Política de Privacidad — Aularios de Aldamiz

Última actualización: 27/11/2025

Versión: 1.1

Esta Política de Privacidad explica cómo EuskadiTech (en adelante, "la empresa", "nosotros") trata los datos personales de las personas que utilizan el servicio Wiki basado en WikiJS (en adelante, "el Servicio", “Aularios de Aldamiz”). El acceso al Servicio se realiza mediante inicio de sesión con Cuenta de Google (OAuth) o mediante cuenta local creada en el propio sistema.

1. Responsable del tratamiento

Nombre: Aularios de Aldamiz

Correo de contacto / administración: aularios@tech.eus (este buzón se reenvía automáticamente al Delegado de Protección de Datos de EuskadiTech).

Hosting: servidor local EuskadiTech - tech.eus.

2. Finalidades y datos tratados

2.1. Inicio de sesión con Google (OAuth)

Cuando el usuario inicia sesión con Google, se recogen únicamente los datos que el usuario autoriza a compartir durante el proceso de OAuth, que normalmente incluyen:

• Nombre y apellidos.
• Dirección de correo electrónico.
• Foto de perfil (si existe).
• Identificador único de Google (Google ID).

Finalidad: autenticación, creación/actualización de la cuenta en el Servicio, asignación de roles y personalización mínima del perfil.

2.2. Cuentas locales

Para cuentas locales se tratan los siguientes datos:

• Nombre de usuario.
• Correo electrónico.
• Contraseña (almacenada de forma segura y siempre cifrada/hasheada).
• Rol (ej. alumno, docente, administrador).

Finalidad: autenticación, gestión de acceso y permisos, comunicación administrativa y notificaciones internas.

2.3. Cuenta compartida de solo lectura

EuskadiTech dispone de una cuenta compartida entre alumnos con permisos de solo lectura. Dicha cuenta no recoge ni asocia datos personales de quienes la utilicen.

2.4. Registros técnicos y logs

Se registran de forma automática datos técnicos necesarios para la seguridad y funcionamiento del Servicio:

• Dirección IP.
• Fecha y hora de acceso.
• Páginas consultadas y acciones relevantes (crear/editar/eliminar).
• Información del navegador y sistema operativo.

Finalidad: seguridad, auditoría, detección y resolución de incidencias, mejora y mantenimiento del Servicio.

2.5. Cookies

Se utilizan cookies estrictamente necesarias para la sesión, autenticación y protección CSRF. No se emplean cookies publicitarias ni analíticas por defecto; si en el futuro se activan cookies analíticas se solicitará el consentimiento cuando la normativa lo exija.

3. Base jurídica del tratamiento (RGPD y LOPDGDD)

Las bases legales que legitiman los tratamientos son, según proceda:

• El cumplimiento de una misión de interés público o el ejercicio de poderes públicos en materia educativa.
• El interés legítimo de EuskadiTech para garantizar la seguridad, integridad y disponibilidad del Servicio.
• El cumplimiento de obligaciones contractuales o precontractuales con el interesado.
• El consentimiento del interesado, cuando el tratamiento concreto así lo requiera (por ejemplo, en casos no estrictamente necesarios para la prestación del Servicio).

4. Destinatarios y encargados

• Google: cuando se utiliza Google OAuth, Google actúa como proveedor/tercera parte y trata los datos conforme a su política de privacidad. El usuario puede revisar la política y condiciones de Google para conocer cómo procesa sus datos y qué transferencias pueden producirse.
• Personal autorizado de EuskadiTech: acceso necesario para la administración y mantenimiento del Servicio.
• No se cederán datos a terceros salvo obligación legal o en los supuestos previstos en esta política y con las garantías legalmente exigibles.

5. Transferencias internacionales

El Servicio está alojado en servidor local, por lo que no se realizan transferencias internacionales del tratamiento de datos desde el hosting. En el caso de uso de Google OAuth, el proveedor puede aplicar tratamientos o transferencias fuera del Espacio Económico Europeo conforme a su política; EuskadiTech recomienda consultar la documentación y garantías que Google proporciona.

