Política de privacitat
Data d'entrada en vigor: 1 d'abril de 2026 · Versió 1.0
El resum important
Com tractem les teves dades, en paraules clares:
EdRep és per a docents. No recollim dades d'alumnes, mai.
Les teves dades estan a Europa (Frankfurt, Alemanya).
La IA genera materials, però mai rep dades personals dels teus alumnes ni les teves dades de contacte.
No venem dades. No fem publicitat. No tenim cookies de seguiment.
Els teus materials són teus. Exporta, modifica i elimina quan vulguis.
Pots eliminar el teu compte. Després de 30 dies de gràcia, tot s'esborra.
Dubtes? Escriu a contacte@edrep.app.
Aquest resum no té valor legal. El text complet és a continuació.
Llegir la política de privacitat completa
Política de Privacitat d'EdRep
Data d'entrada en vigor: 1 d'abril de 2026
Versió: 1.0
Taula de continguts
- Article 1 — Responsable del tractament
- Article 2 — Quines dades recollim
- Article 3 — Base legal del tractament
- Article 4 — Finalitats del tractament
- Article 5 — Intel·ligència artificial i contingut generat
- Article 6 — Compartiment de dades amb tercers
- Article 7 — Transferències internacionals de dades
- Article 8 — Retenció de dades
- Article 9 — Drets dels usuaris
- Article 10 — Seguretat de les dades
- Article 11 — Cookies i tecnologies similars
- Article 12 — Menors d'edat
- Article 13 — Canvis a la política
- Article 14 — Contacte i autoritats de control
Article 1 — Responsable del tractament
Segons l'article 13.1.a del Reglament General de Protecció de Dades (RGPD):
| Camp | Detall |
|---|---|
| Responsable | Aarón Fortuño, persona física |
| Domicili | Catalunya, Espanya |
| Email de contacte | contacte@edrep.app |
| Web | https://edrep.app |
EdRep és una plataforma de generació de materials educatius desenvolupada per una persona física amb domicili a Catalunya. Quan es constitueixi una entitat jurídica, aquesta secció s'actualitzarà amb les dades de l'empresa.
Nota sobre el Delegat de Protecció de Dades (DPD): Segons l'article 37 del RGPD i l'article 34 de la LOPDGDD, la designació d'un DPD no és obligatòria per a EdRep en la fase actual perquè (1) no tractem dades a gran escala, (2) no monitoritzem sistemàticament persones, i (3) no tractem categories especials de dades. Aquesta situació es revisarà si l'escala d'operacions canvia significativament.
Article 2 — Quines dades recollim
2.1. Dades necessàries per al servei
| Dada | Descripció | Ubicació |
|---|---|---|
| Nom complet | Nom i cognoms del docent | Supabase Auth — Frankfurt, UE |
| Adreça electrònica | Email del docent (login i comunicacions) | Supabase Auth — Frankfurt, UE |
| Contrasenya | Hash criptogràfic gestionat per Supabase Auth. EdRep mai veu ni emmagatzema contrasenyes en text pla | Supabase Auth — Frankfurt, UE |
| Rol | Rol dins la plataforma (docent, administrador) | Supabase — Frankfurt, UE |
| Nom de l'escola | Centre educatiu del docent | Supabase — Frankfurt, UE |
2.2. Dades de contingut educatiu
Generades pel docent durant l'ús de la plataforma:
| Dada | Descripció | Ubicació |
|---|---|---|
| Grups | Informació de grups-classe: nom, etapa, any, matèria, notes pedagògiques | Supabase — Frankfurt, UE |
| Perfils d'alumnes | Només pseudònims o perfils pedagògics anònims (p. ex. "alumne amb dislèxia", "nivell estàndard"). Mai noms reals d'alumnes | Supabase — Frankfurt, UE |
| Estàndards curriculars | Referències al currículum LOMLOE | Supabase — Frankfurt, UE |
| Materials generats | Contingut educatiu generat per IA (comprensions lectores, fitxes, etc.) | Supabase — Frankfurt, UE |
| Configuracions d'estil | Preferències visuals: fonts, colors, marges, capçaleres | Supabase — Frankfurt, UE |
| Converses | Historial de xat amb l'assistent IA | Supabase — Frankfurt, UE |
| Imatges | Imatges pujades o generades per IA per als materials | Supabase Storage — Frankfurt, UE |
2.3. Dades opcionals proporcionades pel docent
| Dada | Descripció | Ubicació |
|---|---|---|
| Adreça Lightning Network | Adreça de pagament Lightning (p. ex. professor@getalby.com o LNURL) per rebre propines voluntàries. És una dada personal pseudònima que es mostrarà públicament com a codi QR als materials compartits. EdRep no processa, custodia ni intermedia cap transacció — únicament emmagatzema i mostra l'adreça. El docent pot eliminar-la o modificar-la en qualsevol moment. |
Supabase — Frankfurt, UE |
2.4. Dades recollides automàticament
| Dada | Descripció | Ubicació |
|---|---|---|
| Registres d'ús d'IA | Tokens consumits, cost, durada, model utilitzat (sense contingut de les converses) | Supabase — Frankfurt, UE |
| Transaccions de crèdits | Registre de crèdits concedits i gastats | Supabase — Frankfurt, UE |
| Adreça IP | Registrada per la infraestructura de Hetzner i Supabase. No registrada pel codi d'aplicació d'EdRep | Hetzner (Alemanya) / Supabase (Frankfurt) |
2.5. Dades que NO recollim
- Noms reals d'alumnes — Mai. Els perfils d'alumnes usen pseudònims o descripcions pedagògiques anònimes.
