Política de privacidad

Identificación del operador

EduShield es la plataforma o nombre comercial bajo el cual Christopher Brenes Fernández, persona física, ofrece servicios digitales de gestión académica y calidad docente, con domicilio en Curridabat, Costa Rica. País de establecimiento del prestador de la plataforma: Costa Rica.

Contacto de privacidad: privacidad@edushield.net.

Roles del centro y de EduShield

Responsable del tratamiento: con frecuencia es el centro educativo (institución, escuela o colegio) que contrata o habilita EduShield y decide qué datos se solicitan, con qué finalidades educativas se emplean y cómo se articula el servicio con su normativa interna. Según la configuración del servicio, el acuerdo con EduShield y la normativa aplicable, el responsable del tratamiento también puede ser un docente (por ejemplo cuando ostenta esa función frente a determinados tratamientos o grupos, en los términos previstos con su centro o la ley).

Encargado del tratamiento: Christopher Brenes Fernández, a través de la plataforma EduShield, podrá actuar como encargado del tratamiento en tanto provee la tecnología y el software para gestionar esos datos en nombre de quien actúe como responsable (centro o docente, según corresponda), según sus instrucciones y la configuración del servicio.

EduShield como encargado y alcance de la plataforma

En muchos supuestos Christopher Brenes Fernández, a través de EduShield, actúa como encargado del tratamiento, ejecutando el tratamiento de datos personales conforme a las instrucciones del responsable (centro educativo o docente, según el caso) y a la finalidad educativa acordada. La plataforma ofrece herramientas para que el responsable capture, organice y use la información; no define por sí misma qué datos se exigen ni la política académica o administrativa aplicable a cada caso. Si un usuario plantea dudas sobre por qué se solicitan determinados datos o sobre decisiones del tratamiento, la vía principal de aclaración corresponde a quien actúe como responsable (por lo general la administración del centro o, en su caso, el docente que ostente esa función).

Contacto de privacidad y soporte (EduShield)

Para consultas relacionadas con la privacidad en el uso de la plataforma EduShield como servicio, o con el tratamiento técnico de la información en nuestros sistemas, puede escribir al correo indicado arriba. Este canal no sustituye a la administración del centro ni al docente que actúe como responsable cuando la cuestión atañe a decisiones académicas o de tratamiento atribuibles al responsable.

Tratamos datos personales, según corresponda, sobre la base de:

• la ejecución de la relación contractual o precontractual;
• el cumplimiento de obligaciones legales;
• el interés legítimo en operar, proteger y mejorar el servicio;
• el consentimiento del interesado o de su representante legal, cuando la ley lo exija.

En un mismo tratamiento pueden concurrir varias bases según el tipo de dato, el rol del usuario y la normativa aplicable; el centro o docente que actúe como responsable debe asegurar las suyas respecto de los datos que introduce o configura en la plataforma.

Datos personales

Al registrarse en EduShield recopilamos datos personales necesarios para prestar y mejorar el servicio. Por ejemplo:

• Nombre completo, correo electrónico y número de teléfono (si se proporciona)
• Identificadores de estudiante o docente según el centro
• Fotografía de perfil e información biográfica básica
• Credenciales y certificaciones educativas (docentes)

Datos académicos y de desempeño

Para prestar el servicio educativo tratamos, entre otros:

• Matrícula en cursos y registros de progreso académico
• Asistencia, calificaciones y resultados de evaluación
• Entregas de tareas, materiales de estudio y retroalimentación
• Observaciones docentes, rúbricas y evaluaciones de desempeño

Datos técnicos y de uso

Recopilamos automáticamente cierta información técnica al usar EduShield:

• Dispositivo, tipo de navegador y sistema operativo
• Dirección IP, horarios de acceso y duración de sesión
• Páginas visitadas, funciones usadas y patrones de interacción

Comunicaciones en la plataforma

Cuando usa las herramientas de comunicación del servicio tratamos:

• Mensajes internos entre estudiantes, docentes y administración del centro
• Anuncios y notificaciones enviados dentro de la plataforma
• Registros de solicitudes de ayuda gestionadas mediante las funciones habilitadas en el producto

Datos regulatorios — Cumplimiento MEP Costa Rica (módulo opcional)

EduShield ofrece un módulo opcional llamado «Cumplimiento MEP — Costa Rica», que el centro educativo puede activar para generar los reportes oficiales que exige el Ministerio de Educación Pública conforme al Reglamento de Evaluación de los Aprendizajes 2026 (Decreto 45509-MEP). El módulo permanece inactivo por defecto; solo si la administración del centro lo enciende, EduShield procesa los datos adicionales descritos en esta sección, exclusivamente para ese centro y para las finalidades reguladas. La sola existencia del módulo no implica que sus datos estén siendo tratados con esa finalidad.

