Política de Privacidad

Última actualización: 4 de abril de 2026

1. Responsable del tratamiento

Identidad: Kobalto
Correo electrónico: info@kobalto.es
Delegado de Protección de Datos (DPO): privacidad@kobalto.es
Sitio web: https://kobalto.es

2. Ámbito de aplicación

Kobalto es una empresa de tecnología educativa (EdTech) que desarrolla plataformas para centros de primaria y secundaria, Formación Profesional, cursos, apoyo escolar y homeschooling. Nuestras plataformas son utilizadas por alumnos, profesores, coordinadores, personal administrativo y familias.

Dado que nuestras plataformas pueden ser utilizadas por menores de edad (a partir de 4 años con acompañamiento parental en apoyo escolar, y a partir de 14 años en plataformas de centros educativos y FP), aplicamos las máximas medidas de protección de datos conforme al Reglamento General de Protección de Datos (RGPD), la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y la Ley Orgánica 8/2021 de protección integral a la infancia y la adolescencia frente a la violencia.

3. Protección de datos de menores

Kobalto implementa medidas específicas para la protección de menores:

• Menores de 14 años: El tratamiento de datos requiere el consentimiento del titular de la patria potestad o tutela, conforme al artículo 7 de la LOPDGDD. El registro de la cuenta lo realiza el padre, madre o tutor legal.
• Datos mínimos: Solo recopilamos los datos estrictamente necesarios para la prestación del servicio educativo. No recopilamos datos que no sean imprescindibles para la finalidad educativa.
• Privacidad por diseño: Los padres acceden a métricas de progreso y rendimiento, pero nunca al contenido de las conversaciones de sus hijos con los tutores de IA. Esta separación está implementada a nivel de arquitectura.
• Sin publicidad ni perfilado comercial: Los datos de menores no se utilizan en ningún caso con fines publicitarios, de marketing o de elaboración de perfiles comerciales.
• Derecho al olvido: Los datos de los menores pueden ser eliminados en cualquier momento a solicitud del tutor legal.

4. Datos que recopilamos

4.1 Datos proporcionados por el usuario

• Sitio web (kobalto.es): Nombre, correo electrónico, centro educativo y mensaje a través de los formularios de contacto y solicitud de demo.
• Plataformas educativas: Nombre, apellidos, correo electrónico, curso, grupo, datos académicos (calificaciones, asistencia, certificaciones) y datos necesarios para la gestión administrativa del centro (matrículas, expedientes).
• Datos de centros educativos: Datos del centro, CIF, representantes legales, datos de empresas colaboradoras (en el caso de FFE en FP).

4.2 Datos recopilados automáticamente

• Datos de navegación: Dirección IP (anonimizada), tipo de navegador, sistema operativo, páginas visitadas, tiempo de permanencia.
• Datos de uso de la plataforma: Sesiones de estudio, interacciones con tutores IA (metadatos, no contenido), progreso académico, tiempo de uso.
• Cookies: Ver nuestra Política de Cookies para más detalles.

5. Finalidad del tratamiento

• Prestación del servicio educativo: Gestión de la plataforma, tutorías con IA, certificaciones, seguimiento del progreso y gestión administrativa del centro.
• Gestión de contacto: Responder a solicitudes de demo, presupuestos y consultas recibidas a través de los formularios.
• Análisis y mejora: Análisis anónimo y agregado del uso de la plataforma para mejorar la experiencia educativa.
• Seguridad: Protección de la plataforma, detección de accesos no autorizados y prevención de uso fraudulento.
• Comunicaciones: Envío de información relevante sobre actualizaciones de la plataforma y novedades educativas, siempre con consentimiento previo.

6. Base legal del tratamiento

• Ejecución del contrato: El tratamiento de datos es necesario para la prestación del servicio educativo contratado por el centro o la familia (art. 6.1.b RGPD).
• Consentimiento: Para el envío de comunicaciones comerciales y el uso de cookies no esenciales (art. 6.1.a RGPD). En el caso de menores de 14 años, el consentimiento lo presta el tutor legal (art. 7 LOPDGDD).
• Interés legítimo: Para la seguridad de la plataforma y la mejora del servicio mediante análisis agregados (art. 6.1.f RGPD).
• Obligación legal: Para el cumplimiento de obligaciones educativas y administrativas exigidas por la normativa vigente (art. 6.1.c RGPD).

7. Conservación de los datos

• Datos de alumnos: Durante la vigencia de la relación contractual con el centro o la familia, y hasta 5 años después para cumplir obligaciones legales de conservación de expedientes académicos.
• Datos de contacto y demo: Hasta 2 años desde la última interacción o hasta que solicite su supresión.
• Datos de navegación: 26 meses (período estándar de Google Analytics).
• Registros de seguridad y auditoría: 24 meses.

8. Seguridad de los datos

Kobalto aplica las máximas medidas técnicas y organizativas para proteger los datos personales, con especial atención a los datos de menores. Nuestra arquitectura de seguridad incluye:

8.1 Control de acceso basado en roles (RBAC)

Nuestra plataforma implementa una capa de middleware en Django que controla quién accede a cada dato en todo momento. Cada petición al servidor es verificada para garantizar que el usuario solo accede a los datos que le corresponden según su rol (alumno, profesor, coordinador, secretaría, recepción, dirección, familia). Esta verificación es automática, se ejecuta en cada solicitud y no puede ser eludida.

