Tus datos, tratados con respeto.

Quiénes somos

Class2Class (Class2Class, «nosotros», «nuestro», «nos») gestiona la plataforma Class2Class.org. Somos una empresa danesa. El responsable del tratamiento de los datos personales que se tratan en la plataforma es:

En el caso de los datos tratados por Class2Class en nombre de un centro colaborador (relación entre responsable y encargado del tratamiento de los datos de los alumnos en virtud de un acuerdo de tratamiento de datos firmado), el centro es el responsable del tratamiento y Class2Class el encargado del tratamiento. Véase el apartado 9.

Qué incluye esta declaración

La presente declaración se refiere al tratamiento de datos personales en relación con:

• Las plataformas Class2Class de Class2Class (bajo el dominio class2class.org) y cualquier experiencia móvil relacionada, incluidas las plataformas web y móviles de subdominios.
• La sección de recursos para profesores, que incluye la guía sobre alfabetización en IA y uso responsable.
• Comunicaciones de atención al cliente a través de class2class, class2class y el chatbot de asistencia integrado en la plataforma.
• Funciones asistidas por IA descritas en el apartado 6.

No se aplican a los datos personales tratados por los sistemas de tu propio centro educativo ni por los sitios web externos a los que enlazamos. Estos se rigen por sus propios avisos de privacidad.

Qué datos personales recopilamos

Nuestro objetivo es recopilar únicamente los datos que necesitamos para el funcionamiento de la plataforma. Las categorías que figuran a continuación son exhaustivas a la fecha de esta declaración.

3.1 Lo que usted nos facilita directamente

No recopilamos de forma intencionada categorías especiales de datos personales (art. 9 del RGPD): datos sobre salud, religión, origen étnico, opiniones políticas, orientación sexual, datos genéticos, datos biométricos para la identificación única ni afiliación sindical. En caso de que dicha información se comparta de forma incidental en un proyecto (por ejemplo, en la reflexión de un alumno en la que se mencione su religión o su origen familiar), se tratará con las mismas medidas de protección que el resto de datos personales y el profesor podrá eliminarla.

Las fotos y los vídeos compartidos dentro de un proyecto constituyen contenido educativo. No se procesan con fines de identificación biométrica, no son analizados por sistemas de reconocimiento facial y no se utilizan para identificar de forma unívoca a ninguna persona. No se trata de datos biométricos en el sentido del artículo 9 del RGPD.

3.2 Qué datos recopilamos automáticamente

Por qué utilizamos datos personales y cuál es la base jurídica

Cuando la base jurídica sea el consentimiento, podrá retirarlo en cualquier momento. Cuando la base jurídica sea el interés legítimo, podrá oponerse; véase el apartado 11.

Calendario de retención visual

Conservamos los datos personales solo durante el tiempo que los necesitamos. A continuación se incluye el calendario de conservación consolidado, elaborado a partir de los Registros de Actividades de Tratamiento (ROPA) y del Acuerdo de Tratamiento de Datos con las organizaciones colaboradoras.

Cuando Class2Class encargado del tratamiento (en el caso de los datos de los alumnos de las escuelas asociadas en virtud de un acuerdo de tratamiento de datos firmado), se aplica el plazo de conservación establecido en dicho acuerdo. Los plazos de conservación mencionados anteriormente corresponden a la conservación por parte del responsable del tratamiento de los datos Class2Class directamente.

Funciones de IA y cómo gestionan tus datos

Class2Class funciones de inteligencia artificial bajo el lema «Tú decides. La IA te ayuda»: las personas siguen siendo quienes toman las decisiones; la IA solo actúa como ayuda.

6.1 Los sistemas de IA que utilizamos

Documentamos los fundamentos de estas clasificaciones en nuestro documento independiente «Evaluación de la clasificación de riesgos de IA según el artículo 6, apartado 3, v.1.0», que se puede solicitar a las autoridades de supervisión y a las escuelas asociadas.

