Política de Privacidad para Entrenadores

Esta es una traducción del documento original en inglés, proporcionada para tu comodidad. En caso de conflicto o discrepancia entre esta traducción y la versión en inglés, prevalecerá la versión en inglés.

1. Propósito y Alcance

El Saturday Coach Portal ("Portal") permite a los entrenadores y a las organizaciones gestionar las listas de atletas, ver datos de cumplimiento, crear y editar actividades, ajustar la configuración de nutrición y facturar a los atletas a través de Stripe Connect. Esta adenda cubre los flujos de datos específicos de estas funciones orientadas al entrenador.

A lo largo de esta política, "tú" y "tu" se refieren al entrenador o administrador de la organización que utiliza el Portal. "Atleta" se refiere a la persona cuyos datos se acceden a través del Portal. "Saturday", "nosotros", "nos" y "nuestro" se refieren a Saturday Inc.

2. Marco de Responsable del Tratamiento, Encargado del Tratamiento y Responsable Independiente

La normativa de protección de datos asigna funciones específicas — responsable del tratamiento, encargado del tratamiento y corresponsable del tratamiento — a las partes que intervienen en el tratamiento de datos personales. Conforme al artículo 4(7) del GDPR, un responsable del tratamiento es la entidad que determina los fines y los medios del tratamiento. Un encargado del tratamiento trata los datos por cuenta y siguiendo las instrucciones de un responsable. Estos son conceptos funcionales: la relación real, no la etiqueta del contrato, determina la función. El marco que figura a continuación refleja el análisis de Saturday conforme a las Directrices 07/2020 del EDPB sobre los conceptos de responsable y encargado del tratamiento.

Saturday como Responsable del Tratamiento

Saturday Inc. es el responsable del tratamiento de todos los datos personales de los atletas almacenados en los sistemas de Saturday, incluidas las bases de datos de Firestore, los registros de Firebase Authentication, el procesamiento en Cloud Functions y la infraestructura asociada. Saturday determina los fines y los medios del tratamiento de estos datos: proporcionar recomendaciones personalizadas de nutrición e hidratación, mantener la integridad de las cuentas y operar la plataforma.

Responsable del Tratamiento: Saturday Inc.
8 The Green, STE A, Dover, DE 19901
Persona de contacto: Alex Harrison
Correo electrónico de contacto: support@saturdaymorning.fit

Cuando un Entrenador Actúa como Encargado del Tratamiento Limitado

Cuando accedes a los datos de un atleta únicamente dentro del Portal con el fin de ver indicadores de cumplimiento, revisar el historial de actividades o ajustar la configuración dentro de la interfaz del Portal, estás actuando como encargado del tratamiento limitado conforme a los términos de Saturday. En esta capacidad, accedes a datos que Saturday controla, para fines que Saturday define (facilitar las relaciones de entrenamiento entre entrenador y atleta), utilizando medios que Saturday proporciona (el Portal). No determinas de forma independiente por qué o cómo se tratan estos datos — Saturday sí lo hace.

Cuando un Entrenador se Convierte en Responsable Independiente

Cuando extraes los datos de un atleta más allá de los límites del Portal, te conviertes en responsable independiente de ese tratamiento. Esto incluye, entre otros:

• Usar los datos del atleta para desarrollar planes, programas o evaluaciones de entrenamiento fuera de Saturday
• Comunicar los datos del atleta a terceros (otros entrenadores, profesionales médicos, personal del equipo) fuera del Portal
• Introducir los datos del atleta en herramientas de terceros, hojas de cálculo o plataformas de entrenamiento
• Conservar notas, capturas de pantalla o registros de los datos del atleta fuera de los sistemas de Saturday
• Usar los datos del atleta para tus propios fines de análisis empresarial, marketing o promoción

Como responsable independiente, asumes tus propias obligaciones conforme a la normativa de protección de datos aplicable (incluidos, cuando proceda, los artículos 5, 6, 13, 14 y 30 del GDPR) respecto de ese tratamiento. Saturday no es responsable de tu cumplimiento como responsable independiente. Esta distinción es coherente con las Directrices 07/2020 del EDPB, que reconocen que los proveedores de servicios profesionales que ejercen un juicio independiente sobre el uso de los datos son responsables del tratamiento respecto de ese tratamiento, con independencia de cómo se obtuvieron originalmente los datos subyacentes.

