Acuerdo de Encargado del Tratamiento
Data Processing Agreement (DPA) — Art. 28 RGPD
Versión 1.0 · Última actualización: 7 de marzo de 2026
El presente Acuerdo de Encargado del Tratamiento (en adelante, “DPA” o “Acuerdo”) regula el tratamiento de datos personales realizado por Sphaira Tech en nombre de los clubes deportivos y entidades que contratan sus servicios, de conformidad con el artículo 28 del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD).
Este Acuerdo se incorpora automáticamente y forma parte de los Términos y Condiciones de Sphaira Tech. Al contratar o utilizar los servicios de Sphaira Tech, el Club acepta las condiciones del presente DPA.
1. Partes del acuerdo
1.1. Encargado del tratamiento
- Denominación: Sphaira Tech (Alejandro Espinosa López)
- NIF: 48649484E
- Domicilio: Calle Federico García Lorca 3, 30009, Murcia, España
- Email: info@sphairatech.com
- Rol RGPD: Encargado del tratamiento (Art. 28 RGPD)
1.2. Responsable del tratamiento
El club deportivo, academia, asociación o cualquier entidad que contrate los servicios de Sphaira Tech (en adelante, “el Club” o “el Responsable”), identificado con los datos proporcionados en el momento del registro en la plataforma.
- Rol RGPD: Responsable del tratamiento (Art. 24 RGPD)
2. Objeto, naturaleza y duración
Sphaira Tech tratará datos personales en nombre del Club con la finalidad exclusiva de prestar los servicios de gestión deportiva contratados, que incluyen:
- Gestión de jugadores, equipos, entrenadores y personal del club
- Administración de documentación deportiva y médica
- Gestión de pagos, cuotas y facturación
- Comunicaciones internas del club (notificaciones push, mensajes)
- Planificación de entrenamientos, convocatorias y calendario
- Análisis de estadísticas y rendimiento deportivo
- Almacenamiento y análisis de vídeo deportivo
- Funcionalidades de inteligencia artificial (análisis táctico, informes)
- Scouting y evaluación de jugadores
El presente Acuerdo tiene vigencia durante todo el período en que el Club mantenga activa su relación contractual con Sphaira Tech, y se extingue al finalizar dicha relación, con las obligaciones de supresión o devolución de datos previstas en la cláusula 10.
3. Tipos de datos personales y categorías de afectados
| Categoría de afectados | Tipos de datos tratados |
|---|---|
| Jugadores adultos (≥18 años) | Nombre, apellidos, fecha de nacimiento, email, teléfono, domicilio, DNI/NIE, fotografía de perfil, datos deportivos (posición, dorsal, equipo), estadísticas de rendimiento, asistencia, datos de salud (lesiones, revisiones médicas), datos de facturación |
| Jugadores menores de edad (<18 años) | Nombre, apellidos, fecha de nacimiento, fotografía, datos deportivos, datos de salud deportiva, datos del tutor legal. Tratados exclusivamente a través de los tutores legales |
| Entrenadores y staff técnico | Nombre, apellidos, email, teléfono, fotografía, datos de credenciales, rol en el club, historial de actividad en la plataforma |
| Padres / tutores legales | Nombre, apellidos, email, teléfono, relación con el menor, datos de pago (procesados por Stripe) |
| Administradores del club | Nombre, apellidos, email, teléfono, rol, datos de acceso, historial de actividad administrativa |
Categorías especiales de datos (Art. 9 RGPD): Sphaira Tech puede tratar datos de salud (lesiones, revisiones médicas, alergias) en nombre del Club, únicamente cuando el Club haya obtenido el consentimiento explícito del afectado o su tutor legal (Art. 9.2.a RGPD).
4. Instrucciones del responsable del tratamiento
Sphaira Tech tratará los datos personales únicamente siguiendo las instrucciones documentadas del Club y no los utilizará para finalidades propias ajenas a la prestación del servicio contratado, salvo obligación legal en contrario.
Las instrucciones del Club se articulan a través de:
- La configuración de la plataforma realizada por el administrador del Club
- Las funcionalidades activadas o desactivadas por el Club en su panel de administración
- Comunicaciones escritas dirigidas a info@sphairatech.com
Si Sphaira Tech considera que alguna instrucción del Club infringe el RGPD u otra normativa aplicable, lo comunicará al Club de inmediato.
5. Obligaciones de Sphaira Tech como encargado del tratamiento
Sphaira Tech se compromete a:
5.1. Confidencialidad
- Garantizar que las personas autorizadas para tratar los datos personales se hayan comprometido a guardar confidencialidad o estén sujetas a obligaciones legales de confidencialidad.