- Dades personals d'alumnes — Ni DNI, ni fotografies, ni qualificacions, ni cap altra dada identificable de menors.
- Dades biomètriques — No en recollim de cap tipus.
- Dades de geolocalització precisa — No rastrejem la ubicació dels usuaris.
- Dades de navegació entre llocs web — No utilitzem cookies de seguiment de tercers.
Per què no recollim dades d'alumnes: EdRep treballa amb perfils pedagògics anònims, mai amb identitats d'alumnes. La connexió entre un perfil pedagògic i un alumne concret la fa el docent en persona, fora de la plataforma. EdRep mai sap de quin alumne concret es tracta. Això és una decisió de disseny deliberada (Privacitat des del Disseny, Art. 25 RGPD).
Article 3 — Base legal del tractament
D'acord amb l'article 6 del RGPD:
| Dada | Base legal | Justificació |
|---|---|---|
| Nom, email, contrasenya, rol | Execució del contracte (Art. 6.1.b) | Necessàries per crear el compte i prestar el servei |
| Nom de l'escola | Execució del contracte (Art. 6.1.b) | Necessari per contextualitzar la generació de materials |
| Grups i perfils pedagògics | Execució del contracte (Art. 6.1.b) | Necessaris per personalitzar els materials generats |
| Materials generats | Execució del contracte (Art. 6.1.b) | El producte principal del servei |
| Converses amb l'assistent | Execució del contracte (Art. 6.1.b) | Part essencial del servei de generació |
| Configuracions d'estil | Execució del contracte (Art. 6.1.b) | Part del servei de personalització visual |
| Adreça Lightning Network | Consentiment (Art. 6.1.a) | El docent la proporciona voluntàriament |
| Registres d'ús d'IA | Interès legítim (Art. 6.1.f) | Control de costos operatius i prevenció d'abús |
| Transaccions de crèdits | Interès legítim (Art. 6.1.f) + Obligació legal (Art. 6.1.c) | Facturació i obligacions fiscals |
| Adreça IP (infraestructura) | Interès legítim (Art. 6.1.f) | Seguretat del sistema i prevenció d'intrusió |
Article 4 — Finalitats del tractament
D'acord amb l'article 13.1.c del RGPD, utilitzem les teves dades per a les finalitats següents:
- Generació de materials educatius. Enviem instruccions pedagògiques, preferències d'estil i context educatiu als proveïdors d'IA (Anthropic, OpenAI, Google) perquè generin el contingut sol·licitat.
- Personalització del contingut. Utilitzem la informació dels teus grups i perfils pedagògics per adaptar la dificultat, temàtica i format dels materials generats.
- Gestió del repositori. Emmagatzemem, organitzem i cerquem els teus materials segons categories, etiquetes i estàndards curriculars.
- Coherència visual. Apliquem les teves configuracions d'estil (fonts, colors, marges) als materials generats per mantenir la teva identitat visual.
- Historial de converses. Guardem les converses amb l'assistent IA perquè puguis continuar sessions anteriors i perquè el sistema recordi les teves preferències.
- Control d'ús i facturació. Registrem el consum de tokens d'IA i crèdits per gestionar el cost del servei.
- Seguretat i prevenció d'abús. Utilitzem limitació de peticions, validació d'entrades i monitorització per protegir la plataforma i els teus materials.