Cuando el módulo está activo, EduShield puede tratar, además de los datos ya descritos, los siguientes campos provistos por el centro o derivados del uso normal de la plataforma:

• Identificación oficial del estudiante: tipo (cédula nacional CR, DIMEX o pasaporte) y número, dado que el MEP exige identificación válida para emitir boletas y reportes de matrícula
• Domicilio del estudiante (provincia, cantón, distrito, dirección postal) y datos de contacto del encargado legal (nombre, teléfono e identificación), únicamente cuando el centro los carga para el reporte de matrícula MEP
• Tipo de apoyo curricular registrado para el estudiante (ninguno, de acceso, no significativo o significativo) conforme a la política MEP de adecuaciones
• Registros granulares de asistencia: estado (presente, ausente, tardía, retiro anticipado, ausencia justificada), motivo de justificación, documento adjunto al respaldo, minutos de tardía o retiro, así como notas operativas. La justificación documental queda únicamente en el almacenamiento del centro y se vincula al registro para cómputo del Art. 37° del REA 2026
• Datos institucionales del centro: código MEP, dirección regional, circuito escolar, nombre legal, tipo de centro y modalidad, nombre e identificación del director, e imagen de la firma del director. La «firma» almacenada es una imagen escaneada o digital; no constituye Firma Digital jurídica del BCCR
• Reportes oficiales generados (boletas, matrícula y asistencia anual) almacenados en formato PDF o XLSX, con su hash criptográfico SHA-256, versión, autor, fecha de generación, estado del flujo de aprobación y motivo de rechazo cuando aplique. Estos archivos son retenidos como bitácora regulatoria inmutable

Base legal. El tratamiento de los datos regulatorios MEP se realiza por (i) cumplimiento de una obligación legal aplicable al centro educativo (Ley Fundamental de Educación, Ley de Carrera Docente y normativa del MEP), (ii) la relación contractual entre el centro y EduShield para la prestación del módulo y (iii) el interés legítimo en mantener trazabilidad auditable de los documentos oficiales emitidos. EduShield actúa como encargado del tratamiento; el responsable es el centro educativo, que decide cuándo activar el módulo y qué datos cargar.

Acceso y retención. Los datos regulatorios son accesibles solo por personas con rol de administrador o coordinación dentro de la sombrilla del centro, y por el docente titular sobre los cursos a su cargo. Los reportes oficiales emitidos se retienen como registro inmutable durante todo el período en que el centro permanece como cliente del servicio y hasta la conclusión de cualquier proceso de auditoría regulatoria pendiente. Si el centro desactiva el módulo o termina su contrato, los reportes ya generados se conservan según los plazos legales aplicables al centro y, en ausencia de obligación legal contraria, hasta cinco años calendario desde la emisión.

EduShield no entrega documentos al MEP. La plataforma genera el archivo firmado y versionado, pero el centro es quien lo entrega al MEP por los canales oficiales del Ministerio. EduShield no comparte datos con el MEP de forma automática; cualquier transmisión a una autoridad pública la inicia y autoriza el propio centro.

Pesos legalmente fijos. Los pesos por componente de la calificación están fijados por el Decreto 45509-MEP. Ni el centro ni ningún rol de la plataforma puede modificarlos. Esto es una salvaguarda técnica del módulo y no un rasgo opinionado de EduShield.

Servicio educativo principal

Los datos permiten operar el núcleo del servicio, por ejemplo:

• Gestión de matrículas y asignación a grupos
• Registro y seguimiento de asistencia y progreso académico
• Flujos de entrega de tareas y calificación
• Informes y analíticas para administración y docentes

Comunicación y notificaciones

Usamos los datos para mantenerle informado dentro del servicio:

• Avisos del curso, anuncios y notificaciones relevantes
• Mensajería interna entre usuarios autorizados
• Gestión de incidencias y ayuda a través de los medios previstos en la aplicación

Mejora del producto y analíticas

Analizamos datos de uso para mejorar la experiencia:

• Cómo se utilizan las funciones del producto (de forma agregada cuando sea posible)
• Detección y corrección de errores técnicos
• Desarrollo de nuevas funciones y mejora de las existentes

Cumplimiento legal y seguridad

Podemos usar la información para:

• Cumplir obligaciones legales y regulatorias aplicables
• Prevenir fraude, accesos no autorizados y amenazas a la seguridad
• Hacer valer los términos del servicio y la integridad de la plataforma

Algunas funcionalidades pueden generar sugerencias, borradores, clasificaciones o resultados asistidos por sistemas automatizados o de inteligencia artificial. Cuando estas funciones estén habilitadas, EduShield tratará los datos necesarios para prestarlas conforme a la configuración del servicio y a la base jurídica aplicable. Salvo indicación expresa, estos resultados son de apoyo y no sustituyen la revisión humana.

