Contrato de Encargado del Tratamiento (DPA)

Versión 1.0 · Vigente desde mayo 2026

Este documento, aceptado de forma electrónica por el club al crear su cuenta, tiene la consideración de contrato de encargado del tratamiento en los términos del artículo 28 del Reglamento (UE) 2016/679 (RGPD) y de la Ley Orgánica 3/2018 (LOPDGDD). El club es Responsable del Tratamiento; el Encargado del Tratamiento es Adriana Regueiro Souto (autónoma), NIF 44844039L, domicilio en C/ Valencia nº 7, 2º — 15002 A Coruña (España), titular de la plataforma N3Sports (en adelante, “N3Sports” o el “Encargado”).

1. Objeto

Regular el tratamiento por parte de N3Sports, como Encargado, de los datos personales que el Cliente (club) introduce o genera en la plataforma como Responsable del Tratamiento, durante la prestación de los servicios.

2. Naturaleza y finalidad del tratamiento

Almacenamiento, organización, consulta, modificación, comunicación interna y supresión de los datos personales necesarios para la gestión integral del club: socios, deportistas, cuotas, facturación, reservas, entrenamientos, comunicaciones y módulos auxiliares.

3. Duración y plazos de conservación

Mientras esté activa la cuenta del Cliente. A la baja: N3Sports devolverá o eliminará los datos personales en un plazo máximo de 30 días, salvo obligación legal de conservación.

Plazos específicos por categoría de dato:

Facturación (invoices, payments): 6 años desde la emisión (Ley General Tributaria art. 30 y Código de Comercio art. 30).
Registros de auditoría (audit_logs): 24 meses desde su creación. Purga automática mensual.
Archivos de inscripciones rechazadas: 30 días desde el rechazo.
Archivos de inscripciones pendientes sin decidir: 90 días desde el envío.
Aceptaciones legales (legal_acceptances): mientras exista la cuenta. Se borran al ejercer derecho de supresión (Art. 17).
Datos de socios y deportistas: mientras el club los mantenga activos; el club es responsable de aplicar su propia política de retención.

4. Categorías de interesados y de datos

Interesados: socios y deportistas del club (incluyendo menores), familiares/tutores legales, entrenadores, personal, contactos.
Datos: identificativos (nombre, DNI, fecha de nacimiento), de contacto (email, teléfono, dirección), académicos/deportivos, económicos (cuotas, recibos), médicos solo si el club los introduce voluntariamente, imágenes/documentos subidos por el inscrito.

5. Obligaciones del Encargado

El Encargado se compromete a:

Tratar los datos solo siguiendo instrucciones documentadas del Responsable.
Garantizar la confidencialidad de quienes acceden a los datos.
Aplicar las medidas técnicas y organizativas apropiadas (cifrado en tránsito, aislamiento multi-tenant por RLS, control de accesos, registro de auditoría, 2FA opcional para roles privilegiados, alojamiento en la UE).
Asistir al Responsable en la atención de derechos GDPR (acceso, rectificación, supresión, portabilidad, oposición, limitación) en plazos razonables.
Notificar al Responsable cualquier violación de seguridad sin dilación indebida y, en cualquier caso, en un plazo máximo de 72 horas desde su conocimiento, junto con la información del Art. 33.3 RGPD.
Devolver o suprimir los datos al finalizar la prestación, según lo que indique el Responsable.
Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento del Art. 28 y permitir auditorías razonables.

6. Sub-encargados

El Cliente autoriza expresamente a N3Sports a delegar parte del tratamiento en los siguientes sub-encargados, todos ellos con garantías equivalentes y datos almacenados en la UE (o protegidos por SCC en caso de matriz EE. UU.):

Supabase, Inc. — Base de datos, autenticación y almacenamiento (región eu-central-1, Frankfurt).
Vercel, Inc. — Hosting y renderizado de la aplicación web (región Frankfurt).
Resend, Inc. — Envío de correos transaccionales.

Cualquier cambio en esta lista será notificado al Cliente con al menos 30 días de antelación, permitiéndole oponerse.

7. Transferencias internacionales

Los datos se almacenan en la Unión Europea. Si algún sub-encargado realiza tratamiento desde fuera de la UE, será bajo las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea.

8. Responsabilidad del Cliente (responsable)

El Cliente es responsable de:

Disponer de base legal para tratar los datos que introduce (consentimiento, contrato, obligación legal o interés legítimo).
Informar a los interesados conforme a los Art. 13 y 14 RGPD (puede usar el formulario público de inscripción para recoger consentimiento informado).
Recabar el consentimiento del titular de la patria potestad para tratar datos de menores de 14 años (LOPDGDD Art. 7) — la plataforma proporciona el mecanismo en el formulario público.
Atender los derechos GDPR de sus socios en plazo (la plataforma proporciona las herramientas técnicas para hacerlo).
Mantener el secreto y la confidencialidad de sus credenciales y de las credenciales de los usuarios que invite a su organización.

9. Notificación de brechas

En caso de brecha de seguridad que afecte a datos del Cliente, N3Sports notificará al Responsable a través del email registrado y mediante aviso en la propia plataforma en un plazo máximo de 72 horas desde el conocimiento, incluyendo: naturaleza, categorías y número aproximado de afectados, consecuencias probables, medidas adoptadas y datos del delegado de protección de datos.

10. Auditoría

El Cliente puede solicitar evidencias razonables de cumplimiento (informes de seguridad, certificaciones del proveedor de infraestructura, logs de auditoría) mediante petición escrita a info@n3sports.com.

11. Modificaciones

Cualquier modificación material de este DPA será notificada con al menos 30 días de antelación. El Cliente podrá oponerse y rescindir el servicio si no acepta los cambios.

12. Contacto del DPD / privacidad

info@n3sports.com

La aceptación electrónica de este DPA queda registrada con marca temporal, versión del documento, IP (hasheada) y user-agent en la tabla legal_acceptances. Es prueba válida de aceptación a efectos del Art. 28.9 RGPD.