Acuerdo de Tratamiento de Datos (DPA)

01

El «Responsable» es el club o coach que contrata el servicio y carga datos de sus atletas. El «Encargado» es Pacecraft, que trata dichos datos siguiendo las instrucciones documentadas del Responsable y en los términos de este acuerdo.

02

Este DPA aplica a todos los datos personales que el Responsable cargue en la plataforma. Estará vigente mientras dure la relación contractual y se prorroga automáticamente con cada renovación. Tras la terminación, las obligaciones de confidencialidad y devolución/borrado siguen siendo exigibles.

03

Pacecraft trata los datos exclusivamente para prestar el servicio descrito en los Términos: registro de atletas, planificación de entrenamientos, captura de feedback subjetivo y métricas, integración con servicios de terceros (Strava, WhatsApp Business) y comunicación operativa.

04

Datos identificativos y de contacto de coaches, asistentes y atletas. Datos profesionales (rol, club). Datos de salud auto-reportados (RPE, fatiga, sueño, lesiones). Datos de rendimiento deportivo (ritmos, frecuencia cardíaca, distancia). Datos técnicos (IP, dispositivo).

05

El Responsable autoriza el uso de los siguientes sub-encargados: infraestructura cloud (Supabase, Vercel), email transaccional (Resend), mensajería (Meta WhatsApp Business). Pacecraft notificará con 30 días de antelación cualquier alta o sustitución, dando al Responsable derecho de oposición motivada.

06

Cifrado en tránsito (TLS 1.3) y en reposo (AES-256). Aislamiento multi-tenant a nivel de fila (Row-Level Security) en base de datos. Control de acceso basado en roles. Registro de auditoría inmutable. Copias de seguridad cifradas y retención de 30 días. Plan de respuesta ante incidentes con notificación al Responsable en 72 horas.

07

Pacecraft trata los datos únicamente conforme a las instrucciones documentadas del Responsable, incluidas las inherentes al servicio contratado. Si una norma de la UE o de un Estado miembro obligara a un tratamiento adicional, Pacecraft lo informará al Responsable salvo prohibición legal.

08

Los datos se almacenan en infraestructura ubicada en la Unión Europea. Cuando algún sub-encargado opere fuera del EEE, se aplicarán las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914) y, si fuera necesario, medidas suplementarias.

09

Pacecraft asiste al Responsable, en la medida de lo posible, en la atención de derechos de los interesados, en la realización de evaluaciones de impacto, en consultas previas a la autoridad de control y en la respuesta ante brechas de seguridad.

10

A elección del Responsable y a la terminación de la prestación, Pacecraft devolverá o suprimirá todos los datos personales y eliminará las copias existentes, salvo obligación legal de conservación. La exportación se entrega en formato estructurado (CSV o JSON) durante los 30 días siguientes a la baja.

11

El Responsable puede solicitar una auditoría anual de las medidas técnicas y organizativas, con preaviso de 30 días, a su cargo y respetando la confidencialidad. Pacecraft pone a disposición del Responsable los certificados, informes SOC u otros equivalentes que tenga vigentes para satisfacer este derecho.

12

Todo el personal con acceso a datos personales está sujeto a deber de confidencialidad. En caso de brecha de seguridad que afecte a datos del Responsable, Pacecraft notificará por email a los contactos designados en menos de 72 horas desde el conocimiento, con la información disponible y un plan de mitigación.