Proveedores que utilizamos

Integramos servicios de terceros seleccionados para el funcionamiento de la plataforma. Tratan datos en nuestro nombre o colaboran al servicio según acuerdos y medidas de confidencialidad acordes al caso:

• Infraestructura y alojamiento: Almacenamiento de datos y servicios de infraestructura
• Correo transaccional: Envío de correos transaccionales y de notificación del sistema
• Videoconferencia: Funciones de aula virtual cuando el centro las configure (p. ej. integraciones de terceros)
• Analítica: Estadísticas de uso preferentemente agregadas o con identificadores técnicos
• Almacenamiento de archivos: Repositorio de documentos y medios asociados al servicio

Podemos apoyarnos en subencargados o proveedores tecnológicos para alojamiento, autenticación, correo, almacenamiento, analítica, soporte técnico, pagos o funciones complementarias. Cuando traten datos por cuenta nuestra, procuraremos imponer obligaciones contractuales de confidencialidad, seguridad y limitación de finalidad.

Cuándo compartimos datos

No vendemos datos personales. Solo los comunicamos en estos supuestos acotados:

• Dentro de su centro: Docentes, administración y personal autorizado acceden a los datos necesarios para fines educativos
• Encargados del tratamiento: Proveedores que ayudan a operar la plataforma con obligaciones de confidencialidad y finalidad acotada
• Requerimiento legal: Cuando una norma, orden judicial u autoridad competente lo exija
• Transmisiones empresariales: En caso de fusión, adquisición o transmisión del negocio (se informará según la ley aplicable)

Transferencias internacionales

Los datos personales tratados a través de EduShield pueden almacenarse o procesarse en infraestructura ubicada en los Estados Unidos u otras ubicaciones según los encargados utilizados. Cuando los datos personales se transfieran o alojen fuera de Costa Rica, EduShield procurará implementar mecanismos jurídicos y contractuales razonables para protegerlos, tales como cláusulas contractuales, medidas de seguridad y salvaguardas reconocidas por la normativa aplicable.

Qué son las cookies

Son pequeños archivos de texto en su dispositivo que permiten reconocer la sesión, recordar preferencias y mejorar el uso de EduShield. Usamos cookies de sesión (caducan al cerrar el navegador) y persistentes (hasta que se borren o venzan).

Tipos de cookies que usamos

• Esenciales: Necesarias para inicio de sesión, seguridad y funcionamiento básico
• Preferencias: Recuerdan ajustes, idioma o tema cuando el producto lo permita
• Analíticas: Ayudan a entender el uso de la plataforma (preferentemente agregadas o anonimizadas)
• Rendimiento: Miden rendimiento técnico y ayudan a detectar fallos

Cómo gestionar las cookies

Puede gestionarlas desde la configuración de su navegador. Desactivar las esenciales puede afectar el funcionamiento del servicio. En general, el navegador permite:

• Ver y eliminar cookies existentes
• Bloquear cookies de terceros
• Borrar cookies al cerrar el navegador
• Bloquear todas las cookies (puede afectar el sitio)

Señales «Do Not Track»

Algunos navegadores envían señales «Do Not Track» (DNT). Aún no existe un estándar universal de respuesta; EduShield no aplica un tratamiento específico a las señales DNT, pero respetamos las opciones de privacidad que configure en su navegador y seguimos la evolución del sector.

Tratamiento de datos de menores de edad

EduShield es una plataforma diseñada para su uso en entornos educativos. En el caso de usuarios menores de edad, el tratamiento de sus datos personales se realizará con base en las autorizaciones, consentimientos o demás fundamentos legales que resulten exigibles según la normativa aplicable, a cargo del centro educativo (institución, escuela o colegio) o, cuando la ley y el acuerdo aplicable lo permitan, del docente que actúe como responsable del tratamiento, y con la intervención o información a padres, tutores o representantes legales cuando corresponda.

Quien actúe como Responsable del Tratamiento —con frecuencia el centro educativo y, en los supuestos previstos, un docente— garantiza contar con las autorizaciones necesarias según la normativa vigente (por ejemplo la Ley N.º 8968 en Costa Rica) para registrar al menor en la plataforma. Christopher Brenes Fernández, a través de EduShield, actúa únicamente como encargado del tratamiento, limitando el uso de dicha información a fines estrictamente académicos, de evaluación y de comunicación interna solicitados por el responsable. Si un padre o tutor desea ejercer derechos de rectificación o supresión sobre los datos de un menor, deberá canalizar su solicitud a través de la administración de su centro educativo o, cuando corresponda, del docente que actúe como responsable.