8.2 Medidas técnicas

• Cifrado en tránsito: Todas las comunicaciones están protegidas con SSL/TLS (HTTPS).
• Cifrado en reposo: Los datos sensibles se almacenan cifrados en la base de datos.
• Middleware de autorización: Cada petición HTTP es interceptada por nuestro middleware de seguridad en Django que verifica la identidad del usuario, su rol y sus permisos antes de permitir el acceso a cualquier dato.
• Registro de auditoría: Todas las acciones sensibles (acceso a expedientes, modificación de datos, generación de documentos) quedan registradas con identificación del usuario, fecha, hora y acción realizada.
• Anonimización de IP: Las direcciones IP se anonimizan en todas las herramientas de análisis.
• Tokens de sesión seguros: Las sesiones de usuario utilizan tokens JWT con expiración configurable y renovación automática.
• Protección contra ataques: Implementamos protección contra CSRF, XSS, SQL injection, rate limiting y ataques de fuerza bruta.
• Copias de seguridad: Copias de seguridad cifradas con periodicidad diaria, almacenadas en ubicaciones geográficamente separadas dentro de la UE.

8.3 Medidas organizativas

• Principio de mínimo privilegio: Cada usuario solo tiene acceso a los datos estrictamente necesarios para su función.
• Separación de datos por centro: Los datos de cada centro educativo están aislados. Un centro no puede acceder a los datos de otro centro.
• Separación padres-hijos: Los padres ven métricas de progreso pero nunca el contenido de las conversaciones con los tutores IA.
• Formación del equipo: Todo el personal de Kobalto recibe formación en protección de datos y seguridad de la información.
• Evaluaciones de impacto: Realizamos Evaluaciones de Impacto en la Protección de Datos (EIPD) conforme al artículo 35 del RGPD, especialmente en relación con el tratamiento de datos de menores.

9. Cookies

Este sitio web utiliza cookies. Puede consultar toda la información en nuestra Política de Cookies.

10. Destinatarios de los datos

Sus datos podrán ser comunicados a:

• Proveedores de IA: Los proveedores de inteligencia artificial (OpenAI, Anthropic u otros seleccionados por el centro) reciben las interacciones con los tutores IA para generar respuestas. No reciben datos identificativos del alumno. En las plataformas B2B (centros y FP), el centro puede elegir y cambiar de proveedor de IA en cualquier momento.
• HubSpot, Inc.: Como proveedor de CRM para la gestión de contactos comerciales. HubSpot puede transferir datos a Estados Unidos bajo el Marco UE-EE.UU. de Protección de Datos.
• Google LLC: Como proveedor de análisis (Google Analytics y Google Tag Manager). Google puede transferir datos a Estados Unidos bajo el Marco UE-EE.UU. de Protección de Datos.
• Proveedores de hosting: Para el alojamiento de la plataforma y el sitio web, ubicados en la Unión Europea.

No vendemos ni cedemos datos personales a terceros con fines comerciales. Los datos de menores nunca se comparten con fines distintos a la prestación del servicio educativo.

11. Transferencias internacionales

Algunos de nuestros proveedores de servicios pueden estar ubicados fuera del Espacio Económico Europeo. En estos casos, las transferencias se realizan al amparo de:

• Decisiones de adecuación de la Comisión Europea
• Marco UE-EE.UU. de Protección de Datos (EU-US Data Privacy Framework)
• Cláusulas contractuales tipo aprobadas por la Comisión Europea

12. Sus derechos

De acuerdo con el RGPD y la LOPDGDD, tiene derecho a:

• Acceso: Conocer qué datos personales tratamos sobre usted o sus hijos menores.
• Rectificación: Corregir datos inexactos o incompletos.
• Supresión: Solicitar la eliminación de sus datos cuando ya no sean necesarios.
• Oposición: Oponerse al tratamiento de sus datos en determinadas circunstancias.
• Limitación: Solicitar la limitación del tratamiento de sus datos.
• Portabilidad: Recibir sus datos en un formato estructurado y de uso común.
• Retirar el consentimiento: En cualquier momento, sin que afecte a la licitud del tratamiento previo.

En el caso de menores: Los derechos pueden ser ejercidos por el titular de la patria potestad o tutela. Los menores de 14 años no pueden ejercer estos derechos por sí mismos.

Para ejercer estos derechos, puede contactarnos en: privacidad@kobalto.es (adjuntando copia de su DNI y, en el caso de menores, documentación acreditativa de la representación legal).

Si considera que no hemos tratado sus datos correctamente, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).

13. Modificaciones

Nos reservamos el derecho de modificar esta política de privacidad para adaptarla a novedades legislativas o jurisprudenciales. Cualquier cambio será publicado en esta página con la fecha de última actualización.

14. Contacto

Para cualquier consulta relacionada con esta política de privacidad o el tratamiento de sus datos personales:

Delegado de Protección de Datos: privacidad@kobalto.es
Contacto general: info@kobalto.es
Web: https://kobalto.es