Política de privadesa

Darrera actualització: 23 de juny de 2026.

xtec.dev compleix el Reglament General de Protecció de Dades de la UE (RGPD) i la normativa espanyola de protecció de dades (LOPDGDD). El responsable del tractament és David de Mingo (), a títol personal — no en nom de cap centre educatiu ni de l’Administració.

Aquesta política cobreix tres maneres diferents d’utilitzar el lloc, perquè cadascuna tracta les dades de manera diferent:

  • Navegar pel lloc públic — sense compte.
  • Iniciar sessió al teu compte — el Moodle del teu centre o Esfera/GICAR.
  • Les eines de qualificació del professorat — on un docent treballa amb les qualificacions del seu alumnat des d’Esfera i Moodle.

1. Navegar pel lloc públic

Quan navegues per les pàgines públiques del lloc sense iniciar sessió, no recollim cap informació personal.

No fem:

  • Tractar dades personals
  • Seguir l’activitat de navegació dels visitants
  • Executar scripts d’analítica o publicitat
  • Utilitzar galetes de publicitat o de seguiment
  • Compartir dades amb tercers

L’única galeta utilitzada en aquest mode és estrictament funcional, lang, que recorda l’idioma que has triat (English, Català o Español). No conté cap identificador i no s’utilitza per al seguiment, de manera que no cal cap avís de consentiment de galetes.

2. Iniciar sessió al teu compte

Pots iniciar sessió amb el Moodle del teu centre o amb Esfera / GICAR (la identitat docent de la Generalitat de Catalunya). En iniciar sessió es crea un compte perquè puguem recordar qui ets i quin contingut tens dret a llegir.

Què desem del teu compte:

  • Per als inicis de sessió de centre, el context del centre que proporciona el proveïdor.

Per què ho desem: per autenticar-te, mantenir-te connectat i determinar a quines pàgines pots accedir (algunes pàgines estan reservades a comptes registrats).

Galeta de sessió: en iniciar sessió s’estableix una galeta segura, HttpOnly (grade_auth_token) que et manté connectat durant 8 hores. És funcional, no una galeta de seguiment.

Les contrasenyes no es desen mai. L’autenticació es delega completament al teu proveïdor (el Moodle del teu centre o GICAR/Esfera). El servidor mai veu la teva contrasenya en text clar més enllà de la durada d’una única petició d’inici de sessió, i no la conserva mai.

Pots revisar els teus mètodes d’inici de sessió vinculats, desvincular-los o eliminar el teu compte en qualsevol moment des de la teva pàgina de compte, o contactant amb nosaltres.

3. Eines de qualificació del professorat (Esfera i Moodle)

Aquesta és l’única part del lloc que tracta dades personals d’alumnat, i l’hem dissenyada deliberadament per mantenir aquestes dades sota el control del centre.

L’eina de qualificació és un centre d’informació per al professorat de formació professional. No té formularis d’entrada de dades d’alumnat i no captura cap informació personal nova: només mostra i creua informació que ja existeix als dos sistemes d’origen, recuperada a través de la sessió autenticada del propi docent.

Dos sistemes d’origen diferents

Són sistemes diferents, gestionats per responsables diferents, i els tractem per separat:

  • Moodle el gestiona cada centre educatiu (el teu centre). Conté els cursos, l’alumnat i el professorat d’aquell centre.
  • Esfera el gestiona el Departament d’Educació (Generalitat de Catalunya). Conté les matrícules oficials i els expedients acadèmics.

Per a aquesta funció, el responsable de les dades de l’alumnat és el centre educatiu (a Moodle) i, en darrera instància, el Departament d’Educació (a Esfera) — exactament com era abans que existís aquesta eina. xtec.dev actua només com una eina que presenta aquestes dades al docent autoritzat; no substitueix ni representa aquests sistemes.

Què es recupera en directe i no es desa

Quan un docent obre una vista de qualificació, la plataforma demana les dades a Esfera i Moodle en temps real i les passa directament al navegador del docent. La sessió d’Esfera utilitzada per recuperar aquestes dades viu només durant una única petició. Les dades següents no s’escriuen mai a la nostra base de dades:

  • Noms i cognoms. Els noms que es mostren a la pantalla es consulten en directe a Moodle quan cal i no s’escriuen al disc.
  • DNI, NIE, passaport o IdRalc (el número de registre d’alumnat de Catalunya).
  • Correu, telèfon, adreça, fotografia, data de naixement.
  • Qualificacions i detalls de grup/matrícula d’Esfera.
  • Contrasenyes (vegeu la secció 2).

Quines metadades es desen

Perquè la feina d’un docent es conservi entre sessions — sense haver de tornar a introduir les referències de Moodle i Esfera cada vegada — desem un conjunt mínim de referències opaques:

  • Un identificador intern per alumne (un enter autoincremental) sense cap significat fora d’aquesta base de dades.
  • De Moodle: només el userid de Moodle. És el número necessari per consultar en directe el nom o el curs d’un alumne a Moodle, i només es resol a una persona des de dins del Moodle del propi centre.
  • D’Esfera: només l’idMatricula (id de matrícula). És un identificador de matrícula opac assignat per la Generalitat que caduca automàticament al final del curs acadèmic.
  • La feina d’avaluació del propi docent: notes, comentaris, enunciats de tasques i resultats d’aprenentatge (RA) que el docent produeix durant la seva activitat d’avaluació, indexats per les referències opaques anteriors.

Aquestes referències són pseudònims tècnics: per si soles no revelen a quina persona corresponen. Només esdevenen identificatives quan es combinen amb la informació en poder del centre educatiu o de la Generalitat.

