✅ 1. ¿Aplica GDPR a Correctium?
Sí. Al operar en la UE y procesar datos de alumnos dentro del Espacio Económico Europeo, Correctium está sujeto al GDPR como controlador y procesador de datos cookieyes.com.
🏢 2. Ubicación del hosting en Europa
El GDPR permite el procesamiento de datos personales siempre que:
- El hosting esté dentro de la UE/EEE, o que se adopten garantías adecuadas (por ejemplo, normas corporativas vinculantes o cláusulas contractuales tipo).
- En tu caso, confirmar localización del servidor (via soporte técnico) asegura el cumplimiento.
🗑 3. Tratamiento en tiempo real sin almacenado
- Los exámenes se procesan en tiempo real, sin guardar copias.
- El profesor descarga el PDF y el sistema no conserva datos en servidores tras el procesamiento.
- Esto cumple el principio GDPR de “minimización y limitación del almacenamiento” commission.europa.eu.
🆔 4. Anonimización y seudonimización
- Correctium utiliza códigos identificativos generados por el profesor (seudonimización).
- Si el profesor mantiene la relación en su archivo local, los datos pueden considerarse pseudonimizados, no completamente anónimos. Según GDPR, la pseudonimización reduce los requisitos, pero no elimina su aplicación.
- Turnos de procesamiento en tiempo real implican un diseño privacy by design según el artículo 25 del GDPR community.openai.com+15en.wikipedia.org+15edpb.europa.eu+15.
- Si en el futuro se elimina también el anonimato del código, se podría considerar anonimizados y entonces no se aplicaría el GDPR.
🧠 5. Uso de IA / OpenAI
- La API de OpenAI no almacena datos más allá de 30 días, y puedes solicitar Zero Data Retention
learn.microsoft.com+5openai.com+5community.openai.com+5. - La plataforma ofrece la opción de firmar un Data Processing Addendum (DPA) para garantizar cumplimiento con el GDPR openai.com+1openai.com+1.
- Así, OpenAI se posiciona como procesador conforme, con controles SOC 2 Type 2, esenciales para GDPR iapp.org+15openai.com+15openai.com+15.
📈 6. Riesgos y recomendaciones
| Riesgo/Punto | Evaluación y Acción Recomendable |
|---|---|
| Pseudonimización | Cumple parcialmente: ideal si los datos pueden volver a identificarse. Recomendable asegurar que la clave no se almacene junto al código y aplicar “privacy by design.” |
| Transferencias fuera UE | Si OpenAI almacena en EEUU, necesitas un DPA con cláusulas contractuales tipo o ZDR. |
| Documentación | Mantén un registro de procesamiento (Article 30), realiza un DPIA si se considera de alto riesgo y designa un delegado o representante GDPR si corresponde. |
| Derechos de los usuarios | Debes informar de derechos de acceso, rectificación, eliminación, portabilidad; incluir contactos y plazos en una política de privacidad |
❔ Conclusión
Correctium tiene una base sólida de cumplimiento GDPR:
- Hosting en Europa
- Procesamiento en tiempo real sin retención
- Seudonimización de datos
- Uso de OpenAI con contrato DPA o ZDR
✅ Recomendaciones finales
- Confirmar ubicación exacta del servidor.
- Firmar un DPA con OpenAI o solicitar su política de retención cero.
- Documentar políticas internas y el registro de actividades.
- Informar a los profesores sobre sus derechos y la política GDPR.
