Política de Privacidad

Última actualización: 18 de noviembre de 2025 | Versión: 2.0

BLOQUE A: DATOS DE PROFESORES Y USUARIOS

En este bloque, SOCII actúa como RESPONSABLE del tratamiento

1. Responsable del Tratamiento de Datos de Usuarios

De conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), informamos:

• Titular: Alberto Candau Camacho
• NIF: 27307048E
• Domicilio social: Avenida de Europa 6, 41920 San Juan de Aznalfarache, Sevilla, España
• Email de contacto: info.socii.pro@gmail.com
• Teléfono: +34 660482552
• Sitio web: https://socii.pro | https://app.socii.pro
• Marca registrada: "SOCII" (solicitud OEPM M4348737, clase 42)

2. Delegado de Protección de Datos (DPD)

Dado el volumen y naturaleza del tratamiento de datos de usuarios profesionales, no es obligatoria la designación de un Delegado de Protección de Datos (DPD) conforme al artículo 37 del RGPD, ya que:

• No somos autoridad u organismo público (Art. 37.1.a RGPD)
• No realizamos como actividad principal tratamiento a gran escala que requiera observación habitual y sistemática de los interesados (Art. 37.1.b RGPD)
• No tratamos como actividad principal categorías especiales de datos del Art. 9 RGPD a gran escala (Art. 37.1.c RGPD)

SOCII se compromete a evaluar periódicamente la necesidad de designar un DPD si las circunstancias cambian (por ejemplo, si se alcanza una escala de tratamiento significativamente mayor).

Todas las consultas relacionadas con protección de datos pueden dirigirse a: info.socii.pro@gmail.com

3. Datos Personales de Profesores y Usuarios

3.1 Datos de Registro

Cuando un profesor o profesional educativo se registra en SOCII, recopilamos:

• Nombre completo
• Dirección de correo electrónico
• Contraseña cifrada (hash irreversible mediante bcrypt)
• Nombre del centro educativo (opcional)
• Perfil profesional (profesor/a, orientador/a, director/a, coordinador/a)

3.2 Datos de Autenticación OAuth2 (Google)

Si el usuario elige registrarse mediante Google:

• Nombre y correo electrónico proporcionados por Google
• ID único de Google (no se almacenan contraseñas)

3.3 Datos de Facturación (solo para suscripciones de pago)

• Nombre o razón social
• NIF/CIF
• Dirección de facturación
• Datos de pago gestionados por Stripe (SOCII NO almacena datos de tarjetas bancarias)

3.4 Datos de Uso de la Plataforma

• Grupos y sociogramas creados
• Fecha de creación y última actividad
• Configuración de preferencias
• Estadísticas de uso agregadas

4. Finalidad del Tratamiento de Datos de Usuarios

Los datos personales de profesores y usuarios se utilizan exclusivamente para:

4.1 Finalidades Principales

• Gestión de cuenta de usuario: Registro, autenticación y administración de perfiles
• Prestación del servicio: Permitir la creación, gestión y análisis de sociogramas educativos
• Comunicaciones del servicio: Notificaciones técnicas, actualizaciones y soporte
• Facturación y contabilidad: Cumplimiento de obligaciones fiscales y mercantiles
• Gestión de pagos: Procesamiento de suscripciones mediante pasarela de pago Stripe

4.2 Finalidades Secundarias (con consentimiento expreso)

• Comunicaciones comerciales: Envío de boletines informativos sobre novedades del servicio (requiere suscripción voluntaria que puede revocarse en cualquier momento)
• Mejora del servicio: Análisis estadístico agregado y anónimo para optimización de la plataforma

5. Base Legal del Tratamiento de Datos de Usuarios

El tratamiento de datos personales de profesores y usuarios se fundamenta en las siguientes bases legales del artículo 6.1 del RGPD:

Finalidad	Base Legal	Artículo RGPD
Registro y gestión de cuenta	Ejecución de contrato	Art. 6.1.b
Prestación del servicio contratado	Ejecución de contrato	Art. 6.1.b
Facturación y contabilidad	Obligación legal	Art. 6.1.c
Gestión de pagos (Stripe)	Ejecución de contrato	Art. 6.1.b
Mejora del servicio (análisis agregados)	Interés legítimo	Art. 6.1.f
Comunicaciones comerciales	Consentimiento	Art. 6.1.a

6. Destinatarios de los Datos de Usuarios

SOCII NO vende, alquila ni comparte datos personales con terceros con fines comerciales.

