En cumplimiento de lo dispuesto en el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD), y demás normativa española y europea en materia de protección de datos y servicios de la sociedad de la información, se informa a los alumnos y, en su caso, a sus tutores legales, de los aspectos esenciales relativos al tratamiento de sus datos personales.
Primera.- Academia Tarvos S.L. es la responsable del tratamiento de los datos personales de los alumnos y, en su caso, de sus tutores legales. La finalidad del tratamiento consiste en gestionar la relación académica y administrativa derivada de la matrícula, impartición de clases, gestión de horarios, facturación, comunicaciones relacionadas con los servicios contratados y, en general, el cumplimiento de las obligaciones contractuales y legales aplicables. No se elaboran perfiles ni se adoptan decisiones automatizadas que produzcan efectos jurídicos en los interesados, más allá de lo estrictamente necesario para la correcta gestión académica.
Los datos serán conservados durante la vigencia de la relación contractual y, una vez finalizada, por los plazos de conservación legalmente exigidos: seis (6) años para documentación contable y de facturación (art. 30 del Código de Comercio), doce (12) meses para registros de acceso y actividad web, y dieciocho (18) meses para registros de autenticación mediante OAuth. Transcurridos dichos plazos, los datos serán eliminados de forma segura, salvo que deban conservarse bloqueados por una obligación legal o para la defensa de posibles reclamaciones.
En ningún caso se utilizarán los datos con fines de marketing, envío de promociones o comunicaciones comerciales no solicitadas. Los datos se tratarán exclusivamente para finalidades educativas, administrativas y legales relacionadas con el servicio contratado.
Con carácter instrumental, la Academia utiliza servicios de terceros que actúan como encargados del tratamiento: Google Forms (para la recogida de datos de matrícula), Google Workspace (Drive, Classroom, Meet, Gmail), Hostinger International Ltd. (como proveedor de alojamiento web), y WhatsApp Business (como canal oficial de comunicación con los alumnos). En todos los casos, se garantiza que dichos proveedores ofrecen garantías adecuadas de seguridad y cumplimiento con la normativa europea de protección de datos. En el caso de Google y WhatsApp (Meta), pueden producirse transferencias internacionales a Estados Unidos, amparadas en el Data Privacy Framework o, en su defecto, mediante Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.
Segunda.- Los datos objeto de tratamiento son, con carácter general, de naturaleza identificativa: nombre y apellidos, domicilio, número de teléfono, documento de identidad (DNI, NIE o pasaporte) y dirección de correo electrónico. Asimismo, podrán tratarse datos de carácter académico necesarios para la prestación del servicio educativo, tales como asignaturas cursadas, calificaciones, informes de seguimiento, participación en clases o actividades, y material entregado o recibido.
En el caso de alumnos menores de edad, será obligatoria la aportación de los datos de, al menos, uno de sus tutores legales, con el fin de cumplir las obligaciones legales y contractuales derivadas de la relación educativa. En el caso de alumnos mayores de edad, la aportación de datos de tutores o representantes será opcional y únicamente con fines administrativos (por ejemplo, para la emisión de facturas a nombre de uno u otro progenitor, o en régimen de reparto de costes en supuestos de divorcio).
No se recaban datos de categorías especiales en el sentido del artículo 9 del RGPD (salud, discapacidades, alergias u otros datos sensibles), salvo que el propio alumno o su tutor legal los aporte voluntariamente y con consentimiento expreso. Dichos datos nunca serán requisito para la prestación del servicio educativo y, en caso de proporcionarse, se tratarán únicamente con el fin de atender necesidades específicas del alumno y siempre bajo las garantías reforzadas previstas en la normativa aplicable.
En ningún caso se solicitarán ni registrarán datos bancarios, ya que los pagos se realizan directamente por el alumno o su tutor mediante transferencia bancaria a las cuentas de la empresa. En todo caso, Academia Tarvos S.L. aplicará el principio de minimización de datos, tratando únicamente la información estrictamente necesaria para las finalidades descritas en la presente política.
Tercera.- De conformidad con el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), los interesados podrán ejercer, en cualquier momento, los derechos de acceso, rectificación, supresión (“derecho al olvido”), oposición, limitación del tratamiento, portabilidad y a no ser objeto de decisiones automatizadas, incluida la elaboración de perfiles.
Para su ejercicio, deberá remitirse una comunicación a Academia Tarvos, S.L., indicando en el asunto “Protección de datos”, por cualquiera de los siguientes medios:
• Correo electrónico: privacidad@academiatarvos.com
• Correo postal: Calle San Juan Bautista, 19, Local Bajo Izquierda, 38002, Santa Cruz de Tenerife (España)
La solicitud deberá identificar claramente el derecho que se desea ejercer e ir acompañada de copia de un documento identificativo válido (DNI, NIE o pasaporte). En caso de actuar mediante representante, deberá aportarse acreditación de la representación. Cuando el solicitante sea menor de 14 años, el ejercicio de derechos se realizará por sus representantes legales.
Plazos y coste: Academia Tarvos S.L. responderá en el plazo máximo de un (1) mes desde la recepción de la solicitud, pudiendo ampliarse, en su caso, otros dos (2) meses en función de la complejidad y número de solicitudes, lo que se comunicará al interesado. El ejercicio de derechos es gratuito, salvo solicitudes manifiestamente infundadas o excesivas, en cuyo caso podrá requerirse un canon razonable o denegarse la petición conforme al artículo 12 RGPD.
El interesado podrá revocar en cualquier momento el consentimiento otorgado, sin efectos retroactivos sobre los tratamientos efectuados con anterioridad. La revocación podrá implicar la imposibilidad de prestar determinados servicios, lo que se comunicará oportunamente.
