Acordo de Encargado do Tratamento
Acordo de Encargado do Tratamento (DPA) — Art. 28 RXPD
Versión 1.0 · Última actualización: 7 de marzo de 2026
O presente Acordo de Encargado do Tratamento (en diante, “DPA” ou “Acordo”) regula o tratamento de datos persoais realizado por Sphaira Tech en nome dos clubs deportivos e entidades que contratan os seus servizos, de conformidade co artigo 28 do Regulamento (UE) 2016/679 (RXPD) e a Lei Orgánica 3/2018, do 5 de decembro (LOPDGDD).
Este Acordo incorpórase automaticamente e forma parte dos Termos e Condicións de Sphaira Tech. Ao contratar ou utilizar os servizos de Sphaira Tech, o Club acepta as condicións do presente DPA.
1. Partes do acordo
1.1. Encargado do tratamento
- Denominación: Sphaira Tech (Alejandro Espinosa López)
- NIF: 48649484E
- Domicilio: Rúa Federico García Lorca 3, 30009, Murcia, España
- Correo electrónico: info@sphairatech.com
- Rol RXPD: Encargado do tratamento (Art. 28 RXPD)
1.2. Responsable do tratamento
O club deportivo, academia, asociación ou calquera entidade que contrate os servizos de Sphaira Tech (en diante, “o Club” ou “o Responsable”), identificado cos datos proporcionados no momento do rexistro na plataforma.
- Rol RXPD: Responsable do tratamento (Art. 24 RXPD)
2. Obxecto, natureza e duración
Sphaira Tech tratará datos persoais en nome do Club coa finalidade exclusiva de prestar os servizos de xestión deportiva contratados, que inclúen:
- Xestión de xogadores, equipos, adestradores e persoal do club
- Administración de documentación deportiva e médica
- Xestión de pagamentos, cotas e facturación
- Comunicacións internas do club (notificacións push, mensaxes)
- Planificación de adestramentos, convocatorias e calendario
- Análise de estatísticas e rendemento deportivo
- Almacenamento e análise de vídeo deportivo
- Funcionalidades de intelixencia artificial (análise táctica, informes)
- Scouting e avaliación de xogadores
O presente Acordo ten vixencia durante todo o período en que o Club manteña activa a súa relación contractual con Sphaira Tech, e extínguese ao finalizar dita relación, coas obrigas de supresión ou devolución de datos previstas na cláusula 10.
3. Tipos de datos persoais e categorías de interesados
| Categoría de interesados | Tipos de datos tratados |
|---|---|
| Xogadores adultos (≥18 anos) | Nome, apelidos, data de nacemento, correo electrónico, teléfono, domicilio, DNI/NIE, fotografía de perfil, datos deportivos (posición, dorsal, equipo), estatísticas de rendemento, asistencia, datos de saúde (lesións, revisións médicas), datos de facturación |
| Xogadores menores de idade (<18 anos) | Nome, apelidos, data de nacemento, fotografía, datos deportivos, datos de saúde deportiva, datos do titor legal. Tratados exclusivamente a través dos titores legais |
| Adestradores e staff técnico | Nome, apelidos, correo electrónico, teléfono, fotografía, datos de credenciais, rol no club, historial de actividade na plataforma |
| Pais / titores legais | Nome, apelidos, correo electrónico, teléfono, relación co menor, datos de pagamento (procesados por Stripe) |
| Administradores do club | Nome, apelidos, correo electrónico, teléfono, rol, datos de acceso, historial de actividade administrativa |
Categorías especiais de datos (Art. 9 RXPD): Sphaira Tech pode tratar datos de saúde (lesións, revisións médicas, alerxias) en nome do Club, unicamente cando o Club obtivese o consentimento explícito do interesado ou do seu titor legal (Art. 9.2.a RXPD).
4. Instrucións do responsable do tratamento
Sphaira Tech tratará os datos persoais unicamente seguindo as instrucións documentadas do Club e non os utilizará para finalidades propias alleas á prestación do servizo contratado, salvo obriga legal en contrario.
As instrucións do Club articulanse a través de:
- A configuración da plataforma realizada polo administrador do Club
- As funcionalidades activadas ou desactivadas polo Club no seu panel de administración
- Comunicacións escritas dirixidas a info@sphairatech.com
Se Sphaira Tech considera que algunha instrución do Club infringe o RXPD ou outra normativa aplicable, comunicarao ao Club de inmediato.
5. Obrigas de Sphaira Tech como encargado do tratamento
Sphaira Tech comprométese a:
5.1. Confidencialidade
- Garantir que as persoas autorizadas para tratar os datos persoais se comprometesen a gardar confidencialidade ou estean suxeitas a obrigas legais de confidencialidade.