Los datos pueden ser comunicados a los siguientes encargados del tratamiento, que actúan bajo contrato y estrictas garantías de seguridad:

6.1 Encargados del Tratamiento

Proveedores de infraestructura:

• Hostinger (hstgr.cloud) (Unión Europea - Frankfurt, Alemania): Hosting de servidor VPS donde se alojan la aplicación web, API y base de datos PostgreSQL. Todos los datos permanecen en territorio de la Unión Europea.

Procesadores de pago:

• Stripe, Inc. (Estados Unidos/Irlanda): Procesamiento de pagos con tarjeta. SOCII NO almacena datos de tarjetas bancarias. Stripe cumple con PCI-DSS y RGPD.

Servicios de email transaccional:

• Mailrelay (España): Envío de emails de verificación, notificaciones y boletines (solo con consentimiento).

Autenticación OAuth2:

• Google LLC: Autenticación mediante cuenta de Google (opcional, solo si el usuario lo elige).

6.2 Obligaciones Legales

Los datos podrán ser comunicados a:

• Autoridades fiscales (Agencia Tributaria) para cumplimiento de obligaciones contables
• Autoridades judiciales o policiales en caso de requerimiento legal
• Agencia Española de Protección de Datos en caso de investigación

7. Transferencias Internacionales de Datos de Usuarios

7.1 Datos Alojados en la Unión Europea

Todos los datos personales de usuarios (cuentas, configuraciones, preferencias) se almacenan exclusivamente en servidores ubicados en Frankfurt, Alemania (Unión Europea), por lo que NO existe transferencia internacional de datos para el núcleo del servicio.

7.2 Servicios de Terceros Fuera del EEE

Solo los siguientes servicios complementarios pueden implicar transferencias internacionales:

Stripe (Estados Unidos/Irlanda):

• Finalidad: Procesamiento de pagos con tarjeta
• Datos transferidos: Nombre, email, datos de pago (gestionados directamente por Stripe)
• Garantías: Stripe cumple con el Marco de Privacidad de Datos UE-EE.UU. (EU-U.S. Data Privacy Framework) y Cláusulas Contractuales Tipo de la UE
• Certificaciones: PCI-DSS Level 1 (máximo estándar de seguridad en pagos)
• Nota: SOCII NO almacena ni tiene acceso a datos de tarjetas bancarias

Google LLC (Estados Unidos):

• Finalidad: Autenticación OAuth2 (solo si el usuario elige iniciar sesión con Google)
• Datos transferidos: Nombre y email proporcionados por Google
• Garantías: Google cumple con Cláusulas Contractuales Tipo de la UE y Marco de Privacidad de Datos UE-EE.UU.
• Carácter opcional: El usuario puede registrarse con email/contraseña sin usar Google

Todos estos proveedores ofrecen garantías equivalentes a las europeas mediante mecanismos reconocidos por el artículo 46 del RGPD.

