Acuerdo de Encargado del Tratamiento

El Encargado tratará los datos personales aportados por el Responsable (datos de socios, profesores, asistentes y, en su caso, sus representantes legales) con el único fin de prestar el servicio WOD Manager contratado: gestión de reservas y clases, cobro de cuotas, emisión de facturas, comunicación con los socios, métricas del box y demás funcionalidades descritas en los Términos.

Este DPA estará en vigor mientras dure la relación contractual entre las Partes. Una vez finalizada la prestación del servicio por cualquier causa, se aplicará lo dispuesto en la Cláusula 9 sobre destino de los datos.

El tratamiento por parte del Encargado se limitará a las operaciones estrictamente necesarias para prestar el servicio: recogida, registro, conservación, consulta, modificación, estructuración, comunicación a los subencargados autorizados, y supresión cuando proceda.

Las categorías de datos personales objeto del tratamiento son:

• Datos identificativos (nombre, apellidos, foto de perfil opcional).
• Datos de contacto (email, teléfono).
• Datos fiscales (NIF y dirección, cuando proceda emitir factura).
• Datos económicos relativos a las cuotas y métodos de pago (a través de Stripe; el Encargado no almacena datos completos de tarjeta).
• Datos de actividad deportiva: reservas, asistencia, WODs realizados, marcas personales.
• Comunicaciones internas entre socio y staff del box.
• Datos técnicos: logs de acceso, dirección IP, tokens de notificaciones push.

Las categorías de interesados son: socios del box, profesores, colaboradores y, en su caso, representantes legales de menores de edad.

El Encargado se obliga a:

1. Tratar los datos personales únicamente siguiendo instrucciones documentadas del Responsable, incluso en lo relativo a transferencias internacionales (las instrucciones generales constan en este DPA y los Términos; las particulares se canalizarán por escrito a hello@wod-manager.com).
2. Garantizar que las personas autorizadas a tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a obligación legal de confidencialidad.
3. Adoptar las medidas técnicas y organizativas necesarias conforme al Art. 32 RGPD (cifrado en tránsito y reposo, control de acceso, copias de seguridad, registro de auditoría, etc.). El detalle de medidas vigente se encuentra en el Anexo I de este DPA.
4. Asistir al Responsable, en la medida de lo posible y teniendo en cuenta la naturaleza del tratamiento, para que pueda cumplir su obligación de responder a las solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, limitación, portabilidad, oposición). A tal efecto, el panel de administración incluye herramientas de exportación y eliminación de datos por socio.
5. Notificar al Responsable, sin dilación indebida y a más tardar en las setenta y dos (72) horas siguientes a tener conocimiento, cualquier brecha de seguridad de los datos personales, proporcionando la información razonablemente disponible para que el Responsable pueda notificar a la AEPD y, en su caso, a los interesados conforme a los Arts. 33 y 34 RGPD.
6. Ayudar al Responsable a realizar evaluaciones de impacto relativas a la protección de datos (EIPD), cuando proceda, y a las consultas previas a la AEPD.
7. Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del Art. 28 RGPD, así como permitir y contribuir a auditorías razonables, conforme a la Cláusula 8.
8. No utilizar los datos personales para fines propios ni comunicarlos a terceros, salvo en los casos expresamente previstos en este DPA o cuando una obligación legal así lo exija.

El Responsable autoriza expresamente al Encargado a subcontratar el tratamiento con los subencargados que figuran en la lista pública contenida en la Política de Privacidad, sección 6 ("Destinatarios y encargados del tratamiento"). Esta autorización general comprende, a fecha de hoy: Google Ireland Ltd. (Firebase), Stripe Payments Europe Ltd., Resend Inc., Vercel Inc., Cloudflare Inc. y Anthropic PBC.

