Quién trata los datos en nuestro nombre.
Class2Class un reducido grupo de proveedores de confianza para que se encarguen de determinados componentes de la plataforma: la base de datos, el servicio de correo electrónico, el chatbot de atención al cliente y las funciones de inteligencia artificial. Todos ellos figuran en esta lista, junto con su ubicación, el mecanismo de transferencia de datos y las garantías contractuales que hemos establecido.
Acuerdos de procesamiento diferido firmados
Todos los subencargados del tratamiento han firmado un contrato por escrito con Class2Class se les imponen las mismas obligaciones en materia de protección de datos que nosotros asumimos frente a usted, de conformidad con el artículo 28, apartados 2 a 4, del RGPD.
La UE ante todo
El backend, el almacén de datos, el alojamiento del frontend de IA, el proceso ETL y el correo electrónico se gestionan íntegramente en la UE. Las transferencias a EE. UU. se realizan mediante las Cláusulas Contractuales Típicas (SCC), el Marco de Protección de Datos UE-EE. UU. cuando procede, y una evaluación del impacto de la transferencia.
Sin entrenamiento de IA
Todos los subcontratistas de IA (Chatbase, OpenAI, Google Gemini, Anthropic) tienen prohibido por contrato utilizar Class2Class para entrenar cualquier modelo de IA, ya sea propio o de terceros.
Preaviso de 30 días
Se notificará a los centros asociados cualquier incorporación, sustitución o modificación sustancial con al menos 30 días naturales de antelación, concediéndoles un plazo de 15 días para presentar objeciones por motivos razonables.
Nineteen sub-processors, organised by what they do.
Haz clic en cualquier proveedor para abrir directamente su política de privacidad o su documento de acuerdo de tratamiento de datos.
Burbuja
Plataforma front-end: interfaz de usuario y entorno de ejecución de flujos de trabajo para la plataforma Class2Class principal Class2Class .
Xano
Base de datos de backend: API y almacenamiento de datos. Es aquí donde se encuentra realmente la mayor parte de los datos de tu cuenta y tus proyectos.
Vercel
Infraestructura de alojamiento y de ejecución en el borde para la interfaz del asistente de creación de proyectos.
Aceptar cookies
Consent management platform — stores and honours your cookie-consent choices across the site. The consent cookie itself is strictly necessary.
Sentry
Error and performance monitoring — captures exception and crash reports so we can keep the platform stable. Hosted in Sentry's EU region (Frankfurt). Personal data is not sent by default and remaining event data is scrubbed before sending; events are tunnelled through a first-party proxy on our own domain. Retention is the Sentry Developer-plan default of approximately 30 days.
Make
Workflow automation in the certificate pipeline — when a student completes a project, Make renders the completion certificate as a PDF from the participant's name, project title, and completion date. Triggered server-side from Xano; no marketing or analytics data flows through it.
Chatbase
Chatbot de atención al cliente basado en IA. Sistema AI-01 de nuestro catálogo de IA.
OpenAI
API de LLM para la generación de texto del Asistente de creación de proyectos. Solo para profesores. Sistema AI-02.
Google (API de Gemini)
Creación de imágenes para portadas de proyectos (Gemini 2.5 Flash, «Nano Banana»). Solo a petición del profesor. Sistema AI-04.
Anthropic (Claude)
Asistente de IA que utiliza Class2Class de Class2Class para consultar el almacén de datos. Solo para uso interno, no destinado a los usuarios. Sistema AI-05.
PostHog
Product-usage analytics inside the platform — the successor to Mixpanel. Consent-gated; session replay and exception capture are switched off.
Stape
First-party server-side tagging proxy that forwards analytics events from a Class2Class subdomain, keeping tagging first-party and consent-gated.
Mixpanel
Product analytics — being retired. No longer sets cookies on the platform; historical data is retained in the data warehouse only and covered by the Privacy Policy retention schedule.
Google Analytics
Análisis web para el sitio de marketing. Anonimización de direcciones IP activada.
Google Cloud — BigQuery
Almacén de datos centralizado para datos sobre productos, marketing y uso de la plataforma. Solo para análisis internos.
Airbyte
Plataforma ETL: transfiere datos de Mixpanel, Google Analytics, Search Console, Meta Ads y Xano a BigQuery.
Brevo
Correos electrónicos transaccionales y de marketing: correos para restablecer contraseñas, anuncios sobre programas y boletines informativos a los que los usuarios se han suscrito.
Meta
Píxeles de marketing y publicidad: solo se utilizan con consentimiento; nunca se activan sin el consentimiento explícito para el uso de cookies.
Elementor
Creador de sitios web destinado exclusivamente al sitio de marketing; no afecta a la plataforma principal ni a los datos de los alumnos.