- Comunicació del servei. Enviem comunicacions essencials sobre el teu compte: canvis als termes, incidències de seguretat, actualitzacions importants. No enviem correu comercial sense el teu consentiment.
Article 5 — Intel·ligència artificial i contingut generat
EdRep utilitza intel·ligència artificial per generar materials educatius. Volem que sàpigues exactament què passa amb les teves dades en aquest procés.
5.1. Què reben els proveïdors d'IA
| Informació enviada | Exemple |
|---|---|
| Instruccions pedagògiques | "Genera una comprensió lectora sobre el cicle de l'aigua per a alumnes de 4t de primària" |
| Perfils pedagògics anònims | "2 alumnes amb dislèxia, 3 alumnes amb altes capacitats" |
| Preferències d'estil | "Font: Comic Sans, colors suaus, nivell de dificultat: 6/10" |
| Context curricular | "Àmbit de Coneixement del Medi, LOMLOE, competències específiques CE3, CE4" |
| Instruccions de format | "Format: fitxa d'activitat amb 8 preguntes, inclou vocabulari" |
5.2. Què NO reben els proveïdors d'IA
- Mai noms reals d'alumnes.
- Mai dades d'identificació personal (DNI, adreça, telèfon).
- Mai les teves dades de contacte (el teu nom i email no apareixen als prompts).
- Mai fotografies ni fitxers personals.
- Mai qualificacions ni informes d'avaluació.
5.3. Polítiques de retenció dels proveïdors d'IA
| Proveïdor | Retenció de dades de l'API | Ús per entrenar models |
|---|---|---|
| Anthropic (Claude) | Màxim 30 dies | No. Les dades de l'API no s'utilitzen per entrenar models |
| OpenAI (GPT) | 30 dies (monitorització d'abús) | No. Les dades de l'API no s'utilitzen per entrenar models per defecte |
| Google (Gemini) | Variable segons configuració | No. Les dades de l'API de pagament no s'utilitzen per entrenar models |
5.4. El nostre compromís
- Els teus materials no s'utilitzen per entrenar models d'IA. Ni per EdRep, ni per Anthropic, ni per OpenAI, ni per Google.
- El contingut generat és teu. Els materials que generes amb l'ajuda de la IA són teus i els pots utilitzar, modificar, distribuir i eliminar lliurement.
- Transparència del model. A cada material generat, indiquem quin model d'IA s'ha utilitzat i quants tokens ha consumit.
Article 6 — Compartiment de dades amb tercers
D'acord amb els articles 13.1.e i 28 del RGPD, EdRep comparteix dades amb els següents sub-processadors, estrictament per a la prestació del servei:
6.1. Llista de sub-processadors
| Sub-processador | Finalitat | Ubicació | Dades compartides |
|---|---|---|---|
| Supabase Inc. | Base de dades, autenticació, emmagatzematge de fitxers | Frankfurt, Alemanya (UE) | Totes les dades del compte i contingut |
| Hetzner Online GmbH | Hosting del servidor | Falkenstein/Nuremberg, Alemanya (UE) | Trànsit de dades de l'aplicació, logs d'accés (IP) |
| Anthropic PBC | Intel·ligència artificial (Claude) | Estats Units | Instruccions pedagògiques i context educatiu. Mai dades personals identificables |
| OpenAI LLC | Intel·ligència artificial (GPT) | Estats Units | Instruccions pedagògiques i context educatiu. Mai dades personals identificables |
| Google LLC | Intel·ligència artificial (Gemini), autenticació OAuth | Estats Units | Per IA: instruccions pedagògiques. Per OAuth: només email i nom per a login |
6.2. Amb qui NO compartim dades
- No venem dades a cap tercer, mai, sota cap circumstància.
- No compartim dades per a publicitat ni màrqueting de tercers.
- No compartim dades amb corredors de dades (data brokers).
- No permetem l'ús de les teves dades per entrenar models d'IA.
Article 7 — Transferències internacionals de dades
D'acord amb els articles 44 a 49 del RGPD:
7.1. Dades que romanen dins la Unió Europea
Totes les dades del compte, contingut educatiu, materials, converses, imatges, registres d'ús i transaccions s'emmagatzemen exclusivament dins la UE:
- Supabase: Frankfurt, Alemanya
- Hetzner: Falkenstein/Nuremberg, Alemanya
7.2. Dades que travessen les fronteres de la UE
Només les instruccions pedagògiques (prompts) s'envien als proveïdors d'IA als Estats Units.
