Descarga o imprime este acuerdo para su firma

Imprimir / Guardar PDF
Norsk | English

Acuerdo de Encargo de Tratamiento

entre el Responsable del Tratamiento y Timeplaner AS

1. Partes del acuerdo

Responsable del Tratamiento

Organización: _______________________

CIF/NIF: _______________________

Persona de contacto: _______________________

Correo electrónico: _______________________

Encargado del Tratamiento

Organización: Timeplaner AS

Núm. registro: 936 380 387 (Noruega)

Persona de contacto: Alexander Kvarven

Correo electrónico: [email protected]

Delegado de Protección de Datos: Alexander Kvarven ([email protected])

2. Antecedentes y finalidad

Este Acuerdo de Encargo de Tratamiento regula el tratamiento de datos personales por parte del Encargado del Tratamiento en nombre del Responsable del Tratamiento en relación con el uso del servicio Timeplaner.no.

Timeplaner.no es una herramienta digital de planificación para profesores que permite:

Importante: Timeplaner.no trata datos de profesores (empleados) e identificadores seudonimizados de alumnos. El profesor decide qué se registra sobre los alumnos (número, iniciales o nombre). No se tratan números de identificación nacional, calificaciones formales ni datos de salud.

3. Categorías de datos personales

3.1 Datos que se tratan

Categoría Datos Origen
Identificación Nombre, correo electrónico Feide / Google / Microsoft
Autenticación ID de Feide, ID de Google, ID de Microsoft Feide / Google / Microsoft
Afiliación organizativa Centro educativo/municipio, rol en la organización (profesor/personal/alumno) — el rol se utiliza únicamente para rechazar inicios de sesión de alumnos en el registro, no se almacena en la base de datos del servicio Feide
Contenido del usuario Horarios semanales, programaciones anuales, notas Creado por el usuario
Datos técnicos Fecha de inicio de sesión, preferencia de idioma Generado por el sistema
Identificadores de alumnos Apodo/número/iniciales, sexo (opcional), cumpleaños (MM-DD, opcional) Registrado por el profesor
Actividad del alumno Estado de tareas (entregada/no entregada/tardía), resultados de tests y cuestionarios Registrado por el profesor / generado por el sistema
Registro de ausencias Fecha, hora lectiva, estado (presente/enfermo/ausencia injustificada) Registrado por el profesor
Registro de seguridad Dirección IP, agente de usuario (conservados 12 meses) Generado por el sistema
Registro de actividad Visitas a páginas, acciones en el servicio (agregadas) Generado por el sistema
Contexto de la clase para IA Nombre de la asignatura, nombre de la clase, tema, texto del profesor (solo cuando se utiliza el asistente de IA) Activado por el profesor
Contenido en la nube Documentos creados por el profesor (solo cuando Drive/OneDrive está conectado) Activado por el profesor
Sobre los datos de alumnos: El profesor es el responsable del tratamiento de los datos de alumnos y decide qué se registra en el campo identificador (número, iniciales o nombre). Timeplaner.no recomienda utilizar identificadores seudonimizados. Los datos están aislados por profesor — no existe acceso cruzado entre profesores.

3.2 Datos que NO se tratan

4. Interesados

Este acuerdo se aplica al tratamiento de datos personales de:

El número de interesados variará en función de cuántos profesores decidan utilizar el servicio y cuántos alumnos registren.

5. Finalidad y base jurídica

El Encargado del Tratamiento trata los datos personales exclusivamente para los siguientes fines:

  1. Autenticación: Verificar la identidad del usuario mediante Feide, Google o Microsoft
  2. Prestación del servicio: Proporcionar la funcionalidad descrita en el apartado 2
  3. Planificación asistida por IA: Generar sugerencias de contenido didáctico cuando el profesor utiliza activamente el asistente de IA
  4. Almacenamiento en la nube: Almacenar los documentos del profesor en Google Drive o Microsoft OneDrive cuando el profesor ha activado la conexión
  5. Soporte al usuario: Ayudar a los usuarios con problemas técnicos
  6. Seguridad: Proteger contra accesos no autorizados y uso indebido

La base jurídica es el artículo 6(1)(b) del RGPD: ejecución de un contrato con el interesado.

