@miofaseVolver

Contrato de Encargado de Tratamiento

Acuerdo de tratamiento de datos (DPA) conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD) · Servicio prestado bajo la marca registrada Miofase

Documento marco. La versión vinculante es la aceptada o firmada por ambas partes en el momento de la contratación, con los datos identificativos cumplimentados.

1. Partes

Responsable del tratamiento: el centro de entrenamiento, profesional o entidad que contrata la plataforma y que determina los fines y medios del tratamiento de los datos de sus deportistas/clientes (en adelante, el "Responsable").

Encargado del tratamiento: Miofase, que trata los datos personales por cuenta del Responsable, únicamente para prestarle el servicio de la plataforma (en adelante, el "Encargado").

2. Objeto

El presente acuerdo regula el tratamiento de datos personales que el Encargado realiza por cuenta del Responsable como consecuencia de la prestación del servicio de gestión de entrenamiento, clientes, planificaciones, citas, comunicaciones y seguimiento de pagos a través de la plataforma Miofase.

3. Duración

Este acuerdo tiene vigencia mientras esté en vigor la relación de prestación del servicio. Finalizada esta, regirá lo dispuesto en el apartado 8 (devolución y supresión).

4. Naturaleza, finalidad y alcance del tratamiento

  • Naturaleza y finalidad: recogida, registro, organización, conservación, consulta y comunicación de datos necesarios para que el Responsable gestione a sus deportistas en la plataforma.
  • Categorías de interesados: deportistas/clientes del Responsable y, en su caso, personal autorizado del propio Responsable (gestores, coordinadores).
  • Categorías de datos: identificativos y de contacto (nombre, apellidos, correo, teléfono); datos de perfil deportivo y de entrenamiento; datos económicos derivados del seguimiento de pagos; y datos de categoría especial (datos de salud, art. 9 RGPD) cuando el Responsable los registre para la planificación segura del ejercicio (lesiones, patologías, restricciones).

5. Obligaciones del Encargado

El Encargado se compromete a:

  • Tratar los datos únicamente conforme a las instrucciones documentadas del Responsable, incluidas las transferencias internacionales, salvo obligación legal.
  • No utilizar ni ceder los datos para fines propios ni distintos de la prestación del servicio.
  • Garantizar que las personas autorizadas a tratar los datos se comprometen a respetar la confidencialidad, con carácter permanente incluso tras finalizar la relación.
  • Aplicar las medidas técnicas y organizativas apropiadas conforme al artículo 32 del RGPD (apartado 7).
  • Asistir al Responsable, en la medida de lo posible, para atender las solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, oposición, limitación y portabilidad).
  • Asistir al Responsable en el cumplimiento de sus obligaciones de seguridad, notificación de violaciones de seguridad y evaluaciones de impacto (arts. 32 a 36 RGPD).
  • Notificar al Responsable, sin dilación indebida, cualquier violación de la seguridad de los datos de la que tenga conocimiento, con la información necesaria para que el Responsable cumpla sus obligaciones de notificación.
  • Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento de estas obligaciones y permitir auditorías razonables.

6. Subencargados

El Responsable autoriza al Encargado a recurrir a los siguientes subencargados, proveedores de infraestructura necesarios para prestar el servicio, vinculados por obligaciones de protección de datos equivalentes a las de este acuerdo:

SubencargadoFinalidadUbicación / garantías
SupabaseBase de datos, autenticación y almacenamientoRegión de la Unión Europea (configuración del proyecto)
VercelAlojamiento y entrega de la aplicaciónEE. UU. — Cláusulas Contractuales Tipo (SCC)
ResendEnvío de correos transaccionalesEE. UU. — Cláusulas Contractuales Tipo (SCC)
SentryMonitorización de erroresEE. UU. — Cláusulas Contractuales Tipo (SCC)
AnthropicGeneración de planes con IA (sobre perfil clínico-biológico filtrado, sin datos identificativos directos)EE. UU. — Cláusulas Contractuales Tipo (SCC)

El Encargado informará al Responsable de cualquier cambio previsto en la incorporación o sustitución de subencargados, dando al Responsable la posibilidad de oponerse.

7. Medidas de seguridad (art. 32 RGPD)

El Encargado aplica, entre otras, las siguientes medidas técnicas y organizativas:

  • Cifrado de las comunicaciones (HTTPS/TLS) y de las credenciales en reposo.
  • Aislamiento estricto de los datos entre centros mediante seguridad a nivel de fila (RLS): un Responsable no puede acceder a los datos de otro.
  • Control de acceso por roles, autenticación de sesión verificada en servidor y políticas de contraseña (longitud mínima y rechazo de contraseñas débiles).
  • Protección del acceso frente a abuso y ataques automatizados (límites de peticiones y verificación anti-bot en el inicio de sesión).
  • Registro de eventos de seguridad y monitorización de incidencias.
  • Copias de seguridad de la base de datos en el entorno de producción.
  • Minimización: a la IA solo se envían datos clínicos sin información identificativa.

8. Devolución o supresión al finalizar

Finalizada la prestación del servicio, el Encargado, a elección del Responsable, devolverá o suprimirá los datos personales tratados por su cuenta, así como las copias existentes, salvo que deba conservarlos por obligación legal. La plataforma facilita además al propio deportista la exportación y la solicitud de supresión de sus datos.

9. Responsabilidad

Cada parte responde del cumplimiento de las obligaciones que le corresponden conforme al RGPD y a este acuerdo. El Responsable garantiza disponer de la base jurídica adecuada para el tratamiento de los datos que registra en la plataforma, incluido, cuando proceda, el consentimiento explícito para los datos de salud.

10. Legislación aplicable

Este acuerdo se rige por el RGPD, por la Ley Orgánica 3/2018 (LOPDGDD) y por la demás normativa española y de la Unión Europea aplicable en materia de protección de datos.

Para cualquier cuestión relativa a este acuerdo: miofase@hotmail.com.