Què s'envia: Instruccions educatives que contenen el context pedagògic: matèria, nivell, tipologia de material, preferències d'estil, perfils pedagògics anònims.
Què NO s'envia: Noms reals d'alumnes, dades personals identificables de menors, dades de contacte del docent (ni nom ni email apareixen als prompts).
7.3. Mecanismes de protecció
| Proveïdor | Mecanisme de transferència |
|---|---|
| Anthropic | EU-U.S. Data Privacy Framework + Clàusules Contractuals Estàndard (SCCs) |
| OpenAI | EU-U.S. Data Privacy Framework + SCCs |
| EU-U.S. Data Privacy Framework |
Article 8 — Retenció de dades
D'acord amb l'article 5.1.e del RGPD (principi de limitació del termini de conservació), guardem les dades només el temps necessari:
| Tipus de dada | Període de retenció | Mètode d'eliminació |
|---|---|---|
| Dades del compte (nom, email, rol) | Mentre el compte estigui actiu + 30 dies després de la sol·licitud d'eliminació | Soft-delete, després hard-delete |
| Materials generats | Fins que el docent els elimina | Soft-delete, després hard-delete a petició |
| Converses amb l'assistent | Fins que el docent les elimina | Soft-delete, després hard-delete a petició |
| Grups i perfils pedagògics | Fins que el docent els elimina | Soft-delete, després hard-delete a petició |
| Configuracions d'estil | Mentre el compte estigui actiu | Eliminades amb el compte |
| Imatges | Fins que el docent les elimina | Eliminació permanent de l'emmagatzematge |
| Adreça Lightning Network | Fins que el docent la retira | Eliminació immediata |
| Registres d'ús d'IA (tokens, cost, model) | 90 dies des de la creació | Eliminació automàtica |
| Transaccions de crèdits | 5 anys des de la creació | Arxivat, després eliminació (obligació fiscal) |
| Adreça IP (logs d'infraestructura) | 30 dies | Rotació automàtica de logs |
| Còpies de seguretat | 30 dies després de l'eliminació de les dades originals | Eliminació automàtica |
Política de soft-delete: La majoria de dades s'eliminen primer de forma "suau" — es marquen com eliminades i deixen de ser visibles i accessibles, però es mantenen temporalment per permetre la recuperació en cas d'error. Després del període de gràcia (30 dies), s'eliminen de forma permanent.
Article 9 — Drets dels usuaris
D'acord amb els articles 15 a 22 del RGPD i la LOPDGDD, tens els drets següents:
| Dret | Què significa | Com l'exerceixes |
|---|---|---|
| Accés (Art. 15) | Pots sol·licitar una còpia de totes les dades personals que tenim sobre tu | Email a contacte@edrep.app |
| Rectificació (Art. 16) | Pots corregir dades inexactes o incompletes | Directament a la plataforma o per email |
| Supressió (Art. 17) | Pots sol·licitar l'eliminació de les teves dades ("dret a l'oblit") | Email a contacte@edrep.app o funcionalitat d'eliminació de compte |
| Portabilitat (Art. 20) | Pots sol·licitar una còpia de les teves dades en format estructurat i llegible per màquina (JSON) | Email a contacte@edrep.app o funcionalitat d'exportació |
| Limitació (Art. 18) | Pots sol·licitar que restringuim el tractament de les teves dades en determinades circumstàncies | Email a contacte@edrep.app |
| Oposició (Art. 21) | Pots oposar-te al tractament de les teves dades basat en interès legítim | Email a contacte@edrep.app |
| Retirada del consentiment | Pots retirar el teu consentiment en qualsevol moment, sense afectar la licitud del tractament previ | Email a contacte@edrep.app o directament a la plataforma |
Termini de resposta: Respondrem a la teva sol·licitud en un màxim de 30 dies des de la recepció. Si la sol·licitud és complexa, podem estendre aquest termini fins a 60 dies addicionals, informant-te del motiu.
Cost: L'exercici d'aquests drets és gratuït. Si les sol·licituds són manifestament infundades o excessives (p. ex. repetitives), ens reservem el dret de cobrar un cànon raonable o denegar la sol·licitud, segons l'article 12.5 del RGPD.