All 19 sub-processors in one place.
Para centros educativos asociados, organismos reguladores y auditores que deseen disponer de una visión global en una sola tabla.
| # | Subcontratista | Servicio | Ubicación | Mecanismo de transferencia | Referencia |
|---|---|---|---|---|---|
| 1 | Bubble (Bubble Group, Inc.) | Plataforma de interfaz de usuario: interfaz de usuario y entorno de ejecución de flujos de trabajo | Estados Unidos | SCC + AIT | DPA |
| 2 | Xano (Xano, Inc.) | Base de datos del backend — API y almacenamiento de datos | Unión Europea | No aplicable — Almacenamiento en la UE | Aviso de privacidad |
| 3 | Brevo (Sendinblue SAS) | Correos electrónicos transaccionales y de marketing | Unión Europea | No aplicable — Almacenamiento en la UE | Política de privacidad |
| 4 | Mixpanel (Mixpanel, Inc.) | Product analytics — being retired; superseded by PostHog (historical data only) | Estados Unidos | SCC + AIT | DPA |
| 5 | Google Analytics (Google LLC) | Análisis web | Estados Unidos | Acuerdo de Protección de Datos UE-EE. UU. (Google LLC) + Cláusulas Contractuales Tipo como alternativa + TIA + Anonimización de la dirección IP | Privacidad |
| 6 | Meta (Meta Platforms, Inc.) | Píxel de marketing, publicidad (basada en el consentimiento) | Estados Unidos | SCC + AIT | DPA |
| 7 | Elementor (Elementor Ltd.) | Creador de sitios web (solo para sitios de marketing) | UE / EE. UU. | Condiciones de venta estándar, cuando proceda | Centro de confianza |
| 8 | Chatbase (Chatbase, Inc.) | Chatbot de atención al cliente basado en IA (sistema AI-01) | Estados Unidos | SCC + TIA + ausencia de formación en IA en el contrato | Privacidad |
| 9 | OpenAI (OpenAI, L.L.C.) | API de LLM para el asistente de creación de proyectos — generación de texto; solo para profesores (sistema AI-02) | Estados Unidos | SCC + TIA · API estándar: sin entrenamiento por defecto · Retención de 30 días para la supervisión de abusos | Privacidad y la Ley de Protección de Datos |
| 10 | Google — API de Gemini (Google LLC) | Generación de imágenes para portadas de proyectos; solo para profesores (sistema AI-04) | Estados Unidos | Acuerdo de Protección de Datos UE-EE. UU. (Google LLC) + cláusulas tipo de protección de datos como alternativa + TIA + cláusula contractual de no entrenamiento de IA | DPA |
| 11 | Vercel (Vercel, Inc.) | Alojamiento y entorno de ejecución en el borde para la interfaz del asistente de creación de proyectos | Unión Europea | No aplicable — Regiones de la UE configuradas | DPA |
| 12 | Google Cloud — BigQuery (Google LLC) | Almacén de datos para el análisis de productos, marketing y uso de la plataforma; solo para el personal | Unión Europea | Regiones de la UE configuradas · DPF (Google LLC) para cualquier procesamiento del plano de control | Resumen del RGPD |
| 13 | Airbyte (Airbyte, Inc.) | Plataforma ETL: transfiere datos a BigQuery de forma programada | región de la UE | SCC + TIA si se produce alguna transferencia a EE. UU.; en caso contrario, residencia en la UE | Protección de datos |
| 14 | Anthropic (Anthropic PBC — Claude) | Asistente de IA para el personal que consulta el almacén de datos; solo para el personal (sistema AI-05) | Estados Unidos | SCC + TIA + Condiciones comerciales de Anthropic sin entrenamiento de IA | Aviso legal |
| 15 | PostHog (PostHog, Inc.) | Product-usage analytics inside the platform (successor to Mixpanel); consent-gated, session replay off | European Union (EU Cloud, Frankfurt) | Not applicable — EU Cloud configured; SCCs fallback for any US control-plane access; contractual no-AI-training | DPA |
| 16 | CookieYes (Synconize Solutions Pvt. Ltd.) | Consent management platform — stores and honours cookie-consent choices | India | SCC + AIT | DPA |
| 17 | Stape (Stape OÜ) | First-party server-side tagging proxy — forwards analytics events | European Union (Estonia) | No aplicable — Almacenamiento en la UE | Terms |
| 18 | Sentry (Functional Software, Inc.) | Error & performance monitoring — no PII by default + scrubbed event data; retention ≈ 30 days (Developer-plan default) | European Union (EU region, Frankfurt) | Not applicable — EU region configured; SCCs fallback for any US control-plane access | DPA |
| 19 | Make (Make.com s.r.o.) | Workflow automation — renders completion-certificate PDFs (name, project, date) in the certificate pipeline; triggered server-side from Xano | Estados Unidos | SCC + AIT | DPA |
Qué significa «subencargado del tratamiento» en lenguaje sencillo
Un subencargado del tratamiento es un servicio externo que utilizamos para prestar una parte de la Class2Class ; por ejemplo, la base de datos que almacena tu cuenta, el servicio de correo electrónico que te envía un enlace para restablecer la contraseña o la herramienta de análisis que nos ayuda a comprender qué funciones utilizan realmente los profesores. Todos los subencargados del tratamiento de esta lista:
- Ha firmado un contrato por escrito con Class2Class se compromete a proteger tus datos con el mismo nivel de seguridad que nosotros
- Figura en esta lista porque desempeña una función específica que nosotros no podemos llevar a cabo a nuestra escala
- Se revisa antes de la contratación y, a partir de entonces, al menos una vez al año
No vendemos tus datos personales a nadie, y ninguno de los subencargados del tratamiento que figuran en esta lista utiliza Class2Class para entrenar modelos de IA, ya sean propios o de terceros.