6.2 Nuestros compromisos en materia de IA

• No tomamos decisiones automatizadas sobre los alumnos. No utilizamos la inteligencia artificial para tomar decisiones automatizadas sobre un alumno, ni en lo que respecta a las notas, la asignación de cursos o el comportamiento. Cualquier decisión que afecte de manera significativa a un alumno la toma una persona.
• No utilizamos tus datos para el entrenamiento de la IA. No utilizamos tus trabajos, mensajes, imágenes ni grabaciones de sesiones para entrenar modelos de IA, ni los nuestros ni los de terceros. Esto es un requisito contractual para todos los subencargados del tratamiento de datos de IA.
• La IA se identifica a sí misma. Cuando interactúas directamente con un sistema de IA en Class2Class en la actualidad, el chatbot de atención al cliente—, el sistema se identifica como IA antes de que comience la conversación, de conformidad con el artículo 50, apartado 1, de la Ley de IA de la UE. El Asistente de creación de proyectos y la función de generación de imágenes de proyectos no «interactúan directamente» en el sentido del artículo 50: son herramientas que el profesor invoca y revisa; los resultados llegan al profesor como borradores de sugerencias, no como una conversación.
• Revisión humana de las alertas. No se elimina, suspende ni remite ningún contenido basándose únicamente en una alerta generada por IA: un moderador humano revisa cada alerta.
• Conocimientos básicos sobre IA para el personal y el profesorado. Nuestro personal realiza una formación anual sobre conocimientos básicos de IA, las Directrices éticas, la protección de menores y la gestión de denuncias. El profesorado que utilice funciones de IA se compromete, al aceptar nuestros Términos y condiciones, a leer y aplicar nuestra guía pública sobre conocimientos básicos de IA y uso responsable antes de utilizar dichas funciones con los alumnos.

Puedes leer la guía completa sobre conocimientos básicos de IA y uso responsable en nuestra sección de recursos para profesores.

6.3 Si no desea que la IA trate sus datos

El chatbot de atención al cliente es una de las vías de contacto con el servicio de asistencia; también puedes enviar un correo class2class directamente class2class para ponerte en contacto con un agente humano sin pasar por el chatbot. El Asistente de creación de proyectos (generación de texto e imágenes para las portadas de los proyectos) solo se activa cuando un profesor decide utilizarlo en un borrador de proyecto.

Niños y menores: en qué nos diferenciamos

Class2Class alumnos de todas las edades, incluidos los menores de 13 años con el consentimiento de sus padres. Dado que la mayoría de nuestros alumnos son menores de edad, la protección infantil está integrada en la plataforma desde el principio, en lugar de añadirse a posteriori.

7.1 Edad mínima y verificación

La edad mínima para utilizar Class2Class de 13 años. Los alumnos menores de 13 años solo podrán utilizar la plataforma si su profesor ha obtenido el consentimiento de los padres o tutores y lo ha confirmado en el proceso de consentimiento de nuestra plataforma. Los profesores son responsables de verificar que el alumno tenga al menos 13 años (o de obtener el consentimiento de los padres para los alumnos menores de 13 años). Los adultos no pueden utilizar Class2Class alumnos.

7.2 El control de acceso por parte del profesor

Los alumnos no pueden registrarse directamente. Cada cuenta de alumno es creada y gestionada por un profesor. Este modelo de control de acceso:

• Reduce el riesgo de que un niño nos facilite datos personales sin que un adulto esté al corriente
• Garantiza que cada alumno de la plataforma esté asignado a un profesor que se encargue de él
• Permite a los profesores eliminar inmediatamente el contenido inapropiado y excluir a los alumnos de los proyectos cuando sea necesario

7.3 Restricciones en el envío de mensajes a menores de 13 y 16 años

7.4 Consentimiento paterno para alumnos menores de 13 años

Para los alumnos menores de 13 años:

• El profesor certifica, a través del proceso de consentimiento de la plataforma, que se ha informado al padre, madre o tutor sobre Class2Class, que este ha comprendido qué datos compartirá el alumno y cómo utilizará la plataforma, y que ha dado su consentimiento.
• Este certificado se registra junto con los datos de identidad del profesor y del alumno, la versión del texto del certificado que se muestra y la marca de tiempo; estos registros se conservan durante 5 años tras el cierre de la cuenta del alumno (véase el apartado 5).
• Los marcos jurídicos reconocidos son el modelo de «autorización escolar» de la COPPA en Estados Unidos y el artículo 8 del RGPD en el resto de países (que permite al responsable del tratamiento realizar esfuerzos razonables para verificar la patria potestad).
• Los profesores no deben dar su consentimiento a menos que se haya informado debidamente a los padres o tutores y estos hayan dado su consentimiento.

