Registro de Actividades de Tratamiento

Versión 1.0 · Última actualización: mayo 2026

Este documento describe qué datos personales tratamos, con qué finalidad, durante cuánto tiempo y con qué base legal. Cumple GDPR Art. 30 y LOPDGDD Art. 31. N3Sports actúa como encargado del tratamiento; cada club es el responsable de los datos de sus socios y deportistas.

1. Cuentas de usuario (login)

• Finalidad: autenticación y gestión de acceso.
• Datos: email, hash de contraseña, sesiones (cookies sb-*).
• Base legal: ejecución del contrato (Art. 6.1.b GDPR).
• Conservación: mientras la cuenta esté activa. Tras eliminación, 30 días de gracia + purga total.
• Destinatarios: Supabase (autenticación).

2. Socios y deportistas

• Finalidad: gestión administrativa del club (alta, listado, contacto, asignación de cuotas).
• Datos: nombre, email, teléfono, número de socio, datos del formulario de inscripción (DNI, fecha nacimiento, documentos subidos, tutor responsable si menor de 18).
• Datos sensibles posibles: documentos identificativos (DNI), fecha de nacimiento. Si el club los pide en su formulario, son su responsabilidad.
• Base legal: ejecución del contrato del club con el socio (Art. 6.1.b) o consentimiento (Art. 6.1.a) para datos no esenciales.
• Conservación: mientras el socio esté activo + 6 años (obligación fiscal del club). Al eliminar, los datos personales se borran inmediatamente y los archivos en almacenamiento se purgan automáticamente.
• Destinatarios: Supabase (base de datos y almacenamiento).

3. Menores de edad (datos del tutor)

• Finalidad: identificación del tutor responsable, cobros y comunicaciones legales.
• Datos: nombre, DNI, email y teléfono del padre/madre/tutor.
• Base legal: consentimiento expreso del tutor (LOPDGDD Art. 7) para <14 años; ejecución del contrato para 14-17.
• Conservación: misma que el menor inscrito.

4. Cobros y pagos

• Finalidad: emitir cobros, registrar pagos, generar facturas fiscales.
• Datos: importe, fecha de vencimiento, método (en mano / Stripe), número de factura, datos fiscales del club.
• Base legal: ejecución del contrato + obligación legal (Art. 6.1.c — facturación fiscal española).
• Conservación: 6 años (Ley General Tributaria art. 66).
• Destinatarios: Stripe (si paga online), Supabase, AEAT (si requerido).

5. Aceptaciones legales (consentimientos)

• Finalidad: evidencia jurídica de aceptación de términos, política de privacidad, DPA y consentimiento de tutor.
• Datos: user_id, documento aceptado, versión, timestamp, hash SHA-256 de la IP (no la IP en claro), user-agent truncado.
• Base legal: obligación legal (Art. 7.1 GDPR — acreditar consentimiento).
• Conservación: mientras dure la relación contractual + 6 años tras finalización.

6. Inscripciones públicas pendientes

• Finalidad: revisión por el club antes de aprobar el alta como socio.
• Datos: formulario completo (incluye DNI, documentos, datos del tutor).
• Base legal: consentimiento (Art. 6.1.a) para la fase de pre-alta.
• Conservación: 90 días si no se aprueban, después purga automática diaria.

7. Logs de auditoría

• Finalidad: trazabilidad de cambios sensibles (pagos, bajas, modificaciones de menores) para investigación de incidentes.
• Datos: quién, cuándo, qué tabla y qué campos cambiaron. Los valores de campos sensibles (email, teléfono, DNI…) se sustituyen por “[oculto]” antes de guardar.
• Base legal: interés legítimo (Art. 6.1.f) — seguridad del servicio.
• Conservación: 24 meses. Purga automática mensual.

8. Rate-limits y seguridad

• Finalidad: prevenir abuso de los formularios de inscripción y endpoints de exportación.
• Datos: hash de IP (SHA-256), contador de peticiones por ventana.
• Base legal: interés legítimo.
• Conservación: 7 días.

Derechos del interesado

Cualquier persona tiene derecho a acceder, rectificar, eliminar, oponerse al tratamiento o solicitar la portabilidad de sus datos. Si eres socio o deportista, dirígete a tu club. Si eres usuario de N3Sports, escríbenos a info@n3sports.com.

Listado de sub-encargados: /proveedores. DPA con clubes: /dpa.