TartanBase
Contrato de Encargo de Tratamiento de Datos
Version 2026-04-30
CONTRATO DE ENCARGO DE TRATAMIENTO DE DATOS PERSONALES
Este documento (en adelante, el "Contrato") regula el acceso y tratamiento de datos de carácter personal que realizará TartanBase por cuenta del Club de Atletismo (en adelante, el "Responsable"), de conformidad con lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
La aceptación de este documento se formaliza mediante la marcación de la casilla de verificación (checkbox) habilitada a tal efecto en el formulario de registro de la plataforma TartanBase (tartanbase.com / tartanbase.es).
1. IDENTIFICACIÓN DE LAS PARTES
El Encargado del Tratamiento (Proveedor del SaaS):
- Titular: Luis del Valle Hernández
- NIF: 52991698C
- Domicilio Fiscal: C/ Rio Algar, 4, BW27, 03690 San Vicente del Raspeig, Alicante
- Plataforma: TartanBase (en adelante, el "Encargado")
- Contacto en materia de protección de datos: administracion@tartanbase.com
El Responsable del Tratamiento (Cliente):
- El Club de Atletismo o Entidad Deportiva que completa el formulario de registro y crea una cuenta en la plataforma TartanBase.
2. OBJETO DEL ENCARGO DE TRATAMIENTO
Mediante el presente contrato, el Responsable autoriza al Encargado a tratar los datos personales necesarios para prestar el servicio de plataforma web SaaS "TartanBase", consistente en la gestión administrativa y deportiva de clubes de atletismo (gestión de atletas, inscripciones, marcas, resultados, asistencia y comunicaciones operativas), incluyendo, en su caso, el procesamiento automatizado de actas y circulares de competición mediante servicios de inteligencia artificial conforme al apartado 4.5.
3. IDENTIFICACIÓN DE LA INFORMACIÓN TRATADA
Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, la entidad Responsable pondrá a disposición del Encargado la información descrita a continuación:
| Categorías de Interesados | Tipología de Datos Personales |
|---|---|
| Atletas y deportistas vinculados al Club (incluidos menores de edad) | Datos identificativos (nombre, apellidos, DNI/NIE si aplica). Datos de características personales (fecha de nacimiento, sexo, categoría). Datos deportivos (número de licencia federativa, marcas, resultados en competiciones, asistencia a entrenamientos). |
| Padres, madres o tutores legales de los atletas menores de edad | Datos identificativos (nombre, apellidos). Datos de contacto (correo electrónico, teléfono, dirección postal). |
| Personal del Club (entrenadores, delegados, administradores) | Datos identificativos (nombre, apellidos). Datos de contacto (correo electrónico, contraseña almacenada de forma segura mediante funciones hash criptográficas para acceso a la plataforma). |
Exclusión expresa de categorías especiales de datos: la plataforma TartanBase no está diseñada ni autorizada para el tratamiento de datos especialmente protegidos del artículo 9 RGPD (datos de salud, biométricos, genéticos, sobre origen racial o étnico, opiniones políticas, convicciones religiosas, afiliación sindical, vida sexual u orientación sexual). El Responsable se compromete a no introducir este tipo de datos en la plataforma. En caso de que el Responsable introduzca, de forma contraria a este compromiso, datos especialmente protegidos, el Encargado quedará exonerado de cualquier responsabilidad derivada de su tratamiento.
4. OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO (TARTANBASE)
Luis del Valle Hernández y todo el personal que opere bajo la plataforma TartanBase se comprometen expresamente a:
4.1 Tratamiento por instrucciones. Utilizar los datos personales única y exclusivamente para la prestación del servicio SaaS, siguiendo siempre las instrucciones documentadas del Responsable. En ningún caso se utilizarán para fines propios, comerciales, publicitarios o de cesión a terceros, ni para entrenar modelos de inteligencia artificial propios o de terceros.
4.2 Confidencialidad. Garantizar que las personas autorizadas para tratar los datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que serán informadas convenientemente. Esta obligación de confidencialidad se mantendrá incluso una vez finalizada la relación.
4.3 Medidas de Seguridad. Implementar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:
- Cifrado de datos en tránsito mediante protocolos SSL/TLS.
- Cifrado de datos sensibles en reposo cuando proceda.
- Almacenamiento de contraseñas mediante funciones hash criptográficas robustas (bcrypt, argon2 u otras de seguridad equivalente o superior).
- Copias de seguridad periódicas y procedimientos de recuperación.
- Control de acceso mediante autenticación de usuario y contraseña, con principio de mínimo privilegio.
- Resiliencia de los sistemas y monitorización de incidencias.
4.4 Subcontratación de servicios (subencargados). El Responsable autoriza de forma general la contratación, por parte del Encargado, de los servicios de infraestructura tecnológica de terceros necesarios para el funcionamiento del SaaS. La lista actualizada de subencargados está disponible y forma parte integrante de este Contrato como Anexo I — Lista de Subencargados Autorizados, accesible en todo momento desde la web tartanbase.com/legal/subencargados.
El Encargado se compromete a:
- Que cada subencargado quede vinculado por obligaciones de protección de datos equivalentes a las contenidas en este Contrato.
- Notificar al Responsable, con al menos 30 días naturales de antelación, cualquier cambio previsto en la incorporación o sustitución de subencargados, mediante aviso visible en la plataforma o por correo electrónico al admin del Club.
- Permitir al Responsable oponerse a dichos cambios. En caso de oposición fundada, el Responsable podrá resolver el contrato sin penalización si la oposición no puede ser razonablemente atendida.
4.5 Transferencias internacionales de datos. Algunos subencargados pueden estar establecidos fuera del Espacio Económico Europeo (especialmente proveedores de servicios cloud y modelos de IA). El Encargado garantiza que toda transferencia internacional se realiza únicamente a destinos que cumplan al menos una de las garantías previstas en el Capítulo V RGPD:
- Decisión de adecuación de la Comisión Europea (por ejemplo, EU-US Data Privacy Framework para transferencias a EEUU bajo entidades certificadas).
- Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea.
- Otras garantías adecuadas previstas en el RGPD.
La base concreta aplicable a cada subencargado consta en el Anexo I.
4.6 Asistencia en el Ejercicio de Derechos. Asistir al Responsable, siempre que sea posible, mediante medidas técnicas y organizativas adecuadas, para que este pueda cumplir con su obligación de responder a las solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, oposición, limitación y portabilidad). Si el Encargado recibe directamente una solicitud, la derivará inmediatamente al Responsable y notificará al interesado de esta derivación.
4.7 Brechas de Seguridad. Notificar al Responsable del Tratamiento, sin dilación indebida desde que tenga conocimiento, cualquier violación de la seguridad de los datos personales a su cargo, en un plazo que permita razonablemente al Responsable cumplir con su propia obligación de notificación a la autoridad de control en las 72 horas previstas en el artículo 33 RGPD. La notificación incluirá, en la medida en que sea conocida, la naturaleza de la violación, las categorías y número aproximado de interesados y registros afectados, las posibles consecuencias y las medidas adoptadas o propuestas para remediarla.
4.8 Apoyo en evaluaciones de impacto. Asistir al Responsable en la realización, cuando proceda, de evaluaciones de impacto relativas a la protección de datos (artículo 35 RGPD) y consultas previas a la autoridad de control (artículo 36 RGPD), facilitando la información que esté en su poder.
4.9 Destino de los Datos. A la finalización de los servicios, ya sea por cierre de cuenta del Club o baja de la plataforma:
- El Encargado pondrá a disposición del Responsable, durante un plazo de 30 días naturales desde la solicitud de baja, los datos del Club en un formato estructurado y de uso común (CSV, Excel o equivalente) para su descarga.
- Transcurrido dicho plazo, el Encargado procederá a la supresión de todos los datos personales del Responsable y a suprimir cualquier copia existente, salvo que se requiera su conservación por obligación legal.
- Las copias de seguridad que contengan datos del Responsable se eliminarán de forma natural conforme al ciclo de rotación de backups, en un plazo máximo de 90 días desde la supresión principal.
4.10 Registro de actividades. Mantener un registro de las categorías de actividades de tratamiento efectuadas por cuenta del Responsable, conforme al artículo 30.2 RGPD, y ponerlo a disposición de la autoridad de control si así lo solicita.
5. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO (EL CLUB)
El Club que utiliza la plataforma TartanBase asume íntegramente las siguientes responsabilidades:
- Base Legitimadora y Consentimiento. Garantizar que la recogida de los datos personales (especialmente de los menores de edad introducidos en el sistema) se ha realizado de forma lícita, habiendo recabado el consentimiento expreso y verificable de los padres o tutores legales conforme al artículo 7 LOPDGDD para menores de 14 años. La prueba del consentimiento corresponde al Club como Responsable del Tratamiento.
- Deber de Información. Facilitar a los interesados (atletas, padres o tutores) en el momento de recabar sus datos, la información legal preceptiva (artículo 13 RGPD), incluyendo explícitamente que los datos serán tratados tecnológicamente a través de la plataforma TartanBase, gestionada por Luis del Valle Hernández, así como la posibilidad de transferencias internacionales conforme al apartado 4.5.
- Calidad de los Datos. Velar por que los datos introducidos en la plataforma, tanto manuales como mediante archivos Excel o procesamiento automatizado de PDFs (actas y circulares), sean exactos, veraces y necesarios para la finalidad declarada.
- No introducción de categorías especiales de datos. Abstenerse de introducir en la plataforma datos especialmente protegidos del artículo 9 RGPD, conforme al apartado 3.
- Gestión de Credenciales. Custodiar diligentemente las contraseñas de acceso de los administradores del Club a la plataforma, siendo responsables de cualquier uso no autorizado de su cuenta. Notificar al Encargado sin dilación cualquier sospecha de acceso no autorizado.
- Indemnidad. Mantener indemne al Encargado frente a cualquier reclamación, sanción o procedimiento administrativo o judicial que tenga su origen en el incumplimiento por parte del Responsable de las obligaciones de este apartado, especialmente en lo relativo a la falta de consentimiento de los interesados o la introducción de datos no autorizados.
6. DURACIÓN
El presente Contrato tendrá una duración igual a la de la prestación de los servicios del software SaaS TartanBase. Su vigencia comenzará en el mismo momento en el que el usuario/club completa el registro y marca la casilla de aceptación, finalizando cuando el Club solicite la eliminación de su cuenta o finalice su relación con el servicio. Las obligaciones de confidencialidad, así como las relativas al destino de los datos (apartado 4.9), pervivirán a la extinción del Contrato.
7. MODIFICACIÓN DEL CONTRATO
El Encargado podrá modificar el presente Contrato cuando sea necesario para adaptarlo a cambios normativos, técnicos o de organización. Cualquier modificación se comunicará al Responsable con una antelación mínima de 30 días naturales mediante aviso destacado en la plataforma o correo electrónico al administrador. Si el Responsable no estuviera de acuerdo con las modificaciones, podrá resolver el contrato sin penalización dentro de ese plazo, aplicándose el procedimiento de devolución y supresión de datos del apartado 4.9.
8. ACEPTACIÓN EXPRESA
Al hacer clic en el checkbox de registro indicando "He leído y acepto el Contrato de Encargo de Tratamiento", el Administrador en representación del Club arriba indicado reconoce haber leído, comprendido y aceptado en su totalidad las cláusulas descritas en este documento, confiriéndole plena validez legal entre ambas partes.
---
ANEXO I — LISTA DE SUBENCARGADOS AUTORIZADOS
*(Última actualización: [FECHA])*
| Subencargado | Servicio prestado | Ubicación de los datos | Garantía de transferencia |
|---|---|---|---|
| [Proveedor de hosting / cloud — p. ej. Vercel, AWS, Railway] | Alojamiento de la aplicación web | [Región — p. ej. UE-Frankfurt / EEUU] | [SCC / EU-US DPF / no aplica si UE] |
| [Proveedor de base de datos — p. ej. Neon, Supabase, RDS] | Almacenamiento de la base de datos | [Región] | [SCC / EU-US DPF / no aplica si UE] |
| [Proveedor de almacenamiento de archivos — p. ej. S3, Cloudflare R2] | Almacenamiento de PDFs y documentos | [Región] | [SCC / EU-US DPF / no aplica si UE] |
| [Proveedor de email transaccional — p. ej. Resend, SendGrid] | Envío de notificaciones por correo | [Región] | [SCC / EU-US DPF / no aplica si UE] |
| Google LLC (Gemini API) | Extracción automatizada de datos de actas y circulares PDF mediante IA | EEUU | EU-US Data Privacy Framework. Los datos enviados no se utilizan para entrenar modelos conforme a las condiciones de uso de la API de pago de Google. |
*El Club acepta que esta lista pueda actualizarse conforme al apartado 4.4.*