- Non divulgar os datos do Club a terceiros sen instrución ou autorización do Responsable, agás cando sexa esixido por lei.
5.2. Seguridade técnica e organizativa
Implementar medidas de seguridade adecuadas conforme ao Art. 32 RXPD, incluíndo as descritas na Política de Privacidade — Sección 10:
- Cifrado en tránsito (HTTPS/TLS) e en repouso (AES-256)
- Autenticación segura con hash bcrypt e tokens JWT
- Control de acceso baseado en roles (RBAC)
- Tokenización de datos de pagamento (PCI-DSS Nivel 1 a través de Stripe)
- Almacenamento de datos biométricos exclusivamente no dispositivo do usuario
5.3. Asistencia cos dereitos dos interesados
Asistir ao Club, mediante as medidas técnicas e organizativas apropiadas, no cumprimento da súa obriga de responder a solicitudes de exercicio de dereitos por parte dos interesados (acceso, rectificación, supresión, portabilidade, limitación, oposición).
Cando un interesado dirixa unha solicitude directamente a Sphaira Tech, reenviaremola ao Club sen dilación indebida.
5.4. Asistencia con obrigas de seguridade
Axudar ao Club a garantir o cumprimento de:
- As obrigas de seguridade do tratamento (Art. 32 RXPD)
- A notificación de violacións de datos á autoridade supervisora (Art. 33 RXPD)
- A comunicación de violacións de datos aos interesados afectados (Art. 34 RXPD)
- A realización de avaliacións de impacto (EIPD) cando sexa necesario (Art. 35 RXPD)
5.5. Notificación de violacións de datos
Sphaira Tech notificará ao Club, sen dilación indebida e en todo caso nun prazo máximo de 72 horas dende que teña coñecemento dela, calquera violación de seguridade que afecte aos datos persoais do Club, conforme ao Art. 33 RXPD.
A notificación realizarase ao enderezo de correo electrónico do administrador do Club rexistrado na plataforma, e incluirá como mínimo: descrición da natureza da violación de datos, categorías e número aproximado de afectados, posibles consecuencias e medidas adoptadas ou propostas.
5.6. Posta á disposición de información e auditorías
Sphaira Tech porá á disposición do Club toda a información necesaria para demostrar o cumprimento das obrigas establecidas no Art. 28 RXPD, e permitirá e contribuirá á realización de auditorías e inspeccións por parte do Club ou dun auditor designado por el.
As solicitudes de auditoría deberán realizarse cun preaviso razoable (mínimo 30 días naturais) e por escrito a info@sphairatech.com. Os custos asociados a auditorías in situ serán sufragados polo Club.
6. Obrigas do club como responsable do tratamento
O Club, como Responsable do tratamento, comprométese a:
- Ter obtido o consentimento informado dos interesados (ou dos seus titores legais no caso de menores) antes de introducir os seus datos na plataforma de Sphaira Tech.
- Ter informado aos interesados sobre o tratamento dos seus datos, incluíndo a identidade e datos de Sphaira Tech como encargado do tratamento.
- Garantir que as instrucións impartidas a Sphaira Tech para o tratamento de datos son conformes co RXPD e demais normativa aplicable.
- Non introducir na plataforma datos persoais que non sexan estritamente necesarios para a xestión deportiva do club.
- Garantir que unicamente o persoal autorizado do club acceda á plataforma e aos datos dos interesados.
- Manter actualizados os datos dos interesados e xestionar de xeito adecuado as solicitudes de exercicio de dereitos que reciba directamente.
- Informar a Sphaira Tech de forma inmediata se ten coñecemento de algunha incidencia que poida afectar á seguridade dos datos.
7. Subencargados do tratamento
O Club autoriza a Sphaira Tech a contratar os seguintes subencargados do tratamento para a prestación dos servizos. Sphaira Tech garante que estes subencargados ofrecen garantías suficientes de cumprimento do RXPD e que os contratos con eles inclúen as mesmas obrigas de protección de datos:
| Subencargado | País / Sede | Finalidade | Garantía de transferencia |
|---|---|---|---|
| Stripe, Inc. | EE.UU. | Procesamento de pagamentos e cobro de cotas | Marco de Privacidade de Datos UE-EE.UU. (DPF) |
| Firebase / Google LLC | EE.UU. | Envío de notificacións push | Marco de Privacidade de Datos UE-EE.UU. (DPF) |
| OpenAI, Inc. | EE.UU. | IA para análise táctica e informes (datos seudonimizados) | Marco de Privacidade de Datos UE-EE.UU. (DPF) + DPA propio |
| Backblaze, Inc. | UE (eu-central) | Almacenamento de vídeo deportivo | Datos aloxados na UE |
| Google LLC (Gmail SMTP) | EE.UU. | Envío de correos electrónicos transaccionais | Marco de Privacidade de Datos UE-EE.UU. (DPF) |
| Resend, Inc. | EE.UU. | Envío de correos electrónicos transaccionais | Marco de Privacidade de Datos UE-EE.UU. (DPF) |
| Activa Network | Francia (UE) | Aloxamento da base de datos principal | Datos aloxados na UE (non hai transferencia internacional) |
Sphaira Tech notificará ao Club con polo menos 30 días de antelación calquera cambio previsto na incorporación ou substitución de subencargados. O Club poderá opoñerse a ditos cambios dirixindo un escrito a info@sphairatech.com no prazo de 15 días dende a notificación.
