Política de privacidad

1. Responsable del tratamiento

El responsable del tratamiento de tus datos personales es SifG22, titular del dominio sifg.net y de los subdominios y servicios asociados, incluida la plataforma de exámenes SifG Area, gestionada operativamente por SifG Edu.

Si en el futuro se designase formalmente un Delegado de Protección de Datos (DPO), su contacto se publicará en este apartado.

2. Ámbito y servicios cubiertos

Esta política se aplica a todos los servicios prestados por SifG22, en particular:

• sifg.net y subdominios institucionales (blog, help, status).
• SifG Area (area.sifg.net): plataforma de exámenes en línea gestionada por SifG Edu. Permite la realización, gestión y corrección de pruebas, así como el seguimiento del progreso del usuario.
• SifG Edu (edu.sifg.net): servicios educativos del ecosistema.
• SifG22 para Windows, distribuida a través de Microsoft Store.
• El resto de productos y servicios identificados con la marca SifG22.

Algunos servicios pueden disponer de políticas específicas que completan o particularizan la presente política. En caso de discrepancia, prevalecerá la política específica del servicio concreto.

3. Datos personales que tratamos

A continuación detallamos las categorías de datos que tratamos. Solo recogemos los datos necesarios para prestar el servicio y respetamos en todo momento los principios de minimización, limitación de la finalidad y exactitud del artículo 5 RGPD.

3.1 Datos de cuenta (registro con email y contraseña)

• Identificadores: nombre o nombre de usuario, dirección de correo electrónico.
• Contraseña: nunca se almacena en texto plano. Se guarda únicamente su hash generado mediante algoritmos modernos resistentes a fuerza bruta (Argon2id o bcrypt con factor de coste alto y salt único por usuario).
• Datos opcionales: foto de perfil, biografía, preferencias de la app.

3.2 Inicio de sesión con proveedores externos (Google y GitHub)

Cuando eliges acceder con Google o GitHub mediante OAuth 2.0 / OpenID Connect, recibimos del proveedor únicamente los datos estrictamente necesarios para crear o vincular tu cuenta:

• Google: identificador único de Google, dirección de correo electrónico, nombre y foto de perfil pública (cuando los autorizas).
• GitHub: identificador único de GitHub, nombre de usuario, dirección de correo electrónico (si la has hecho pública o autorizas su acceso) y avatar.

No accedemos a contactos, repositorios privados, archivos, mensajes ni a ninguna otra información de tu cuenta de Google o GitHub. La autenticación se realiza directamente contra el proveedor: nunca conocemos tu contraseña de Google ni de GitHub.

3.3 Datos generados por el uso de SifG Area

• Exámenes y pruebas: exámenes a los que te inscribes, fechas, tiempos invertidos, respuestas y puntuaciones obtenidas.
• Progreso académico: estadísticas y métricas de evolución dentro de la plataforma.
• Configuración de cuenta: centro educativo, asignatura, curso o equipo, si los introduces.

3.4 Datos técnicos y de seguridad

• Dirección IP y geolocalización aproximada (a nivel país/ciudad) derivada de la IP.
• Información del dispositivo y del navegador (User Agent, sistema operativo, idioma).
• Fechas y horas de acceso, eventos de seguridad (intentos fallidos, cambios de contraseña).
• Datos almacenados en cookies y tecnologías similares, según se detalla en la Política de cookies.

3.5 Comunicaciones

Si contactas con nosotros (por correo, formulario o centro de ayuda), tratamos el contenido del mensaje y los datos identificativos que facilites para atender tu solicitud.

4. Para qué usamos tus datos

• Crear y gestionar tu cuenta (identificación, autenticación, vinculación con Google o GitHub si así lo eliges).
• Prestar el servicio: acceso a SifG Area, realización de exámenes, almacenamiento de resultados, progreso, configuraciones y preferencias.
• Comunicarnos contigo sobre incidencias, actualizaciones esenciales, recuperación de contraseña o cambios relevantes en la política.
• Atender solicitudes y consultas a través del centro de ayuda y del correo de soporte.
• Garantizar la seguridad del servicio: prevención del fraude, detección de abusos, monitorización de incidentes y respuesta a accesos no autorizados.
• Cumplir obligaciones legales: contables, fiscales, de protección de datos o requerimientos de autoridades competentes.
• Mejorar el servicio: análisis estadístico agregado y anonimizado del uso, sin perfilado individual.