Por Qué Esto No Es Corresponsabilidad del Tratamiento

Saturday y el entrenador no determinan conjuntamente los fines y los medios de ninguna actividad de tratamiento concreta. Saturday determina cómo funciona la plataforma; el entrenador determina cómo usar los datos que extrae fuera de la plataforma. Estas son actividades de tratamiento separadas con fines separados, no una operación de tratamiento común. En consecuencia, este acuerdo no constituye corresponsabilidad del tratamiento conforme al artículo 26 del GDPR.

Datos de Facturación de Stripe Connect

Para los datos de facturación procesados a través de Stripe Connect, tú eres el responsable del tratamiento de tu propia cuenta de Stripe Connect y de tus relaciones de facturación con los atletas. Saturday facilita la conexión y cobra una comisión de plataforma, pero tú — no Saturday — eres el comerciante registrado. Tú determinas tus tarifas, condiciones de facturación y políticas de reembolso. Tu tratamiento de los datos de facturación se rige por la Política de Privacidad de Stripe y el Acuerdo de Cuenta Conectada de Stripe.

Acuerdo de Tratamiento de Datos

Saturday pone a disposición un Acuerdo de Tratamiento de Datos (DPA) para los entrenadores que tienen atletas en el Espacio Económico Europeo, el Reino Unido o Suiza, o que de otro modo requieren un DPA formal. El DPA cubre el tratamiento por parte de Saturday de los datos de los atletas por cuenta del entrenador en su capacidad de responsable del tratamiento para los fines descritos anteriormente.

3. A Qué Pueden Acceder los Entrenadores

Cuando un atleta te concede acceso, obtienes permisos de lectura y escritura sobre las siguientes categorías de datos, aplicados a nivel de base de datos mediante las Reglas de Seguridad de Firestore:

Información del Perfil

• Nombre para mostrar — lectura y escritura
• Dirección de correo electrónico — solo lectura (los entrenadores no pueden modificarla)
• UID de Firebase — solo lectura
• Indicadores de insider/adoptante temprano — solo lectura
• Todos los demás campos del perfil — lectura y escritura, incluidos entre otros el peso, el sexo, el año de nacimiento, el perfil de sudoración (nivel de sudoración, salinidad), el perfil y las preocupaciones de alimentación, los datos de perfil relacionados con la actividad, las preferencias deportivas y el nivel de condición física

Datos de Salud y Biométricos

• Datos corporales: peso, sexo, año de nacimiento
• Perfil de sudoración: nivel de sudoración, salinidad
• Perfil de alimentación: indicador de trastorno alimentario, preferencia de pérdida de peso, nivel de condición física, saciedad, antojos, rango de ingesta de carbohidratos, consumo habitual de carbohidratos
• Preocupaciones de alimentación: malestar gastrointestinal, calambres, mareos, tolerancia al calor, hambre, sed, resistencia a beber, preocupaciones de rendimiento

Los entrenadores tienen acceso de lectura y escritura a todos los datos de salud y biométricos enumerados anteriormente. Este acceso es más amplio de lo que el diálogo de consentimiento del atleta resume como "Ajustar la configuración de nutrición". Lo divulgamos aquí en aras de la plena transparencia.

Actividades

Los entrenadores tienen acceso completo de creación, lectura, actualización y eliminación a las actividades de un atleta, incluidas: el tipo de actividad, la duración, la intensidad, el estrés térmico, la nutrición consumida durante la actividad, las notas y las valoraciones.

Productos

Los entrenadores tienen acceso completo de creación, lectura, actualización y eliminación a la subcolección de productos de un atleta, incluidos los productos personalizados creados por el entrenador para el atleta y las preferencias de productos.