8. Plazo de Conservación de Datos de Usuarios

8.1 Datos de Cuenta de Usuario

• Durante la vigencia del servicio: Mientras la cuenta esté activa
• Tras cancelación voluntaria: 30 días (periodo de gracia para permitir reactivación)
• Tras inactividad prolongada: Eliminación automática tras 2 años sin acceso a la plataforma (previa notificación por email con 30 días de antelación)

8.2 Datos de Facturación

• Plazo legal mínimo: 4 años desde la emisión de la factura (Ley General Tributaria, Art. 66)
• Datos de Stripe: Conservados según política de Stripe (independiente de SOCII)

8.3 Datos Anonimizados

• Estadísticas agregadas y anónimas: Pueden conservarse indefinidamente para mejora del servicio (no permiten identificación individual)

9. Derechos de los Usuarios (Derechos ARCO-POL)

De conformidad con los artículos 15 a 22 del RGPD y artículos 13 a 18 de la LOPDGDD, usted tiene derecho a:

9.1 Derecho de Acceso (Art. 15 RGPD)

Obtener confirmación sobre si se están tratando sus datos personales y, en su caso, acceder a ellos.

9.2 Derecho de Rectificación (Art. 16 RGPD)

Solicitar la corrección de datos inexactos o incompletos.

9.3 Derecho de Supresión - "Derecho al Olvido" (Art. 17 RGPD)

Solicitar la eliminación de sus datos cuando:

• Ya no sean necesarios para los fines para los que fueron recogidos
• Retire el consentimiento y no exista otra base legal
• Se oponga al tratamiento y no prevalezcan intereses legítimos
• Los datos se hayan tratado ilícitamente

9.4 Derecho de Oposición (Art. 21 RGPD)

Oponerse en cualquier momento al tratamiento de sus datos, salvo que prevalezcan motivos legítimos imperiosos.

9.5 Derecho a la Limitación del Tratamiento (Art. 18 RGPD)

Solicitar la suspensión temporal del tratamiento en determinadas circunstancias.

9.6 Derecho a la Portabilidad (Art. 20 RGPD)

Recibir sus datos en formato estructurado, de uso común y lectura mecánica (CSV, JSON) y transmitirlos a otro responsable.

9.7 Derecho a no ser Objeto de Decisiones Automatizadas (Art. 22 RGPD)

SOCII NO realiza decisiones automatizadas con efectos jurídicos sobre usuarios.

9.8 ¿Cómo Ejercer sus Derechos?

Por email: info.socii.pro@gmail.com

Por correo postal: Avenida de Europa 6, 41920 San Juan de Aznalfarache, Sevilla, España

Información a incluir en la solicitud:

• Nombre completo y email de la cuenta
• Derecho que desea ejercer
• Copia de DNI/NIE o documento identificativo (para verificar identidad)

Plazo de respuesta: 1 mes desde la recepción (prorrogable 2 meses en casos complejos, Art. 12.3 RGPD)

BLOQUE B: DATOS DE ALUMNOS

En este bloque, SOCII actúa como ENCARGADO del tratamiento por cuenta del CENTRO EDUCATIVO

10. Aclaración Fundamental sobre Roles

IMPORTANTE: Los alumnos NO son usuarios directos de SOCII. El tratamiento de datos de alumnos se realiza exclusivamente para prestar el servicio de análisis sociométrico al centro educativo.

Roles en protección de datos:

• RESPONSABLE del tratamiento: El centro educativo (o el centro donde trabaja el profesor que usa la plataforma)
• ENCARGADO del tratamiento: SOCII - Alberto Candau Camacho (Art. 28 RGPD)
• USUARIO AUTORIZADO: Profesor que introduce y gestiona los datos (actuando en representación del centro educativo en ejercicio de sus funciones docentes)

Consecuencia legal: SOCII procesa datos de alumnos por cuenta del centro educativo y siguiendo sus instrucciones. El centro educativo es quien debe:

• Determinar las finalidades y medios del tratamiento
• Informar a las familias
• Gestionar el ejercicio de derechos ARCO
• Garantizar que existe base legal para el tratamiento

11. Datos de Alumnos que Procesamos

11.1 Categorías de Datos

Datos identificativos:

• Identificador del alumno: A elección del profesor (puede ser nombre de pila, nombre y apellido, iniciales, código numérico, pseudónimo, etc.)
• IMPORTANTE: SOCII NO exige apellidos completos. El profesor decide cómo identificar a cada alumno según las indicaciones del centro educativo y el principio de minimización de datos.

