Anexo de Encargo del Tratamiento
Versión 1.0 - Enero 2025
Contrato de Encargo del Tratamiento conforme al Artículo 28 del RGPD
Este documento regula las condiciones en que Klubio, como encargado del tratamiento, tratará los datos personales por cuenta del club deportivo (responsable del tratamiento).
Partes
Responsable del Tratamiento (el Club)
El club deportivo u organización que contrata los servicios de Klubio y actúa como responsable del tratamiento de los datos personales de sus jugadores, personal y miembros.
Encargado del Tratamiento (Klubio)
- Denominación: Daniel Cabiscol (persona física en fase MVP)
- NIF: 47330742P
- Domicilio: Carrer Nou 26, 08339 Vilassar de Dalt, Barcelona, España
- Email: legal@klubio.app
1. Objeto del encargo
El presente anexo regula las condiciones en que Klubio tratará los datos personales por cuenta del Cliente, en el marco de la prestación de los servicios SaaS de gestión de clubes deportivos.
El tratamiento de datos que Klubio realizará consistirá en:
- Almacenamiento de datos en servidores seguros.
- Procesamiento para la funcionalidad de la plataforma.
- Copias de seguridad y recuperación.
- Comunicaciones relacionadas con el servicio (emails transaccionales).
- Soporte técnico cuando sea requerido.
Klubio NO utilizará los datos para:
- Entrenar modelos de inteligencia artificial o machine learning.
- Fines comerciales propios o de terceros.
- Elaboración de perfiles para publicidad.
- Cesión o venta a terceros.
- Análisis agregados ajenos a la prestación del servicio.
2. Datos tratados
2.1 Categorías de interesados
| Categoría | Descripción |
|---|---|
| Jugadores | Personas físicas que forman parte del club como deportistas, incluyendo menores de edad |
| Tutores legales | Padres, madres o tutores de jugadores menores |
| Personal técnico | Entrenadores, coordinadores y personal del club |
| Usuarios del sistema | Administradores con acceso a la plataforma |
| Socios/Miembros | Personas asociadas al club |
| Contactos | Proveedores, árbitros, patrocinadores |
2.2 Categorías de datos
| Categoría | Datos incluidos |
|---|---|
| Identificativos | Nombre, apellidos, DNI/NIE, fecha de nacimiento, foto |
| Contacto | Email, teléfono, dirección |
| Tutor legal | Nombre, teléfono, email, relación (para menores) |
| Emergencia | Contacto de emergencia (nombre, relación, teléfono) |
| Deportivos | Posición, dorsal, equipo, temporadas |
| Salud (limitados) | Lesiones activas, notas médicas relevantes |
| Económicos | Estado de pago de cuotas |
2.3 Tratamiento de datos de menores
IMPORTANTE: Klubio trata datos de menores de edad únicamente por cuenta del Club. El Club, como responsable del tratamiento, declara y garantiza que:
- Dispone del consentimiento expreso de los padres, madres o tutores legales para el tratamiento de datos de menores de 14 años.
- Ha informado adecuadamente a los tutores legales de menores entre 14 y 18 años.
- Conserva la documentación acreditativa de dichos consentimientos.
- No introducirá datos de menores sin haber obtenido previamente el consentimiento parental requerido.
3. Duración
Este encargo tendrá la duración de la relación contractual con Klubio. Una vez finalizada:
- El Club dispondrá de 60 días naturales para solicitar la exportación de sus datos.
- Transcurrido dicho plazo, los datos serán eliminados de forma permanente.
- Las copias de seguridad se eliminarán en un plazo máximo de 30 días adicionales.
- Los datos de facturación se conservarán bloqueados durante 5 años (obligación fiscal).
4. Obligaciones de Klubio
4.1 Confidencialidad
Tratar los datos de forma confidencial y garantizar que las personas autorizadas para tratar datos personales se comprometan a respetar la confidencialidad.
