguint les seves instruccions.
CoRubrics actua com a responsable independent respecte de les dades necessàries per administrar comptes, operar el lloc web, gestionar seguretat, facturació si n'hi hagués, comunicacions de servei, suport, compliment legal i millora interna del producte.
Els centres educatius i docents que actuïn com a responsables del tractament i necessitin formalitzar un Acord d'Encàrrec de Tractament (AET) conforme a l'article 28 del RGPD poden consultar-ho a corubrics.co/dpa.
2. Dades que tractem
Tractem únicament les dades raonablement necessàries per operar una eina educativa d'avaluació. La informació concreta depèn de com el docent o centre configuri la plataforma.
- Dades de compte docent: correu electrònic, nom, identificadors d'autenticació, idioma, dates de creació i actualització.
- Dades acadèmiques: cursos, classes, matèries, alumnat, rúbriques, criteris, nivells, formularis, pesos d'avaluació, lliuraments, puntuacions i qualificacions calculades.
- Dades d'estudiants: nom, cognoms, correu electrònic quan el docent l'aporta, classe, enllaços o tokens de formulari, estat de lliurament i resultats d'avaluació.
- Dades tècniques i de seguretat: registres d'auditoria, esdeveniments de producte, identificadors interns, marques temporals, límits d'ús, cookies de sessió i dades necessàries per detectar abús o errors.
- Dades de comunicació: correus transaccionals enviats des de la plataforma, rebots, queixes de correu i sol·licituds de suport.
- Dades d'IA quan s'utilitzen funcions de generació: instruccions o continguts facilitats pel docent per crear o millorar rúbriques i la resposta generada pel proveïdor d'IA configurat.
3. Finalitats i bases jurídiques
Tractem dades personals per prestar CoRubrics, mantenir la seguretat del servei i complir obligacions aplicables. Segons el context, la base jurídica pot ser l'execució d'un contracte o mesures precontractuals, l'interès legítim a operar i millorar el servei, el compliment d'obligacions legals o les bases que determini el centre educatiu com a responsable del tractament. Quan ens recolzem en interessos legítims, vetllem perquè no prevalguin sobre els interessos o drets fonamentals dels interessats.
- Crear i administrar comptes docents.
- Gestionar classes, estudiants, rúbriques, formularis, avaluacions, qualificacions i informes.
- Enviar invitacions, enllaços de formulari, notificacions de servei i informes de resultats.
- Autenticar usuaris, mantenir sessions, prevenir abús, aplicar límits d'ús i conservar registres de seguretat.
- Proporcionar suport tècnic i respondre a sol·licituds legals o de privacitat.
- Millorar internament el producte mitjançant mètriques d'ús, esdeveniments de producte, anàlisi d'errors i feedback, preferentment de manera agregada o seudonimitzada.
4. Estudiants i menors d'edat
CoRubrics està dissenyat per a contextos educatius i pot tractar dades de menors quan un docent o centre introdueix aquesta informació. Els estudiants no necessiten un compte complet per respondre un formulari; hi accedeixen mitjançant enllaços o tokens generats per a una avaluació concreta.
A Espanya, la LOPD-GDD (art. 7) fixa els 14 anys com a edat mínima per al consentiment digital. Per a estudiants menors d'aquesta edat, el docent o centre ha d'emparar el tractament en una base jurídica diferent del consentiment, com l'exercici de les seves funcions docents o l'habilitació legal aplicable.
El docent o centre educatiu ha d'assegurar-se que compta amb la base jurídica, informació a famílies i autoritzacions que siguin necessàries per fer servir la plataforma en el seu entorn. CoRubrics no utilitza dades d'estudiants per a publicitat ni perfils comercials.
6. Ús d'IA i desenvolupament intern
Les funcions d'IA són opcionals i estan pensades per ajudar docents a crear o millorar rúbriques. Quan un docent utilitza una funció d'IA, el contingut introduït al prompt s'envia a Anthropic (proveïdor d'IA, amb seu als Estats Units) a través de Vercel AI Gateway per generar una resposta. El model utilitzat és Claude Haiku.
Recomanem no incloure dades personals sensibles ni informació innecessària d'estudiants als prompts. CoRubrics pot analitzar internament dades d'ús, errors, prompts i resultats de manera agregada o seudonimitzada per millorar la qualitat, seguretat i fiabilitat del producte. No fem servir aquestes dades per vendre perfils ni per a publicitat de tercers.
Quan un docent envia feedback sobre CoRubrics, la resposta es vincula inicialment al seu compte per comprendre'n el context i poder fer seguiment. Després de revisar-la, podem anonimitzar-la eliminant aquest vincle i conservar les puntuacions i els comentaris per millorar el producte. L'anonimització no reescriu les dades personals que el docent hagi inclòs dins del text lliure, per la qual cosa recomanem no incloure informació sensible ni dades d'estudiants.
7. Transferències internacionals
CoRubrics procura utilitzar infraestructura ubicada a l'Espai Econòmic Europeu quan estigui disponible i sigui raonable per prestar el servei. El proveïdor principal de base de dades (Supabase, regió UE) processa les dades d'aplicació dins de l'EEE.
