Encargo del Tratamiento (DPA) — Para Centros Educativos

Última actualización: 22/12/2025

Este Acuerdo de Encargo del Tratamiento (“DPA”) forma parte del contrato de prestación de servicios de CorrectorSofía entre:

1. Centro Educativo/Entidad Contratante (en adelante, el “Responsable”), y
2. ESCOWORK ESPJ, NIF E24833030, C/ de la Pau, nº 2, 07500 Manacor, email info@correctorsofia.com (en adelante, el “Encargado”).

Ambas partes acuerdan lo siguiente:

1. Objeto

El Encargado tratará por cuenta del Responsable los datos personales necesarios para prestar el servicio CorrectorSofía (OCR, organización, evaluación asistida por IA, almacenamiento y funcionalidades asociadas), conforme al art. 28 RGPD.

2. Duración

La duración del tratamiento será la del contrato principal. Al finalizar, se aplicará lo indicado en la cláusula 12 (Devolución y supresión).

3. Naturaleza y finalidad del tratamiento

Naturaleza: recogida, registro, estructuración, almacenamiento, consulta, transmisión controlada, y eliminación.
Finalidad: permitir al Responsable usar CorrectorSofía para gestionar y evaluar contenidos educativos con asistencia tecnológica (incluido OCR e IA).

4. Categorías de interesados y tipos de datos

Interesados:

• Docentes/usuarios del Centro
• Alumnado (incluidos menores) y, si el Responsable lo introduce, representantes legales

Datos (según lo que el Responsable decida cargar):

• Identificativos (nombre, apellidos, alias/código)
• Datos académicos (curso, grupo, calificaciones, rúbricas, observaciones)
• Contenido de exámenes/actividades (texto, respuestas, comentarios)
• Metadatos técnicos (logs, IP, seguridad)

Recomendación: el Responsable debe aplicar minimización (usar códigos/pseudónimos si es viable).

5. Instrucciones documentadas

El Encargado tratará los datos solo siguiendo instrucciones documentadas del Responsable, salvo obligación legal. Si el Encargado considera que una instrucción infringe la normativa, lo comunicará.

6. Confidencialidad

El Encargado garantiza que las personas autorizadas a tratar datos se han comprometido a la confidencialidad o están obligadas legalmente.

7. Medidas de seguridad

El Encargado aplicará medidas técnicas y organizativas apropiadas (art. 32 RGPD), incluyendo, según corresponda:

• control de accesos y segregación de permisos,
• cifrado en tránsito (HTTPS/TLS),
• registros de actividad y monitorización,
• copias de seguridad y recuperación,
• medidas antiabuso y protección frente a accesos no autorizados.

8. Subencargados

El Responsable autoriza al Encargado a contratar subencargados necesarios para la prestación del servicio (infraestructura, OCR, IA, pagos, analítica, mensajería, etc.).

El Encargado:

• impondrá a los subencargados obligaciones equivalentes a este DPA,
• mantendrá un listado actualizado de subencargados en el Anexo I (o mediante comunicación razonable al Responsable),
• permitirá al Responsable oponerse por motivos razonables (p. ej. cumplimiento) cuando sea viable.

9. Transferencias internacionales

Si algún subencargado trata datos fuera del EEE, el Encargado aplicará garantías adecuadas (p. ej. SCC) y, cuando proceda, medidas adicionales.

10. Asistencia al Responsable

El Encargado asistirá al Responsable (cuando proceda) en:

• atención de derechos de los interesados (acceso, supresión, etc.),
• evaluación de impacto (EIPD) si fuera necesaria,
• consultas a la autoridad de control.

11. Notificación de violaciones de seguridad

El Encargado notificará al Responsable, sin dilación indebida, cualquier violación de seguridad de los datos personales de la que tenga conocimiento, aportando información para facilitar el cumplimiento del art. 33/34 RGPD.

12. Devolución y supresión al finalizar

Al finalizar el servicio, el Encargado:

• devolverá o permitirá exportar los datos al Responsable si está técnicamente disponible,
• y suprimirá los datos personales en un plazo razonable, salvo obligación legal o retenciones mínimas de seguridad.

13. Auditoría

El Encargado pondrá a disposición del Responsable la información necesaria para demostrar el cumplimiento del art. 28 RGPD y permitirá auditorías razonables, siempre que:

• se acuerde con antelación,
• se limite a lo necesario,
• y no comprometa la seguridad de otros clientes ni secretos empresariales.

14. Responsabilidad del Responsable

El Responsable garantiza:

• base legal para el tratamiento de datos del alumnado,
• deber de información a interesados,
• y cumplimiento de normativa educativa aplicable.

ANEXO I — Subencargados

A fecha de hoy, los proveedores principales son:

• Infraestructura/hosting y base de datos: Google Cloud / Firebase
• OCR: Google Cloud Vision
• IA / modelos: OpenAI
• Pagos: Stripe
• Analítica/marketing: Google Analytics / Tag Manager / Meta Pixel