Política de Privacidad
Última actualización: 13 de mayo de 2026
En Khora nos comprometemos a proteger tu privacidad. Esta Política de Privacidad explica qué datos personales recopilamos, con qué finalidades los tratamos, a quién se los comunicamos y qué derechos tienes sobre ellos, de conformidad con el UK GDPR y la Data Protection Act 2018 (jurisdicción primaria, por nuestra sede en Londres), el Reglamento (UE) 2016/679 (GDPR) y la Ley Orgánica 3/2018 (LOPDGDD) española.
1. Responsable del tratamiento
Razón social: Varys Consulting Group Ltd
Nombre comercial: Khora / KhoraEdu
Domicilio: [DIRECCIÓN REGISTRADA — completar con dirección Companies House], Londres, Reino Unido
Companies House: [NÚMERO DE EMPRESA — completar con número Companies House]
Correo electrónico: hola@khoraedu.com
Sitio web: www.khoraedu.com
2. Representante en la UE (Art. 27 GDPR)
⚠ PENDIENTE — Acción requerida antes de producción
Dado que Khora ofrece sus servicios a personas en la Unión Europea, el artículo 27 del GDPR exige designar por escrito a un representante establecido en un Estado miembro de la UE. Este representante debe ser designado antes de operar en producción con usuarios de la UE. Complete los datos a continuación con la persona u organización designada como representante.
Nombre / Razón social: [NOMBRE DEL REPRESENTANTE UE — Art. 27 UK GDPR / GDPR UE]
Dirección (Estado miembro UE): [DIRECCIÓN DEL REPRESENTANTE EN LA UE]
Correo electrónico: [EMAIL DEL REPRESENTANTE EN LA UE]
Este representante puede ser contactado por las autoridades de control de la UE y por los interesados en lugar del responsable del tratamiento, respecto al tratamiento de datos de personas en la UE.
3. Delegado de Protección de Datos (DPO)
La designación de un Delegado de Protección de Datos (DPO) es obligatoria bajo el GDPR cuando se trata a gran escala de categorías especiales de datos, o cuando el tratamiento exige un seguimiento habitual y sistemático de interesados a gran escala. Khora evaluará periódicamente si su volumen de tratamiento hace obligatoria esta designación.
Contacto para asuntos de privacidad: hola@khoraedu.com
Placeholder DPO (si aplica): [EMAIL DEL DPO O RESPONSABLE DE PRIVACIDAD — si aplica]
4. Categorías de datos recolectados
Recopilamos los siguientes tipos de datos personales:
Datos identificativos
- Nombre y apellidos
- Dirección de correo electrónico
- Contraseña (almacenada en forma hash mediante Supabase Auth)
Datos profesionales
- Centro educativo donde imparte clase
- Materias que imparte
- País o región de residencia (derivado del registro o facturación)
Datos de pago
- Datos de tarjeta de crédito/débito (gestionados íntegramente por Stripe — Khora no almacena número de tarjeta completo ni CVV)
- Historial de facturación y suscripción
- País de facturación
Datos de uso
- Interacciones con el Servicio (funcionalidades utilizadas, frecuencia de uso)
- Contenido generado mediante IA (prompts y respuestas)
- Recursos y evaluaciones creados
- Datos de estudiantes introducidos por el profesor (ver sección 6)
Datos técnicos
- Dirección IP
- Tipo de navegador y versión
- Sistema operativo y dispositivo
- Cookies y tecnologías de seguimiento (ver Política de Cookies)
- Datos de sesión y logs de acceso
Datos de comunicación
- Correspondencia con el equipo de soporte
- Respuestas a encuestas de satisfacción (si el usuario las completa)
5. Finalidades y bases legales del tratamiento
Tratamos sus datos con las siguientes finalidades y sobre la base legal que se indica en cada caso:
| Finalidad | Base legal (UK GDPR / GDPR UE) | Base legal (LOPDGDD / España) |
|---|---|---|
| Prestación del Servicio (registro, acceso, funcionalidades) | Ejecución del contrato — Art. 6.1.b) GDPR | Ejecución del contrato — Art. 6.1.b) RGPD + Art. 19 LOPDGDD |