Alguns proveïdors necessaris per al servei operen des dels Estats Units o amb infraestructura global: Anthropic (IA), Vercel (allotjament i infraestructura), Resend (correu transaccional), Sentry (monitoratge d'errors), Upstash (limitació d'ús), Google quan es connecta Google Classroom i Microsoft quan es connecta Microsoft Teams. Per a aquestes transferències s'apliquen garanties adequades conforme al RGPD, com decisions d'adequació, clàusules contractuals tipus (CCT) en la versió vigent, mesures complementàries o altres mecanismes reconeguts per la normativa aplicable.
8. Seguretat
Apliquem mesures tècniques i organitzatives orientades a protegir les dades contra accés no autoritzat, pèrdua, alteració o divulgació indeguda. Entre altres mesures, CoRubrics utilitza autenticació, control d'accés per usuari, polítiques de seguretat a nivell de base de dades, tokens de formulari amb hash, límits d'ús, registres d'auditoria i comunicacions xifrades quan el servei se serveix per HTTPS.
Cap sistema és absolutament segur. En cas de bretxa de seguretat que afecti dades personals, notificarem l'Agència Espanyola de Protecció de Dades (AEPD) en un termini màxim de 72 hores des que tinguem coneixement de l'incident, quan ho exigeixi la normativa aplicable. Informarem les persones afectades sense dilació indeguda quan la bretxa pugui comportar un alt risc per als seus drets i llibertats.
9. Conservació i supressió
Conservem dades personals durant el temps necessari per prestar el servei, mantenir el compte, complir obligacions acadèmiques o legals, resoldre disputes, prevenir abús i protegir la seguretat de la plataforma.
Els docents poden exportar les seves dades i sol·licitar la supressió des de les eines de privacitat disponibles al compte. En executar una supressió, CoRubrics revoca tokens de formulari actius i marca com a eliminades les dades acadèmiques associades, excepte la informació que s'hagi de conservar durant un termini raonable per seguretat, auditoria, obligacions legals o còpies de seguretat.
El feedback que encara estigui vinculat al compte docent s'elimina en executar la supressió. El feedback anonimitzat prèviament ja no es pot associar a cap compte i es pot conservar per a l'anàlisi interna del producte.
Com a orientació sobre terminis: les dades de compte docent es conserven mentre el compte estigui actiu i fins a 3 anys després de la supressió per atendre reclamacions o obligacions legals; els registres d'auditoria i seguretat es conserven fins a 12 mesos; les còpies de seguretat poden retenir dades fins a 90 dies addicionals després de la supressió efectiva. Les dades d'estudiants s'eliminen quan el docent les suprimeix o en eliminar el compte.
10. Drets de les persones interessades
Conforme a la normativa aplicable, pots sol·licitar accés, rectificació, supressió, oposició, limitació del tractament i portabilitat de les teves dades. També pots retirar el consentiment quan el tractament es basi en consentiment, sense afectar la licitud del tractament anterior.
Responem a les sol·licituds en un termini de 30 dies des de la seva recepció. En casos d'especial complexitat o volum, aquest termini pot prorrogar-se dos mesos addicionals, comunicant-t'ho en el primer mes.
Si ets estudiant o familiar i les teves dades han estat introduïdes per un centre educatiu o docent, CoRubrics pot necessitar remetre o coordinar la sol·licitud amb aquest responsable. També pots presentar una reclamació davant l'Agència Espanyola de Protecció de Dades (AEPD): C/ Jorge Juan, 6, 28001 Madrid — www.aepd.es — o davant l'autoritat de control competent al teu país.
12. Canvis en aquesta política
Podem actualitzar aquesta política per reflectir canvis legals, tècnics o de producte. Publicarem la versió vigent en aquesta pàgina i indicarem la data d'última actualització. Si els canvis són materials, procurarem avisar per mitjans raonables (per exemple, correu electrònic a docents registrats) abans que entrin en vigor.
13. Delegat de Protecció de Dades
CoRubrics no està actualment obligat a designar un Delegat de Protecció de Dades (DPD/DPO) conforme a l'article 37 del RGPD i la LOPD-GDD. Les consultes i sol·licituds en matèria de privacitat s'atenen directament a través de privacy@corubrics.co. Si el volum o la naturalesa dels tractaments canviés de manera que exigís la designació d'un DPD, ho comunicaríem en aquesta política.
14. Marc normatiu aplicable
Aquesta política es regeix principalment pel Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals (RGPD), i per la Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals (LOPD-GDD). En matèria de serveis de la societat de la informació és igualment aplicable la Llei 34/2002, d'11 de juliol, de serveis de la societat de la informació i de comerç electrònic (LSSI-CE).
L'autoritat de control competent a Espanya és l'Agència Espanyola de Protecció de Dades (AEPD). Pots obtenir més informació i presentar reclamacions a www.aepd.es o a C/ Jorge Juan, 6, 28001 Madrid.
Contacte de privacitat
Per a consultes o sol·licituds sobre privacitat, escriu a privacy@corubrics.co. Si fas servir CoRubrics a través d'un centre educatiu, és possible que també hagis d'adreçar la sol·licitud al centre o docent responsable.