Datos académicos:

• Curso, clase/grupo al que pertenece el alumno

Datos sociométricos:

• Respuestas a cuestionarios de relaciones sociales (elecciones positivas y negativas de compañeros)

Datos demográficos básicos:

• Sexo/género (OBLIGATORIO): Necesario para el análisis sociométrico diferenciado por género, que forma parte del método científico estándar de la sociometría. El análisis por género permite detectar patrones específicos de relación, dinámicas de grupo segregadas por sexo y situaciones de riesgo que pueden variar según el género. Nota importante: El dato sexo/género NO es una categoría especial de datos del Art. 9 RGPD.
• Edad aproximada o fecha de nacimiento (opcional): Solo si el centro lo considera necesario para análisis por franjas de edad

11.2 Datos que NO Recopilamos

SOCII aplica el principio de minimización de datos establecido en el artículo 5.1.c del RGPD.

Datos expresamente NO solicitados:

• DNI, NIE o documento de identidad
• Dirección postal o domicilio
• Teléfono del alumno
• Email del alumno (salvo que el centro decida enviar cuestionarios por email, en cuyo caso es opcional)
• Datos de salud
• Datos biométricos
• Fotografías o imágenes
• Rendimiento académico (notas)
• Expediente disciplinario
• Datos de origen racial o étnico
• Datos de orientación sexual
• Datos de religión o creencias

12. Finalidad del Tratamiento de Datos de Alumnos

SOCII procesa datos de alumnos exclusivamente por cuenta del centro educativo para:

1. Realizar el análisis sociométrico del grupo-clase
2. Generar matrices de relaciones sociales (preferencias y rechazos)
3. Calcular índices sociométricos (popularidad, rechazo, aislamiento, liderazgo)
4. Identificar patrones de riesgo (posible acoso escolar, exclusión social)
5. Producir visualizaciones (sociogramas, gráficos de red)
6. Generar recomendaciones pedagógicas basadas en evidencia científica
7. Elaborar informes para el profesorado del centro
8. Permitir seguimiento histórico de la evolución del grupo (análisis comparativos)

13. Base Legal del Centro Educativo

El centro educativo (responsable del tratamiento) fundamenta el tratamiento de datos de alumnos en:

13.1 Base Legal Principal

Art. 6.1.e RGPD: Tratamiento necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

Aplicación concreta:

• El análisis sociométrico es una herramienta pedagógica que forma parte de la función educativa y orientadora del centro educativo
• Está establecida en la Ley Orgánica 2/2006 de Educación (LOE/LOMLOE): función de orientación educativa y profesional de los estudiantes
• Es coherente con la Ley Orgánica 8/2021 de protección integral a la infancia y la adolescencia frente a la violencia (LOPIVI): obligación de prevenir y detectar situaciones de acoso escolar

13.2 Bases Legales Complementarias

Art. 6.1.c RGPD: Obligación legal

• Ley 8/2021: Los centros educativos tienen la obligación legal de adoptar medidas de prevención, detección precoz y protección frente a la violencia

Art. 6.1.f RGPD: Interés legítimo

• El centro tiene interés legítimo en garantizar un entorno educativo seguro y en cumplir su función tutorial y orientadora

13.3 ¿Se Necesita Consentimiento Parental?

14. Obligación de Información del Centro Educativo

Aunque SOCII actúa como encargado del tratamiento, el centro educativo (responsable) tiene la obligación de informar a las familias sobre:

• El uso de herramientas de evaluación psicopedagógica como SOCII
• La finalidad del tratamiento (orientación educativa, prevención del acoso escolar)
• La base legal del tratamiento (Art. 6.1.e RGPD - interés público)
• Los datos que se tratarán
• Los derechos de acceso, rectificación, supresión, oposición y limitación
• El plazo de conservación de los datos
• El derecho a presentar reclamación ante la AEPD

SOCII proporciona materiales de apoyo (plantillas de carta informativa a familias, FAQ) para facilitar esta comunicación, pero la responsabilidad final es del centro educativo.