Si eres padre, madre o tutor y deseas:

• Retirar el consentimiento: escriba a class2class. Bloquearemos el acceso del alumno de inmediato. Los trabajos de proyecto y los expedientes académicos del alumno se conservarán mientras el consentimiento permanezca retirado (véase el apartado 7.5). También puede pedir al profesor de su hijo que retire el consentimiento en la plataforma; esta dispone de funciones para hacerlo.
• Para que se elimine por completo la cuenta del estudiante: escriba a class2class. Esta medida es más contundente que la retirada del consentimiento: eliminaremos la cuenta y los datos, salvo en los casos de conservación exigidos por la ley (véase el apartado 5), y le confirmaremos por escrito qué datos se han eliminado.
• Pregúntanos qué datos tenemos sobre tu hijo (derecho de acceso): escribe a class2class.
• Si desea corregir o actualizar algún dato, escriba a class2class o pida al profesor del alumno que actualice el expediente en el que figura la información pertinente.

Respondemos a las solicitudes de los padres relativas a sus derechos sobre los datos en un plazo de 30 días naturales, tal y como exige el artículo 12, apartado 3, del RGPD.

7.5 Retirada del consentimiento y la pantalla de bloqueo

Cuando un padre, madre o tutor retira su consentimiento, el alumno no puede navegar ni utilizar la plataforma, ya que una pantalla de bloqueo impide el acceso. La cuenta en sí no se elimina mientras el bloqueo está activo; los trabajos de los proyectos y los registros de aprendizaje del alumno se conservan, de modo que el consentimiento pueda restablecerse sin que se pierda el expediente académico. El bloqueo permanece activo hasta que el profesor confirme en el proceso de consentimiento que se ha vuelto a obtener dicho consentimiento.

7.6 Resumen adaptado a los niños

En class2class.org/privacy-for-students se puede consultar un resumen breve y en lenguaje sencillo sobre cómo gestionamos los datos de los menores, redactado específicamente para estudiantes de entre 13 y 18 años. Animamos a los profesores a que lo presenten en clase.

Transferencias internacionales: adónde van tus datos

Class2Class is a Danish company. Our primary data storage is in the European Union (Xano EU). Some of our sub-processors are established outside the European Economic Area (EEA), so a portion of your personal data is transferred to the United States or other third countries to deliver specific services (analytics, the customer-support chatbot, certificate generation, marketing tools where you have given consent).

Para cada subencargado del tratamiento con sede en EE. UU., nos basamos en las cláusulas contractuales tipo (SCC) de la Comisión Europea, complementadas con una evaluación del impacto de la transferencia (TIA) que elaboramos internamente de conformidad con la sentencia Schrems II y las Recomendaciones 01/2020 del Comité Europeo de Protección de Datos (EDPB). La TIA se revisa anualmente y cada vez que se produce un cambio en la ubicación de los datos o en las condiciones contractuales de un subencargado del tratamiento.

Cuando un subencargado del tratamiento está certificado en virtud del Marco de Protección de Datos UE-EE. UU. (DPF) —por ejemplo, Google LLC, que abarca Google Analytics, Google Cloud / BigQuery y la API Gemini de Google—, nos basamos además en la Decisión de adecuación (UE) 2023/1795 de la Comisión Europea, de 10 de julio de 2023, como fundamento principal para la transferencia. Las CCT se mantienen como mecanismo de respaldo; el TIA sigue vigente.