Si el interesado no obtiene una respuesta satisfactoria o considera vulnerados sus derechos, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) a través de www.aepd.es o por los medios establecidos por dicha autoridad.
Cuarta.- En cumplimiento del RGPD, se informa al interesado de que, en caso de producirse transferencias internacionales de datos personales fuera del Espacio Económico Europeo (EEE), estas se llevarán a cabo únicamente hacia entidades que ofrezcan un nivel de protección adecuado conforme a las decisiones de adecuación de la Comisión Europea o, en su defecto, mediante la formalización de Cláusulas Contractuales Tipo aprobadas por la Comisión Europea, acompañadas, en su caso, de medidas adicionales que garanticen un nivel de seguridad equivalente al europeo.
En particular, el uso de herramientas como Google Forms, Google Workspace (incluyendo Drive, Classroom, Meet y Gmail) y WhatsApp Business puede implicar transferencias de datos a servidores situados en Estados Unidos. Dichas transferencias se encuentran actualmente amparadas en el EU–U.S. Data Privacy Framework y, en su defecto, en las Cláusulas Contractuales Tipo de la Comisión Europea. En todos los casos, los proveedores implicados se comprometen contractualmente a garantizar niveles adecuados de seguridad y confidencialidad en el tratamiento de los datos.
Academia Tarvos S.L. no realizará otras transferencias internacionales de datos salvo que sean necesarias para el cumplimiento de obligaciones legales o contractuales, o que cuente con el consentimiento expreso e informado del interesado. En caso de que se produzcan nuevas transferencias internacionales, el interesado será informado con carácter previo y, cuando corresponda, tendrá derecho a oponerse a las mismas cuando la base jurídica sea el consentimiento.
Quinta.- Con el objetivo de salvaguardar la seguridad, integridad y confidencialidad de la información personal, Academia Tarvos S.L. ha implantado medidas técnicas y organizativas adecuadas y proporcionales al riesgo, de conformidad con el RGPD y la LOPDGDD. Entre dichas medidas se incluyen, entre otras: software de seguridad actualizado, sistemas de autenticación robusta y gestión de contraseñas, políticas de mínimo privilegio y control de accesos, antivirus y cortafuegos, cifrado de las comunicaciones mediante certificados SSL/TLS, copias de seguridad periódicas, registro y revisión de accesos, y procedimientos internos que garantizan que únicamente el personal autorizado acceda a la información estrictamente necesaria para el desempeño de sus funciones. El personal y colaboradores están sujetos a deberes de confidencialidad y reciben formación periódica en materia de protección de datos y seguridad de la información.
Cuando intervengan encargados del tratamiento (por ejemplo, proveedores tecnológicos), se exige contractualmente que apliquen medidas de seguridad equivalentes y que notifiquen sin dilación indebida cualquier incidente que pudiera afectar a los datos tratados por cuenta de Academia Tarvos S.L., permitiendo su adecuada gestión y respuesta.
En caso de producirse una violación de seguridad que implique la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a datos personales, Academia Tarvos S.L. analizará el incidente, documentará los hechos y medidas adoptadas y, cuando sea procedente, notificará el incidente a la Agencia Española de Protección de Datos (AEPD) en el plazo máximo de setenta y dos (72) horas desde que tenga conocimiento del mismo. Si la brecha supusiera un alto riesgo para los derechos y libertades de los interesados, se comunicará además a los afectados de forma clara y transparente, indicando la naturaleza del incidente, los datos potencialmente comprometidos y las acciones adoptadas para mitigar sus efectos, así como los canales de contacto (privacidad@academiatarvos.com) para solicitar información adicional.
Sexta.- El centro dispone de sistemas de videovigilancia implantados sobre la base jurídica del interés legítimo de preservar la seguridad de las personas, bienes e instalaciones. La instalación de cámaras responde a la necesidad de garantizar la seguridad física y patrimonial, habiéndose valorado previamente que no existen medios menos intrusivos que permitan alcanzar dichos fines con la misma eficacia. Las cámaras se encuentran debidamente señalizadas conforme a lo dispuesto en la normativa de protección de datos, mediante distintivos visibles que informan de su existencia, ubicación y finalidad.
El tratamiento de las imágenes está gestionado por la empresa Securitas Direct España, S.A.U., con NIF A26106013, que actúa como encargado del tratamiento de la videovigilancia. Las grabaciones se conservan durante el plazo máximo legalmente establecido de 30 días, salvo incidencias, investigaciones o requerimientos de Fuerzas y Cuerpos de Seguridad o autoridades judiciales competentes, en cuyo caso podrán conservarse por el tiempo estrictamente necesario para atender dichas actuaciones. Una vez transcurridos dichos plazos, las grabaciones son eliminadas de forma segura. Las imágenes no se cederán a terceros salvo obligación legal o requerimiento expreso de las autoridades competentes.
Séptima.- Para poder llevar a cabo los tratamientos de datos descritos en esta política, Academia Tarvos S.L. requiere el consentimiento explícito de los interesados cuando así lo exija la normativa. En el caso de alumnos menores de catorce (14) años, dicho consentimiento deberá ser otorgado por sus representantes legales, quienes serán considerados CLIENTES a efectos contractuales.
La aceptación electrónica de las condiciones de matrícula a través de los formularios habilitados (por ejemplo, Google Forms) equivale a la prestación de un consentimiento expreso, libre, informado e inequívoco para el tratamiento de los datos en los términos previstos en la presente política. El consentimiento constituye una base jurídica válida de acuerdo con el RGPD y la LOPDGDD, sin perjuicio de otras bases legales que legitimen determinados tratamientos (ejecución del contrato, cumplimiento de obligaciones legales, interés legítimo).