Acord d' Encarregat del Tractament
Acord d'Encarregat del Tractament (DPA) — Art. 28 RGPD
Versió 1.0 · Darrera actualització: 7 de març de 2026
El present Acord d'Encarregat del Tractament (d'ara endavant, “DPA” o “Acord”) regula el tractament de dades personals dut a terme per Sphaira Tech en nom dels clubs esportius i entitats que contracten els seus serveis, de conformitat amb l'article 28 del Reglament (UE) 2016/679 (RGPD) i la Llei Orgànica 3/2018, de 5 de desembre (LOPDGDD).
Aquest Acord s'incorpora automàticament i forma part dels Termes i Condicions de Sphaira Tech. En contractar o utilitzar els serveis de Sphaira Tech, el Club accepta les condicions del present DPA.
1. Parts de l'acord
1.1. Encarregat del tractament
- Denominació: Sphaira Tech (Alejandro Espinosa López)
- NIF: 48649484E
- Domicili: Carrer Federico García Lorca 3, 30009, Múrcia, Espanya
- Correu electrònic: info@sphairatech.com
- Rol RGPD: Encarregat del tractament (Art. 28 RGPD)
1.2. Responsable del tractament
El club esportiu, acadèmia, associació o qualsevol entitat que contracti els serveis de Sphaira Tech (d'ara endavant, “el Club” o “el Responsable”), identificat amb les dades proporcionades en el moment del registre a la plataforma.
- Rol RGPD: Responsable del tractament (Art. 24 RGPD)
2. Objecte, naturalesa i durada
Sphaira Tech tractarà dades personals en nom del Club amb la finalitat exclusiva de prestar els serveis de gestió esportiva contractats, que inclouen:
- Gestió de jugadors, equips, entrenadors i personal del club
- Administració de documentació esportiva i mèdica
- Gestió de pagaments, quotes i facturació
- Comunicacions internes del club (notificacions push, missatges)
- Planificació d'entrenaments, convocatòries i calendari
- Anàlisi d'estadístiques i rendiment esportiu
- Emmagatzematge i anàlisi de vídeo esportiu
- Funcionalitats d'intel·ligència artificial (anàlisi tàctica, informes)
- Scouting i avaluació de jugadors
El present Acord té vigència durant tot el període en què el Club mantingui activa la seva relació contractual amb Sphaira Tech, i s'extingeix en finalitzar aquesta relació, amb les obligacions de supressió o devolució de dades previstes a la clàusula 10.
3. Tipus de dades personals i categories d'afectats
| Categoria d'afectats | Tipus de dades tractades |
|---|---|
| Jugadors adults (≥18 anys) | Nom, cognoms, data de naixement, correu electrònic, telèfon, domicili, DNI/NIE, fotografia de perfil, dades esportives (posició, dorsal, equip), estadístiques de rendiment, assistència, dades de salut (lesions, revisions mèdiques), dades de facturació |
| Jugadors menors d'edat (<18 anys) | Nom, cognoms, data de naixement, fotografia, dades esportives, dades de salut esportiva, dades del tutor legal. Tractats exclusivament a través dels tutors legals |
| Entrenadors i staff tècnic | Nom, cognoms, correu electrònic, telèfon, fotografia, dades de credencials, rol al club, historial d'activitat a la plataforma |
| Pares / tutors legals | Nom, cognoms, correu electrònic, telèfon, relació amb el menor, dades de pagament (processades per Stripe) |
| Administradors del club | Nom, cognoms, correu electrònic, telèfon, rol, dades d'accés, historial d'activitat administrativa |
Categories especials de dades (Art. 9 RGPD): Sphaira Tech pot tractar dades de salut (lesions, revisions mèdiques, al·lèrgies) en nom del Club, únicament quan el Club hagi obtingut el consentiment explícit de l'afectat o del seu tutor legal (Art. 9.2.a RGPD).
4. Instruccions del responsable del tractament
Sphaira Tech tractarà les dades personals únicament seguint les instruccions documentades del Club i no les utilitzarà per a finalitats pròpies alienes a la prestació del servei contractat, excepte obligació legal en sentit contrari.
Les instruccions del Club s'articulen a través de:
- La configuració de la plataforma realitzada per l'administrador del Club
- Les funcionalitats activades o desactivades pel Club al seu tauler d'administració
- Comunicacions escrites adreçades a info@sphairatech.com
Si Sphaira Tech considera que alguna instrucció del Club infringeix el RGPD o altra normativa aplicable, ho comunicarà al Club de manera immediata.
5. Obligacions de Sphaira Tech com a encarregat del tractament
Sphaira Tech es compromet a:
5.1. Confidencialitat
- Garantir que les persones autoritzades per tractar les dades personals s'hagin compromès a guardar confidencialitat o estiguin subjectes a obligacions legals de confidencialitat.
