Contrato de Encargo de Tratamiento

Data Processing Agreement (DPA)

Versión 1.0 · Última actualización: 7 de marzo de 2026

¿Por qué existe este documento? El Reglamento General de Protección de Datos (RGPD, Art. 28) obliga a que exista un contrato escrito entre cualquier organización que gestiona datos personales y los proveedores de software que tratan esos datos en su nombre.

En términos sencillos: Los datos de los socios de tu club son de tu club (tú decides qué datos recoges y para qué). CanoeGestión solo los guarda y procesa siguiendo tus instrucciones. Este contrato formaliza esa relación y garantiza que ambas partes cumplimos con el RGPD.

1. Definiciones

A los efectos del presente contrato:

  • "Responsable del Tratamiento" (el Club): La organización náutica o deportiva que ha contratado el servicio CanoeGestión y que determina los fines y medios del tratamiento de los datos personales de sus socios y usuarios.
  • "Encargado del Tratamiento" (CanoeGestión): La entidad que trata datos personales por cuenta del Responsable, en el marco de la prestación del servicio SaaS.
  • "Datos Personales": Toda información sobre una persona física identificada o identificable.
  • "Tratamiento": Cualquier operación realizada sobre datos personales (almacenamiento, consulta, modificación, transmisión, etc.).
  • "Interesados": Los socios, miembros y usuarios cuyos datos son gestionados a través de la plataforma.
  • "Brecha de Seguridad": Toda violación de la seguridad que cause la destrucción, pérdida, alteración o divulgación no autorizada de datos personales.
  • "RGPD": Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

2. Objeto y Duración

El presente contrato regula las condiciones bajo las cuales CanoeGestión, en calidad de Encargado del Tratamiento, trata datos personales por cuenta del Club, en el marco de la prestación de los servicios SaaS de gestión de clubs descritos en los Términos de Servicio.

Este contrato entra en vigor en el momento de aceptación por parte del representante del Club durante el proceso de registro y permanece vigente durante toda la relación contractual. Su finalización se producirá automáticamente con la cancelación del servicio.

3. Naturaleza y Finalidad del Tratamiento

3.1 Categorías de datos tratados

En función de las funcionalidades que el Club utilice, CanoeGestión podrá tratar las siguientes categorías de datos personales de los interesados:

  • Datos identificativos: nombre, apellidos, DNI/NIE, fotografía.
  • Datos de contacto: dirección postal, correo electrónico, teléfono.
  • Datos económicos: información sobre cuotas, pagos y situación de membresía.
  • Datos deportivos: resultados en competiciones, licencias federativas, categorías.
  • Datos de salud (si el Club activa este módulo): información médica relevante para la práctica deportiva, con el consentimiento explícito de los interesados obtenido por el propio Club.
  • Datos de acceso: credenciales de usuario para el portal de socios.

3.2 Categorías de interesados

  • Socios y miembros del club.
  • Familiares vinculados a socios (unidades familiares).
  • Personal administrativo del club con acceso a la plataforma.

3.3 Finalidades del tratamiento

El tratamiento se realiza exclusivamente para los fines siguientes, determinados por el Club:

  • Gestión administrativa de socios y membresías.
  • Organización y administración de competiciones deportivas.
  • Gestión contable y de tesorería del club.
  • Tramitación de licencias federativas.
  • Comunicaciones internas del club.
  • Publicación de información en la web pública del club (solo datos que el Club decida publicar).

4. Instrucciones del Responsable

CanoeGestión tratará los datos personales únicamente siguiendo las instrucciones documentadas del Club, que quedan establecidas mediante:

  • La configuración que el Club realice en la plataforma.
  • Las acciones que los usuarios autorizados del Club realicen a través de la interfaz.
  • Instrucciones escritas específicas comunicadas por el Club al soporte técnico.

Si CanoeGestión considera que alguna instrucción del Club infringe el RGPD u otra normativa de protección de datos, lo notificará de inmediato al Club.

CanoeGestión no tratará los datos para fines propios distintos de la prestación del servicio, ni los venderá ni cederá a terceros con fines comerciales.

5. Obligaciones de CanoeGestión como Encargado

CanoeGestión se compromete a:

  • Tratar los datos únicamente con arreglo a las instrucciones del Club y a lo establecido en este contrato.
  • Garantizar que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad.
  • Adoptar todas las medidas de seguridad técnicas y organizativas requeridas por el artículo 32 del RGPD.
  • Respetar las condiciones establecidas en este contrato para la contratación de subencargados.
  • Asistir al Club, en la medida de lo posible, en el cumplimiento de las obligaciones de respuesta a los derechos de los interesados.
  • Ayudar al Club a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD (seguridad, notificación de brechas, evaluaciones de impacto).
  • Suprimir o devolver todos los datos personales al Club una vez finalice la prestación del servicio, según se establece en la cláusula 10.
  • Poner a disposición del Club toda la información necesaria para demostrar el cumplimiento de las obligaciones de este contrato.

