Política de privacidad y protección de datos

La presente Política de Privacidad regula el tratamiento de los datos personales recogidos a través del sitio web y del Servicio TipTop Campus, en cumplimiento del Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), y demás normativa aplicable.

1. Responsable del tratamiento

Responsable: TipTop Group OÜ, titular de la marca TipTop Campus®.
NIF/CIF: EE102615089
Domicilio: Lasnamäe linnaosa, Lõõtsa tn 2a Tallinn 11415 Estonia
Email de contacto en materia de protección de datos: privacidad@tiptoplearning.com

2. Doble rol: responsable y encargado del tratamiento

Es importante distinguir entre dos relaciones de tratamiento de datos diferentes:

  • Como responsable del tratamiento: cuando tratamos datos personales de las academias clientes, sus administradores y profesores en el marco de la contratación y prestación del Servicio (datos de facturación, credenciales de acceso, comunicaciones comerciales, etc.).
  • Como encargado del tratamiento: cuando tratamos datos personales de los alumnos finales que las academias cargan en su panel para la prestación del servicio formativo. En este caso, la academia es la responsable del tratamiento y TipTop Campus actúa como encargado por cuenta de ella, en los términos del artículo 28 del RGPD.

Las academias deberán firmar un contrato de Encargado de Tratamiento con TipTop Campus, que se proporciona como anexo en el momento de la contratación.

3. Datos personales recogidos

Datos de las academias clientes y sus administradores

  • Datos identificativos: nombre, apellidos, denominación social, NIF/CIF.
  • Datos de contacto: email, teléfono, dirección postal.
  • Datos de facturación: datos fiscales y método de pago (los datos de tarjeta no son almacenados por TipTop Campus, sino directamente por el procesador de pagos Stripe).
  • Datos de uso del Servicio: logs de acceso, IP, navegador, fecha y hora de conexión.
  • Datos de comunicación: mensajes intercambiados con el equipo de soporte.

Datos de alumnos finales (tratados como encargado)

  • Datos identificativos básicos: nombre, apellidos, email.
  • Datos académicos: progreso de estudio, resultados de exámenes, materiales consultados, estadísticas de rendimiento.
  • Datos de uso: logs de acceso a la app y al panel.
  • Datos de matriculación recibidos vía integración WooCommerce: identificador del pedido, identificador del alumno, identificador del producto/curso, estado de la suscripción (activa, cancelada, vencida) y fecha del último cobro. El Titular NO recibe datos de tarjeta, ni el importe del pago, ni el método de pago utilizado, ya que el procesamiento del pago se realiza íntegramente en la tienda WooCommerce de la academia con la pasarela de pago que esta haya elegido.

El Servicio está diseñado para alumnos mayores de edad. La academia cliente es la única responsable de:

  • Garantizar que dispone de la base jurídica adecuada para tratar estos datos.
  • Informar a sus alumnos conforme al RGPD sobre el tratamiento de sus datos personales.
  • Cumplir con los requisitos especiales de tratamiento de datos de menores (art. 8 RGPD y art. 7 LOPDGDD), incluyendo el consentimiento de los padres o tutores legales, si decide matricular a alumnos menores de 14 años.

El Titular no mantiene relación contractual ni económica con los alumnos finales: la relación de pago se establece exclusivamente con la academia cliente.

4. Finalidad del tratamiento

Los datos recogidos se tratan con las siguientes finalidades:

  • Prestar el Servicio contratado, incluyendo el alta, gestión y mantenimiento de la cuenta del cliente.
  • Gestionar la facturación y el cobro recurrente de la suscripción mediante el proveedor de pagos Stripe.
  • Atender consultas, solicitudes de soporte y reclamaciones.
  • Cumplir con las obligaciones legales (fiscales, contables, mercantiles).
  • Enviar comunicaciones comerciales sobre el Servicio y mejoras del mismo, siempre que medie el consentimiento del usuario o la relación contractual lo permita.
  • Mejorar el Servicio mediante el análisis agregado y anonimizado del uso.
  • Cumplir con las obligaciones de información y obtención de consentimiento conforme al RGPD, manteniendo registro auditable de las aceptaciones de políticas legales por parte de los usuarios.

5. Base jurídica del tratamiento

  • Ejecución del contrato (art. 6.1.b RGPD): para la prestación del Servicio, gestión de la cuenta y cobro de la suscripción.
  • Cumplimiento de obligaciones legales (art. 6.1.c RGPD): para conservación de facturas y obligaciones fiscales.
  • Interés legítimo (art. 6.1.f RGPD): para la mejora del Servicio, prevención del fraude y comunicaciones sobre productos similares al ya contratado.
  • Consentimiento (art. 6.1.a RGPD): para envíos comerciales no relacionados con el Servicio contratado y para el uso de cookies no esenciales.

6. Plazo de conservación

Los datos personales se conservarán durante el tiempo necesario para cumplir la finalidad para la que fueron recabados y, en todo caso, durante los plazos legalmente establecidos:

  • Datos contractuales y de facturación: durante la relación contractual y, tras su finalización, durante los plazos legales aplicables (hasta 6 años por obligaciones fiscales y contables).
  • Datos de soporte y comunicaciones: 2 años desde la última interacción.

  • Datos de alumnos finales: durante la vigencia del contrato con la academia. Tras la finalización del contrato, los datos quedan a disposición de la academia durante 30 días naturales para su descarga; transcurrido ese plazo se eliminan de forma segura, salvo obligación legal de conservación.

7. Destinatarios y encargados del tratamiento

Los datos podrán ser comunicados a los siguientes destinatarios, todos ellos contratados como encargados del tratamiento bajo las garantías del art. 28 RGPD:

  • Stripe Payments Europe Ltd. (proveedor de procesamiento de pagos, sede en Irlanda) — exclusivamente para la gestión del cobro recurrente de la suscripción mensual de la academia a TipTop Campus. Stripe NO interviene en los cobros que la academia realiza a sus alumnos a través de WooCommerce.
  • Vultr Holdings, LLC (Estados Unidos; datacenter operativo en Madrid, España, UE) — alojamiento de la plataforma y los datos. Los datos residen físicamente en la UE; las garantías para transferencias internacionales eventuales se describen en la cláusula 8.
  • Cloudflare, Inc. (Estados Unidos) — CDN y seguridad para la entrega optimizada de contenido estático y protección anti-DDoS.
  • Brevo (Sendinblue SAS) — proveedor de email transaccional con sede en Francia (UE), para el envío de notificaciones y emails de servicio (alta de cuenta, recuperación de contraseña, recordatorios, reportes).

Adicionalmente, el Servicio se integra con la tienda online (WooCommerce) de la academia mediante un plugin propio del Titular. Este plugin se instala en el WordPress de la propia academia, no en los servidores del Titular. El plugin envía al Titular información estrictamente necesaria para la gestión automática de matrículas y bajas (identificadores de pedido, alumno, producto y estado de la suscripción).

La pasarela de pago utilizada por la academia para cobrar a sus alumnos (Stripe, Redsys, Bizum, transferencia bancaria, etc.) NO es subencargado del Titular. La relación contractual y de tratamiento con dicha pasarela la mantiene exclusivamente la academia, que asume la condición de responsable de ese tratamiento.

Asimismo, los datos podrán comunicarse a Administraciones Públicas y autoridades competentes cuando exista una obligación legal de hacerlo.

8. Transferencias internacionales

Algunos encargados pueden tener su sede o entidad contractual fuera del Espacio Económico Europeo, en particular Vultr Holdings, LLC y Cloudflare, Inc., ambos con sede en Estados Unidos. En esos casos, las transferencias internacionales se realizan bajo las garantías adecuadas (Cláusulas Contractuales Tipo aprobadas por la Comisión Europea, decisiones de adecuación, o adhesión al EU-U.S. Data Privacy Framework cuando resulte aplicable), conforme a los artículos 44 y siguientes del RGPD. En el caso de Vultr, los datos del Servicio residen físicamente en su datacenter de Madrid (España, UE), por lo que no se produce transferencia material de datos fuera de la UE más allá de eventuales tareas de soporte y administración.

9. Derechos del interesado

El interesado puede ejercer en cualquier momento los siguientes derechos:

  • Derecho de acceso a sus datos personales.
  • Derecho de rectificación de los datos inexactos.
  • Derecho de supresión (derecho al olvido).
  • Derecho de oposición al tratamiento.
  • Derecho a la limitación del tratamiento.
  • Derecho a la portabilidad de los datos.
  • Derecho a no ser objeto de decisiones automatizadas.
  • Derecho a retirar el consentimiento prestado.

Para ejercer cualquiera de estos derechos, el interesado puede dirigir una solicitud por escrito a privacidad@tiptoplearning.com, acompañada de un documento que permita acreditar su identidad.

Asimismo, el interesado tiene derecho a presentar una reclamación ante la autoridad de control competente. Dado que el responsable tiene su establecimiento principal en Estonia, la autoridad líder es la Andmekaitse Inspektsioon (AKI, www.aki.ee). No obstante, los interesados residentes en España pueden presentar también la reclamación ante la Agencia Española de Protección de Datos (www.aepd.es) o ante la autoridad de control de su país de residencia habitual.

Importante: si eres alumno final de una academia, los datos académicos los gestiona tu academia como responsable del tratamiento. Para ejercer derechos sobre esos datos, dirígete primero a tu academia. Para datos que TipTop trata como responsable directo (datos de la propia cuenta de la academia, soporte, comunicaciones comerciales), dirígete a TipTop en la dirección indicada.

10. Medidas de seguridad

El responsable ha adoptado las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos personales, evitando su alteración, pérdida, tratamiento o acceso no autorizado, atendiendo al estado de la técnica, la naturaleza de los datos almacenados y los riesgos a que están expuestos. Entre otras: cifrado en tránsito (HTTPS/TLS), cifrado en reposo de la base de datos, copias de seguridad periódicas, control de accesos por roles y registro de auditoría.

11. Política de cookies

Actualmente, en el sitio web y la plataforma solo se utilizan cookies y mecanismos de almacenamiento técnicos estrictamente necesarios para el funcionamiento del Servicio (autenticación, mantenimiento de la sesión). No se utilizan cookies analíticas, de marketing ni de terceros, por lo que no se requiere consentimiento conforme al artículo 22.2 de la LSSI. Si en el futuro se incorporaran cookies no esenciales, se solicitará consentimiento previo y se actualizará esta Política.

Versión 1.0 — Última actualización: 15 de mayo de 2026.