Només lectura cap a Esfera

L’eina només llegeix d’Esfera; mai hi escriu notes ni cap altra informació. Aquesta limitació és intencionada: l’escriptura automatitzada en un sistema oficial de la Generalitat de Catalunya per part d’una eina de tercers podria vulnerar les condicions d’accés del sistema, i traslladaria a aquesta eina la responsabilitat tècnica de qualsevol entrada errònia en un expedient acadèmic. L’eina, doncs, només calcula i mostra les notes de resultats d’aprenentatge; és el docent qui les introdueix a Esfera des de la pantalla oficial, com a actor autoritzat dins del sistema de la Generalitat.

Base jurídica

Com que l’eina de qualificació no recull dades personals d’alumnat sinó només referències opaques i la feina d’avaluació del propi docent, el tractament d’aquestes metadades es basa en l’interès legítim del docent a organitzar la seva pròpia feina docent (article 6.1.f RGPD). La responsabilitat sobre les dades d’origen (registre d’alumnat, qualificacions oficials, expedients acadèmics) continua sent del centre educatiu i, en el cas d’Esfera, de la Generalitat de Catalunya, regides per les seves pròpies polítiques de protecció de dades.

Menors

Una bona part de l’alumnat de formació professional són menors. Aquesta eina no recull ni demana cap dada directament a l’alumnat; tota la informació que es mostra (noms, notes, matrícules) prové dels sistemes del centre o de la Generalitat, on ja s’aplica el marc específic de protecció de les dades dels menors (article 8 RGPD i article 7 LOPDGDD). L’alumnat no interactua amb aquesta eina; només ho fa el seu professorat.

Encarregats del tractament i infraestructura

Utilitzem un petit nombre de proveïdors estrictament per operar el servei. No venem ni lloguem dades personals a ningú.

ProveïdorFinalitat
Generalitat de Catalunya (Esfera / GICAR)Inici de sessió del professorat i dades de qualificació en directe
El Moodle del teu centreInici de sessió d’alumnat/professorat i dades de curs en directe
HetznerAllotjament del servidor (centres de dades a la UE)

El servidor i la base de dades funcionen en un servidor llogat a Hetzner dins de l’Espai Econòmic Europeu (Alemanya). Les comunicacions amb el teu navegador, amb Moodle i amb Esfera sempre estan xifrades amb TLS. No hi ha cap transferència internacional de dades fora de l’EEE.

Mesures de seguretat

  • Comunicacions xifrades amb TLS d’extrem a extrem (Let’s Encrypt).
  • Aïllament de dades per centre: l’accés d’un docent està limitat a les dades del seu propi centre.
  • Còpies de seguretat diàries, conservades durant 30 dies; cada centre es pot restaurar de manera independent.
  • Sense analítica, sense scripts de tercers, sense crides a tercers més enllà del Moodle del centre i el servei Esfera de la Generalitat.

Si es detecta una violació de seguretat que pugui afectar metadades vinculades a persones, s’ho notificarà a l’autoritat de control i als centres afectats dins dels terminis de l’article 33 RGPD.

Conservació de les dades

  • Dades del compte: es conserven fins que elimines el teu compte o ens demanes que el suprimim.
  • Sessions d’inici de sessió: caduquen al cap de 8 hores.
  • Metadades de qualificació: es conserven mentre el docent utilitza l’eina per al curs acadèmic actual. L’idMatricula d’Esfera s’invalida automàticament al final de cada curs acadèmic.
  • Còpies de seguretat xifrades del servidor: es fan diàriament i es conserven durant 30 dies; les supressions es propaguen fora de les còpies de seguretat dins de la finestra de rotació.
  • Dades de qualificació de l’alumnat (noms, números de document, notes): no es conserven en absolut (vegeu la secció 3).

Els teus drets

D’acord amb el RGPD tens dret a accedir, rectificar, suprimir, limitar, oposar-te i a la portabilitat de les teves dades personals. On exerceixes aquests drets depèn de qui té les dades:

  • Per a les dades dels sistemes d’origen (nom, NIF, qualificacions oficials, expedient acadèmic): davant del centre educatiu o, en el cas d’Esfera, davant de la Generalitat de Catalunya, que en són els responsables.
  • Per al teu compte i per a les referències opaques i la feina docent emmagatzemada per aquesta eina: contacta amb . Les referències opaques per si soles no poden identificar una persona sense la informació en poder del centre, però es poden eliminar o suprimir a petició.

També tens dret a presentar una reclamació davant d’una autoritat de control: l’Agència Espanyola de Protecció de Dades (AEPD) o, per a les dades tractades pel sistema educatiu català, l’Autoritat Catalana de Protecció de Dades (APDCAT, apdcat.gencat.cat).

Delegat de protecció de dades

Com a eina personal sense recollida de dades d’alumnat, aquesta eina no té un DPD propi. Per a qüestions relatives a les dades d’origen, el DPD aplicable és el del centre educatiu o, per a Esfera, el del Departament d’Educació de la Generalitat de Catalunya.

Tercers

L’eina es comunica només amb el Moodle del centre del docent i amb el servei Esfera de la Generalitat, sempre sobre TLS i sempre dins de la sessió autenticada de l’usuari. No s’envia cap dada a tercers: ni analítica, ni publicitat, ni serveis de seguiment.

Canvis en aquesta política

Podem actualitzar aquesta política de tant en tant. Quan ho fem, revisem la data «Darrera actualització» de més amunt. Els canvis significatius que afectin els titulars de comptes es comunicaran per correu electrònic quan escaigui.

Per a qualsevol qüestió de privadesa, contacta amb .