6. Obligaciones del Encargado del Tratamiento

6.1 Obligaciones generales

El Encargado del Tratamiento deberá:

  1. Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable del Tratamiento
  2. Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad
  3. Adoptar todas las medidas requeridas en virtud del artículo 32 del RGPD (seguridad)
  4. Asistir al Responsable del Tratamiento en el cumplimiento de sus obligaciones con los interesados
  5. Suprimir o devolver los datos personales a la finalización del contrato
  6. Poner a disposición toda la información necesaria para demostrar el cumplimiento

6.2 Medidas de seguridad

El Encargado del Tratamiento ha implementado las siguientes medidas de seguridad:

7. Subencargados del tratamiento

El Encargado del Tratamiento utiliza los siguientes subencargados:

7.1 Subencargados siempre activos

Subencargado Servicio Ubicación
Hetzner Online GmbH Alojamiento web y base de datos Servidor en Finlandia (países nórdicos, UE/EEE)
Cloudflare, Inc. CDN y protección DDoS UE/EE.UU.*
SMTP2GO Envío de correo electrónico (correos transaccionales, sin datos de alumnos) UE (Ámsterdam, Países Bajos)**
Sikt — Agencia noruega de servicios compartidos para educación e investigación Autenticación Feide (cuando se utiliza el inicio de sesión Feide) Noruega
Google LLC Google OAuth 2.0 (cuando se utiliza el inicio de sesión con Google) UE/EE.UU.*
Microsoft Corporation Microsoft OAuth 2.0 (cuando se utiliza el inicio de sesión con Microsoft) UE/EE.UU.*

7.2 Subencargados opcionales (activados por el profesor)

Los siguientes subencargados tratan datos personales únicamente cuando el profesor activa una funcionalidad opcional:

Subencargado Servicio / datos Ubicación Se activa cuando
Google LLC Gemini IA — contexto de la clase (asignatura, clase, tema, texto del profesor). Plan de pago; los datos no se utilizan para entrenar los modelos de Google. EE.UU.* El profesor utiliza el asistente de IA
Google LLC Google Drive — almacenamiento de documentos (documentos propios del profesor) EE.UU.* El profesor conecta Google Drive
Microsoft Corporation Microsoft Graph / OneDrive — almacenamiento de documentos (documentos propios del profesor) EE.UU.* El profesor conecta OneDrive

* Las transferencias a EE.UU. se garantizan mediante el Marco de Privacidad de Datos UE-EE.UU. y las Cláusulas Contractuales Tipo (CCT).
** La cuenta de SMTP2GO de Timeplaner está alojada en el centro de datos europeo de SMTP2GO en Ámsterdam. Todo el correo se envía, almacena y procesa en servidores ubicados dentro de la UE/EEE. SMTP2GO cuenta con certificación ISO 27001 y cumple el RGPD; el centro de datos europeo está además certificado SOC 2 Type II e ISAE 3402. La sociedad matriz SMTP2GO Pty Ltd está constituida en Nueva Zelanda, y se aplican las Cláusulas Contractuales Tipo (CCT) a la relación con la matriz.

El Encargado del Tratamiento informará al Responsable del Tratamiento de cualquier cambio previsto en los subencargados con un mínimo de 30 días de antelación.

7.3 Funcionalidades de compartir activadas por el profesor

El servicio incluye tres mecanismos opcionales de compartir que el profesor activa:

Toda la compartición puede revocarse por el profesor, y los tokens son aleatorios e impredecibles.

8. Transferencias internacionales de datos

Los datos personales se almacenan principalmente en servidores ubicados en los países nórdicos (servidor en Finlandia, UE/EEE).

