RGPD · Cómo cumplimos
Cómo Clyb' cumple el Reglamento General de Protección de Datos (RGPD), incluyendo el rol de Encargado del Tratamiento que asumimos frente a cada club.
Esta página resume cómo Clyb’ cumple el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), y aclara los roles entre el club (Responsable) y Clyb’ (Encargado del Tratamiento).
1. Roles RGPD
| Rol | Quién lo asume | Qué decide |
|---|---|---|
| Responsable del Tratamiento | El club deportivo | Las finalidades del tratamiento de los datos de deportistas, tutores y staff. |
| Encargado del Tratamiento | FlamaTech Ltd. (Clyb') | Tratar los datos en nombre del club siguiendo sus instrucciones, según el DPA firmado. |
| Sub-encargados | Stripe, Supabase, Resend, AEAT | Servicios concretos (pagos, base de datos, emails, fiscalidad) con contrato firmado. |
2. Acuerdo de Encargo de Tratamiento (DPA)
Al activar la suscripción se firma electrónicamente un DPA que cumple los requisitos del artículo 28 RGPD. Incluye:
- Objeto, duración, naturaleza y finalidad del tratamiento.
- Tipo de datos personales y categorías de interesados.
- Obligaciones del Encargado: confidencialidad, seguridad, asistencia al Responsable, notificación de brechas.
- Régimen de sub-encargados con autorización general previa.
- Devolución o supresión de los datos al final del contrato.
Si necesitas una copia del DPA antes de contratar, escribe a dpo@clyb.app.
3. Medidas técnicas y organizativas
- Cifrado: AES-256 en reposo, TLS 1.3 en tránsito.
- Control de acceso: autenticación por proveedor (Supabase Auth), control por roles, claims firmados.
- Segregación multi-tenant: aislamiento por
club_id+ Row-Level Security en PostgreSQL. - Trazabilidad: registro de actividad de operaciones sensibles.
- Backups: copias diarias cifradas con retención de 30 días.
- Revisión de proveedores: evaluación previa y reevaluación anual de cada sub-encargado.
4. Notificación de brechas de seguridad
En caso de brecha de seguridad que afecte a datos personales, notificaremos al club Responsable en un plazo máximo de 72 horas desde que tengamos conocimiento, conforme al artículo 33.2 RGPD. La notificación incluirá naturaleza, categorías y volumen de datos afectados, medidas adoptadas y persona de contacto.
5. Derechos de los interesados
Cuando un tutor, deportista o miembro del staff ejerza un derecho ARCO+ (Acceso, Rectificación, Supresión, Oposición, Limitación, Portabilidad) debe dirigirse al club Responsable. Clyb’ asistirá al club con las herramientas técnicas necesarias para responder al interesado en el plazo legal.
6. Transferencias internacionales
Los datos se almacenan principalmente en infraestructura ubicada en la Unión Europea. Algunos sub-encargados podrían procesar datos fuera del EEE; en esos casos aplicamos cláusulas contractuales tipo aprobadas por la Comisión Europea o decisión de adecuación, garantizando un nivel de protección equivalente al del RGPD.
7. Contacto y reclamaciones
Delegado de Protección de Datos: dpo@clyb.app.
Reclamaciones ante la autoridad de control: Agencia Española de Protección de Datos (C/ Jorge Juan, 6, 28001 Madrid).