Saltar al contenido

v1.0-2026-06 · vigente desde 2026-06-01

Acuerdo de Tratamiento de Datos

Este Acuerdo de Tratamiento de Datos (el «Acuerdo» o «DPA») regula cómo Critertec Educación S.A.S. (NIT 800.152.913-3, Bogotá, Colombia, «Criter») trata los datos personales por cuenta de la institución cliente («la Institución») al prestar la plataforma Criter Academy. Forma parte del contrato entre Criter y la Institución y se incorpora a este cuando un representante autorizado de la Institución lo acepta en el panel institucional.

Aceptación y facultades. Al aceptar este Acuerdo en nombre de la Institución, quien lo acepta declara estar autorizado para obligarla. La aceptación electrónica tiene la misma validez que una firma y queda registrada con la fecha, la versión del Acuerdo y la identidad de quien acepta.

1. Roles

Respecto de los datos de los docentes y, en su caso, estudiantes de la Institución, Criter es el Encargado del Tratamiento y la Institución es el Responsable. Respecto de los datos de cuenta y de uso que Criter trata para administrar su relación comercial, la seguridad y la mejora del servicio, Criter actúa como Responsable independiente conforme a su Política de Privacidad.

2. Objeto, finalidad e instrucciones

Criter trata los datos únicamente para prestar el servicio y conforme a las instrucciones documentadas de la Institución (este Acuerdo, el contrato y la configuración del servicio), salvo obligación legal. La Institución garantiza haber obtenido las autorizaciones necesarias de los titulares.

3. Datos tratados

  • Identificación del docente: nombre, correo, identificador público.
  • Autenticación: identificador de cuenta, correo de inicio de sesión.
  • Datos pedagógicos: resultados de evaluaciones, arquetipo, competencias, marcas, notas.
  • Evidencia de aula: archivos cargados (imágenes, documentos, audio, enlaces).
  • Registros de actividad y de error.

4. Obligaciones de Criter

  • Tratar los datos solo conforme a las instrucciones de la Institución.
  • Garantizar la confidencialidad del personal autorizado.
  • Mantener medidas de seguridad técnicas y organizativas (cláusula 8).
  • Asistir a la Institución con las solicitudes de los titulares.
  • Notificar cualquier incidente de seguridad sin dilación indebida y, a más tardar, dentro de las 72 horas de tener conocimiento.

5. Subencargados

La Institución autoriza a Criter a contratar los siguientes subencargados para prestar el servicio. Criter impone a cada uno obligaciones de protección equivalentes y notifica los cambios con 30 días de antelación, dando oportunidad de objetar.

  • Vercel — alojamiento y funciones (EE.UU.).
  • Supabase — base de datos y almacenamiento (EE.UU. / UE).
  • Google (Firebase) — autenticación (EE.UU. / UE).
  • OpenAI — modelo del señalador y transcripción (EE.UU.).
  • Mux — alojamiento de video (EE.UU.).
  • Resend — correo transaccional (EE.UU.).
  • Upstash — control de tasa de solicitudes (EE.UU.).
  • Sentry — monitoreo de errores (EE.UU.).

6. Transferencias internacionales

La prestación del servicio implica el procesamiento de datos en Estados Unidos y, en su caso, la Unión Europea. Dichas transferencias se amparan en las cláusulas contractuales tipo incorporadas en los acuerdos con cada subencargado y en las demás salvaguardas exigidas por la ley aplicable.

7. Derechos de los titulares

Criter asiste a la Institución para atender el ejercicio de derechos (acceso, rectificación, actualización, supresión, revocatoria y portabilidad). Si recibe una solicitud directa, la remite a la Institución y no responde sin su autorización, salvo obligación legal.

8. Seguridad

Criter mantiene cifrado en tránsito (TLS) y en reposo, control de acceso por roles, segregación de datos por institución, registro de auditoría, copias de respaldo y un procedimiento de respuesta a incidentes.

9. Auditoría

A solicitud razonable de la Institución (máximo una vez al año, salvo requerimiento de autoridad), Criter pone a disposición la documentación que demuestre el cumplimiento de este Acuerdo, sujeta a confidencialidad.

10. Devolución o supresión

Al finalizar el contrato, y a elección de la Institución, Criter devuelve o suprime los datos tratados por su cuenta dentro de los 30 días siguientes, salvo obligación legal de conservación. Las copias en respaldos se eliminan según el período estándar de retención.

11. Datos de menores

Cuando el tratamiento involucre datos de estudiantes menores de edad, la Institución garantiza contar con las autorizaciones de los padres o tutores. En Puerto Rico y Estados Unidos aplican FERPA y COPPA; respecto de los registros educativos, Criter actúa como proveedor bajo el control e instrucciones de la Institución.

12. Ley aplicable

Este Acuerdo se rige por las leyes de la República de Colombia, sin perjuicio de las normas imperativas de protección de datos de la jurisdicción de la Institución (Colombia, Ecuador, Panamá, República Dominicana o Estados Unidos, según corresponda).

Para consultas sobre este Acuerdo: hola@critertec.com.