Estado de Suscripción y Cobertura

• Si el atleta tiene una suscripción activa de Saturday — solo lectura
• Origen de la cobertura (autofinanciada, incluida por el entrenador, incluida por la organización) — solo lectura
• Nivel de cobertura — solo lectura

Indicadores de Cumplimiento en Tiempo Real

• Indicadores de recencia de actividad (puntos de estado rojos, amarillos, verdes)
• Recuentos de actividades durante periodos recientes
• Días desde la última actividad

Los indicadores de cumplimiento se calculan en tiempo real y no se almacenan como registros persistentes.

4. A Qué No Pueden Acceder los Entrenadores

Las siguientes categorías de datos se deniegan explícitamente a los entrenadores, aplicadas por las Reglas de Seguridad de Firestore a nivel de base de datos:

• Tokens de integración: tokens OAuth para TrainingPeaks, Intervals.icu y otras integraciones de terceros. Estos tokens autentican como el atleta en servicios de terceros. Los entrenadores no pueden leerlos, escribirlos ni enumerarlos.
• Registros de compra: el historial de pagos, los registros de transacciones y los detalles de compra del atleta. Los datos de compra solo pueden ser leídos por el titular de la cuenta.
• Detalles del método de pago: los números de tarjeta de crédito, las direcciones de facturación y los instrumentos de pago son gestionados íntegramente por Apple, Google o Stripe y nunca se almacenan en la base de datos de Saturday.
• Credenciales de autenticación: contraseñas, hashes de contraseñas y tokens de autenticación.
• Datos de atletas que no han consentido: un entrenador solo puede acceder a los datos de los atletas que tienen una relación activa con ese entrenador específico. Las Reglas de Seguridad de Firestore verifican el estado de la relación entrenador-atleta en cada solicitud.
• Relaciones de otros entrenadores: un entrenador no puede ver con qué otros entrenadores tiene relaciones un atleta, ni acceder a los datos a través de esas otras relaciones.

5. Control de Acceso Permisivo por Defecto

El sistema de control de acceso por relación de Saturday utiliza siete claves de permiso: view_profile, view_activities, create_activities, edit_activities, edit_settings, view_products y view_ai_insights.

Importante: si una clave de permiso está ausente de la lista de control de acceso de la relación, el sistema la trata como permitida. Esto significa que las relaciones entrenador-atleta recién creadas conceden un acceso amplio por defecto, a menos que un atleta haya restringido explícitamente permisos específicos.

Los atletas pueden revisar y restringir permisos individuales en cualquier momento a través de Configuración > Mis Entrenadores en la app de Saturday. Animamos a los atletas a revisar los permisos de su entrenador después de establecer una relación. Divulgamos este diseño permisivo por defecto aquí porque creemos que los atletas deben entender cómo funciona el acceso antes de basarse en suposiciones sobre lo que su entrenador puede o no puede ver.

6. Cómo Consienten los Atletas el Acceso del Entrenador

Los atletas conceden acceso al entrenador a través de una de tres vías de entrada:

Caso A: Cuenta Creada por el Entrenador

Un entrenador puede crear una cuenta de atleta en nombre del atleta introduciendo la dirección de correo electrónico, el nombre, el sexo, la fecha de nacimiento, el peso, el perfil de sudoración, los deportes y el nivel de condición física del atleta. El entrenador puede utilizar el flujo de Configuración Rápida (ocho campos básicos) o de Incorporación Completa (veinticinco o más páginas de incorporación).

Divulgación: cuando un entrenador crea una cuenta de atleta en nombre del atleta, el entrenador declara a Saturday que el atleta ha consentido la creación de la cuenta y el acceso del entrenador a los datos introducidos. Saturday se basa en esta declaración. No se produce ninguna verificación independiente del consentimiento del atleta en el momento de la creación de la cuenta. Los atletas deben revisar su cuenta en el primer inicio de sesión y pueden revocar el acceso del entrenador en cualquier momento.

