Acuerdo de tratamiento de datos (DPA)

Este DPA se suscribe entre:

• El Creador: la persona física que usa Cursio para publicar y vender cursos. Actúa como Responsable del Tratamiento respecto a los datos personales de sus estudiantes.
• Cursio: la plataforma. Actúa como Encargado del Tratamiento y procesa los datos de los estudiantes exclusivamente por cuenta del Creador.

Respecto a los datos del propio Creador (nombre, email, datos de facturación del plan), Cursio actúa como Responsable — eso está cubierto por la Política de Privacidad, no por este DPA.

• Objeto: tratamiento de los datos personales de los estudiantes inscritos en la escuela del Creador, con el fin de proveer los servicios contratados (alojamiento de cursos, acceso a estudiantes, procesamiento de ventas, soporte).
• Duración: mientras el Creador mantenga una cuenta activa en Cursio, más los plazos de retención indicados en la cláusula 8.
• Naturaleza: almacenamiento, consulta, transmisión, organización, estructuración, comunicación a sub-encargados autorizados, eliminación.

Categorías de interesados: estudiantes del Creador (personas que compran o se inscriben en los cursos de su escuela).

Categorías de datos personales tratados:

• Datos de identificación: nombre, email.
• Datos de autenticación: contraseña hasheada, tokens de sesión.
• Datos de compra: historial de transacciones, cursos inscritos, fechas.
• Datos de progreso: lecciones completadas, tiempo visto, notas del estudiante, comentarios.
• Datos de comunicación: mensajes enviados al creador via sistema de soporte.
• Datos técnicos: IP parcialmente anonimizada, user agent, logs de acceso.

Cursio no solicita ni trata intencionalmente categorías especiales de datos (salud, origen étnico, opiniones políticas, etc.). Si el Creador decide recopilar dichas categorías dentro de su contenido o formularios personalizados, es su responsabilidad obtener las bases legales reforzadas (art. 9 RGPD).

Cursio se compromete a:

1. Tratar los datos personales únicamente conforme a las instrucciones documentadas del Creador (los Términos de Servicio y este DPA constituyen dichas instrucciones).
2. Garantizar que el personal autorizado para el tratamiento esté sujeto a un deber de confidencialidad por contrato o ley.
3. Aplicar las medidas técnicas y organizativas descritas en la cláusula 5.
4. Respetar las condiciones sobre sub-encargados establecidas en la cláusula 6.
5. Asistir al Creador en responder a solicitudes de ejercicio de derechos de los interesados.
6. Asistir al Creador en el cumplimiento de sus obligaciones (seguridad, notificación de brechas, evaluaciones de impacto).
7. A elección del Creador, devolver o eliminar los datos al finalizar el servicio, salvo obligación legal de conservarlos.
8. Poner a disposición del Creador la información necesaria para demostrar el cumplimiento de este DPA.

Cursio aplica las siguientes medidas de seguridad:

Técnicas

• Encriptación TLS 1.2+ en tránsito para todas las comunicaciones.
• Encriptación en reposo para bases de datos y almacenamiento de archivos.
• Contraseñas hasheadas con bcrypt/argon2, nunca en texto plano.
• Autenticación multifactor obligatoria para acceso del personal interno a sistemas de producción.
• Aislamiento lógico de datos por cuenta (Row Level Security a nivel base de datos).
• Backups automáticos diarios con retención de 30 días, almacenados encriptados.
• Monitorización continua, detección de intrusiones y alertas automatizadas.
• Actualizaciones de seguridad y parches aplicados en ventanas controladas.

Organizativas

• Principio de privilegio mínimo para el acceso del personal a datos de clientes.
• Registro de actividades de tratamiento según art. 30 RGPD.
• Procedimientos internos de respuesta ante incidentes y notificación de brechas.
• Revisiones periódicas de dependencias y proveedores.
• Formación básica en protección de datos para el equipo.

El Creador autoriza de forma general a Cursio a recurrir a los siguientes sub-encargados para la provisión del servicio. Se informará al Creador con al menos 30 días de anticipación sobre cualquier incorporación o sustitución mediante aviso publicado en esta página y/o email.

Cursio exige a todos los sub-encargados compromisos contractuales equivalentes a los de este DPA y responde frente al Creador por el cumplimiento por parte de aquellos.

Algunos sub-encargados están ubicados fuera del Espacio Económico Europeo (principalmente EEUU). En esos casos, las transferencias se realizan bajo:

• Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea (Decisión (UE) 2021/914).
• Data Privacy Framework EU-US para proveedores certificados.
• Evaluaciones de impacto de transferencia (TIAs) documentadas por Cursio con medidas complementarias cuando corresponde (encriptación extremo a extremo, minimización del dato transferido).

En caso de una violación de seguridad que afecte a los datos personales tratados por cuenta del Creador, Cursio notificará al Creador sin demora indebida, y en cualquier caso dentro de las 72 horas siguientes a tener conocimiento de la brecha, proporcionando al menos:

• Naturaleza de la brecha, categorías e interesados afectados (aproximado).
• Consecuencias probables.
• Medidas adoptadas o propuestas para remediarla y mitigar sus efectos.
• Punto de contacto para obtener más información.

El Creador es responsable de notificar a la autoridad de control competente y, si procede, a los interesados afectados, conforme a los arts. 33 y 34 del RGPD.

Cuando un estudiante ejerza cualquiera de los derechos reconocidos por el RGPD directamente ante Cursio, reenviaremos la solicitud al Creador sin demora indebida. Cursio proveerá al Creador las herramientas y la asistencia razonable para:

• Exportar los datos del estudiante (portabilidad).
• Corregir datos inexactos.
• Eliminar los datos del estudiante a petición del Creador.
• Restringir el tratamiento cuando corresponda.

Cursio pone a disposición del Creador, previa solicitud razonable, la documentación necesaria para demostrar el cumplimiento de este DPA (reportes de auditoría de sub-encargados, certificaciones, políticas internas relevantes). Si dicha documentación no fuese suficiente, el Creador podrá solicitar una auditoría específica con un preaviso mínimo de 30 días y asumiendo sus propios costes, salvo hallazgo de incumplimiento grave.

Al finalizar la relación contractual (cancelación de la cuenta del Creador), Cursio procederá de la siguiente forma:

1. Durante 60 días tras la cancelación, los datos se conservan en estado pausado para permitir al Creador reactivar la cuenta o exportar su información.
2. Tras ese período, los datos del Creador y de sus estudiantes se eliminan permanentemente de los sistemas activos.
3. Los backups se sobrescriben según la política de retención estándar (máximo 30 días adicionales).
4. Se conservan únicamente los datos exigidos por obligaciones legales (por ejemplo, facturación contable durante el período legalmente requerido).

La responsabilidad de cada parte bajo este DPA se rige por los límites y exclusiones establecidos en los Términos de Servicio de Cursio, salvo que el RGPD u otras normas imperativas dispongan lo contrario.

Este DPA se rige por la misma ley aplicable a los Términos de Servicio. Sin perjuicio de ello, las disposiciones del RGPD y de la legislación nacional de protección de datos de los Estados miembros de la UE prevalecerán cuando sean imperativamente aplicables.

Para cualquier consulta relacionada con este DPA o el tratamiento de datos, escríbenos a privacidad@cursio.app.