¿Dónde se almacenan los datos del alumnado?

En servidores ubicados en la Unión Europea. Las copias de seguridad se replican en un segundo estado miembro UE. En ningún momento los datos salen del Espacio Económico Europeo.

¿Se utilizan los exámenes para entrenar modelos de IA?

No. Los contenidos de exámenes, correcciones, informes y rúbricas generados en Corrigiendo.es no se utilizan para entrenar modelos. El acuerdo con el proveedor de IA (Gemini) excluye explícitamente el uso de datos para entrenamiento.

¿Cómo se protege la información durante la corrección con IA?

Los datos identificativos del alumno (nombre, apellidos, ID) se separan de las respuestas antes del envío al modelo. La IA solo ve respuestas asociadas a códigos anónimos. La reasociación se hace localmente al guardar el resultado.

¿Qué base legal sostiene el tratamiento de datos?

Para profesores individuales: ejecución del contrato (Art. 6.1.b RGPD). Para centros educativos: encargo de tratamiento (Art. 28 RGPD) con contrato firmado entre el centro responsable y Corrigiendo.es como encargado. En ambos casos se aplica la LOPDGDD española como normativa complementaria.

Sí. Las consultas de protección de datos se atienden a través de hola@corrigiendo.es. El plazo máximo de respuesta es de 30 días naturales (Art. 12.3 RGPD) y solemos responder en menos de 7 días.

¿Cómo se cifran los datos en tránsito y reposo?

En tránsito: TLS 1.3 obligatorio en todas las conexiones. HSTS preload activado. En reposo: AES-256 en las bases de datos y los volúmenes de archivos subidos. Las claves de cifrado se gestionan mediante el servicio de claves del proveedor cloud, separadas del propio dato.

¿Pueden los centros firmar un contrato de encargado de tratamiento?

Sí, está disponible un modelo de contrato adaptado a centros educativos públicos, concertados y privados. Se firma electrónicamente y entra en vigor al activar la cuenta del centro. Lo proporcionamos sin coste y se puede negociar con el departamento jurídico del centro si fuera necesario.

¿Qué hacer si se detecta una brecha de seguridad?

En las primeras 72 h notificamos a la AEPD según el Art. 33 RGPD si el incidente afecta a datos personales. Los responsables (centros y profesores afectados) reciben notificación detallada en cuanto se confirma la naturaleza del incidente, con las medidas tomadas y las recomendaciones aplicables.

Seguridad y privacidad de Corrigiendo.es

Seguridad y privacidad en Corrigiendo.es

La protección de datos del alumnado y del profesorado no es una nota a pie de página: es una restricción de diseño en Corrigiendo.es. Esta página explica cómo tratamos la información, qué medidas técnicas y legales aplicamos y qué garantías ofrecemos a profesores y centros educativos.

Principios que rigen el tratamiento

Minimización: recogemos únicamente los datos necesarios para la función pedagógica.
Localización europea: servidores y backups dentro del EEE.
Anonimización en la IA: el modelo no ve datos personales identificativos.
Cero entrenamiento: los datos no alimentan modelos de IA.
Transparencia activa: publicamos los subencargados, la política de cookies y este documento.
Derechos del usuario: acceso, rectificación, supresión, oposición y portabilidad disponibles desde el panel personal.

Medidas técnicas

Cifrado

TLS 1.3 obligatorio en todas las conexiones HTTP.
HSTS con preload (max-age 1 año, includeSubDomains).
AES-256 en bases de datos.
Claves de cifrado gestionadas en KMS, separadas del dato.
Hashing de contraseñas con Argon2id (o bcrypt con coste 12 como fallback).

Aislamiento de datos personales en el flujo IA

Cuando un examen se procesa con IA, el flujo es:

Carga del examen al backend.
Separación de nombres, apellidos y otros identificadores en un mapa local.
Sustitución por códigos anónimos (Alumno-ABC123) en el cuerpo del examen.
Envío a Gemini únicamente con códigos anónimos.
Recepción de la corrección.
Reasociación de códigos a identidades en el backend.
Almacenamiento de la corrección cifrada en BD.

En ningún momento el proveedor de IA recibe ni el nombre del alumno ni el del centro educativo. Solo ve "Alumno-ABC123" y el contenido del examen.

Acceso y operaciones

Autenticación obligatoria con email + contraseña + opcionalmente OAuth (Google).
Sesiones gestionadas en Redis con expiración configurable.
Roles y permisos granulares: Admin / Profesor / Alumno (cuando exista).
Logs de acceso a datos sensibles auditados.
Monitoreo de errores con Sentry (sin enviar payloads de datos personales).

Medidas organizativas

Política de acceso del personal interno: solo se accede a datos en caso de incidencia justificada y registrada.
Acuerdos de confidencialidad firmados por todos los colaboradores.
Revisiones periódicas de permisos.
Backups automáticos diarios con retención de 30 días.
Plan de continuidad de negocio con tiempos de restauración documentados.

Subencargados de tratamiento

Para prestar el servicio recurrimos a estos subencargados, todos con acuerdos firmados y dentro del Espacio Económico Europeo o con garantías equivalentes:

Subencargado	Finalidad	Ubicación
Hetzner / OVH	Hosting servidores principales	UE
Scaleway TEM	Email transaccional	Francia (UE)
Google Cloud (Gemini API)	Procesamiento IA (datos anonimizados)	UE
Stripe	Procesamiento de pagos	Irlanda (UE)
Cloudflare	CDN, anti-DDoS, DNS	UE (zonas EU only)

Cómo ejercer tus derechos

Tienes derecho de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento. Tres formas de ejercerlos:

Desde el panel personal (cuando esté activo el registro), apartado "Mis datos".
Por email a [email protected] indicando el derecho que ejerces y adjuntando un documento que acredite tu identidad.
Por correo postal a la dirección que figura en el aviso legal.

Plazo máximo de respuesta: 30 días naturales. Si la solicitud es compleja, podemos prorrogar dos meses adicionales, notificándotelo con motivación.

Procedimiento ante brechas de seguridad

Si se confirma una brecha que pueda afectar a datos personales:

En menos de 72 h: notificación a la AEPD según Art. 33 RGPD.
En paralelo: notificación a centros y profesores afectados con los datos disponibles.
Aplicación de medidas técnicas de contención (rotación de claves, revocación de tokens, etc.).
Análisis post-incidente y mejora de procedimientos.

Agradecimientos a investigadores de seguridad

Si descubres una vulnerabilidad, te pedimos que nos lo comuniques antes de hacerla pública en [email protected]. Respondemos en menos de 72 h. Sigue las indicaciones en /.well-known/security.txt.

Esta sección listará públicamente (con tu permiso) a los investigadores que reporten vulnerabilidades responsablemente.