6. Plazos de conservación

• Cuentas de usuario: se conservan mientras la cuenta esté activa y en uso. Las cuentas se eliminan a petición del interesado mediante correo a aularios@tech.eus, o automáticamente tras 3 años de inactividad o finalización del uso educativo.
• Cuentas compartidas de solo lectura: mantenidas mientras formen parte del funcionamiento del Servicio y sin asociación a datos personales de los usuarios.
• Logs y registros de acceso: conservados durante un máximo de 6 meses para fines de seguridad y auditoría.
• Backups: conservados según la política interna de EuskadiTech, garantizando las mismas medidas de seguridad y plazos coherentes con lo indicado anteriormente.

7. Medidas de seguridad

EuskadiTech aplica medidas técnicas y organizativas para proteger los datos personales, incluyendo, entre otras:

• Almacenamiento seguro de contraseñas mediante hashing criptográfico robusto (por ejemplo, bcrypt/argon2 u otro equivalente).
• Comunicación cifrada mediante HTTPS/TLS para accesos al Servicio.
• Control de accesos y segregación por roles (principio de mínimos privilegios).
• Registro y monitorización de accesos y acciones relevantes.
• Copia de seguridad en entorno controlado y planes de recuperación ante desastres.
• Seguridad física y lógica del servidor local (acceso restringido al personal autorizado).

Pese a las medidas adoptadas, ningún sistema es infalible; en caso de violación de la seguridad que suponga riesgo para los derechos y libertades de las personas afectadas, se notificará la brecha a la autoridad de control y, si procede, a los interesados, conforme al RGPD y la normativa aplicable.

8. Derechos de las personas

De conformidad con el RGPD y la LOPDGDD, las personas disponen de los siguientes derechos:

• Derecho de acceso a sus datos personales.
• Derecho de rectificación de datos inexactos o incompletos.
• Derecho de supresión ("derecho al olvido") cuando proceda.
• Derecho a la limitación del tratamiento.
• Derecho a la portabilidad de los datos cuando proceda.
• Derecho de oposición al tratamiento por motivos legítimos.
• Derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.

Para ejercer sus derechos, el interesado puede enviar una solicitud por correo electrónico a aularios@tech.eus (este buzón se reenvía automáticamente al Delegado de Protección de Datos). La solicitud deberá identificar al solicitante y especificar el derecho que desea ejercer; en su caso, podrá solicitarse documentación que acredite la identidad. Responderemos en los plazos legalmente establecidos.

Si el interesado no queda satisfecho con la respuesta, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).

9. Menores

El Servicio se utiliza en un contexto escolar. Conforme a la normativa española (LOPDGDD) la edad mínima para prestar consentimiento digital es de 14 años. Para menores por debajo de dicho umbral, se requerirá el consentimiento de los padres o tutores legales cuando la normativa así lo exija. EuskadiTech adoptará medidas adicionales de protección para los menores, incluida la supervisión educativa y la limitación de la publicación de datos personales.

10. Procedimiento de eliminación de cuentas

Las cuentas podrán solicitar su eliminación enviando un correo a aularios@tech.eus. A la recepción de la solicitud y previa verificación de identidad, EuskadiTech procederá a la supresión de los datos personales del usuario en los plazos razonables y conforme a las obligaciones legales de conservación que pudieran aplicarse.

11. Cambios en la política

Esta Política de Privacidad puede ser actualizada. Publicaremos la versión vigente en el Servicio con la fecha de última actualización. Cuando los cambios sean significativos se informará a la comunidad educativa por los canales habituales.

12. Contacto

Para consultas relativas a esta política, ejercicio de derechos o incidencias:

Correo: aularios@tech.eus (reenvío automático al Delegado de Protección de Datos).

13. Autoridad de control

Si considera que sus derechos no han sido atendidos adecuadamente, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): https://www.aepd.es.

14. Brechas de seguridad

En caso de haber una brecha de seguridad, se avisara por correo en un plazo máximo de 90 días (plazo para reforzar la seguridad) con los tipos de datos afectados.

Documento generado para su publicación en el Servicio WikiJS de Aularios de Aldamiz.