Acuerdo de Encargado de Tratamiento (DPA)
Última actualización: marzo 2026
El presente Acuerdo de Encargado de Tratamiento (en adelante, "DPA") complementa los Términos y Condiciones de uso de uLiber y se celebra entre:
- Responsable del tratamiento: el centro educativo que contrata el servicio (en adelante, "el Centro").
- Encargado del tratamiento: el desarrollador del proyecto uLiber, proyecto personal en fase beta gratuita (en adelante, "uLiber"). Los datos completos del encargado se facilitarán cuando el proyecto constituya una entidad jurídica.
1. Objeto del encargo
El Centro encarga a uLiber el tratamiento de datos personales necesario para la prestación del servicio de gestión de horarios escolares, conforme a lo establecido en el artículo 28 del Reglamento (UE) 2016/679 (RGPD) y el artículo 33 de la Ley Orgánica 3/2018 (LOPDGDD).
2. Datos tratados
| Categoría | Datos incluidos | Interesados |
|---|---|---|
| Identificación | Nombre, apellidos, correo electrónico institucional | Personal docente y administrativo |
| Profesionales | Departamento, especialidad, asignaturas, disponibilidad horaria | Personal docente |
| Organizativos | Grupos, aulas, edificios, períodos académicos | Datos del Centro (no personales) |
| Acceso | Credenciales (hash), IP, logs de actividad | Todos los usuarios |
No se tratan datos de alumnos, familias ni menores de edad.
3. Obligaciones del encargado
uLiber se compromete a:
- Tratar los datos personales únicamente según las instrucciones documentadas del Centro.
- Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad.
- Adoptar las medidas técnicas y organizativas apropiadas conforme al artículo 32 del RGPD.
- No recurrir a otro encargado del tratamiento sin la autorización previa, general o específica, por escrito del Centro.
- Asistir al Centro en la atención de solicitudes de ejercicio de derechos de los interesados.
- Asistir al Centro en el cumplimiento de las obligaciones relativas a la seguridad del tratamiento, notificación de brechas y evaluaciones de impacto.
- A elección del Centro, suprimir o devolver todos los datos personales una vez finalizada la prestación del servicio.
- Poner a disposición del Centro toda la información necesaria para demostrar el cumplimiento de las obligaciones y permitir la realización de auditorías.
4. Medidas de seguridad
uLiber implementa, entre otras, las siguientes medidas de seguridad:
- Cifrado: HTTPS/TLS para comunicaciones; hash seguro (bcrypt) para contraseñas.
- Control de acceso: sistema basado en roles (administrador, docente); autenticación mediante token JWT.
- Aislamiento de datos: cada centro tiene acceso únicamente a sus propios datos (aislamiento por schoolId).
- Copias de seguridad: backups periódicos cifrados con retención definida.
- Monitorización: registros de auditoría de operaciones críticas (creación, modificación y eliminación de datos).
- Infraestructura: alojamiento en proveedores cloud con certificaciones ISO 27001, dentro del Espacio Económico Europeo.
5. Sub-encargados
El Centro autoriza de forma general a uLiber a recurrir a sub-encargados del tratamiento para la prestación del servicio. uLiber informará al Centro de cualquier cambio previsto en la incorporación o sustitución de sub-encargados, dando al Centro la oportunidad de oponerse a dichos cambios.
Lista actual de sub-encargados:
| Sub-encargado | Servicio | Ubicación |
|---|---|---|
| Se actualizará con los proveedores concretos antes del lanzamiento comercial del servicio. | ||
6. Transferencias internacionales
uLiber no realiza transferencias de datos personales fuera del Espacio Económico Europeo. En caso de que fuese necesario en el futuro, se aplicarán las garantías adecuadas previstas en el RGPD (cláusulas contractuales tipo, decisiones de adecuación, etc.).
7. Notificación de brechas de seguridad
uLiber notificará al Centro sin dilación indebida, y en todo caso en un máximo de 48 horas, cualquier brecha de seguridad que afecte a datos personales del Centro, proporcionando toda la información disponible para que el Centro pueda cumplir con su obligación de notificación a la autoridad de control y, en su caso, a los interesados.
8. Duración y terminación
Este DPA permanecerá en vigor mientras uLiber trate datos personales por cuenta del Centro. A la finalización del servicio:
- El Centro dispondrá de 30 días para exportar sus datos a través de las funcionalidades de la Plataforma.
- Transcurrido dicho plazo, uLiber procederá a la supresión definitiva de los datos, salvo obligación legal de conservación.
- Se emitirá un certificado de supresión a solicitud del Centro.
9. Contacto
Para cualquier consulta relacionada con este DPA o el tratamiento de datos personales, el Centro puede dirigirse a: dpo@uliber.com