6. Medidas de Seguridad

CanoeGestión aplica las siguientes medidas técnicas y organizativas para proteger los datos:

6.1 Medidas técnicas

  • Cifrado de las comunicaciones mediante TLS (HTTPS) en todo el tráfico de datos.
  • Aislamiento de datos por tenant: cada club dispone de una base de datos independiente, de modo que no puede acceder a datos de otros clubs.
  • Control de acceso basado en roles, con autenticación segura.
  • Copias de seguridad periódicas, almacenadas de forma segura.
  • Infraestructura alojada en servidores dentro del Espacio Económico Europeo.
  • Registro de eventos de seguridad (logs de acceso y auditoría).

6.2 Medidas organizativas

  • Acceso a los datos de los tenants por parte del personal de soporte únicamente cuando sea estrictamente necesario y quede registrado.
  • Procedimiento interno de gestión y notificación de brechas de seguridad.
  • Revisión periódica de las medidas de seguridad.

7. Subencargados del Tratamiento

El Club autoriza a CanoeGestión a contratar subencargados del tratamiento para la prestación del servicio. Los subencargados actuales son:

  • Proveedor de infraestructura de hosting: Servidor VPS ubicado en la Unión Europea, para el alojamiento de la aplicación y bases de datos.
  • Servicio de correo transaccional: Para el envío de notificaciones y comunicaciones del sistema.

CanoeGestión impondrá a sus subencargados obligaciones equivalentes en materia de protección de datos. En caso de que un subencargado incumpla sus obligaciones, CanoeGestión seguirá siendo plenamente responsable ante el Club.

CanoeGestión notificará al Club con al menos 30 días de antelación cualquier cambio en los subencargados que pudiera afectar al tratamiento de datos. El Club podrá oponerse a dicho cambio en ese plazo.

8. Derechos de los Interesados

Cuando los socios o miembros del club ejerzan sus derechos de acceso, rectificación, supresión, oposición, portabilidad o limitación del tratamiento, el Club es el responsable de atender dichas solicitudes.

CanoeGestión facilitará al Club, en la medida de lo posible, las herramientas técnicas necesarias para dar respuesta a estas solicitudes (exportación, modificación y eliminación de datos desde la propia plataforma). Para solicitudes que requieran intervención técnica adicional, CanoeGestión prestará la asistencia necesaria en un plazo razonable.

9. Notificación de Brechas de Seguridad

CanoeGestión notificará al Club, sin dilación indebida y en un plazo máximo de 72 horas desde que tenga conocimiento de ella, cualquier brecha de seguridad que afecte a los datos personales del Club. La notificación incluirá, como mínimo:

  • Descripción de la naturaleza de la brecha.
  • Categorías y número aproximado de interesados y registros afectados.
  • Posibles consecuencias de la brecha.
  • Medidas adoptadas o propuestas para remediar la brecha.

Corresponde al Club determinar si la brecha debe notificarse a la Agencia Española de Protección de Datos (AEPD) y/o a los interesados afectados, según los criterios del RGPD.

10. Devolución y Supresión de Datos

A la finalización del contrato por cualquier causa, CanoeGestión:

  • Pondrá a disposición del Club sus datos en formato exportable durante un periodo de 30 días desde la fecha de finalización.
  • Una vez transcurrido dicho plazo, procederá a la eliminación definitiva e irrecuperable de todos los datos del Club de sus sistemas.
  • Entregará al Club, si este lo solicita, certificación escrita de la eliminación.

11. Responsabilidades del Club como Responsable del Tratamiento

El Club, en su condición de Responsable del Tratamiento, asume las siguientes responsabilidades:

  • Disponer de una base legal válida (consentimiento, ejecución de contrato, obligación legal, etc.) para cada tratamiento de datos que realice a través de la plataforma.
  • Informar a sus socios y miembros sobre el tratamiento de sus datos conforme al RGPD (Registro de actividades de tratamiento, Política de privacidad del club).
  • Gestionar de forma segura las credenciales de acceso a la plataforma y controlar el acceso del personal del club.
  • No introducir en la plataforma datos para los que no disponga de base legal de tratamiento.
  • Notificar a CanoeGestión cualquier incidencia de seguridad de la que tenga conocimiento y que pudiera afectar a la plataforma.

CanoeGestión no será responsable de las brechas de datos o incumplimientos del RGPD que tengan su origen en prácticas inseguras del Club, tales como: cesión de credenciales a personas no autorizadas, uso de contraseñas débiles, acceso desde dispositivos comprometidos, o introducción de datos sin base legal.

12. Transferencias Internacionales

CanoeGestión no realizará transferencias de datos personales a países fuera del Espacio Económico Europeo sin contar previamente con las garantías adecuadas exigidas por el RGPD (cláusulas contractuales tipo, decisión de adecuación, etc.) y, en su caso, sin notificarlo al Club.

13. Auditorías

El Club tiene derecho a auditar el cumplimiento de las obligaciones del presente contrato por parte de CanoeGestión, directamente o a través de un auditor designado por el Club, previo aviso con al menos 30 días de antelación y siempre que no interfiera con la operación normal del servicio. Los costes de la auditoría correrán a cargo del Club, salvo que la auditoría revele un incumplimiento grave por parte de CanoeGestión.

14. Legislación Aplicable

El presente contrato se rige por el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD-GDD), y la legislación española aplicable.

← Volver al inicio Términos de Servicio Política de Privacidad Aviso Legal