4.2 Medidas de seguridad (Art. 32 RGPD)
- Cifrado de datos en tránsito (TLS 1.2+) y en reposo (AES-256).
- Control de acceso basado en roles (RBAC).
- Autenticación segura con soporte para 2FA.
- Copias de seguridad automáticas cifradas.
- Aislamiento lógico de datos entre clubes.
- Monitorización de seguridad.
4.3 Subencargados
No recurrir a otro encargado sin autorización previa. El Cliente autoriza expresamente a los subencargados listados en la sección 7. Klubio informará de cualquier cambio con al menos 15 días de antelación.
4.4 Asistencia al responsable
Asistir al Cliente para atender solicitudes de ejercicio de derechos, evaluaciones de impacto y cooperar con la autoridad de control.
4.5 Notificación de brechas
Notificar cualquier violación de seguridad sin dilación indebida y en un plazo máximo de 48 horas tras tener conocimiento.
5. Obligaciones del Club
- Garantizar que dispone de base legal para el tratamiento de los datos.
- Obtener y conservar los consentimientos parentales necesarios para datos de menores.
- Informar adecuadamente a los interesados sobre el tratamiento.
- Introducir únicamente datos veraces y actualizados.
- Proporcionar instrucciones lícitas a Klubio.
6. Derechos de los interesados
Klubio colaborará con el Cliente para atender las solicitudes de ejercicio de derechos (acceso, rectificación, supresión, portabilidad, oposición, limitación).
Si Klubio recibe una solicitud directa de un interesado, la redirigirá al Cliente responsable en un plazo máximo de 5 días hábiles.
7. Subencargados autorizados
| Proveedor | Finalidad | Ubicación | Garantías |
|---|---|---|---|
| Supabase, Inc. | Base de datos, autenticación, almacenamiento | Frankfurt, UE | RGPD compliant, SOC2 |
| Vercel, Inc. | Hosting y CDN | Global (nodos UE) | CCT de la UE |
| Resend, Inc. | Envío de emails transaccionales | USA | CCT de la UE |
CCT: Cláusulas Contractuales Tipo de la Comisión Europea para transferencias internacionales.
Nota: Los datos principales se almacenan en servidores AWS ubicados en Frankfurt, Alemania, dentro del EEE.
8. Auditoría e inspección
Klubio pondrá a disposición del Cliente la información necesaria para demostrar el cumplimiento. El Cliente podrá realizar inspecciones:
- Con preaviso de al menos 15 días.
- Durante horario laboral, sin interferir en el servicio.
- Máximo 1 auditoría anual (salvo incidente o requerimiento de autoridad).
9. Finalización y supresión
A la finalización de la relación, el Cliente podrá elegir entre:
- Exportación: Solicitar todos sus datos en formato estructurado (Excel, CSV, JSON).
- Supresión inmediata: Solicitar la eliminación inmediata de todos los datos.
En ausencia de instrucciones, los datos se conservarán 60 días tras la cancelación y después se eliminarán permanentemente.
10. Responsabilidad
Klubio responderá de los daños causados por el tratamiento cuando no haya cumplido las obligaciones del RGPD dirigidas a encargados o haya actuado al margen de las instrucciones legales del responsable.
11. Disposiciones finales
- Este anexo forma parte de los Términos y Condiciones.
- Se rige por la legislación española y el RGPD.
- Para controversias: Juzgados y Tribunales de Barcelona (España).
Anexo I: Medidas técnicas de seguridad
| Área | Medidas |
|---|---|
| Cifrado | TLS 1.3 (tránsito), AES-256 (reposo), bcrypt (contraseñas) |
| Control acceso | Autenticación email/contraseña, RBAC, Row-Level Security |
| Disponibilidad | Backups diarios, infraestructura redundante |
| Monitorización | Logs de acceso, alertas de seguridad |
| Organizativas | Personal bajo NDA, procedimiento de incidentes |