Documentos legales

Acuerdo de encargo de tratamiento de datos

Entre la escuela u organización (RESPONSABLE) y Nivelar (ENCARGADO). Ley 25.326, art. 25.

Última actualización: 6 de julio de 2026

Modelo de contrato orientativo (borrador). Debe completarse con los datos de las partes, revisarse con asesoría legal y firmarse antes de tratar datos de alumnos de una escuela real.

Partes

  • Responsable del tratamiento: la escuela, ONG, organismo o entidad que da de alta a los grupos de alumnos (en adelante, «la Entidad»).
  • Encargado del tratamiento: Nivelar, que trata los datos por cuenta y según las instrucciones de la Entidad.
La Entidad es quien tiene el vínculo con las familias y canaliza el consentimiento. Nivelar no decide las finalidades: solo ejecuta el tratamiento necesario para prestar el servicio educativo que la Entidad contrata.

1. Objeto y finalidad

La Entidad encarga a Nivelar el tratamiento de datos de sus alumnos con la única finalidad de prestar el servicio de práctica de competencias y de seguimiento pedagógico descripto en la plataforma. Nivelar no usará los datos para ninguna finalidad propia distinta.

2. Datos y categorías de titulares

  • Titulares: alumnos (menores) y personal adulto de la Entidad.
  • Datos de alumnos: alias (sin apellido), avatar generado, pertenencia al grupo y actividad de práctica (respuestas, aciertos, tiempos, nivel estimado, progreso).
  • Minimización garantizada: Nivelar no recibe ni almacena nombre y apellido, DNI, email, teléfono, foto ni geolocalización de alumnos, ni el mapeo entre alias e identidad real.

3. Instrucciones y obligaciones del Encargado

Nivelar se obliga a:

  • Tratar los datos solo conforme a las instrucciones documentadas de la Entidad.
  • No ceder ni comunicar los datos a terceros, salvo subencargados autorizados (cláusula 6).
  • Aplicar medidas de seguridad técnicas y organizativas adecuadas (cláusula 5).
  • Guardar confidencialidad, extensiva a todo el personal con acceso.
  • Asistir a la Entidad para responder los derechos de los titulares (acceso, rectificación, supresión).
  • Notificar sin demora indebida cualquier incidente de seguridad que afecte a datos de alumnos.
  • Al finalizar el servicio, devolver o suprimir los datos según indique la Entidad, salvo obligación legal de conservación.
  • No usar los datos de alumnos para perfilado comercial ni publicidad, ni para entrenar modelos de IA.

4. Obligaciones del Responsable

  • Obtener y conservar el consentimiento parental de las familias antes de dar de alta a los alumnos.
  • Informar a las familias y a los alumnos sobre el uso de Nivelar (asentimiento).
  • Dar de alta y de baja a los grupos y usuarios que correspondan, manteniendo el vínculo alias↔identidad fuera de Nivelar.

5. Medidas de seguridad

  • Base de datos e infraestructura alojadas en Estados Unidos (región co-locada); datos de estudiantes seudonimizados y transferencias amparadas en cláusulas contractuales + DPA.
  • Cifrado en tránsito (HTTPS); contraseñas de adultos con hash + sal.
  • Aislamiento lógico entre entidades: cada organización accede solo a sus propios datos.
  • Autoridades educativas: acceso solo a datos agregados de su jurisdicción, sin datos por alumno.
  • Control de acceso interno por rol y registro de operaciones sensibles.

6. Subencargados

Nivelar puede apoyarse en proveedores de infraestructura (base de datos, hosting, envío de emails) que actúan como subencargados, obligados a las mismas condiciones. Las transferencias internacionales se amparan en cláusulas contractuales adecuadas. Nivelar informará a la Entidad sobre altas o cambios de subencargados relevantes.

7. Duración

Este acuerdo rige mientras dure la prestación del servicio a la Entidad. Su finalización activa las obligaciones de devolución/supresión de la cláusula 3.

8. Marco legal

Este encargo se celebra en los términos del art. 25 de la Ley 25.326 y su reglamentación, y sigue las buenas prácticas recomendadas por la AAIP para el tratamiento de datos de niñas, niños y adolescentes.