- No divulgar los datos del Club a terceros sin instrucción o autorización del Responsable, excepto cuando sea exigido por ley.
5.2. Seguridad técnica y organizativa
Implementar medidas de seguridad adecuadas conforme al Art. 32 RGPD, incluyendo las descritas en la Política de Privacidad — Sección 10:
- Cifrado en tránsito (HTTPS/TLS) y en reposo (AES-256)
- Autenticación segura con hash bcrypt y tokens JWT
- Control de acceso basado en roles (RBAC)
- Tokenización de datos de pago (PCI-DSS Level 1 a través de Stripe)
- Almacenamiento de datos biométricos exclusivamente en el dispositivo del usuario
5.3. Asistencia con derechos de los interesados
Asistir al Club, mediante las medidas técnicas y organizativas apropiadas, en el cumplimiento de su obligación de responder a solicitudes de ejercicio de derechos por parte de los interesados (acceso, rectificación, supresión, portabilidad, limitación, oposición).
Cuando un interesado dirija una solicitud directamente a Sphaira Tech, la reenviaremos al Club sin dilación indebida.
5.4. Asistencia con obligaciones de seguridad
Ayudar al Club a garantizar el cumplimiento de:
- Las obligaciones de seguridad del tratamiento (Art. 32 RGPD)
- La notificación de brechas de seguridad a la autoridad supervisora (Art. 33 RGPD)
- La comunicación de brechas a los interesados afectados (Art. 34 RGPD)
- La realización de evaluaciones de impacto (EIPD) cuando sea necesario (Art. 35 RGPD)
5.5. Notificación de brechas de seguridad
Sphaira Tech notificará al Club, sin dilación indebida y en todo caso en un plazo máximo de 72 horas desde que tenga conocimiento de ella, cualquier violación de seguridad que afecte a los datos personales del Club, conforme al Art. 33 RGPD.
La notificación se realizará a la dirección de correo electrónico del administrador del Club registrada en la plataforma, e incluirá como mínimo: descripción de la naturaleza de la brecha, categorías y número aproximado de afectados, posibles consecuencias y medidas adoptadas o propuestas.
5.6. Puesta a disposición de información y auditorías
Sphaira Tech pondrá a disposición del Club toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el Art. 28 RGPD, y permitirá y contribuirá a la realización de auditorías e inspecciones por parte del Club o de un auditor designado por él.
Las solicitudes de auditoría deberán realizarse con un preaviso razonable (mínimo 30 días naturales) y por escrito a info@sphairatech.com. Los costes asociados a auditorías in-situ serán sufragados por el Club.
6. Obligaciones del club como responsable del tratamiento
El Club, como Responsable del tratamiento, se compromete a:
- Haber obtenido el consentimiento informado de los afectados (o sus tutores legales en el caso de menores) antes de introducir sus datos en la plataforma de Sphaira Tech.
- Haber informado a los interesados sobre el tratamiento de sus datos, incluyendo la identidad y datos de Sphaira Tech como encargado del tratamiento.
- Garantizar que las instrucciones impartidas a Sphaira Tech para el tratamiento de datos son conformes con el RGPD y demás normativa aplicable.
- No introducir en la plataforma datos personales que no sean estrictamente necesarios para la gestión deportiva del club.
- Garantizar que únicamente el personal autorizado del club accede a la plataforma y a los datos de los afectados.
- Mantener actualizados los datos de los afectados y gestionar de manera adecuada las solicitudes de ejercicio de derechos que reciba directamente.
- Informar a Sphaira Tech de forma inmediata si tiene conocimiento de alguna incidencia que pueda afectar a la seguridad de los datos.