Estudiantes registrados sin cuenta (placeholders)

Reconocemos una categoría de titular con tratamiento restringido: estudiantes registrados sin cuenta (placeholders) por parte del docente dueño de un curso, exclusivamente con fines de reportería de notas. Estos registros no implican la creación de una cuenta para la persona, ni le conceden acceso a la plataforma, y permanecen visibles únicamente para el docente que los registró y, en modo agregado y limitado, para la coordinación de la institución.

Cuando el estudiante registrado como placeholder sea menor de edad, el docente declara, al momento del registro, contar con el respaldo institucional y/o con razones suficientes para asumir el consentimiento del padre, madre o tutor legal. El docente es responsable de la veracidad del nombre registrado y del uso de la funcionalidad exclusivamente para fines de reportería académica. El titular del nombre registrado, una vez identificado, conserva los derechos de acceso, rectificación, cancelación y oposición sobre sus datos, ejercibles a través del docente dueño o de la institución correspondiente.

Los placeholders eliminados por el docente quedan archivados (no borrados físicamente) por el período de retención académica que exija la normativa y el acuerdo con el centro educativo. Si un placeholder es asignado posteriormente a una cuenta real mediante el proceso de invitación, la transferencia de datos requiere aceptación explícita del titular —o de su tutor legal cuando corresponda— y, una vez aceptada, el placeholder original queda archivado con referencia al destinatario.

Privacidad de menores

La seguridad de los menores es una prioridad. La contratación del servicio, la creación de cuentas administrativas o la aceptación de términos en nombre de una institución debe realizarla quien tenga capacidad legal suficiente. Los estudiantes menores de edad podrán usar la plataforma cuando el responsable del tratamiento (habitualmente el centro educativo o, según el caso, el docente) haya habilitado ese uso con base legal suficiente y, cuando proceda, con las autorizaciones o consentimientos que exija la normativa aplicable.

Si usted es padre, madre o tutor y detecta que un menor a su cargo ha proporcionado datos personales sin su supervisión, puede escribir a privacidad@edushield.net para solicitar la revisión o eliminación de la información que conste en nuestros sistemas en la medida en que la ley y el acuerdo con el centro lo permitan. Nos reservamos el derecho a desactivar o eliminar cuentas si existen sospechas razonables de que pertenecen a un menor sin la debida autorización. Se insta a padres y tutores a supervisar la actividad de los menores y a instruirlos sobre el uso seguro de plataformas digitales.

Según su país o región y la normativa aplicable, puede tener derechos sobre sus datos personales. EduShield respeta esos derechos cuando procedan y describe aquí los mecanismos que el producto pone a su disposición.

Cómo ejercer derechos en el producto

Cuando la normativa aplicable reconozca derechos de acceso, copia o portabilidad, EduShield los atenderá en la medida en que correspondan al rol que desempeñe en el tratamiento, a la viabilidad técnica del sistema y a las limitaciones legales o contractuales aplicables, especialmente respecto de expedientes o registros cuya gestión corresponda al centro educativo como responsable. Para eliminar los datos personales vinculados a su cuenta, use la página Eliminar mis datos en edushield.net. Para el marco técnico de seguridad y tratamiento puede consultar Protección de datos. El resto de textos legales está disponible en el sitio.

Límites a los derechos

En algunos casos debemos conservar datos para cumplir la ley, resolver controversias, mantener la seguridad o cumplir contratos con el centro educativo. Cuando un derecho no pueda aplicarse por completo, aplicaremos la excepción que corresponda según la normativa vigente.

Criterios de conservación

Conservamos datos personales solo el tiempo necesario para las finalidades del tratamiento, el cumplimiento legal, la resolución de controversias y los acuerdos con el centro. Los plazos dependen de:

• Tipo de dato y nivel de sensibilidad
• Finalidad para la que se recopiló
• Obligaciones legales, regulatorias y contractuales
• Si el dato sigue siendo necesario para el servicio

Borrado seguro

Cuando los datos ya no son necesarios, aplicamos procedimientos de eliminación acordes a buenas prácticas y a las capacidades de los sistemas y encargados que alojan la información.

Anonimización y agregación

Parte de la información puede anonimizarse o agregarse para estadísticas, investigación o mejora del producto. Una vez irreversiblemente anonimizada, deja de considerarse dato personal y puede conservarse de forma indefinida para esos fines.