Traspasos internacionales y evaluaciones del impacto de los traspasos
Cuando un subencargado del tratamiento tiene su sede fuera del Espacio Económico Europeo (EEE), nos basamos en un mecanismo de transferencia válido conforme al capítulo V del RGPD. Los mecanismos que utilizamos, por orden de preferencia, son:
- Marco de Privacidad de Datos UE-EE. UU. (DPF): para los subencargados del tratamiento que cuenten con la certificación del DPF, la Decisión de adecuación (UE) 2023/1795 de la Comisión Europea, de 10 de julio de 2023, establece una base de adecuación para las transferencias a EE. UU. Google LLC (que abarca Google Analytics, Google Cloud / BigQuery y la API Gemini de Google) cuenta con la certificación del DPF.
- Standard Contractual Clauses (SCCs) — used as the primary mechanism for non-DPF-certified U.S. sub-processors (Bubble, Mixpanel, Meta, Chatbase, OpenAI, Anthropic) and for CookieYes (India), and as a fallback for DPF-certified ones and for EU-hosted providers' incidental control-plane access (e.g. PostHog, Sentry).
- Evaluación del impacto de la transferencia (TIA): se ha completado en todos los aspectos, de conformidad con la sentencia Schrems II y las Recomendaciones 01/2020 del CEPD. La TIA se mantiene internamente y se facilita a los centros educativos asociados previa solicitud justificada.
Subencargados del tratamiento de datos de IA: medidas de seguridad adicionales
Class2Class funciones de inteligencia artificial (IA) de acuerdo con el principio «Tú decides. La IA te ayuda»: los profesores y el personal siguen siendo quienes toman las decisiones, mientras que la IA solo actúa como apoyo. En los casos en que un subencargado del tratamiento de datos de IA trate datos personales en nuestro nombre:
- El contrato prohíbe al subencargado del tratamiento utilizar Class2Class para entrenar cualquier modelo de inteligencia artificial, ya sea propio o de terceros.
- El sistema de IA está clasificado como de riesgo no elevado (o de riesgo limitado, en el caso de los sistemas que interactúan directamente con los usuarios) con arreglo a la Ley de IA de la UE, y así se recoge en nuestro inventario de sistemas de IA y en la evaluación prevista en el artículo 6, apartado 3.
- Cuando un sistema interactúa directamente con una persona física, se identifica como IA antes de que comience la conversación, de conformidad con el artículo 50 de la Ley de IA de la UE.
Los subencargados del tratamiento de IA que figuran actualmente en esta lista son Chatbase (riesgo limitado, atención al cliente — sistema IA-01), OpenAI (API de LLM, solo para profesores, sin riesgo elevado según el art. 6, apartado 3, letra b) — sistema IA-02), Google (Gemini) (generación de imágenes, solo para profesores, sin riesgo elevado según el art. 6, apartado 3, letra b) — sistema IA-04) y Anthropic (Claude) (análisis interno, solo para el personal, no aplicable el anexo III, sin obligación en virtud del artículo 50 — sistema IA-05).
Vercel, Google Cloud (BigQuery) y Airbyte no son subencargados del tratamiento de datos de IA: Vercel es una infraestructura de alojamiento, BigQuery es un almacén de datos y Airbyte es una plataforma ETL. Ninguno de ellos entrena modelos de IA con Class2Class .
Preguntas que plantean los centros asociados y las autoridades reguladoras.
¿Por qué algunos subencargados del tratamiento tienen su sede en Estados Unidos?