No utilizamos tus datos con fines publicitarios, ni los vendemos, ni los cedemos a anunciantes o data brokers. No realizamos perfilado con efectos jurídicos ni decisiones automatizadas significativas (ver sección 11).

5. Base legal del tratamiento

Tratamos tus datos con arreglo a las siguientes bases jurídicas previstas en el artículo 6 RGPD:

• Ejecución de un contrato (art. 6.1.b RGPD): la creación de la cuenta, el acceso a SifG Area y la prestación del servicio constituyen un contrato entre el usuario y SifG22.
• Consentimiento (art. 6.1.a RGPD): para tratamientos opcionales como comunicaciones promocionales o cookies no necesarias. Puedes retirarlo en cualquier momento sin que ello afecte a la licitud del tratamiento previo.
• Interés legítimo (art. 6.1.f RGPD): para garantizar la seguridad de la plataforma, prevenir el fraude y mantener la integridad de los exámenes.
• Obligación legal (art. 6.1.c RGPD): cuando una norma nos exija conservar o comunicar determinados datos.

6. Plazos de conservación

Conservamos tus datos únicamente durante el tiempo necesario para las finalidades descritas:

• Datos de cuenta y de SifG Area: mientras la cuenta esté activa.
• Tras la eliminación de la cuenta: tus datos se anonimizan o se suprimen, salvo aquellos que debamos conservar bloqueados por obligaciones legales o para la formulación, ejercicio o defensa de reclamaciones, durante los plazos legalmente establecidos.
• Logs de seguridad y acceso: hasta 12 meses, salvo que se identifiquen incidentes que justifiquen su conservación adicional.
• Comunicaciones de soporte: el tiempo necesario para atender la solicitud y, posteriormente, hasta 24 meses para fines de calidad y trazabilidad.
• Decisión sobre cookies: hasta 12 meses, conforme a las recomendaciones de la AEPD.

Si tu cuenta permanece inactiva durante un periodo prolongado, podemos contactarte y, en su defecto, eliminarla automáticamente para minimizar el dato.

7. Destinatarios y cesiones

SifG22 no vende, alquila ni cede tus datos personales a terceros con fines comerciales. Tampoco los compartimos con anunciantes, redes publicitarias ni plataformas de marketing.

Tus datos podrán ser comunicados a:

• Encargados del tratamiento que prestan servicios a SifG22 (hosting, envío de correo transaccional, monitorización de seguridad, autenticación con terceros). Actúan en nombre de SifG22 y bajo contrato de encargo conforme al artículo 28 RGPD. Ver sección 8.
• Autoridades competentes: jueces, tribunales, fuerzas y cuerpos de seguridad o administraciones públicas, cuando exista una obligación legal, una resolución judicial o una solicitud válida.
• Proveedores de identidad federada (Google y GitHub): si decides iniciar sesión con uno de ellos, se produce un intercambio mínimo de datos para autenticarte. Esta comunicación se rige también por las políticas de privacidad de Google y GitHub.

8. Encargados del tratamiento

SifG22 recurre a proveedores tecnológicos de confianza para prestar el servicio. Solo tratan tus datos por cuenta de SifG22, conforme a sus instrucciones, con las medidas de seguridad adecuadas y los compromisos de confidencialidad exigidos por el RGPD.

Categorías habituales de encargados: alojamiento en la nube, bases de datos, envío de correo transaccional, autenticación, monitorización y observabilidad. La lista actualizada de proveedores y los países desde los que prestan el servicio puede solicitarse a support@sifg.net.

9. Transferencias internacionales

Algunos proveedores con los que trabajamos (por ejemplo, Google o GitHub para el inicio de sesión federado) pueden tratar datos en países situados fuera del Espacio Económico Europeo. Cuando esto ocurre, garantizamos un nivel de protección equivalente al europeo mediante:

• Decisiones de adecuación de la Comisión Europea (por ejemplo, el EU-US Data Privacy Framework).
• Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.
• Otras garantías adecuadas previstas en los artículos 46 y 49 RGPD.