- No divulgar les dades del Club a tercers sense instrucció o autorització del Responsable, excepte quan sigui exigit per llei.
5.2. Seguretat tècnica i organitzativa
Implementar mesures de seguretat adequades conforme a l'Art. 32 RGPD, incloent-hi les descrites a la Política de Privacitat — Secció 10:
- Xifratge en trànsit (HTTPS/TLS) i en repòs (AES-256)
- Autenticació segura amb hash bcrypt i tokens JWT
- Control d'accés basat en rols (RBAC)
- Tokenització de dades de pagament (PCI-DSS Nivell 1 a través de Stripe)
- Emmagatzematge de dades biomètriques exclusivament al dispositiu de l'usuari
5.3. Assistència amb drets dels interessats
Assistir el Club, mitjançant les mesures tècniques i organitzatives apropiades, en el compliment de la seva obligació de respondre a sol·licituds d'exercici de drets per part dels interessats (accés, rectificació, supressió, portabilitat, limitació, oposició).
Quan un interessat adreci una sol·licitud directament a Sphaira Tech, la reenviarem al Club sense dilació indeguda.
5.4. Assistència amb obligacions de seguretat
Ajudar el Club a garantir el compliment de:
- Les obligacions de seguretat del tractament (Art. 32 RGPD)
- La notificació de violacions de dades a l'autoritat supervisora (Art. 33 RGPD)
- La comunicació de violacions de dades als interessats afectats (Art. 34 RGPD)
- La realització d'avaluacions d'impacte (AIPD) quan sigui necessari (Art. 35 RGPD)
5.5. Notificació de violacions de dades
Sphaira Tech notificarà al Club, sense dilació indeguda i en tot cas en un termini màxim de 72 hores des que en tingui coneixement, qualsevol violació de seguretat que afecti les dades personals del Club, conforme a l'Art. 33 RGPD.
La notificació es realitzarà a l'adreça de correu electrònic de l'administrador del Club registrada a la plataforma, i inclourà com a mínim: descripció de la naturalesa de la violació de dades, categories i nombre aproximat d'afectats, possibles conseqüències i mesures adoptades o proposades.
5.6. Posada a disposició d'informació i auditories
Sphaira Tech posarà a disposició del Club tota la informació necessària per demostrar el compliment de les obligacions establertes a l'Art. 28 RGPD, i permetrà i contribuirà a la realització d'auditories i inspeccions per part del Club o d'un auditor designat per ell.
Les sol·licituds d'auditoria s'hauran de realitzar amb un preavís raonable (mínim 30 dies naturals) i per escrit a info@sphairatech.com. Els costos associats a auditories in situ seran sufragats pel Club.
6. Obligacions del club com a responsable del tractament
El Club, com a Responsable del tractament, es compromet a:
- Haver obtingut el consentiment informat dels afectats (o dels seus tutors legals en el cas de menors) abans d'introduir les seves dades a la plataforma de Sphaira Tech.
- Haver informat els interessats sobre el tractament de les seves dades, incloent-hi la identitat i dades de Sphaira Tech com a encarregat del tractament.
- Garantir que les instruccions impartides a Sphaira Tech per al tractament de dades són conformes amb el RGPD i demés normativa aplicable.
- No introduir a la plataforma dades personals que no siguin estrictament necessàries per a la gestió esportiva del club.
- Garantir que únicament el personal autoritzat del club accedeixi a la plataforma i a les dades dels afectats.
- Mantenir actualitzades les dades dels afectats i gestionar adequadament les sol·licituds d'exercici de drets que rebi directament.
- Informar Sphaira Tech de manera immediata si té coneixement d'alguna incidència que pugui afectar la seguretat de les dades.
7. Subencàrregats del tractament
El Club autoritza Sphaira Tech a contractar els subencàrregats del tractament següents per a la prestació dels serveis. Sphaira Tech garanteix que aquests subencàrregats ofereixen garanties suficients de compliment del RGPD i que els contractes amb ells inclouen les mateixes obligacions de protecció de dades:
| Subencàrrec | País / Seu | Finalitat | Garantia de transferència |
|---|---|---|---|
| Stripe, Inc. | EUA | Processament de pagaments i cobrament de quotes | Marc de Privacitat de Dades UE-EUA (DPF) |
| Firebase / Google LLC | EUA | Enviament de notificacions push | Marc de Privacitat de Dades UE-EUA (DPF) |
| OpenAI, Inc. | EUA | IA per a anàlisi tàctica i informes (dades pseudonimitzades) | Marc de Privacitat de Dades UE-EUA (DPF) + DPA propi |
| Backblaze, Inc. | UE (eu-central) | Emmagatzematge de vídeo esportiu | Dades allotjades a la UE |
| Google LLC (Gmail SMTP) | EUA | Enviament de correus electrònics transaccionals | Marc de Privacitat de Dades UE-EUA (DPF) |
| Resend, Inc. | EUA | Enviament de correus electrònics transaccionals | Marc de Privacitat de Dades UE-EUA (DPF) |
| Activa Network | França (UE) | Allotjament de la base de dades principal | Dades allotjades a la UE (no hi ha transferència internacional) |
Sphaira Tech notificarà al Club amb almenys 30 dies d'antelació qualsevol canvi previst en la incorporació o substitució de subencàrregats. El Club podrà oposar-se a aquests canvis adreçant un escrit a info@sphairatech.com en el termini de 15 dies des de la notificació.