7. Subencargados del tratamiento
El Club autoriza a Sphaira Tech a contratar los siguientes subencargados del tratamiento para la prestación de los servicios. Sphaira Tech garantiza que estos subencargados ofrecen garantías suficientes de cumplimiento del RGPD y que los contratos con ellos incluyen las mismas obligaciones de protección de datos:
| Subencargado | País / Sede | Finalidad | Garantía de transferencia |
|---|---|---|---|
| Stripe, Inc. | EE.UU. | Procesamiento de pagos y cobro de cuotas | Marco de Privacidad de Datos UE-EE.UU. (DPF) |
| Firebase / Google LLC | EE.UU. | Envío de notificaciones push | Marco de Privacidad de Datos UE-EE.UU. (DPF) |
| OpenAI, Inc. | EE.UU. | IA para análisis táctico e informes (datos seudonimizados) | Marco de Privacidad de Datos UE-EE.UU. (DPF) + DPA propio |
| Backblaze, Inc. | UE (eu-central) | Almacenamiento de vídeo deportivo | Datos alojados en la UE |
| Google LLC (Gmail SMTP) | EE.UU. | Envío de correos electrónicos transaccionales | Marco de Privacidad de Datos UE-EE.UU. (DPF) |
| Resend, Inc. | EE.UU. | Envío de correos electrónicos transaccionales | Marco de Privacidad de Datos UE-EE.UU. (DPF) |
| Activa Network | Francia (UE) | Alojamiento de la base de datos principal | Datos alojados en la UE (no hay transferencia internacional) |
Sphaira Tech notificará al Club con al menos 30 días de antelación cualquier cambio previsto en la incorporación o sustitución de subencargados. El Club podrá oponerse a dichos cambios dirigiendo un escrito a info@sphairatech.com en el plazo de 15 días desde la notificación.
8. Transferencias internacionales de datos
Las transferencias internacionales de datos realizadas por Sphaira Tech o sus subencargados se amparan en:
- Marco de Privacidad de Datos UE-EE.UU. (EU-U.S. Data Privacy Framework): reconocido como adecuado por la Comisión Europea. Los proveedores Stripe, Google, OpenAI y Resend están certificados bajo este marco.
- Cláusulas Contractuales Tipo (SCC): aprobadas por la Comisión Europea (Decisión 2021/914) como garantía adicional o alternativa cuando corresponda.
- Datos alojados en la UE: la base de datos principal y los vídeos se alojan en servidores de la Unión Europea.
Para los datos enviados a OpenAI se aplica seudonimización automática previa: los nombres de jugadores, entrenadores, equipos y ubicaciones se sustituyen por tokens antes del envío, minimizando la exposición de datos identificables.
9. Plazo de conservación de los datos
Sphaira Tech conservará los datos personales del Club durante el tiempo estrictamente necesario para la prestación de los servicios contratados. Los plazos concretos son los establecidos en la Política de Privacidad — Sección 9.
En ningún caso los datos serán conservados más allá del plazo máximo legalmente admisible para cada tipo de datos, salvo instrucción expresa contraria del Responsable que sea conforme con la ley.
10. Devolución o supresión de datos al finalizar el servicio
Una vez finalizada la relación contractual entre el Club y Sphaira Tech:
- Exportación de datos (hasta 90 días tras la cancelación): el Club podrá solicitar la exportación de todos sus datos en formato estándar (CSV, JSON o PDF) durante los 90 días siguientes a la cancelación del servicio, dirigiendo la solicitud a info@sphairatech.com.
- Supresión definitiva: transcurrido el período de exportación (o antes si el Club lo solicita expresamente), Sphaira Tech procederá a la eliminación definitiva e irrecuperable de todos los datos personales del Club de sus sistemas, en un plazo máximo de 30 días.
- Confirmación de supresión: Sphaira Tech enviará al Club una confirmación escrita de la supresión completa de los datos una vez realizada.
- Conservación por obligación legal: los datos que deban conservarse por obligación legal (ej. datos financieros durante 5 años) no serán suprimidos, pero quedarán bloqueados y no serán utilizados para ningún otro fin.
11. Responsabilidad
Sphaira Tech responderá frente al Club por el incumplimiento de las obligaciones establecidas en el presente DPA que le sean directamente imputables, en los términos y con los límites establecidos en los Términos y Condiciones — Sección 10.
El Club responderá frente a los interesados y las autoridades de supervisión por el cumplimiento de sus obligaciones como Responsable del tratamiento, incluyendo la obtención de consentimientos válidos y la correcta información a los afectados.
12. Legislación aplicable y resolución de conflictos
El presente DPA se rige por el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y demás normativa española y europea aplicable en materia de protección de datos.
Para la resolución de cualquier controversia derivada del presente Acuerdo, las partes se someten a la jurisdicción de los Juzgados y Tribunales de Murcia, España, sin perjuicio de la competencia de la Agencia Española de Protección de Datos (AEPD) como autoridad de control.
13. Contacto
Para cualquier cuestión relativa al presente DPA o al tratamiento de datos en el marco de los servicios de Sphaira Tech:
- Email: info@sphairatech.com (asunto: “DPA / Encargado del Tratamiento”)
- Teléfono/WhatsApp: +34 623 91 17 72
- Dirección postal: Calle Federico García Lorca 3, 30009, Murcia, España
Este Acuerdo fue actualizado por última vez el 7 de marzo de 2026 (versión 1.0). Para consultar nuestras otras políticas: