Acuerdo de Procesamiento de Datos
Fecha de vigencia: 26 de febrero de 2026
Este Acuerdo de Procesamiento de Datos (“DPA”) se celebra entre el cliente que utiliza la plataforma OpenMatchDay (“Responsable del tratamiento”, “usted”) y POISE AB, VAT ID SE556773092301 (“Encargado del tratamiento”, “nosotros”), de conformidad con el artículo 28 del Reglamento General de Protección de Datos (UE) 2016/679 (“RGPD”).
Este DPA complementa los Términos de Servicio y se aplica automáticamente a todos los clientes cuyo uso del Servicio implique el tratamiento de datos personales.
1. Definiciones
- Datos personales: Cualquier información relativa a una persona física identificada o identificable, según la definición del artículo 4(1) del RGPD.
- Tratamiento: Cualquier operación realizada sobre datos personales, según la definición del artículo 4(2) del RGPD.
- Responsable del tratamiento: El cliente (organizador del torneo) que determina los fines y medios del tratamiento de datos personales a través del Servicio.
- Encargado del tratamiento: POISE AB, que procesa datos personales en nombre del Responsable del tratamiento a través de la plataforma OpenMatchDay.
- Subencargado: Un tercero contratado por el Encargado del tratamiento para procesar datos personales en nombre del Responsable del tratamiento.
2. Alcance y finalidad del tratamiento
2.1 Objeto
El Encargado del tratamiento procesa datos personales en nombre del Responsable del tratamiento con el fin de proporcionar la plataforma de gestión de torneos OpenMatchDay.
2.2 Categorías de interesados
- Administradores y personal del torneo (titulares de cuentas)
- Representantes y contactos de equipos
- Jugadores registrados en torneos
- Espectadores que acceden a las páginas públicas del torneo (solo datos mínimos)
2.3 Tipos de datos personales
- Nombres (administradores, jugadores)
- Direcciones de correo electrónico (administradores)
- Información de jugadores (nombre, número de camiseta)
- Información de equipos (nombre del equipo, datos de contacto si se proporcionan)
- Datos de partidos y rendimiento (marcadores, eventos, estadísticas)
- Datos de uso (direcciones IP, información del navegador de los registros del servidor)
2.4 Duración
El tratamiento continúa durante la vigencia de la suscripción del Responsable del tratamiento y durante el período de retención de datos especificado en nuestra Política de Privacidad.
3. Obligaciones del Encargado del tratamiento
3.1 Instrucciones de tratamiento
El Encargado del tratamiento procesará datos personales únicamente conforme a las instrucciones documentadas del Responsable del tratamiento, excepto cuando lo exija el derecho de la UE o de los Estados miembros. Las instrucciones del Responsable del tratamiento se definen por las funciones y la configuración del Servicio tal como las utiliza el Responsable del tratamiento.
3.2 Confidencialidad
El Encargado del tratamiento garantiza que las personas autorizadas para procesar datos personales se han comprometido a mantener la confidencialidad o están sujetas a una obligación legal adecuada de confidencialidad.
3.3 Medidas de seguridad
El Encargado del tratamiento implementa medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, incluyendo:
- Cifrado en tránsito: Todos los datos transmitidos mediante HTTPS/TLS
- Autenticación: Contraseñas almacenadas con hash bcrypt; protección con token CSRF en todas las operaciones
- Control de acceso: Permisos basados en roles (administrador de plataforma, administrador de torneo, árbitro, espectador)
- Política de Seguridad de Contenido: Cabeceras CSP con nonces para prevenir ataques de inyección
- Alojamiento: Datos almacenados en servidores en la UE
- Monitorización: Registros de acceso al servidor conservados durante 90 días para revisión de seguridad
- Actualizaciones: Parches de seguridad y actualizaciones de la plataforma regulares
3.4 Subencargados
El Responsable del tratamiento otorga autorización general al Encargado del tratamiento para contratar subencargados. La lista actual de subencargados es:
| Subencargado | Finalidad | Ubicación |
|---|---|---|
| Proveedor de alojamiento en la UE | Infraestructura de servidores y almacenamiento de datos | Unión Europea |
| Lettermint | Envío de correos transaccionales | Unión Europea |
El Encargado del tratamiento informará al Responsable del tratamiento de cualquier cambio previsto en la lista de subencargados con al menos 30 días de antelación. El Responsable del tratamiento puede oponerse a un nuevo subencargado dentro de ese plazo. Si la objeción no puede resolverse, el Responsable del tratamiento puede rescindir el acuerdo.