8. Transferències internacionals de dades
Les transferències internacionals de dades realitzades per Sphaira Tech o els seus subencàrregats s'emparen en:
- Marc de Privacitat de Dades UE-EUA (EU-U.S. Data Privacy Framework): reconegut com a adequat per la Comissió Europea. Els proveïdors Stripe, Google, OpenAI i Resend estan certificats sota aquest marc.
- Clàusules Contractuals Tipus (SCC): aprovades per la Comissió Europea (Decisió 2021/914) com a garantia addicional o alternativa quan correspongui.
- Dades allotjades a la UE: la base de dades principal i els vídeos s'allotgen a servidors de la Unió Europea.
Per a les dades enviades a OpenAI s'aplica pseudonimització automàtica prèvia: els noms de jugadors, entrenadors, equips i ubicacions se substitueixen per tokens abans de l'enviament, minimitzant l'exposició de dades identificables.
9. Termini de conservació de les dades
Sphaira Tech conservarà les dades personals del Club durant el temps estrictament necessari per a la prestació dels serveis contractats. Els terminis concrets són els establerts a la Política de Privacitat — Secció 9.
En cap cas les dades seran conservades més enllà del termini màxim legalment admissible per a cada tipus de dades, excepte instrucció expressa en sentit contrari del Responsable que sigui conforme amb la llei.
10. Devolució o supressió de dades en finalitzar el servei
Un cop finalitzada la relació contractual entre el Club i Sphaira Tech:
- Exportació de dades (fins a 90 dies després de la cancel·lació): el Club podrà sol·licitar l'exportació de totes les seves dades en format estàndard (CSV, JSON o PDF) durant els 90 dies següents a la cancel·lació del servei, adreçant la sol·licitud a info@sphairatech.com.
- Supressió definitiva: transcorregut el període d'exportació (o abans si el Club ho sol·licita expressament), Sphaira Tech procedirà a l'eliminació definitiva i irrecuperable de totes les dades personals del Club dels seus sistemes, en un termini màxim de 30 dies.
- Confirmació de supressió: Sphaira Tech enviarà al Club una confirmació escrita de la supressió completa de les dades un cop realitzada.
- Conservació per obligació legal: les dades que hagin de conservar-se per obligació legal (ex. dades financeres durant 5 anys) no seran suprimides, però quedaran bloquejades i no seran utilitzades per a cap altra finalitat.
11. Responsabilitat
Sphaira Tech respondrà enfront del Club per l'incompliment de les obligacions establertes en el present DPA que li siguin directament imputables, en els termes i amb els límits establerts als Termes i Condicions — Secció 10.
El Club respondrà enfront dels interessats i les autoritats de supervisió pel compliment de les seves obligacions com a Responsable del tractament, incloent-hi l'obtenció de consentiments vàlids i la correcta informació als afectats.
12. Legislació aplicable i resolució de conflictes
El present DPA es regeix pel Reglament (UE) 2016/679 (RGPD), la Llei Orgànica 3/2018 (LOPDGDD) i demés normativa espanyola i europea aplicable en matèria de protecció de dades.
Per a la resolució de qualsevol controvèrsia derivada del present Acord, les parts se sotmeten a la jurisdicció dels Jutjats i Tribunals de Múrcia, Espanya, sense perjudici de la competència de l'Agència Espanyola de Protecció de Dades (AEPD) com a autoritat de control.
13. Contacte
Per a qualsevol qüestió relativa al present DPA o al tractament de dades en el marc dels serveis de Sphaira Tech:
- Correu electrònic: info@sphairatech.com (assumpte: “DPA / Encarregat del Tractament”)
- Telèfon/WhatsApp: +34 623 91 17 72
- Adreça postal: Carrer Federico García Lorca 3, 30009, Múrcia, Espanya
Aquest Acord va ser actualitzat per darrera vegada el 7 de març de 2026 (versió 1.0). Per consultar les nostres altres polítiques: