Acuerdo de Tratamiento de Datos (DPA)
Última actualización: 2026-04-17
El presente Acuerdo de Tratamiento de Datos ("DPA") se celebra en virtud del artículo 28 del Reglamento General de Protección de Datos (UE) 2016/679 ("RGPD") y forma parte integrante del Acuerdo de Licencia SaaS ("Acuerdo Principal").
1. Partes y antecedentes
El presente DPA se celebra entre:
- Responsable del tratamiento — El Cliente según se define en el Acuerdo Principal (la federación, confederación u organización suscrita al Servicio).
- Encargado del tratamiento — Easy Software System In Europe AB, org. nr 556967-4822, IVA SE556967482201, registrado en Suecia.
2. Alcance del tratamiento
El Encargado del tratamiento trata Datos Personales por cuenta del Responsable del tratamiento como se describe a continuación:
- Finalidad — Proporcionar la plataforma SaaS Petanque Life, incluyendo gestión de miembros, competiciones, licencias, comunicación y todas las funcionalidades descritas en el Acuerdo Principal.
- Categorías de datos personales — Nombre, email, teléfono, fecha de nacimiento, sexo, nacionalidad, dirección postal, números de licencia, resultados de competiciones, certificados médicos (cuando aplique), registros de transacciones financieras, fotografías y cualquier otro dato introducido por el Responsable o sus Usuarios.
- Categorías de interesados — Jugadores, miembros de clubes, oficiales, árbitros, entrenadores, administradores, espectadores (cuando estén registrados) y cualquier otra persona cuyos datos se introduzcan en el Servicio.
- Duración — Durante la vigencia del Acuerdo Principal, más un período de retención de 90 días tras la resolución para exportación y eliminación de datos.
3. Obligaciones del Encargado
El Encargado del tratamiento se compromete a:
- Tratar los Datos Personales únicamente según instrucciones documentadas del Responsable del tratamiento.
- Garantizar que las personas autorizadas para tratar Datos Personales se hayan comprometido a la confidencialidad.
- Implementar medidas técnicas y organizativas apropiadas, incluyendo cifrado (TLS 1.2+, AES-256), controles de acceso (JWT ES512, RBAC) y procedimientos de respuesta a incidentes.
- No recurrir a otro encargado sin autorización escrita previa del Responsable del tratamiento.
- Asistir al Responsable del tratamiento en la respuesta a solicitudes de los interesados (RGPD artículos 15–22).
- A elección del Responsable, eliminar o devolver todos los Datos Personales al término de la prestación de servicios.
- Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento del artículo 28 y permitir auditorías.
4. Encargados ulteriores
El Responsable otorga autorización general al Encargado para recurrir a los encargados ulteriores listados a continuación.
El Encargado garantiza que cada encargado ulterior está sujeto a obligaciones de protección de datos equivalentes.
Encargados ulteriores actuales:
| Encargado | Finalidad | Ubicación de datos |
|---|---|---|
| Microsoft Azure | Infraestructura cloud, alojamiento web, computación, servicios de contenedores | EU (North Europe) |
| Azure Cosmos DB | Base de datos (API MongoDB), almacenamiento principal | EU (North Europe) |
| SendGrid (Twilio) | Envío de emails transaccionales (confirmaciones de licencia, notificaciones) | EU |
| 46elks | Envío de SMS (OTP, notificaciones) | Sweden (EU) |
| Stripe | Procesamiento de pagos (tarifas de licencia, suscripciones) | EU |
| Plausible Analytics | Análisis web respetuoso con la privacidad (sin datos personales tratados) | EU |
5. Transferencias internacionales de datos
Todos los Datos Personales se almacenan y tratan en la UE/EEE. El centro de datos principal es Azure North Europe (Irlanda).
No se transfieren Datos Personales a países terceros fuera de la UE/EEE.
6. Derechos de los interesados
El Encargado asiste al Responsable en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados.
El Encargado informa al Responsable si recibe una solicitud directamente de un interesado.
7. Notificación de violación de datos
El Encargado notifica al Responsable sin demora indebida (en un plazo máximo de 48 horas) tras tener conocimiento de una violación de datos personales. La notificación incluye:
- Descripción de la naturaleza de la violación, incluyendo categorías y número aproximado de interesados y registros afectados.
- Nombre y datos de contacto del responsable de protección de datos del Encargado.
- Descripción de las consecuencias probables de la violación.
- Descripción de las medidas adoptadas o propuestas para abordar la violación.
8. Derechos de auditoría
El Encargado pone a disposición del Responsable toda la información necesaria para demostrar el cumplimiento y permite auditorías.
Las auditorías se realizan con preaviso razonable (al menos 30 días), en horario laboral normal.
9. Eliminación y devolución de datos
A la resolución del Acuerdo Principal:
- El Responsable puede solicitar la exportación de todos los Datos Personales en formatos estándar (JSON, CSV) en los 90 días siguientes.
- Transcurrido el período de exportación, todos los Datos Personales se eliminan permanente e irreversiblemente.
- El Encargado proporciona confirmación escrita de la eliminación bajo solicitud.
10. Duración y derecho aplicable
El presente DPA permanece vigente durante la duración del Acuerdo Principal. Se rige por el derecho sueco.
Para consultas sobre el presente DPA, contacte al Delegado de Protección de Datos en support@petanque.life.