EduShield aplica medidas técnicas y organizativas razonables para proteger los datos personales frente a accesos no autorizados, divulgación indebida, alteración o destrucción.

Su responsabilidad como usuario

Además de las medidas del servicio, usted contribuye a la seguridad de su cuenta:

• Use contraseñas robustas y cámbielas con periodicidad razonable
• No comparta sus credenciales de acceso
• Cierre sesión en equipos compartidos o públicos
• Revise el acceso a su cuenta y siga las alertas de seguridad que muestre la aplicación

Datos que recibimos de Zoom

Cuando un docente conecta su cuenta de Zoom a EduShield mediante OAuth 2.0, recibimos del API de Zoom únicamente los siguientes datos:

• El identificador de su cuenta Zoom, su correo principal y su nombre para mostrar (utilizados solo para etiquetar la cuenta conectada en la interfaz de EduShield, p. ej. “Conectado como ana@ejemplo.com”).
• Los tokens OAuth (access token y refresh token) emitidos por Zoom, que se almacenan cifrados en reposo con AES-256-GCM en nuestra base de datos PostgreSQL antes de persistirse. La clave de cifrado se gestiona del lado del servidor y no está incluida en el repositorio de código.

Para qué usamos esos datos

Los tokens y la identidad de la cuenta de Zoom se usan exclusivamente para operar el servicio de clases en vivo a nombre del docente:

• Crear, reagendar y cancelar reuniones programadas en la cuenta del docente cuando este programa una clase en EduShield.
• Leer los metadatos y enlaces de las grabaciones, transcripciones y chats de las reuniones que el docente haya organizado a través de EduShield, para que pueda acceder a esos materiales desde el panel del curso.

Lo que no hacemos

• No copiamos ni almacenamos grabaciones, transcripciones ni mensajes de chat en servidores propios. Esos archivos permanecen en el almacenamiento Cloud de su cuenta de Zoom y se consultan en tiempo real vía API solo cuando el docente abre el panel de grabaciones.
• No compartimos datos de Zoom con terceros, anunciantes, proveedores analíticos ni los usamos para entrenar modelos de inteligencia artificial.
• Los tokens nunca se exponen al navegador. Solo se descifran en memoria del servidor al momento exacto de hacer una llamada al API de Zoom y luego se descartan.

Su control sobre la integración

El docente puede desconectar Zoom en cualquier momento desde su perfil en EduShield. Al desconectar:

• Los tokens se revocan inmediatamente mediante el endpoint /oauth/revoke de Zoom.
• El registro cifrado se elimina de nuestra base de datos.
• Las reuniones ya creadas en su cuenta de Zoom permanecen allí; no se borran de manera retroactiva. Si desea eliminarlas debe hacerlo desde su propio cliente de Zoom.

Eliminar la cuenta de EduShield ejecuta el mismo proceso de revocación para cualquier integración Zoom asociada.

Retención y seguridad de los datos

• Los tokens cifrados se conservan mientras la integración esté activa y se borran al desconectar o al eliminar la cuenta.
• El identificador de cada reunión Zoom (meeting ID) se guarda en EduShield para poder reagendar o cancelar la sesión más adelante; no contiene contenido de la reunión.
• Todo tráfico hacia y desde Zoom usa HTTPS con TLS 1.2 o superior.
• Los registros operativos que pudieran incluir transitoriamente IDs de reunión se conservan por treinta días para fines de depuración y luego se purgan.

Cómo contactarnos

Si tiene consultas específicas sobre el tratamiento de datos de Zoom por parte de EduShield, escríbanos a privacidad@edushield.net. Para consultas sobre la propia política de privacidad de Zoom, consulte directamente el aviso de privacidad de Zoom.

Actualizaciones de esta política

Podemos modificar esta Política de privacidad para reflejar cambios en el producto, la tecnología o la normativa. Si el cambio es relevante, lo comunicaremos por los medios razonables disponibles en la plataforma (por ejemplo aviso visible o mensaje en el servicio). Le recomendamos revisar esta página con periodicidad en edushield.net.

Cumplimiento normativo

EduShield opera con sede y enfoque principal en Costa Rica y ajusta el tratamiento a la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales (Ley N.º 8968) y normativa conexa cuando aplique. Si usted se encuentra en otro país, pueden aplicarsele otras leyes (por ejemplo del Espacio Económico Europeo o California); esta política describe prácticas generales del servicio sin constituir asesoramiento jurídico personal. El ejercicio de reclamaciones ante autoridades de protección de datos corresponde al interesado según las reglas de su jurisdicción; esta política no sustituye esos procedimientos.