Política de privacidad

Última actualización: 23 de junio de 2026.

xtec.dev cumple el Reglamento General de Protección de Datos de la UE (RGPD) y la normativa española de protección de datos (LOPDGDD). El responsable del tratamiento es David de Mingo (), a título personal — no en nombre de ningún centro educativo ni de la Administración.

Esta política cubre tres formas diferentes de usar el sitio, porque cada una trata los datos de manera distinta:

  • Navegar por el sitio público — sin cuenta.
  • Iniciar sesión en tu cuenta — el Moodle de tu centro o Esfera/GICAR.
  • Las herramientas de calificación del profesorado — donde un docente trabaja con las calificaciones de su alumnado desde Esfera y Moodle.

1. Navegar por el sitio público

Cuando navegas por las páginas públicas del sitio sin iniciar sesión, no recogemos ninguna información personal.

No hacemos:

  • Tratar datos personales
  • Seguir la actividad de navegación de los visitantes
  • Ejecutar scripts de analítica o publicidad
  • Utilizar cookies de publicidad o de seguimiento
  • Compartir datos con terceros

La única cookie utilizada en este modo es estrictamente funcional, lang, que recuerda el idioma que has elegido (English, Català o Español). No contiene ningún identificador y no se utiliza para el seguimiento, por lo que no se requiere ningún aviso de consentimiento de cookies.

2. Iniciar sesión en tu cuenta

Puedes iniciar sesión con el Moodle de tu centro o con Esfera / GICAR (la identidad docente de la Generalitat de Catalunya). Al iniciar sesión se crea una cuenta para que podamos recordar quién eres y qué contenido tienes derecho a leer.

Qué guardamos de tu cuenta:

  • Para los inicios de sesión de centro, el contexto del centro que proporciona el proveedor.

Por qué lo guardamos: para autenticarte, mantenerte conectado y determinar a qué páginas puedes acceder (algunas páginas están reservadas a cuentas registradas).

Cookie de sesión: al iniciar sesión se establece una cookie segura, HttpOnly (grade_auth_token) que te mantiene conectado durante 8 horas. Es funcional, no una cookie de seguimiento.

Las contraseñas no se guardan nunca. La autenticación se delega completamente en tu proveedor (el Moodle de tu centro o GICAR/Esfera). El servidor nunca ve tu contraseña en texto claro más allá de la duración de una única petición de inicio de sesión, y nunca la conserva.

Puedes revisar tus métodos de inicio de sesión vinculados, desvincularlos o eliminar tu cuenta en cualquier momento desde tu página de cuenta, o contactando con nosotros.

3. Herramientas de calificación del profesorado (Esfera y Moodle)

Esta es la única parte del sitio que trata datos personales del alumnado, y la hemos diseñado deliberadamente para mantener esos datos bajo el control del centro.

La herramienta de calificación es un centro de información para el profesorado de formación profesional. No tiene formularios de entrada de datos de alumnado y no captura ninguna información personal nueva: solo muestra y cruza información que ya existe en los dos sistemas de origen, recuperada a través de la sesión autenticada del propio docente.

Dos sistemas de origen diferentes

Son sistemas diferentes, gestionados por responsables diferentes, y los tratamos por separado:

  • Moodle lo gestiona cada centro educativo (tu centro). Contiene los cursos, el alumnado y el profesorado de ese centro.
  • Esfera lo gestiona el Departamento de Educación (Generalitat de Catalunya). Contiene las matrículas oficiales y los expedientes académicos.

Para esta función, el responsable de los datos del alumnado es el centro educativo (en Moodle) y, en última instancia, el Departamento de Educación (en Esfera) — exactamente como era antes de que existiera esta herramienta. xtec.dev actúa solo como una herramienta que presenta esos datos al docente autorizado; no sustituye ni representa esos sistemas.

Qué se recupera en directo y no se guarda

Cuando un docente abre una vista de calificación, la plataforma solicita los datos a Esfera y Moodle en tiempo real y los pasa directamente al navegador del docente. La sesión de Esfera utilizada para recuperar estos datos vive solo durante una única petición. Los datos siguientes nunca se escriben en nuestra base de datos:

  • Nombres y apellidos. Los nombres que se muestran en pantalla se consultan en directo en Moodle cuando es necesario y no se escriben en disco.
  • DNI, NIE, pasaporte o IdRalc (el número de registro de alumnado de Cataluña).
  • Correo, teléfono, dirección, fotografía, fecha de nacimiento.
  • Calificaciones y detalles de grupo/matrícula de Esfera.
  • Contraseñas (véase la sección 2).

Qué metadatos se guardan

Para que el trabajo de un docente se conserve entre sesiones — sin tener que volver a introducir las referencias de Moodle y Esfera cada vez — guardamos un conjunto mínimo de referencias opacas:

  • Un identificador interno por alumno (un entero autoincremental) sin ningún significado fuera de esta base de datos.
  • De Moodle: solo el userid de Moodle. Es el número necesario para consultar en directo el nombre o el curso de un alumno en Moodle, y solo se resuelve a una persona desde dentro del Moodle del propio centro.
  • De Esfera: solo el idMatricula (id de matrícula). Es un identificador de matrícula opaco asignado por la Generalitat que caduca automáticamente al final del curso académico.
  • El trabajo de evaluación del propio docente: notas, comentarios, enunciados de tareas y resultados de aprendizaje (RA) que el docente produce durante su actividad de evaluación, indexados por las referencias opacas anteriores.

Estas referencias son seudónimos técnicos: por sí solas no revelan a qué persona corresponden. Solo se vuelven identificativas cuando se combinan con la información en poder del centro educativo o de la Generalitat.