15. Tratamiento de Datos de Menores de Edad

15.1 Edad de los Alumnos

SOCII puede procesar datos de alumnos de cualquier edad (desde Educación Infantil hasta Bachillerato), incluyendo menores de 14 años.

Marco legal específico:

• Art. 8 RGPD: Edad de consentimiento digital: 16 años (en la UE)
• Art. 7 LOPDGDD: España reduce la edad a 14 años
• Menores de 14 años: Requieren consentimiento de los titulares de la patria potestad para servicios de sociedad de la información

¿Aplica a SOCII? NO, porque:

• Los alumnos NO son usuarios de SOCII (no se registran, no tienen cuenta)
• La base legal NO es el consentimiento, sino el interés público
• El responsable es el centro educativo, no el alumno ni sus padres

15.2 Protección Reforzada (LOPIVI)

De acuerdo con la Ley Orgánica 8/2021 de protección integral a la infancia y la adolescencia frente a la violencia:

• SOCII es una herramienta de prevención y detección temprana de situaciones de riesgo
• Se garantiza el interés superior del menor en el diseño de la plataforma
• Los datos se tratan con especial diligencia y seguridad
• Se facilita la detección de indicadores de acoso o aislamiento para intervención educativa temprana

15.3 Anonimización y Confidencialidad

• Las respuestas sociométricas son anónimas entre estudiantes (un alumno no ve las elecciones de sus compañeros)
• Los estudiantes NO tienen acceso a los resultados del análisis
• Los informes individuales son confidenciales y solo accesibles por el docente responsable
• Los datos agregados se presentan de forma estadística y no identificativa

16. Derechos de Alumnos y Familias

Los padres/tutores de alumnos menores y los alumnos mayores de 14 años pueden ejercer los siguientes derechos:

16.1 Derecho de Acceso (Art. 15 RGPD)

Conocer qué datos del alumno están siendo tratados en SOCII.

16.2 Derecho de Rectificación (Art. 16 RGPD)

Corregir datos inexactos o incompletos.

16.3 Derecho de Supresión (Art. 17 RGPD)

Solicitar la eliminación de datos del alumno.

16.4 Derecho de Limitación (Art. 18 RGPD)

Limitar el tratamiento en ciertas circunstancias.

16.5 Derecho de Portabilidad (Art. 20 RGPD)

Recibir los datos del alumno en formato estructurado (CSV, JSON).

16.6 Derecho de Oposición (Art. 21 RGPD) - RÉGIMEN ESPECIAL

Los padres/tutores pueden oponerse al tratamiento de datos de sus hijos.

16.7 ¿Dónde se Ejercen estos Derechos?

17. Destinatarios de los Datos de Alumnos

17.1 Acceso a Datos de Alumnos

Los datos de alumnos son accesibles únicamente por:

• Personal docente autorizado del centro educativo: Profesores, tutores, orientadores, equipo directivo (con diferentes niveles de acceso según sus funciones)
• SOCII (encargado del tratamiento): Acceso técnico limitado exclusivamente para prestación del servicio, mantenimiento, soporte técnico y depuración de errores (con registro en logs de auditoría)

17.2 Subencargados del Tratamiento

SOCII utiliza los siguientes subencargados para prestar el servicio (Art. 28.4 RGPD):

Hosting de infraestructura:

• Hostinger (hstgr.cloud) (Frankfurt, Alemania - UE): Alojamiento del servidor VPS, base de datos PostgreSQL y aplicación web
• Todos los datos permanecen en la Unión Europea

Envío de emails transaccionales:

• Mailrelay (España): Envío de cuestionarios por email a alumnos (solo si el centro lo solicita)

Autenticación (solo para profesores, no para alumnos):

• Google LLC (OAuth2): Solo para autenticación de profesores, NO para alumnos

Todos estos subencargados cumplen con el RGPD y tienen suscritos contratos de encargado de tratamiento.