Caso B: Invitación del Entrenador

Un entrenador introduce la dirección de correo electrónico del atleta, y Saturday envía un correo electrónico de invitación. El atleta debe aceptar afirmativamente la invitación a través de un diálogo de consentimiento en la app de Saturday. El diálogo de consentimiento muestra:

Lo que tu entrenador puede hacer:

• Ver actividades
• Ver perfil
• Crear actividades
• Ajustar la configuración de nutrición
• Chatear con Saturday AI sobre tus datos

Lo que tu entrenador no puede hacer:

• Eliminar la cuenta
• Cambiar el correo electrónico
• Acceder a la información de pago
• Realizar compras

El diálogo incluye un recordatorio de "Tú tienes el control": "Puedes eliminar a tu entrenador en cualquier momento desde Configuración > Mis Entrenadores".

El atleta puede aceptar o rechazar. Las invitaciones rechazadas se registran y se notifica al entrenador.

Caso C: Transferencia entre Entrenadores

Un atleta puede ser transferido de un entrenador a otro mediante un enlace directo y un código de transferencia. Cuando se completa una transferencia, se revoca la relación del entrenador de origen y el entrenador de destino obtiene acceso. Las actividades y los productos personalizados creados durante la relación de entrenamiento anterior se migran con la cuenta del atleta para garantizar la continuidad de los datos históricos del atleta.

7. Cómo Revocan los Atletas el Acceso del Entrenador

Los atletas pueden revocar el acceso del entrenador en cualquier momento a través de Configuración > Mis Entrenadores en la app de Saturday. La revocación surte efecto inmediatamente: el entrenador pierde el acceso a Firestore en la siguiente solicitud a la base de datos.

Cuando se revoca el acceso:

• El estado de la relación entrenador-atleta se establece en "revocada" y se registra una marca de tiempo de revocación
• El entrenador ya no puede leer el perfil, las actividades, los productos ni la configuración del atleta
• Las actividades, los productos y otros datos creados por el entrenador durante la relación permanecen en la cuenta del atleta
• Las entradas históricas del registro de auditoría relativas a la relación se conservan (consulta la Sección 12)

Limitación: la revocación elimina el acceso del entrenador a los sistemas de Saturday. No retira retroactivamente los datos que el entrenador pueda haber visto, descargado, registrado en notas o introducido en herramientas externas. Una vez que los datos han salido de la plataforma de Saturday, Saturday no puede controlarlos. Si tienes preocupaciones sobre el uso que un entrenador hace de tus datos fuera de Saturday, debes abordar esas preocupaciones directamente con el entrenador.

8. Subencargados del Tratamiento

Saturday utiliza los siguientes subencargados del tratamiento para operar el Coach Portal. Cada subencargado recibe únicamente los datos necesarios para desempeñar su función.

Subencargado del Tratamiento	Propósito	Datos Compartidos	Ubicación
Google Cloud Platform (Firebase, Firestore, Cloud Functions, Secret Manager)	Almacenamiento de datos, autenticación, alojamiento, cómputo sin servidor	Todos los datos del Coach Portal, incluidos perfiles, actividades, relaciones y registros de auditoría	Estados Unidos (us-central1)
Stripe, Inc.	Procesamiento de pagos a través de Stripe Connect	Identidad del entrenador e información bancaria (KYC), métodos de pago de los atletas, importes de los cargos, metadatos del acuerdo de facturación	Estados Unidos
Brevo (anteriormente Sendinblue)	Correo electrónico transaccional (invitaciones de organización, notificaciones de facturación, alertas de suplantación)	Dirección de correo electrónico del entrenador, contenido de los correos electrónicos transaccionales	Unión Europea
Klaviyo, Inc.	Correo electrónico de marketing (secuencias de incorporación de entrenadores, actualizaciones de productos)	Correo electrónico, nombre, nivel y perfil deportivo del entrenador	Estados Unidos
Cloudflare, Inc.	Alojamiento perimetral, CDN, DNS para coach.saturday.fit	Metadatos de la solicitud (dirección IP, encabezados HTTP)	Red perimetral global

Saturday proporcionará un aviso por escrito con al menos 30 días de antelación antes de contratar a un nuevo subencargado del tratamiento para los datos del Coach Portal. Los entrenadores que hayan formalizado un Acuerdo de Tratamiento de Datos pueden oponerse a un nuevo subencargado durante un periodo de objeción de 14 días tras el aviso.