3.5 Derechos de los interesados
El Encargado del tratamiento asistirá al Responsable del tratamiento en la respuesta a las solicitudes de los interesados que ejerzan sus derechos en virtud del RGPD (acceso, rectificación, supresión, portabilidad, limitación, oposición). El Encargado del tratamiento proporciona herramientas dentro de la plataforma para que el Responsable del tratamiento gestione los datos de jugadores y equipos directamente.
3.6 Notificación de violación de datos
En caso de una violación de datos personales, el Encargado del tratamiento notificará al Responsable del tratamiento sin demora indebida y a más tardar en 72 horas después de tener conocimiento de la violación. La notificación incluirá:
- Una descripción de la naturaleza de la violación
- Las categorías y el número aproximado de interesados afectados
- Las posibles consecuencias de la violación
- Las medidas tomadas o propuestas para abordar la violación
3.7 Evaluaciones de impacto sobre la protección de datos
El Encargado del tratamiento asistirá al Responsable del tratamiento con las evaluaciones de impacto sobre la protección de datos y las consultas previas con las autoridades de supervisión, cuando sea necesario en virtud de los artículos 35 y 36 del RGPD.
4. Obligaciones del Responsable del tratamiento
El Responsable del tratamiento es responsable de:
- Garantizar una base legal para el tratamiento de datos personales introducidos en el Servicio
- Obtener el consentimiento adecuado de los interesados (como jugadores) cuando sea necesario
- Proporcionar información de privacidad a los interesados sobre el uso de sus datos en el torneo
- Determinar el período de retención de datos de torneo dentro de las capacidades del Servicio
5. Eliminación y devolución de datos
5.1 Durante la suscripción
El Responsable del tratamiento puede eliminar datos de torneos, equipos y jugadores en cualquier momento a través de las herramientas administrativas de la plataforma.
5.2 Tras la terminación
Tras la terminación de la suscripción, el Responsable del tratamiento puede solicitar una exportación de datos dentro de los 30 días siguientes. Pasado este plazo, el Encargado del tratamiento eliminará todos los datos personales procesados en nombre del Responsable del tratamiento, salvo que la retención sea requerida por el derecho de la UE o de los Estados miembros.
5.3 Limpieza automática
Los torneos completados se eliminan automáticamente 60 días después de su finalización. Los torneos en borrador que no se activan se eliminan después de 24 horas. Estos períodos de retención se aplican a menos que el Responsable del tratamiento elimine los datos antes.
6. Auditorías
El Encargado del tratamiento pondrá a disposición del Responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD. Esto incluye:
- Documentación anual de cumplimiento disponible previa solicitud por escrito
- Cooperación con auditorías realizadas por el Responsable del tratamiento o un auditor independiente designado por el Responsable del tratamiento, sujeto a aviso razonable y limitaciones de alcance
Las auditorías se realizarán durante el horario comercial habitual y no interrumpirán de manera irrazonable las operaciones del Encargado del tratamiento.
7. Transferencias internacionales
El Encargado del tratamiento almacena y procesa todos los datos personales dentro de la Unión Europea. Si algún subencargado procesa datos fuera de la UE/EEE, el Encargado del tratamiento garantizará que se establezcan las salvaguardias adecuadas (como Cláusulas Contractuales Tipo) de acuerdo con el Capítulo V del RGPD.
8. Responsabilidad
La responsabilidad de cada parte en virtud de este DPA está sujeta a las limitaciones establecidas en los Términos de Servicio.
9. Vigencia y terminación
Este DPA entra en vigor cuando el Responsable del tratamiento comienza a utilizar el Servicio y permanece vigente mientras el Encargado del tratamiento procese datos personales en nombre del Responsable del tratamiento. El DPA se resuelve automáticamente cuando todos los datos personales hayan sido eliminados o devueltos de acuerdo con la Sección 5.
10. Contacto
Para preguntas sobre este Acuerdo de Procesamiento de Datos, contacta:
POISE AB
Email: hello@openmatchday.com
VAT ID: SE556773092301