17.3 Comunicaciones a Terceros

SOCII NO comparte, vende ni cede datos de alumnos a terceros con fines comerciales.

Los datos solo podrán ser comunicados:

• A autoridades competentes en caso de requerimiento judicial o policial
• A la Agencia Española de Protección de Datos en caso de investigación
• A otros encargados autorizados expresamente por el centro educativo

18. Transferencias Internacionales de Datos de Alumnos

19. Plazo de Conservación de Datos de Alumnos

19.1 Durante el Servicio Activo

Los datos de alumnos se conservan mientras:

• El centro educativo mantenga activo el servicio de SOCII
• El profesor (en Plan Premium individual) mantenga activa su cuenta

19.2 Tras Cancelación del Servicio

• Periodo de gracia: 30 días tras la cancelación (para permitir reactivación o exportación de datos)
• Después del periodo de gracia: Eliminación definitiva e irreversible de todos los datos de alumnos

19.3 Derecho de Supresión en Cualquier Momento

El centro educativo puede solicitar la eliminación inmediata de:

• Datos de un alumno específico (por ejemplo, tras ejercicio del derecho de supresión)
• Datos de un grupo/clase completo
• Todos los datos de alumnos del centro

Plazo de ejecución: Eliminación en un máximo de 72 horas desde la solicitud del centro.

19.4 Datos Anonimizados

Los datos completamente anonimizados (que no permiten identificación individual ni reidentificación) pueden conservarse indefinidamente para:

• Investigación científica en sociometría educativa
• Mejora de algoritmos sociométricos
• Estadísticas agregadas

20. Medidas de Seguridad para Protección de Datos de Alumnos

De conformidad con el artículo 32 del RGPD, SOCII implementa medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, especialmente en el tratamiento de datos de menores:

20.1 Medidas Técnicas

Cifrado:

• SSL/TLS 1.3 en todas las comunicaciones web (https://)
• Cifrado de contraseñas de profesores mediante bcrypt con factor de coste 10
• Cifrado de base de datos en reposo (PostgreSQL)
• Cifrado de backups

Control de acceso:

• Autenticación mediante JWT (JSON Web Tokens) con expiración temporal
• OAuth2 con Google (estándar de seguridad para profesores)
• Sesiones cifradas y tokens de un solo uso
• Control de acceso basado en roles (RBAC): cada usuario solo ve los datos que le corresponden
• Los alumnos NO tienen acceso a resultados de otros compañeros

Infraestructura:

• Servidores con firewall restrictivo (UFW)
• Protección contra ataques DDoS
• Base de datos PostgreSQL con acceso restringido por IP
• Copias de seguridad automáticas diarias cifradas (retención 30 días)
• Actualizaciones de seguridad automáticas del sistema operativo

Auditoría:

• Registro de accesos y operaciones críticas (logs de auditoría)
• Logs de seguridad conservados 1 año
• Monitorización de intentos de acceso no autorizado
• Registro específico de accesos a datos de alumnos

20.2 Medidas Organizativas

• Acceso limitado: Solo el titular (Alberto Candau Camacho) tiene acceso administrativo completo a datos personales
• Compromiso de confidencialidad: Obligación contractual de confidencialidad
• Formación: Conocimiento actualizado de RGPD, LOPDGDD y LOPIVI
• Política de contraseñas seguras: Requisitos mínimos de complejidad para profesores
• Plan de respuesta a incidentes: Protocolo de notificación a AEPD en 72 horas
• Revisiones periódicas: Auditoría de seguridad anual
• Minimización de accesos: Acceso a datos de alumnos solo cuando sea estrictamente necesario para prestación del servicio