Article 10 — Seguretat de les dades
D'acord amb l'article 32 del RGPD, implementem les mesures tècniques i organitzatives següents:
10.1. Xifrat
- En trànsit: Totes les comunicacions estan xifrades amb HTTPS/TLS, incloent les connexions entre el navegador i el servidor, entre el servidor i Supabase, i entre el servidor i els proveïdors d'IA.
- En repòs: Les dades emmagatzemades a Supabase estan xifrades a nivell de disc (AES-256).
10.2. Control d'accés
- Row Level Security (RLS): Activat a totes les taules de la base de dades. Cada docent només pot accedir a les seves pròpies dades.
- Autenticació verificada al servidor: Totes les accions verifiquen la identitat de l'usuari al servidor, no només al client.
- Registre per invitació: L'accés a la plataforma requereix una invitació prèvia. No hi ha registre públic obert.
10.3. Protecció contra atacs
- Limitació de peticions a totes les rutes d'API.
- Validació d'entrades amb esquemes estrictes i límits de longitud.
- Protecció contra injeccions als prompts d'IA.
- Sanitització de sortides generades per IA.
- Capçaleres de seguretat HTTP configurades.
- Aïllament de claus de servei (mai exposades al client).
Article 11 — Cookies i tecnologies similars
D'acord amb l'article 22.2 de la LSSI-CE i la Directiva ePrivacy:
11.1. Cookies que utilitzem
| Cookie | Tipus | Finalitat | Durada |
|---|---|---|---|
| Cookies d'autenticació Supabase | Estrictament necessària | Mantenir la sessió iniciada | Sessió (fins logout) |
11.2. El que NO fem
- No utilitzem cookies de seguiment de tercers.
- No utilitzem cookies d'analítiques.
- No utilitzem cookies de publicitat ni de retargeting.
- No utilitzem píxels de seguiment ni web beacons.
Com que només utilitzem cookies estrictament necessàries per al funcionament del servei, no es requereix un bàner de consentiment de cookies segons l'article 22.2 de la LSSI-CE.
Article 12 — Menors d'edat
D'acord amb l'article 8 del RGPD i l'article 7 de la LOPDGDD:
- EdRep és un servei per a docents (adults). La plataforma està dissenyada perquè la utilitzin professors i professores, no alumnes.
- No recollim deliberadament dades de menors d'edat. Com que EdRep funciona per invitació i està dirigit a professionals de l'educació, no esperem que menors d'edat s'hi registrin.
- Les dades d'alumnes estan anonimitzades per disseny. Emmagatzemem perfils pedagògics anònims (p. ex. "alumne amb dislèxia"), mai identitats d'alumnes. La connexió entre el perfil i l'alumne real la fa el docent en persona, fora de la plataforma.
- Prohibició contractual. Als Termes d'Ús, prohibim als docents introduir noms reals d'alumnes, fotografies o qualsevol altra dada personal identificable de menors a la plataforma.
- Si accidentalment rebem dades d'un menor, contacta'ns immediatament a contacte@edrep.app i les eliminarem en un màxim de 48 hores.
Article 13 — Canvis a la política
- Notificació prèvia. Et notificarem per email i mitjançant un bàner a la plataforma de qualsevol canvi significatiu a aquesta política amb un mínim de 30 dies d'antelació.
- Canvis menors. Correccions d'estil, actualitzacions de contacte o canvis que no afectin els teus drets es publicaran directament amb nota al registre de versions.
- Historial de versions. Mantenim un registre de totes les versions d'aquesta política.
- Dret de rebuig. Si no estàs d'acord amb els canvis, pots exercir el teu dret de supressió i tancar el teu compte.
Registre de versions
| Versió | Data | Canvis |
|---|---|---|
| 1.0 | 1 d'abril de 2026 | Versió inicial |
Article 14 — Contacte i autoritats de control
Per a qualsevol consulta relacionada amb la privacitat o l'exercici dels teus drets:
| Canal | Detall |
|---|---|
| contacte@edrep.app | |
| Termini de resposta | Màxim 30 dies |
Autoritats de control. Si consideres que el tractament de les teves dades vulnera la normativa, pots presentar una reclamació davant:
- Autoritat Catalana de Protecció de Dades (APDCAT): apdcat.gencat.cat
- Agencia Española de Protección de Datos (AEPD): aepd.es
Normativa aplicable: Reglament (UE) 2016/679 (RGPD), Llei Orgànica 3/2018 de Protecció de Dades Personals (LOPDGDD), Llei 34/2002 de Serveis de la Societat de la Informació (LSSI-CE).
Darrera actualització: 1 d'abril de 2026