10. Seguridad de los datos

SifG22 aplica medidas técnicas y organizativas apropiadas para garantizar la confidencialidad, integridad y disponibilidad de los datos, conforme al artículo 32 RGPD, entre ellas:

• Comunicaciones cifradas mediante HTTPS/TLS.
• Almacenamiento de contraseñas únicamente como hash (Argon2id / bcrypt) con sal aleatoria por usuario.
• Control de accesos por roles y principio de mínimo privilegio.
• Registro y monitorización de eventos críticos.
• Actualizaciones de seguridad periódicas y revisiones de dependencias.
• Copias de seguridad cifradas y políticas de retención.
• Procedimientos de respuesta ante incidentes y de notificación a la AEPD y a los usuarios afectados, en su caso, en un plazo máximo de 72 horas, conforme a los artículos 33 y 34 RGPD.

Pese a estas medidas, ningún sistema es absolutamente infalible: te pedimos que utilices contraseñas robustas y que no las compartas con terceros.

11. Decisiones automatizadas

Algunos exámenes en SifG Area se corrigen de forma automatizada (preguntas tipo test, respuestas con clave objetiva, etc.). Esta corrección automática no produce efectos jurídicos ni te afecta significativamente en el sentido del artículo 22 RGPD, pues siempre podrás solicitar revisión humana de los resultados ante el docente, centro o gestor responsable del examen.

No realizamos perfilado con fines publicitarios, ni clasificaciones que limiten el acceso a servicios o derechos.

12. Tus derechos

Como persona interesada, tienes derecho a:

• Acceder a los datos personales que tratamos sobre ti.
• Rectificar los datos inexactos o incompletos.
• Suprimir los datos cuando ya no sean necesarios o cuando retires tu consentimiento.
• Limitar el tratamiento en determinados supuestos.
• Oponerte al tratamiento basado en el interés legítimo.
• Portar tus datos a otro responsable, en un formato estructurado, de uso común y lectura mecánica.
• Retirar el consentimiento en cualquier momento, sin efecto retroactivo.
• No ser objeto de decisiones automatizadas con efectos jurídicos.

Puedes ejercer estos derechos escribiendo a support@sifg.net o desde el centro de ayuda. Atenderemos tu solicitud en el plazo máximo de un mes, prorrogable a dos meses en casos especialmente complejos.

Si consideras que tus derechos no se han atendido correctamente, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), autoridad de control en España.

13. Cookies y tecnologías similares

El uso de cookies en nuestros sitios y aplicaciones se rige por la Política de cookies, que detalla qué cookies utilizamos, con qué finalidad y cómo puedes gestionarlas o revocar el consentimiento en cualquier momento.

14. Menores de edad

Dado que SifG Edu y SifG Area están orientados al ámbito educativo, parte del alumnado puede ser menor de edad. Conforme al artículo 7 LOPDGDD, en España el tratamiento de datos personales de un menor de 14 años requiere el consentimiento de los titulares de la patria potestad o tutela.

Los centros educativos que utilicen SifG Area con alumnos menores de 14 años son responsables de obtener dicho consentimiento, así como de informar previamente del tratamiento. SifG22 actuará en estos casos como encargado del tratamiento del centro, mediante el correspondiente contrato.

Si tienes conocimiento de que un menor de 14 años ha facilitado datos sin el consentimiento de sus progenitores o tutores, comunícanoslo a support@sifg.net y procederemos a su supresión.

15. Cambios en la política

SifG22 podrá actualizar esta Política de privacidad para adaptarla a cambios normativos, jurisprudenciales o de servicio. Cuando los cambios sean sustanciales, te lo comunicaremos de forma destacada (banner, correo electrónico o aviso dentro de la aplicación) con antelación razonable. La fecha de la última actualización aparece al inicio de esta página.

16. Contacto y reclamaciones

Para cualquier consulta sobre privacidad, ejercicio de derechos o reclamación, puedes contactarnos a través de:

• Correo electrónico: support@sifg.net
• Centro de ayuda: help.sifg.net
• Formulario de contacto: Sobre nosotros

Adicionalmente, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) si entiendes que tu derecho a la protección de datos ha sido vulnerado.