20.3 Notificación de Brechas de Seguridad

En caso de violación de seguridad que afecte a datos de alumnos:

Notificación a la AEPD:

• Plazo: 72 horas desde que SOCII tenga constancia (Art. 33 RGPD)
• Contenido: Naturaleza de la violación, categorías de datos afectados, medidas adoptadas

Notificación al centro educativo (responsable):

• Plazo: Inmediata (en cuanto se detecte)
• El centro evaluará si debe notificar a las familias afectadas

Comunicación a los interesados (familias):

• Responsabilidad del centro educativo (Art. 34 RGPD)
• SOCII proporciona plantilla de comunicación y asistencia
• Solo si existe alto riesgo para derechos y libertades

SECCIÓN COMÚN: DISPOSICIONES GENERALES

21. Cookies y Tecnologías de Rastreo

SOCII utiliza únicamente cookies técnicas estrictamente necesarias para el funcionamiento de la plataforma:

21.1 Cookies Utilizadas

Cookie	Tipo	Finalidad	Caducidad
authToken	Técnica (esencial)	Mantener sesión de usuario autenticado	24 horas
sessionId	Técnica (esencial)	Identificar sesión activa	Sesión (al cerrar navegador)

21.2 Tecnologías NO Utilizadas

NO utilizamos:

• Cookies de publicidad o marketing
• Cookies de terceros (salvo Google OAuth si el usuario lo usa para autenticarse)
• Herramientas de analítica que identifiquen usuarios individuales (Google Analytics, Facebook Pixel, etc.)
• Tracking entre sitios web
• Tecnologías de perfilado con fines comerciales

21.3 Configuración de Cookies

Puede eliminar las cookies desde la configuración de su navegador, aunque esto podría afectar al funcionamiento de la plataforma (por ejemplo, no podría mantener su sesión iniciada).

Para más información, consulte nuestra Política de Cookies.

22. Medidas de Seguridad Generales

Resumen de medidas implementadas:

Técnicas:

• Cifrado SSL/TLS 1.3 (HTTPS obligatorio)
• Cifrado de base de datos en reposo (PostgreSQL)
• Cifrado de contraseñas (bcrypt)
• Autenticación JWT + OAuth2
• Control de acceso basado en roles (RBAC)
• Servidores en UE (Frankfurt, Alemania)
• Firewall restrictivo (UFW)
• Backups diarios cifrados
• Logs de auditoría (retención 1 año)
• Actualizaciones automáticas de seguridad
• Validación de entrada de datos
• Protección CSRF
• Rate limiting (prevención ataques de fuerza bruta)

Organizativas:

• Acceso limitado a datos personales
• Compromiso de confidencialidad
• Formación continua en protección de datos
• Plan de respuesta ante brechas de seguridad
• Evaluación de Impacto en Protección de Datos (EIPD) realizada
• Data Processing Agreement (DPA) disponible para centros
• Revisión anual de seguridad

23. Derechos Específicos en el Ámbito Educativo

23.1 Derechos de los Padres/Tutores Legales

Los padres o tutores legales de menores de edad tienen derecho a:

• Acceder a los datos de sus hijos/as tratados en SOCII
• Solicitar la rectificación o eliminación de datos
• Oponerse al tratamiento (el centro evaluará si prevalecen motivos legítimos imperiosos - Art. 21.6 RGPD)
• Limitar el tratamiento en determinadas circunstancias
• Recibir los datos en formato estructurado (portabilidad)

Procedimiento: Contactar directamente con el centro educativo (no con SOCII). Opcionalmente pueden contactar con info.socii.pro@gmail.com para consultas.

23.2 Derechos de los Estudiantes Mayores de 14 años

De acuerdo con la LOPDGDD (Art. 7), los mayores de 14 años pueden ejercer sus derechos de forma autónoma:

• Acceso a sus propias respuestas sociométricas
• Rectificación de datos demográficos incorrectos
• Supresión de su participación (con autorización del centro educativo)

Nota: La eliminación de datos de un estudiante puede afectar a la validez estadística del sociograma completo, por lo que el centro evaluará cada caso.