8. Transferencias internacionais de datos
As transferencias internacionais de datos realizadas por Sphaira Tech ou os seus subencargados ampáranse en:
- Marco de Privacidade de Datos UE-EE.UU. (EU-U.S. Data Privacy Framework): recoñecido como adecuado pola Comisión Europea. Os provedores Stripe, Google, OpenAI e Resend están certificados baixo este marco.
- Cláusulas Contractuais Tipo (SCC): aprobadas pola Comisión Europea (Decisión 2021/914) como garantía adicional ou alternativa cando corresponda.
- Datos aloxados na UE: a base de datos principal e os vídeos alóxanse en servidores da Unión Europea.
Para os datos enviados a OpenAI aplícase seudonimización automática previa: os nomes de xogadores, adestradores, equipos e localizacións substitúense por tokens antes do envío, minimizando a exposición de datos identificables.
9. Prazo de conservación dos datos
Sphaira Tech conservará os datos persoais do Club durante o tempo estritamente necesario para a prestación dos servizos contratados. Os prazos concretos son os establecidos na Política de Privacidade — Sección 9.
En ningún caso os datos serán conservados máis alá do prazo máximo legalmente admisible para cada tipo de datos, salvo instrución expresa en contrario do Responsable que sexa conforme coa lei.
10. Devolución ou supresión de datos ao finalizar o servizo
Unha vez finalizada a relación contractual entre o Club e Sphaira Tech:
- Exportación de datos (ata 90 días tras a cancelación): o Club poderá solicitar a exportación de todos os seus datos en formato estándar (CSV, JSON ou PDF) durante os 90 días seguintes á cancelación do servizo, dirixindo a solicitude a info@sphairatech.com.
- Supresión definitiva: transcorrido o período de exportación (ou antes se o Club o solicita expresamente), Sphaira Tech procederá á eliminación definitiva e irrecuperable de todos os datos persoais do Club dos seus sistemas, nun prazo máximo de 30 días.
- Confirmación de supresión: Sphaira Tech enviará ao Club unha confirmación escrita da supresión completa dos datos unha vez realizada.
- Conservación por obriga legal: os datos que deban conservarse por obriga legal (ex. datos financeiros durante 5 anos) non serán suprimidos, pero quedarán bloqueados e non serán utilizados para ningunha outra finalidade.
11. Responsabilidade
Sphaira Tech responderá fronte ao Club polo incumprimento das obrigas establecidas no presente DPA que lle sexan directamente imputables, nos termos e cos límites establecidos nos Termos e Condicións — Sección 10.
O Club responderá fronte aos interesados e as autoridades de supervisión polo cumprimento das súas obrigas como Responsable do tratamento, incluíndo a obtención de consentimentos válidos e a correcta información aos afectados.
12. Lexislación aplicable e resolución de conflitos
O presente DPA réxese polo Regulamento (UE) 2016/679 (RXPD), a Lei Orgánica 3/2018 (LOPDGDD) e demais normativa española e europea aplicable en materia de protección de datos.
Para a resolución de calquera controversia derivada do presente Acordo, as partes sométense á xurisdición dos Xulgados e Tribunais de Murcia, España, sen prexuízo da competencia da Axencia Española de Protección de Datos (AEPD) como autoridade de control.
13. Contacto
Para calquera cuestión relativa ao presente DPA ou ao tratamento de datos no marco dos servizos de Sphaira Tech:
- Correo electrónico: info@sphairatech.com (asunto: “DPA / Encargado do Tratamento”)
- Teléfono/WhatsApp: +34 623 91 17 72
- Enderezo postal: Rúa Federico García Lorca 3, 30009, Murcia, España
Este Acordo foi actualizado por última vez o 7 de marzo de 2026 (versión 1.0). Para consultar as nosas outras políticas: