Ir al contenido principal
ClubSport
Iniciar sesiónPrueba Gratis
Términos|Privacidad|Cookies|DPA

Acuerdo de Encargo de Tratamiento (DPA)

Data Processing Agreement — Fecha de entrada en vigor: 1 de enero de 2026

Este DPA forma parte integrante de los Términos y Condiciones de ClubSport y es vinculante para todos los clientes de los planes Pro y Enterprise.

El presente Acuerdo de Encargo de Tratamiento (en adelante, «DPA» o «Acuerdo») es suscrito entre ClubSport Technologies S.L. (en adelante, «el Encargado» o «ClubSport») y el club deportivo cliente (en adelante, «el Responsable» o «el Cliente»), de conformidad con el artículo 28 del Reglamento (UE) 2016/679 (RGPD).

1. Partes

Encargado del tratamiento

Razón social: ClubSport Technologies S.L.

CIF: B-XXXXXXXX

Domicilio: Calle Ejemplo 1, 28001 Madrid

Email DPO: privacidad@clubsport.app

Responsable del tratamiento

El club deportivo o entidad que contrata el servicio ClubSport, identificado en el proceso de alta con su nombre, CIF y datos de contacto.

2. Objeto y duración

El presente Acuerdo regula el tratamiento de datos personales que ClubSport realizará por cuenta del Responsable como consecuencia de la prestación del servicio de gestión deportiva descrito en los Términos y Condiciones.

El Acuerdo entra en vigor en la fecha de aceptación de los Términos y permanece vigente mientras el Responsable mantenga una suscripción activa. Su resolución automática se producirá con la cancelación del servicio, sin perjuicio de las obligaciones de conservación y supresión de datos descritas en la sección 10.

3. Naturaleza y categorías del tratamiento

Categorías de datos tratados

  • Datos identificativos (nombre, apellidos, fecha de nacimiento, DNI/NIE)
  • Datos de contacto (email, teléfono)
  • Datos de menores (con autorización expresa del tutor legal)
  • Datos relativos a la salud (lesiones, alergias — solo si el Responsable los introduce)
  • Datos económicos (importes de cuotas, estado de pagos — no incluye datos de tarjeta)
  • Datos de rendimiento deportivo (estadísticas, asistencias, valoraciones)

Interesados afectados

Jugadores, socios, entrenadores, staff técnico, padres/tutores y fanáticos del club.

Operaciones de tratamiento

Almacenamiento, organización, consulta, actualización, comunicación interna, exportación y supresión de datos, dentro del contexto del servicio de gestión deportiva.

4. Obligaciones del Encargado (ClubSport)

  • Tratar los datos personales únicamente según las instrucciones documentadas del Responsable y conforme al RGPD.
  • No revelar datos a terceros salvo instrucción expresa del Responsable o por obligación legal.
  • Garantizar que las personas autorizadas para tratar los datos hayan asumido compromisos de confidencialidad.
  • Asistir al Responsable en el cumplimiento de sus obligaciones respecto a la seguridad del tratamiento (art. 32 RGPD), notificación de brechas (arts. 33-34) y evaluaciones de impacto (arts. 35-36).
  • Notificar al Responsable sin dilación indebida (máximo 72 horas) cualquier brecha de seguridad que afecte a datos personales.
  • Suprimir o devolver todos los datos al Responsable a la terminación del servicio, conforme a la sección 10.
  • Proporcionar al Responsable toda la información necesaria para demostrar el cumplimiento del presente Acuerdo.

5. Subencargados del tratamiento

El Responsable autoriza a ClubSport a utilizar los siguientes subencargados para la prestación del servicio. ClubSport firmará con cada uno un acuerdo de encargo equivalente al presente:

SubencargadoPaísServicio
Supabase Inc.UE (Frankfurt)Base de datos PostgreSQL, autenticación y comunicación en tiempo real
Stripe Inc.EE.UU.Procesamiento de pagos y facturación (no almacena datos de pago en ClubSport)
Resend Inc.EE.UU.Envío de emails transaccionales (convocatorias, facturas, notificaciones)
Vercel Inc.EE.UU.Hosting y CDN de la aplicación web
Anthropic PBCEE.UU.IA generativa para el módulo de entrenamientos (datos anonimizados)

ClubSport notificará al Responsable cualquier cambio previsto en los subencargados con al menos 30 días de antelación, otorgando la posibilidad de oponerse razonadamente.

6. Asistencia en el ejercicio de derechos ARCO

ClubSport asistirá al Responsable en la atención de solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, cancelación/supresión, oposición, portabilidad y limitación del tratamiento).

Cuando un interesado dirija una solicitud directamente a ClubSport, ésta la trasladará al Responsable en el plazo de 5 días hábiles para que sea atendida. ClubSport facilitará las herramientas técnicas necesarias (exportación de datos, marcado para supresión, etc.) para que el Responsable pueda dar cumplimiento en el plazo legal de 30 días.

7. Medidas de seguridad técnicas y organizativas

ClubSport implementa las siguientes medidas conforme al artículo 32 RGPD:

Cifrado en tránsito

TLS 1.3 en todas las comunicaciones entre cliente y servidor.

Cifrado en reposo

Datos cifrados en la base de datos Supabase (AES-256).

Control de acceso

Row-Level Security (RLS) en Supabase y sistema de roles en la aplicación.

Contraseñas

Almacenadas como hash bcrypt con salt aleatorio, nunca en texto plano.

Tokens JWT

Tokens de corta duración con renovación automática y revocación inmediata al cerrar sesión.

Audit log

Registro de todas las acciones críticas con timestamp, IP y usuario.

Copias de seguridad

Backups automáticos diarios con retención de 30 días en Supabase.

Monitorización

Health checks y alertas automáticas para detectar incidentes en tiempo real.

8. Auditorías e inspecciones

ClubSport proporcionará al Responsable toda la información necesaria para demostrar el cumplimiento del artículo 28 RGPD y permitirá la realización de auditorías por parte del Responsable o un auditor autorizado por éste, previo aviso con 30 días de antelación y durante el horario hábil, siempre que no comprometan la seguridad ni la confidencialidad de otros clientes.

Los costes de auditoría correrán a cargo del Responsable, salvo que la auditoría revele incumplimientos imputables a ClubSport.

9. Transferencias internacionales de datos

Para las transferencias a subencargados ubicados fuera del Espacio Económico Europeo (Stripe, Resend, Vercel, Anthropic), ClubSport garantiza que dichas transferencias se realizan con las salvaguardias adecuadas conforme al artículo 46 RGPD, mediante Cláusulas Contractuales Estándar (SCC) aprobadas por la Comisión Europea o mecanismos equivalentes.

10. Resolución y devolución / supresión de datos

A la terminación del servicio (por cancelación del Responsable o por resolución del contrato):

  • El Responsable tendrá acceso de solo lectura a sus datos durante 30 días adicionales para exportarlos en formato CSV o JSON.
  • Transcurrido dicho plazo, ClubSport procederá a la supresión definitiva e irrecuperable de todos los datos del Responsable en sus sistemas y en los de los subencargados.
  • ClubSport emitirá un certificado de supresión a petición del Responsable.
  • No obstante lo anterior, ClubSport podrá conservar los datos que esté obligado a mantener por imperativo legal (facturas, registros fiscales) durante el plazo legalmente exigido.

Versión 1.0 — Entrada en vigor: 1 de enero de 2026

Para cualquier consulta relativa a este DPA, contacta con nuestro DPO en privacidad@clubsport.app.