| Gestión de pagos y facturación | Ejecución del contrato / Obligación legal — Art. 6.1.b) y 6.1.c) | Ejecución del contrato / Obligación legal |
| Envío de comunicaciones transaccionales (confirmaciones, alertas de cuenta) | Ejecución del contrato — Art. 6.1.b) | Ejecución del contrato |
| Envío de comunicaciones comerciales y marketing (si el usuario consiente) | Consentimiento — Art. 6.1.a) | Consentimiento — Art. 6.1.a) RGPD + Art. 21 LSSI-CE |
| Análisis de uso y mejora del Servicio (Google Analytics) | Interés legítimo — Art. 6.1.f) / Consentimiento para cookies analíticas | Interés legítimo / Consentimiento |
| Atención al cliente y soporte técnico | Ejecución del contrato / Interés legítimo — Art. 6.1.b) y 6.1.f) | Ejecución del contrato / Interés legítimo |
| Cumplimiento de obligaciones legales (contabilidad, fiscalidad) | Obligación legal — Art. 6.1.c) | Obligación legal |
| Prevención del fraude y seguridad de la plataforma | Interés legítimo — Art. 6.1.f) | Interés legítimo |
6. Datos de estudiantes introducidos por profesores
Información importante sobre el rol de Khora
Cuando un profesor introduce datos de sus alumnos en la sección de gestión de clases de Khora, opera como responsable del tratamiento de esos datos (en el sentido del Art. 4.7 GDPR). Khora actúa únicamente como encargado del tratamiento (Art. 4.8 GDPR), procesando dichos datos exclusivamente para la prestación del Servicio.
El profesor/centro educativo es responsable de:
- Contar con base legal válida para tratar los datos de sus alumnos.
- Haber obtenido las autorizaciones necesarias de los tutores legales cuando los alumnos sean menores de edad.
- Informar a los alumnos y/o sus tutores sobre el uso de Khora como herramienta educativa.
- Cumplir con la normativa de protección de datos aplicable en su centro educativo y jurisdicción.
Khora solo trata los datos de los estudiantes para la prestación del Servicio solicitado por el profesor y no los utiliza para otros fines, los comparte con terceros ajenos a la prestación del Servicio ni los destina a actividades de marketing.
Para centros educativos (plan Institucional)
Los centros educativos que contraten el plan Institucional deben formalizar un Acuerdo de Encargo del Tratamiento (DPA) con Varys Consulting Group Ltd, conforme al Art. 28 GDPR. Contáctenos en hola@khoraedu.com para tramitar este acuerdo.
7. Procesamiento mediante Anthropic Claude
El Laboratorio de IA y el Solucionador de Khora funcionan mediante la API de Claude, desarrollada por Anthropic, PBC (San Francisco, California, EE.UU.).
Cuando el Usuario introduce un prompt en estas funcionalidades, dicho prompt (incluyendo el texto escrito por el usuario) se transmite a los servidores de Anthropic para su procesamiento. El resultado generado por el modelo se devuelve al usuario a través del Servicio.
Garantías sobre el uso de los datos por Anthropic:
- ✓Khora utiliza la API de Anthropic en modalidad commercial API. Bajo esta modalidad, Anthropic no utiliza los datos de entrada (prompts) ni las salidas (respuestas) para entrenar sus modelos, salvo que el usuario opte expresamente por ello.
- ✓Anthropic puede conservar los datos de las conversaciones durante un período limitado por razones de seguridad y detección de abusos, conforme a sus propias políticas.
Para más información, consulte la Política de Privacidad de Anthropic y sus condiciones de uso de la API.
Recomendación al usuario
No incluya en los prompts datos personales de terceros (como nombres completos de alumnos, datos médicos, datos de contacto) que no sean necesarios para la tarea educativa que solicita a la IA.
