Acuerdo de encargo de tratamiento de datos
Entre la escuela u organización (RESPONSABLE) y Nivelar (ENCARGADO). Ley 25.326, art. 25.
Última actualización: 6 de julio de 2026
Modelo de contrato orientativo (borrador). Debe completarse con los datos de las partes, revisarse con asesoría legal y firmarse antes de tratar datos de alumnos de una escuela real.
Partes
- Responsable del tratamiento: la escuela, ONG, organismo o entidad que da de alta a los grupos de alumnos (en adelante, «la Entidad»).
- Encargado del tratamiento: Nivelar, que trata los datos por cuenta y según las instrucciones de la Entidad.
1. Objeto y finalidad
La Entidad encarga a Nivelar el tratamiento de datos de sus alumnos con la única finalidad de prestar el servicio de práctica de competencias y de seguimiento pedagógico descripto en la plataforma. Nivelar no usará los datos para ninguna finalidad propia distinta.
2. Datos y categorías de titulares
- Titulares: alumnos (menores) y personal adulto de la Entidad.
- Datos de alumnos: alias (sin apellido), avatar generado, pertenencia al grupo y actividad de práctica (respuestas, aciertos, tiempos, nivel estimado, progreso).
- Minimización garantizada: Nivelar no recibe ni almacena nombre y apellido, DNI, email, teléfono, foto ni geolocalización de alumnos, ni el mapeo entre alias e identidad real.
3. Instrucciones y obligaciones del Encargado
Nivelar se obliga a:
- Tratar los datos solo conforme a las instrucciones documentadas de la Entidad.
- No ceder ni comunicar los datos a terceros, salvo subencargados autorizados (cláusula 6).
- Aplicar medidas de seguridad técnicas y organizativas adecuadas (cláusula 5).
- Guardar confidencialidad, extensiva a todo el personal con acceso.
- Asistir a la Entidad para responder los derechos de los titulares (acceso, rectificación, supresión).
- Notificar sin demora indebida cualquier incidente de seguridad que afecte a datos de alumnos.
- Al finalizar el servicio, devolver o suprimir los datos según indique la Entidad, salvo obligación legal de conservación.
- No usar los datos de alumnos para perfilado comercial ni publicidad, ni para entrenar modelos de IA.
4. Obligaciones del Responsable
- Obtener y conservar el consentimiento parental de las familias antes de dar de alta a los alumnos.
- Informar a las familias y a los alumnos sobre el uso de Nivelar (asentimiento).
- Dar de alta y de baja a los grupos y usuarios que correspondan, manteniendo el vínculo alias↔identidad fuera de Nivelar.
5. Medidas de seguridad
- Base de datos e infraestructura alojadas en Estados Unidos (región co-locada); datos de estudiantes seudonimizados y transferencias amparadas en cláusulas contractuales + DPA.
- Cifrado en tránsito (HTTPS); contraseñas de adultos con hash + sal.
- Aislamiento lógico entre entidades: cada organización accede solo a sus propios datos.
- Autoridades educativas: acceso solo a datos agregados de su jurisdicción, sin datos por alumno.
- Control de acceso interno por rol y registro de operaciones sensibles.
6. Subencargados
Nivelar puede apoyarse en proveedores de infraestructura (base de datos, hosting, envío de emails) que actúan como subencargados, obligados a las mismas condiciones. Las transferencias internacionales se amparan en cláusulas contractuales adecuadas. Nivelar informará a la Entidad sobre altas o cambios de subencargados relevantes.
7. Duración
Este acuerdo rige mientras dure la prestación del servicio a la Entidad. Su finalización activa las obligaciones de devolución/supresión de la cláusula 3.
8. Marco legal
Este encargo se celebra en los términos del art. 25 de la Ley 25.326 y su reglamentación, y sigue las buenas prácticas recomendadas por la AAIP para el tratamiento de datos de niñas, niños y adolescentes.