Solo lectura hacia Esfera

La herramienta solo lee de Esfera; nunca escribe notas ni ninguna otra información allí. Esta limitación es intencionada: la escritura automatizada en un sistema oficial de la Generalitat de Catalunya por parte de una herramienta de terceros podría vulnerar las condiciones de acceso del sistema, y trasladaría a esta herramienta la responsabilidad técnica de cualquier entrada errónea en un expediente académico. La herramienta, por tanto, solo calcula y muestra las notas de resultados de aprendizaje; es el docente quien las introduce en Esfera desde la pantalla oficial, como actor autorizado dentro del sistema de la Generalitat.

Base jurídica

Como la herramienta de calificación no recoge datos personales del alumnado sino solo referencias opacas y el trabajo de evaluación del propio docente, el tratamiento de estos metadatos se basa en el interés legítimo del docente en organizar su propio trabajo docente (artículo 6.1.f RGPD). La responsabilidad sobre los datos de origen (registro de alumnado, calificaciones oficiales, expedientes académicos) sigue siendo del centro educativo y, en el caso de Esfera, de la Generalitat de Catalunya, regidos por sus propias políticas de protección de datos.

Menores

Una buena parte del alumnado de formación profesional son menores. Esta herramienta no recoge ni solicita ningún dato directamente al alumnado; toda la información que se muestra (nombres, notas, matrículas) proviene de los sistemas del centro o de la Generalitat, donde ya se aplica el marco específico de protección de los datos de los menores (artículo 8 RGPD y artículo 7 LOPDGDD). El alumnado no interactúa con esta herramienta; solo lo hace su profesorado.

Encargados del tratamiento e infraestructura

Utilizamos un pequeño número de proveedores estrictamente para operar el servicio. No vendemos ni alquilamos datos personales a nadie.

ProveedorFinalidad
Generalitat de Catalunya (Esfera / GICAR)Inicio de sesión del profesorado y datos de calificación en directo
El Moodle de tu centroInicio de sesión de alumnado/profesorado y datos de curso en directo
HetznerAlojamiento del servidor (centros de datos en la UE)

El servidor y la base de datos funcionan en un servidor alquilado a Hetzner dentro del Espacio Económico Europeo (Alemania). Las comunicaciones con tu navegador, con Moodle y con Esfera siempre están cifradas con TLS. No hay ninguna transferencia internacional de datos fuera del EEE.

Medidas de seguridad

  • Comunicaciones cifradas con TLS de extremo a extremo (Let’s Encrypt).
  • Aislamiento de datos por centro: el acceso de un docente está limitado a los datos de su propio centro.
  • Copias de seguridad diarias, conservadas durante 30 días; cada centro se puede restaurar de manera independiente.
  • Sin analítica, sin scripts de terceros, sin llamadas a terceros más allá del Moodle del centro y el servicio Esfera de la Generalitat.

Si se detecta una violación de seguridad que pueda afectar a metadatos vinculados a personas, se notificará a la autoridad de control y a los centros afectados dentro de los plazos del artículo 33 RGPD.

Conservación de los datos

  • Datos de la cuenta: se conservan hasta que elimines tu cuenta o nos pidas que la suprimamos.
  • Sesiones de inicio de sesión: caducan al cabo de 8 horas.
  • Metadatos de calificación: se conservan mientras el docente utiliza la herramienta para el curso académico actual. El idMatricula de Esfera se invalida automáticamente al final de cada curso académico.
  • Copias de seguridad cifradas del servidor: se hacen diariamente y se conservan durante 30 días; las supresiones se propagan fuera de las copias de seguridad dentro de la ventana de rotación.
  • Datos de calificación del alumnado (nombres, números de documento, notas): no se conservan en absoluto (véase la sección 3).

Tus derechos

De acuerdo con el RGPD tienes derecho a acceder, rectificar, suprimir, limitar, oponerte y a la portabilidad de tus datos personales. Dónde ejerces estos derechos depende de quién tiene los datos:

  • Para los datos de los sistemas de origen (nombre, NIF, calificaciones oficiales, expediente académico): ante el centro educativo o, en el caso de Esfera, ante la Generalitat de Catalunya, que son los responsables.
  • Para tu cuenta y para las referencias opacas y el trabajo docente almacenado por esta herramienta: contacta con . Las referencias opacas por sí solas no pueden identificar a una persona sin la información en poder del centro, pero se pueden eliminar o suprimir a petición.

También tienes derecho a presentar una reclamación ante una autoridad de control: la Agencia Española de Protección de Datos (AEPD) o, para los datos tratados por el sistema educativo catalán, la Autoridad Catalana de Protección de Datos (APDCAT, apdcat.gencat.cat).

Delegado de protección de datos

Como herramienta personal sin recogida de datos del alumnado, esta herramienta no tiene un DPD propio. Para cuestiones relativas a los datos de origen, el DPD aplicable es el del centro educativo o, para Esfera, el del Departamento de Educación de la Generalitat de Catalunya.

Terceros

La herramienta se comunica solo con el Moodle del centro del docente y con el servicio Esfera de la Generalitat, siempre sobre TLS y siempre dentro de la sesión autenticada del usuario. No se envía ningún dato a terceros: ni analítica, ni publicidad, ni servicios de seguimiento.

Cambios en esta política

Podemos actualizar esta política de vez en cuando. Cuando lo hacemos, revisamos la fecha «Última actualización» de más arriba. Los cambios significativos que afecten a los titulares de cuentas se comunicarán por correo electrónico cuando proceda.

Para cualquier cuestión de privacidad, contacta con .