El correo electrónico se envía a través del centro de datos europeo de SMTP2GO en Ámsterdam, por lo que el contenido de los correos transaccionales se almacena y procesa dentro de la UE/EEE.

Los datos se transfieren a EE.UU. únicamente cuando se utilizan servicios de Google, Microsoft o Cloudflare (garantizado mediante el Marco de Privacidad de Datos UE-EE.UU. y Cláusulas Contractuales Tipo).

Las transferencias fuera de la UE/EEE se garantizan mediante:

9. Derechos de los interesados

El Encargado del Tratamiento asistirá al Responsable del Tratamiento en el cumplimiento de los derechos de los interesados:

Las solicitudes sobre derechos de los interesados pueden dirigirse a: [email protected]

10. Gestión de brechas de seguridad

En caso de violación de la seguridad de los datos personales, el Encargado del Tratamiento deberá:

  1. Notificar al Responsable del Tratamiento sin dilación indebida y a más tardar en 24 horas
  2. Documentar todas las violaciones, incluyendo circunstancias, consecuencias y medidas adoptadas
  3. Asistir al Responsable del Tratamiento en la notificación a la autoridad de control y a los interesados cuando sea necesario

La notificación se enviará a la persona de contacto indicada en el apartado 1, así como a: [email protected]

11. Derecho de auditoría

El Responsable del Tratamiento tiene derecho a:

La auditoría se notificará con un mínimo de 14 días de antelación y se realizará de forma que no perturbe el funcionamiento normal.

12. Conservación y supresión

12.1 Período de conservación

12.2 A la finalización del acuerdo

A la terminación del acuerdo, el Encargado del Tratamiento deberá:

  1. Dar al Responsable del Tratamiento la oportunidad de recuperar los datos (30 días)
  2. Suprimir todos los datos personales, incluidas las copias de seguridad (90 días)
  3. Confirmar por escrito que la supresión se ha completado

13. Duración del acuerdo

Este acuerdo entra en vigor en el momento de su firma y permanecerá vigente mientras el Responsable del Tratamiento tenga usuarios que utilicen Timeplaner.no mediante Feide.

El acuerdo puede ser resuelto por cualquiera de las partes con un preaviso por escrito de 3 meses.

14. Responsabilidad

El Encargado del Tratamiento será responsable de:

El Encargado del Tratamiento quedará exonerado de responsabilidad si demuestra que no es responsable del hecho que haya causado el daño.

15. Ley aplicable y jurisdicción

Este acuerdo se rige por el derecho noruego. Cualquier controversia se resolverá mediante negociación. Si las negociaciones no prosperan, la controversia será resuelta por los tribunales noruegos, siendo competente el Tribunal de Primera Instancia de Bergen.

Nota: Para centros educativos españoles, las cuestiones de protección de datos se regirán también por la LOPDGDD (Ley Orgánica 3/2018) en lo que sea de aplicación.

16. Firmas

Este acuerdo se formaliza en dos ejemplares, uno para cada parte.

Por el Responsable del Tratamiento:

Lugar y fecha: _______________________

Nombre: _______________________

Cargo: _______________________

Por el Encargado del Tratamiento (Timeplaner AS):

Lugar y fecha: _______________________

Nombre: Alexander Kvarven

Cargo: Director General

Anexo A: Medidas de seguridad técnicas y organizativas

A.1 Medidas de seguridad técnicas

A.2 Medidas organizativas

A.3 Información de contacto

Delegado de Protección de Datos (DPO): Alexander Kvarven — [email protected]
Consultas generales: [email protected]
Brechas e incidentes de seguridad: [email protected]

Acuerdo de Encargo de Tratamiento para Timeplaner.no

Versión 2.3 - Actualizado en mayo de 2026

Timeplaner AS | Núm. registro: 936 380 387 | timeplaner.no