8. Encargados y subencargados del tratamiento
Khora trabaja con los siguientes proveedores de servicios que pueden acceder a datos personales en el marco de la prestación de sus servicios:
| Proveedor | Finalidad | País proceso | Base transferencia |
|---|---|---|---|
| Supabase, Inc. | Base de datos PostgreSQL + autenticación de usuarios (alojado en AWS) | EE.UU. / AWS UE (Frankfurt) | SCCs UE / UK IDTA + DPA con Supabase |
| Stripe, Inc. | Procesamiento de pagos y gestión de suscripciones | EE.UU. / UE | SCCs UE / Privacy Shield sucesor (Data Privacy Framework) + DPA Stripe |
| Twilio SendGrid | Envío de correos electrónicos transaccionales | EE.UU. | SCCs UE / UK IDTA + DPA SendGrid |
| Anthropic, PBC | Procesamiento de prompts mediante IA (Claude API) | EE.UU. | SCCs UE / UK IDTA + DPA Anthropic |
| Google LLC (Analytics) | Análisis de uso y comportamiento en la plataforma | EE.UU. / UE (si se activa) | EU-US Data Privacy Framework (Google) / UK Adequacy + DPA Google |
| Vercel, Inc. | Hosting y despliegue de la plataforma web | EE.UU. / UE | SCCs UE / UK IDTA + DPA Vercel |
SCCs = Cláusulas Contractuales Tipo de la UE (Decisión 2021/914). UK IDTA = International Data Transfer Agreement del ICO (UK).
9. Transferencias internacionales de datos
Algunos de nuestros proveedores están establecidos en los Estados Unidos u otros países terceros fuera del Espacio Económico Europeo (EEE). Cuando transferimos datos a estos países, garantizamos un nivel adecuado de protección mediante:
- Cláusulas Contractuales Tipo (SCCs) adoptadas por la Comisión Europea (Decisión 2021/914) para transferencias desde la UE.
- International Data Transfer Agreements (IDTA) del Information Commissioner's Office (ICO) del Reino Unido para transferencias desde el UK.
- EU-US Data Privacy Framework (cuando el proveedor está certificado, como Google Analytics).
- Decisiones de adecuación de la Comisión Europea o el ICO donde estén disponibles.
Puede solicitar información adicional sobre las salvaguardias aplicables a cada transferencia enviando un correo a hola@khoraedu.com.
10. Plazos de conservación
Conservamos los datos personales durante el tiempo necesario para los fines para los que fueron recogidos. Los plazos aplicables son:
| Categoría de datos | Plazo de conservación | Motivo |
|---|---|---|
| Datos de cuenta de usuario activa | Duración de la relación contractual | Prestación del Servicio |
| Datos tras cancelación de cuenta | 30 días (período de gracia para reactivación) + anonimización | Posible reactivación del servicio |
| Datos de facturación y transacciones | 7 años desde la fecha de la transacción | Obligación fiscal y contable (Companies Act 2006 / Ley General Tributaria) |
| Registros de comunicación con soporte | 3 años desde la última interacción | Defensa frente a reclamaciones |
| Logs técnicos y de seguridad | 90 días (logs de acceso) / hasta 2 años (logs de seguridad) | Detección de fraude y seguridad |
| Datos de alumnos (introducidos por profesor) | Hasta que el profesor los elimine o cancele su cuenta + 30 días | Encargo del tratamiento |
| Consentimientos de marketing | Hasta retirada del consentimiento + 3 años para prueba | Acreditación del consentimiento |
11. Derechos de los interesados
De conformidad con el GDPR y la LOPDGDD, usted tiene los siguientes derechos sobre sus datos:
Derecho de acceso
Conocer qué datos personales suyos tratamos y obtener una copia.
Derecho de rectificación
Solicitar la corrección de datos inexactos o incompletos.
Derecho de supresión ("derecho al olvido")
Solicitar la eliminación de sus datos cuando ya no sean necesarios o retire su consentimiento.
Derecho de oposición
Oponerse al tratamiento de sus datos en determinadas circunstancias, incluyendo el marketing directo.
Derecho de limitación del tratamiento
Solicitar la suspensión del tratamiento en determinados supuestos.
Derecho de portabilidad
Recibir sus datos en formato estructurado, de uso común y lectura mecánica.
