Acuerdo de tratamiento de datos (DPA).
El presente Acuerdo regula el tratamiento de datos personales que FutbolCRM S.L. ("Encargado") realiza por cuenta del Cliente ("Responsable") en el marco de la prestación del servicio de la plataforma FutbolCRM, conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD).
1 · Objeto del encargo
FutbolCRM tratará datos personales por cuenta del Responsable exclusivamente para la prestación del servicio contratado y sus funciones operativas: gestión deportiva, financiera, de socios, de patrocinios, de subvenciones y demás módulos disponibles según el plan contratado.
2 · Identificación de las partes
- Responsable del tratamiento: el Cliente (entidad deportiva contratante), cuyos datos identificativos figuran en el contrato de prestación de servicios.
- Encargado del tratamiento: FutbolCRM S.L., con CIF B-XXXXXXXX [completar], domicilio en Madrid (España) y email dpo@futbolcrm.es.
3 · Categorías de datos y de interesados
| Categoría de interesado | Categorías de datos |
|---|---|
| Jugadores y deportistas (incl. menores) | Identificación, contacto, datos médicos básicos, datos federativos, imágenes |
| Tutores legales | Identificación, contacto, firmas y autorizaciones |
| Socios y aficionados | Identificación, contacto, datos de pago |
| Personal técnico y staff | Identificación, contacto, datos profesionales y federativos |
| Patrocinadores y proveedores | Identificación corporativa, datos de contacto profesional |
4 · Obligaciones del Encargado
FutbolCRM se compromete a:
- Tratar los datos únicamente conforme a las instrucciones documentadas del Responsable.
- Garantizar que las personas autorizadas a tratar los datos se hayan comprometido a respetar la confidencialidad.
- Adoptar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:
- Cifrado en reposo (AES-256) y en tránsito (TLS 1.3).
- Control de acceso por roles y autenticación reforzada.
- Registros de actividad y trazabilidad inmutable.
- Backups cifrados con plan de recuperación ante desastres.
- Alojamiento exclusivamente en territorio de la Unión Europea.
- Auditorías periódicas y proceso de gestión de incidentes.
- Asistir al Responsable en el cumplimiento de las solicitudes de ejercicio de derechos por parte de los interesados.
- Asistir al Responsable en evaluaciones de impacto, consultas previas a la AEPD y notificación de violaciones de seguridad.
- Notificar al Responsable cualquier violación de seguridad sin dilación indebida y, en cualquier caso, dentro de las 72 horas siguientes al conocimiento del incidente.
- Devolver o suprimir los datos a la finalización del contrato, conforme a la elección del Responsable, salvo obligación legal de conservación.
- Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento del presente Acuerdo y permitir auditorías.
5 · Subencargos
FutbolCRM utiliza los siguientes subencargados para la prestación del servicio:
| Subencargado | Servicio | Localización |
|---|---|---|
| Vercel Inc. | Alojamiento web y serverless | UE (Frankfurt) |
| Stripe Payments Europe Ltd. | Procesamiento de pagos | UE (Irlanda) |
| Resend / proveedor de email transaccional | Envío de notificaciones | UE |
Cualquier alta o baja de subencargados será notificada al Responsable con un preaviso mínimo de 30 días. El Responsable podrá oponerse fundadamente, en cuyo caso las partes acordarán de buena fe una solución alternativa.
6 · Transferencias internacionales
Como norma general, todos los datos se tratan dentro del EEE. Cuando excepcionalmente fuera necesario un tratamiento fuera de la UE, FutbolCRM garantizará que se aplique uno de los mecanismos previstos en el Capítulo V del RGPD (cláusulas contractuales tipo, decisiones de adecuación o normas corporativas vinculantes).
7 · Derechos de los interesados
El Responsable es el competente para atender el ejercicio de los derechos de los interesados (acceso, rectificación, supresión, oposición, limitación, portabilidad y, en su caso, no ser objeto de decisiones automatizadas). FutbolCRM proporcionará todas las herramientas técnicas y la asistencia necesarias para facilitar dicho ejercicio.
8 · Duración
El presente Acuerdo permanecerá vigente mientras se mantenga la prestación del servicio entre las partes. A su finalización, FutbolCRM procederá según lo dispuesto en la cláusula 4.
9 · Confidencialidad
Las partes se comprometen a mantener la más estricta confidencialidad sobre la información personal y comercial intercambiada en el marco de este Acuerdo, obligación que pervivirá indefinidamente tras su finalización.
10 · Legislación y jurisdicción
El presente Acuerdo se rige por la legislación española y europea aplicable en materia de protección de datos. Cualquier controversia se someterá a los Juzgados y Tribunales de Madrid.
Para cuestiones relacionadas con la protección de datos: dpo@futbolcrm.es. Si necesitas firmar un DPA en formato bilateral con tu logo y datos del club, escríbenos y te enviamos la versión PDF lista para firma.