Política de privacidad
En Clyb’ tratamos los datos personales conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD) y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Esta política te explica qué datos recogemos, para qué los usamos, durante cuánto tiempo y cuáles son tus derechos.
1. Responsable del tratamiento
El responsable del tratamiento de tus datos personales es FlamaTech Ltd.
(matriz de Clyb’), sociedad inscrita en el Registro Mercantil de Malta · C 102457,
domicilio en Level 3, Quantum House, 75 Abate Rigord St, Ta' Xbiex XBX 1120 (Malta),
VAT MT 2345 6789.
- Identidad: FlamaTech Ltd. (Clyb')
- NIF / VAT: MT 2345 6789
- Datos registrales: Registro Mercantil de Malta · C 102457
- Domicilio: Level 3, Quantum House, 75 Abate Rigord St, Ta' Xbiex XBX 1120, Malta
- Contacto general: hola@clyb.app
- Delegado de Protección de Datos: dpo@clyb.app
2. Datos que recogemos
En función de tu relación con Clyb’, tratamos las siguientes categorías de datos:
- Gestores de club: nombre, email, teléfono, datos del club (CIF, dirección fiscal), datos bancarios para cobrar la suscripción.
- Tutores: nombre, email, teléfono, documento de identidad, método de pago, mandatos SEPA, dirección postal.
- Deportistas: nombre, fecha de nacimiento, documento, datos médicos (cuando los aporta el tutor), consentimientos firmados.
- Staff del club (LOPIVI): certificados negativos del Registro Central de Delincuentes Sexuales.
- Datos técnicos: dirección IP, user agent, registros de auditoría, métricas de uso anonimizadas.
3. Finalidad y base legal
Tratamos tus datos para las siguientes finalidades:
| Finalidad | Datos tratados | Base legal |
|---|---|---|
| Gestionar el alta de un club y el acceso a la plataforma | Email, contraseña hasheada, nombre, datos fiscales del club (NIF, razón social, domicilio fiscal) | Ejecución de contrato (art. 6.1.b RGPD) |
| Procesar cuotas y emitir facturas electrónicas (VeriFactu) | Datos del tutor pagador, IBAN o referencia de tarjeta tokenizada, datos del deportista | Ejecución de contrato + obligación legal (arts. 6.1.b y 6.1.c RGPD) |
| Cumplir LOPIVI | Certificados negativos del Registro Central de Delincuentes Sexuales del staff | Obligación legal (art. 6.1.c RGPD; LO 8/2021) |
| Atención al cliente | Email, contenido del mensaje, historial de la conversación | Interés legítimo (art. 6.1.f RGPD) |
| Prevención del fraude y seguridad de la plataforma | Logs de acceso, IP, user agent, métricas de uso | Interés legítimo (art. 6.1.f RGPD) |
| Comunicaciones comerciales | Email, nombre, nombre del club | Consentimiento (art. 6.1.a RGPD), revocable en cualquier momento |
4. Destinatarios de los datos
Solo compartimos tus datos con los proveedores estrictamente necesarios para prestar el servicio, siempre bajo contrato de encargado del tratamiento conforme al artículo 28 RGPD:
- Amazon Web Services (Frankfurt, UE) — alojamiento de la plataforma.
- Stripe Payments Europe Ltd. (Dublín, UE) — procesamiento de cobros.
- GoCardless (Londres, UK) — domiciliaciones SEPA opcionales.
- Resend (Alemania, UE) — envío de email transaccional.
- Agencia Tributaria Española (AEAT) — envío obligatorio de facturas vía VeriFactu (obligación legal).
No vendemos ni cedemos los datos a terceros con fines publicitarios.
5. Transferencias internacionales
Todos los servidores principales están en territorio de la Unión Europea. Las transferencias puntuales a Reino Unido (GoCardless) se realizan al amparo de la decisión de adecuación de la Comisión Europea de 28 de junio de 2021. Para cualquier otra transferencia fuera del EEE aplicamos las garantías exigidas por el RGPD: cláusulas contractuales tipo aprobadas por la Comisión Europea o decisión de adecuación.
6. Plazos de conservación
- Cuenta activa: mientras el club mantenga la suscripción.
- Datos fiscales y facturas: 6 años desde el cierre del ejercicio (art. 30 del Código de Comercio) y 7 años desde la emisión para los registros VeriFactu.
- Mandatos SEPA: 14 meses desde el último cobro, conforme al SEPA Core Rulebook.
- Certificados LOPIVI: mientras dure la relación laboral / colaboración + el plazo de prescripción correspondiente.
- Datos de prospección comercial: hasta que retires el consentimiento.
7. Tus derechos · RGPD
Como interesado tienes derecho a:
- Acceso a tus datos personales.
- Rectificación de datos inexactos.
- Supresión cuando ya no sean necesarios.
- Oposición al tratamiento por interés legítimo.
- Limitación del tratamiento.
- Portabilidad en formato estructurado y legible.
- Retirada del consentimiento en cualquier momento, sin efectos retroactivos.
Para ejercerlos escribe a dpo@clyb.app indicando tu nombre y el derecho que quieres ejercer. Responderemos en un plazo máximo de un mes.
Si crees que el tratamiento no se ajusta a la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), C/ Jorge Juan, 6, 28001 Madrid.
8. Datos de menores
Clyb’ está diseñado para que el club deportivo sea el Responsable del Tratamiento de los datos de los menores deportistas y sus tutores. Clyb’ actúa como Encargado del Tratamiento conforme a un DPA firmado entre ambas partes. La política específica del club aplicable a los menores la facilita el propio club a sus tutores en el momento de la inscripción.
9. Seguridad
Aplicamos las medidas técnicas y organizativas razonables para proteger los datos: cifrado AES-256 en reposo, TLS 1.3 en tránsito, control de acceso por roles, registro de actividad, copias de seguridad cifradas y revisión periódica de proveedores.
10. Cambios en esta política
Esta política puede actualizarse para reflejar cambios legales u operativos. La fecha de la última revisión aparece al inicio del documento. Si los cambios son sustanciales te avisaremos por email antes de que entren en vigor.
11. Cómo contactarnos
DPO: dpo@clyb.app. Atención general: hola@clyb.app.