Algunos servicios especializados de los que dependemos (las API de LLM, determinadas herramientas de análisis y el chatbot de atención al cliente) no están disponibles si operamos exclusivamente en la UE a nuestra escala. Cuando realizamos transferencias a EE. UU., nos basamos en el Marco de Protección de Datos UE-EE. UU. (siempre que el proveedor cuente con la certificación DPF), en las cláusulas contractuales tipo y en una evaluación de impacto de la transferencia que se complementa con arreglo a la sentencia Schrems II y a la Recomendación 01/2020 del Comité Europeo de Protección de Datos (EDPB).
El TIA se gestiona internamente y se comparte con los centros educativos asociados previa solicitud justificada.
¿Cómo se me notificará cuando cambie esta lista?
Se notificará a los centros asociados con al menos 30 días naturales de antelación a través de la persona de contacto que figure en el acuerdo de tratamiento de datos que hayan firmado. Los centros podrán oponerse a cualquier cambio propuesto por motivos razonables relacionados con la protección de datos en un plazo de 15 días naturales.
Los usuarios particulares (profesores, padres) que deseen recibir notificaciones sobre cambios importantes pueden escribir a class2class y los añadiremos a la lista de notificaciones.
¿Alguno de estos subencargados del tratamiento entrena modelos de IA con nuestros datos?
No. Los cuatro subprocesadores de IA que utilizamos —Chatbase, OpenAI, Google Gemini y Anthropic— tienen prohibido por contrato utilizar Class2Class para entrenar cualquier modelo de IA, ya sea propio o de terceros.
En el caso concreto de OpenAI, utilizamos la API estándar, que por defecto no incluye entrenamiento; OpenAI conserva los datos de las solicitudes y respuestas de la API durante 30 días con fines de control de abusos (en su calidad de encargado del tratamiento y por motivos de seguridad) y, posteriormente, los elimina. En el apéndice D.6 de nuestro acuerdo de tratamiento de datos (DPA) se recogen los detalles contractuales.
¿Dónde se almacenan realmente los datos de los alumnos de mi colegio?
La ubicación principal de los datos de las cuentas, el contenido de los proyectos y los mensajes de la plataforma es Xano, en la UE (nuestra base de datos de backend, con sede confirmada en la UE). Algunos datos operativos y analíticos pasan por subencargados del tratamiento con sede en EE. UU., bajo las garantías descritas anteriormente.
En el caso de los centros educativos en los que no se aceptan transferencias a EE. UU. para ningún tipo de datos, escriba a class2class: podemos analizar qué flujos de datos se pueden desactivar (análisis, píxeles de marketing) sin que ello afecte al funcionamiento básico de la plataforma.
¿Puedo conseguir una copia de la evaluación de impacto de la transferencia?
Sí, los centros asociados pueden solicitar una copia del TIA vigente a class2class. Se revisa anualmente y cada vez que se produce un cambio en la ubicación de los datos de un subencargado del tratamiento o en las condiciones contractuales.
¿Cómo puedo oponerse a un cambio de subencargado del tratamiento?
Las escuelas asociadas disponen de 15 días naturales a partir de la notificación para presentar objeciones por motivos razonables relacionados con la protección de datos. Escríbanos a class2class indicando los motivos de su objeción y buscaremos juntos una solución, que podría consistir en garantías contractuales adicionales, un subencargado del tratamiento alternativo o, en casos excepcionales, la rescisión de la relación.
¿Tienes alguna pregunta sobre los subcontratistas?
Tanto si eres un centro colaborador que está llevando a cabo un proceso de diligencia debida, como si eres un organismo regulador que realiza una auditoría, o un profesor que desea saber quién gestiona tus datos, estaremos encantados de responderte. Escríbele directamente a nuestro delegado de protección de datos.
- Delegado de Protección de DatosGiancarlo Mena —class2class
- Centros colaboradoresTu gestor de cuentas asignado, oclass2class
- Preocupación generalclass2class
- Preocupación por el director generalRevisor independiente — class2class
- Presentar una reclamaciónDatatilsynet — [email protected]
¿Buscas el acuerdo de tratamiento de datos completo?
Si su centro educativo se está preparando para incorporarse a Class2Class, escriba a nuestro delegado de protección de datos (DPO) a class2class para solicitar la plantilla actual del acuerdo de tratamiento de datos (DPA). Esta plantilla abarca los 14 subencargados del tratamiento que figuran en el apéndice C, e incluye las cláusulas contractuales tipo (SCC), los mecanismos de transferencia, los acuerdos de nivel de servicio (SLA) para la notificación de violaciones de seguridad y las medidas técnicas y organizativas específicas para la inteligencia artificial.
Enviar un correo electrónico al delegado de protección de datos