Retirada del consentimiento
Retirar en cualquier momento el consentimiento prestado, sin que ello afecte a la licitud del tratamiento previo.
Derecho a no ser objeto de decisiones automatizadas
No ser sometido a decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos significativos.
Cómo ejercer sus derechos
Puede ejercer cualquiera de estos derechos enviando una solicitud a hola@khoraedu.com, indicando el derecho que desea ejercer y adjuntando copia de su documento de identidad para verificar su identidad. Responderemos en el plazo máximo de 30 días.
Reclamación ante la autoridad de control
Si considera que el tratamiento de sus datos no es conforme a la normativa, tiene derecho a presentar una reclamación ante la autoridad de control competente:
- España: Agencia Española de Protección de Datos (AEPD) — www.aepd.es
- Reino Unido: Information Commissioner's Office (ICO) — ico.org.uk
- Otros países UE: La autoridad de control del Estado miembro de su residencia habitual.
12. Menores de edad
Khora es una plataforma dirigida exclusivamente a profesionales de la educación mayores de 18 años. No recopilamos de forma directa ni intencionada datos personales de menores de edad como usuarios registrados del Servicio.
Los únicos datos relacionados con menores que pueden procesarse en Khora son los Datos de Estudiante introducidos voluntariamente por el profesor en la herramienta de gestión de clases, respecto de los cuales el profesor actúa como responsable del tratamiento (ver sección 6).
Si tenemos conocimiento de que hemos recopilado involuntariamente datos de un menor como usuario registrado, procederemos a la eliminación inmediata de dicha cuenta y sus datos. Si tiene conocimiento de tal situación, comuníquelo a hola@khoraedu.com.
13. Medidas de seguridad
Implementamos medidas técnicas y organizativas apropiadas para proteger sus datos personales frente a accesos no autorizados, pérdida accidental, destrucción o alteración. Entre estas medidas se incluyen:
- Cifrado de las comunicaciones mediante TLS/HTTPS.
- Almacenamiento de contraseñas en formato hash seguro (bcrypt via Supabase Auth).
- Control de acceso basado en roles (Row Level Security en Supabase).
- Acceso restringido a datos personales únicamente al personal autorizado.
- Monitorización de accesos y detección de anomalías.
- Actualizaciones periódicas de seguridad del software y dependencias.
- Copias de seguridad automáticas de la base de datos (gestionadas por Supabase/AWS).
A pesar de estas medidas, ningún sistema de seguridad es infalible. En caso de brecha de seguridad que afecte a sus datos, notificaremos a las autoridades competentes y, cuando sea obligatorio y procedente, a los usuarios afectados, en los plazos establecidos por la normativa.
14. Cambios en la política
Khora podrá actualizar esta Política de Privacidad para reflejar cambios en nuestras prácticas, cambios normativos o mejoras en el Servicio. Cuando los cambios sean sustanciales, le notificaremos por correo electrónico y/o mediante un aviso visible en la plataforma con antelación suficiente.
La fecha de "Última actualización" al inicio de este documento indica cuándo fue revisada por última vez. Le recomendamos revisar periódicamente esta página.
15. Contacto
Para cualquier consulta, solicitud de ejercicio de derechos o reclamación relacionada con sus datos personales, puede contactar con nosotros:
Correo electrónico: hola@khoraedu.com
Empresa: Varys Consulting Group Ltd
Dirección: [DIRECCIÓN REGISTRADA — completar con dirección Companies House], Londres, Reino Unido
Para usuarios en LatAm: esta Política también toma en consideración, con carácter general, las legislaciones locales de protección de datos aplicables según el país de residencia del usuario (incluyendo, sin limitación, la Ley Federal de Protección de Datos Personales en Posesión de Particulares de México, la Ley 1581 de Colombia, la LGPD de Brasil y sus equivalentes). En caso de conflicto entre la normativa local y la aplicada por Khora, el usuario podrá contactarnos para obtener información específica sobre sus derechos.
Versión vigente desde 13 de mayo de 2026 · Varys Consulting Group Ltd · Todos los derechos reservados.