Los subencargados del tratamiento actuales y sus mecanismos de transferencia figuran en nuestra Lista de subencargados del tratamiento, de acceso público. Aspectos destacados:

• Bubble (EE. UU. — SCC + TIA)
• Mixpanel (US — SCCs + TIA; being retired, superseded by PostHog — historical data only)
• CookieYes (India — SCCs + TIA; consent management platform)
• Google Analytics (EE. UU. — Google LLC con certificación DPF + cláusulas contractuales tipo como medida de seguridad adicional + TIA + anonimización de direcciones IP)
• Meta (EE. UU. — Cláusulas tipo de contratación — TIA, comercialización solo con consentimiento)
• Chatbase (EE. UU. — Cláusulas tipo de contratación + TIA + compromiso contractual de no utilizar los datos de los usuarios para el entrenamiento de IA)
• OpenAI (EE. UU. — Cláusulas contractuales tipo + Acuerdo de intercambio de información; API estándar con la opción «sin entrenamiento» activada por defecto y un periodo de conservación de 30 días para la supervisión de abusos; proporciona la tecnología para la generación de texto del Asistente de creación de proyectos, solo para profesores)
• Google (API Gemini) (EE. UU. — Certificado por el DPF de Google LLC + Cláusulas contractuales tipo (SCC) como medida de respaldo + TIA + compromiso contractual de no entrenar modelos de IA con datos de los usuarios; impulsa el Proyecto de Generación de Imágenes, solo para profesores)
• Anthropic (Claude AI) (EE. UU. — Cláusulas estándar de contrato + TIA + compromiso contractual de no entrenar modelos de IA con datos de los usuarios; análisis internos, solo para el personal, sobre el almacén de datos BigQuery)

EU-based sub-processors (no transfer outside EEA): Xano (EU residency confirmed), Brevo, WordPress, Vercel (EU regions configured for the Project Creation Assistant frontend), PostHog (EU Cloud, Frankfurt — product-usage analytics; consent-gated, session replay off), Stape (Estonia — first-party server-side tagging proxy), Sentry (EU region, Frankfurt — error & performance monitoring; no personal data sent by default and remaining event data scrubbed; retention ≈ 30 days), Google Cloud — BigQuery (EU regions for the centralised data warehouse), Airbyte (EU deployment for the ETL pipelines that load BigQuery).

Subencargados del tratamiento

Recurrimos a subencargados del tratamiento para gestionar determinadas partes de la plataforma, como la base de datos, el servicio de correo electrónico o el chatbot de atención al cliente. Todos los subencargados del tratamiento:

• Se ha revisado antes de la contratación y, a partir de entonces, al menos una vez al año
• Se encuentra disponible públicamente en class2class.org/data-processing-agreement

Notificamos a los socios y a los centros educativos con al menos 30 días naturales de antelación cualquier incorporación, sustitución o modificación sustancial de la lista de subencargados del tratamiento, a través del contacto que figura en el acuerdo de tratamiento de datos (DPA) que han firmado. Los socios y los centros educativos pueden oponerse por motivos razonables relacionados con la protección de datos en un plazo de 15 días naturales. Los usuarios particulares (profesores, padres) que deseen recibir notificaciones sobre modificaciones sustanciales pueden escribir a class2class.

Cookies

Las cookies y otras tecnologías similares se rigen por nuestra Política de cookies, que se encuentra en un documento aparte. En dicha política se describen las cuatro categorías de cookies que utilizamos (necesarias, funcionales, estadísticas y de marketing), las cookies que componen cada categoría, nuestro banner de consentimiento y cómo modificar tus preferencias en cualquier momento.

No utilizamos «muros de cookies». Puedes utilizar las funciones esenciales de la plataforma sin dar tu consentimiento para las cookies no esenciales.

Tus derechos

En virtud del RGPD, usted tiene los siguientes derechos en relación con sus datos personales. Respetamos todos ellos, salvo las excepciones limitadas descritas en el propio RGPD (por ejemplo, cuando una solicitud de supresión entrara en conflicto con nuestras obligaciones legales).