El Encargado se compromete a:

• Suscribir con cada subencargado un acuerdo que imponga, como mínimo, las mismas obligaciones de protección de datos establecidas en este DPA.
• Notificar al Responsable con una antelación razonable (mínimo 30 días, salvo causa justificada) cualquier incorporación de un nuevo subencargado o sustitución de uno existente. La notificación se realizará mediante la actualización de la Política de Privacidad y, cuando el cambio sea significativo, por email al contacto principal. El Responsable dispondrá de un plazo de objeción razonable; en caso de oposición fundada, las Partes negociarán de buena fe una solución y, de no alcanzarse, el Responsable podrá resolver el contrato sin penalización.
• Responder ante el Responsable por el incumplimiento de las obligaciones del subencargado en materia de protección de datos.

Algunos subencargados están ubicados o procesan datos fuera del Espacio Económico Europeo (principalmente Estados Unidos). El Encargado garantiza que toda transferencia internacional se ampara en alguna de las garantías del Capítulo V RGPD:

• Decisiones de adecuación de la Comisión Europea (incluida el EU-US Data Privacy Framework de 10 de julio de 2023).
• Cláusulas Contractuales Tipo aprobadas por la Decisión de Ejecución (UE) 2021/914.

El Responsable podrá auditar el cumplimiento del Encargado con un preaviso razonable (mínimo 30 días), durante horario laboral, sin interrumpir las operaciones, una vez al año salvo causa justificada. El Encargado podrá satisfacer este derecho aportando los informes de auditoría de terceros independientes (por ejemplo, SOC 2 de Google Cloud, ISO 27001) o los certificados emitidos por sus subencargados, siempre que ello cubra razonablemente el alcance solicitado.

Cualquier coste extraordinario de la auditoría in situ correrá por cuenta del Responsable, salvo que la auditoría revele un incumplimiento material del Encargado.

Finalizada la relación contractual, el Encargado, a elección del Responsable comunicada en los 30 días siguientes:

• Devolverá los datos personales al Responsable en formato estructurado y de uso común (export JSON / CSV), o
• Procederá a su supresión, incluyendo cualquier copia existente, salvo aquellos datos respecto a los que exista obligación legal de conservación (especialmente datos fiscales y de facturación, que se conservarán por el plazo legal aplicable).

En ausencia de instrucción expresa del Responsable, el Encargado podrá conservar los datos durante 30 días adicionales para gestionar reactivaciones, transcurridos los cuales procederá a su supresión efectiva (incluyendo los backups, en un plazo adicional máximo de 35 días por motivos técnicos).

La responsabilidad económica del Encargado frente al Responsable por incumplimientos de este DPA estará limitada, salvo dolo o culpa grave, al importe equivalente a las cantidades efectivamente abonadas por el Responsable al Encargado en los doce (12) meses anteriores al hecho generador de la responsabilidad. Esta limitación no se aplica a las sanciones de la AEPD ni a indemnizaciones a interesados, que cada parte asumirá conforme a su grado de responsabilidad determinado por la autoridad o jurisdicción competente.

Este DPA se rige por la legislación española y europea. Las partes se someten a los Juzgados y Tribunales del domicilio del Encargado, salvo norma imperativa en contrario.

• Cifrado TLS 1.2+ en tránsito; AES-256 en reposo.
• Autenticación con Firebase Authentication, control de acceso por roles, reglas de seguridad de Firestore alineadas a los permisos del producto.
• Logs de auditoría en Google Cloud Logging con retención mínima de 90 días.
• Backups automáticos diarios cifrados conservados 30 días, almacenados en bucket distinto del operativo.
• Inventario de subencargados y revisión anual.
• Procedimiento documentado de respuesta a incidentes con plazos compatibles con el Art. 33 RGPD (72 h).
• Procedimientos de alta/baja de personal con acceso a los datos, principio de mínimo privilegio.
• Servidores en Google Cloud Platform (centros con certificación ISO 27001, ISO 27017, ISO 27018, SOC 2 Type II).
• Política interna de contraseñas y de uso aceptable.