24. Modificaciones de la Política de Privacidad

SOCII se reserva el derecho a modificar esta Política de Privacidad para adaptarla a:

• Cambios normativos (RGPD, LOPDGDD, LOPIVI, etc.)
• Resoluciones de la Agencia Española de Protección de Datos
• Nuevas funcionalidades de la plataforma
• Mejoras en medidas de seguridad

24.1 Notificación de Cambios

Cambios sustanciales (que afecten a finalidades, destinatarios, bases legales o derechos):

• Notificación por email a usuarios registrados
• Aviso destacado en la plataforma durante 30 días
• Publicación en la web con indicación de cambios
• Posibilidad de cancelar el servicio si no acepta los cambios

Cambios menores (aclaraciones, correcciones de errores, mejoras de redacción):

• Actualización de la fecha de "última actualización"
• Aviso en el área de usuario
• Publicación de changelog

24.2 Historial de Versiones

Puede consultar versiones anteriores de esta política contactando con: info.socii.pro@gmail.com

Versión actual: 2.0 (18 de noviembre de 2025)

25. Reclamaciones ante la Autoridad de Control

Si considera que el tratamiento de sus datos personales (o los de su hijo/a) vulnera el RGPD o la LOPDGDD, tiene derecho a presentar una reclamación ante la autoridad de control:

Recomendación: Antes de presentar una reclamación, le animamos a contactar:

• Con el centro educativo (si se trata de datos de alumnos)
• Con SOCII (info.socii.pro@gmail.com) si se trata de datos de profesores/usuarios

para intentar resolver la incidencia de forma amistosa.

27. Aceptación y Consentimiento

27.1 Para Profesores y Usuarios

Al registrarse en SOCII y utilizar nuestros servicios, usted declara:

• Haber leído y comprendido esta Política de Privacidad
• Aceptar el tratamiento de sus datos personales como usuario según lo descrito en el BLOQUE A
• Tener capacidad legal para aceptar estos términos (mayor de 18 años)
• Si es profesor/centro educativo: Comprender que el centro educativo es el responsable del tratamiento de datos de alumnos y que SOCII actúa como encargado

27.2 Para Tratamiento de Datos de Alumnos

Si es profesor o representante de un centro educativo:

• Declara tener legitimación para introducir datos de alumnos en representación del centro educativo
• Comprende que el centro educativo es el responsable del tratamiento de datos de alumnos
• Se compromete a informar al centro educativo sobre el uso de SOCII (si es Plan Premium individual)
• Se compromete a usar los datos de alumnos exclusivamente con finalidades educativas
• Acepta mantener la confidencialidad de los resultados sociométricos
• Comprende que debe facilitar a las familias información sobre el tratamiento de datos (o asegurarse de que el centro lo hace)

28. Documentación Complementaria Disponible

SOCII pone a disposición de centros educativos y profesores la siguiente documentación de cumplimiento:

Para Centros Educativos:

• Data Processing Agreement (DPA) - Contrato de Encargado de Tratamiento (Art. 28 RGPD)
• Kit de Cumplimiento RGPD que incluye:
  • Plantilla de carta informativa a familias
  • FAQ sobre protección de datos para centros educativos
  • Protocolo de gestión de derechos ARCO
  • Checklist de cumplimiento RGPD
  • Guía de buenas prácticas para profesores
• Evaluación de Impacto en Protección de Datos (EIPD) - Disponible bajo solicitud
• Certificados de medidas de seguridad

Para Profesores:

• Términos y Condiciones de Uso
• Guía de interpretación de sociogramas
• Material formativo sobre confidencialidad

Acceso: https://socii.pro/cumplimiento o solicitarlo a info.socii.pro@gmail.com