Respondemos a las solicitudes relacionadas con los derechos sobre los datos en un plazo de 30 días naturales a partir de su recepción (art. 12, apartado 3, del RGPD). En caso de que una solicitud sea de una complejidad inusual, podremos ampliar dicho plazo hasta 60 días adicionales, notificándoselo por escrito y explicándole el motivo de la prórroga. Estas solicitudes son gratuitas, salvo que sean manifiestamente infundadas o desmesuradas.

Si su solicitud se refiere a los datos de un menor, consulte el apartado 7.4.

A portability export contains the data you provided to us (such as your profile, projects, posts, reflections, messages, and certificates) together with the activity you generated on the platform. It is assembled from our operational database and delivered as a JSON file (CSV on request). It does not include data we derive internally — for example aggregated analytics — or data about other users, both of which fall outside the scope of Article 20.

Seguridad

Aplicamos las medidas técnicas y organizativas adecuadas para proteger sus datos personales, de conformidad con el artículo 32 del RGPD. Aspectos destacados:

• Cifrado en tránsito: TLS 1.2 o superior en todas las conexiones a la plataforma.
• Cifrado en reposo: proporcionado por Xano en la capa de almacenamiento de la UE.
• Almacenamiento de contraseñas: las contraseñas se almacenan mediante bcrypt, el moderno algoritmo de hash adaptativo recomendado por OWASP y NIST SP 800-63B. El proceso de hash se lleva a cabo en nuestra capa de backend (Xano).
• Control de acceso basado en roles: el acceso Class2Class a los datos personales está restringido en función del rol y se registra.
• Autenticación multifactorial: obligatoria para el acceso administrativo a la infraestructura de la plataforma.
• Diligencia debida de los subencargados del tratamiento: se ha evaluado a todos los subencargados del tratamiento y se ha firmado un acuerdo de tratamiento de datos (DPA) con cada uno de ellos.
• Auditorías de seguridad periódicas: revisiones anuales de seguridad, complementadas con revisiones puntuales en caso de incidentes o cambios significativos.
• Respuesta ante incidentes: un procedimiento documentado de respuesta ante violaciones de datos abarca la detección, la clasificación, la notificación a las autoridades en un plazo de 72 horas, de conformidad con el artículo 33 del RGPD, y la notificación a los interesados, de conformidad con el artículo 34, cuando sea necesario.

Hemos llevado a cabo una evaluación de impacto relativa a la protección de datos (EIPD) para la plataforma, en la que se identifican y mitigan diez riesgos principales, y en la que el riesgo residual global se ha calificado como bajo a moderado (aceptable). La EIPD se revisa anualmente.

Modificaciones de esta declaración

Podemos actualizar esta declaración para reflejar cambios en nuestros servicios, en la legislación aplicable o en nuestros compromisos de cumplimiento.

El uso continuado de la plataforma tras el plazo de preaviso implica la aceptación de la declaración revisada. Si no está de acuerdo, puede cerrar su cuenta durante el plazo de preaviso; consulte el apartado 9.5 de los Términos y condiciones.

Accesibilidad

Nuestra declaración de accesibilidad independiente describe nuestro compromiso con las PWGAC 2.1 Nivel AA y la Ley Europea de Accesibilidad.

Si alguna parte de esta Declaración de privacidad y accesibilidad (o de cualquier otro documento que publiquemos) no te resulta accesible en su formato actual, escribe a class2class (con el asunto «Accesibilidad») y te la facilitaremos en un formato alternativo.

Contacto

El marco completo para la presentación de denuncias se describe en el artículo 10 de las Directrices éticas y en el Procedimiento de tramitación de denuncias y protección de los denunciantes.

Documentos relacionados

• Términos y condiciones, versión 2.0
• Política de cookies
• Lista de subcontratistas
• Declaración de accesibilidad
• Directrices éticas
• Código de conducta
• Resumen de la política de privacidad adaptado a los niños
• Guía sobre conocimientos básicos de IA y uso responsable

Si alguno de estos documentos entrara en conflicto con la presente declaración en cuanto al fondo, aplicaremos la interpretación más favorable para el interesado y resolveremos el conflicto en la próxima revisión de documentos. Escríbenos a class2class y lo solucionaremos.