9. Prácticas de Datos de Saturday

Declaramos lo siguiente de forma inequívoca:

• Saturday no vende los datos personales de los entrenadores.
• Saturday no vende los datos de los atletas a los que se accede a través del Coach Portal.
• Saturday no utiliza los datos del Coach Portal para publicidad.
• Saturday no comparte los datos del Coach Portal con intermediarios de datos.
• Saturday no utiliza los datos del Coach Portal para fines no relacionados con la prestación y mejora del servicio de entrenamiento.

10. Base Jurídica del Tratamiento (GDPR)

Cuando se aplica el GDPR, Saturday trata los datos personales en relación con el Coach Portal sobre las siguientes bases jurídicas:

• Ejecución de un contrato (Artículo 6(1)(b)): el tratamiento de los datos de la cuenta del entrenador, los registros de relaciones con atletas, los datos de facturación y las métricas de cumplimiento es necesario para prestar el servicio del Coach Portal que has contratado.
• Consentimiento (Artículo 6(1)(a) y Artículo 9(2)(a)): los atletas consienten compartir datos de salud y biométricos con su entrenador a través de los mecanismos de consentimiento descritos en la Sección 6. Los atletas pueden retirar el consentimiento en cualquier momento revocando el acceso del entrenador.
• Interés legítimo (Artículo 6(1)(f)): el registro de auditoría, la prevención del fraude, la supervisión de la seguridad de la plataforma y los análisis agregados sirven al interés legítimo de Saturday de mantener un servicio seguro y fiable. Hemos ponderado estos intereses frente a los derechos de los interesados y hemos concluido que estas actividades de tratamiento son proporcionadas y esperables.
• Obligación legal (Artículo 6(1)(c)): la conservación de los registros de facturación y financieros según lo exigido por la legislación fiscal y contable aplicable.

11. Decisiones Automatizadas

El Coach Portal utiliza algoritmos para calcular indicadores de cumplimiento en tiempo real (puntos de recencia de actividad, recuentos de actividades) y para generar métricas organizativas agregadas. Estos cálculos resumen los datos brutos con fines de visualización. No producen decisiones con efectos jurídicos o efectos significativos similares sobre los atletas o los entrenadores. Los entrenadores ejercen su propio juicio profesional sobre cómo actuar respecto de la información presentada.

12. Registro de Auditoría

Todas las acciones del entrenador dentro del Portal se registran en un registro de auditoría de tipo solo anexión. Esto incluye, entre otros: cambios en la lista, acciones de facturación, eventos de suplantación, aceptación de los términos del servicio, asignaciones de roles, gestión de sesiones, solicitudes de privacidad y gestión de claves de API. Saturday mantiene más de 40 tipos de acciones auditables.

Cada entrada del registro de auditoría captura:

• UID del actor (quién realizó la acción)
• Tipo de acción
• Objetivo (qué se vio afectado)
• Dirección IP y User-Agent
• Marca de tiempo
• Estado anterior y posterior, cuando proceda
• Si la acción se realizó mientras se suplantaba a otro usuario y, en tal caso, la justificación de la suplantación

Las entradas del registro de auditoría son de tipo solo anexión y nunca se actualizan ni se eliminan. Se conservan indefinidamente. Saturday se basa en el artículo 17(3)(b) del GDPR (formulación, ejercicio o defensa de reclamaciones legales) y en el artículo 17(3)(e) (defensa de reclamaciones legales) como base jurídica para conservar las entradas del registro de auditoría más allá de lo que de otro modo se exigiría conforme al derecho de supresión. Reconocemos que esta posición puede estar sujeta a una orientación regulatoria en evolución y actualizaremos nuestras prácticas de conservación si así se requiere.

Los entrenadores y los administradores de la organización pueden ver las entradas del registro de auditoría relativas a su organización a través de la página de Registro de Auditoría del Portal, con funciones de búsqueda y exportación a CSV.

13. Suplantación

Los administradores de la organización, los entrenadores principales y el personal de Saturday con permiso de suplantación pueden suplantar a los usuarios dentro de su organización con fines administrativos y de soporte legítimos. La suplantación está sujeta a los siguientes controles:

• Justificación obligatoria: debe proporcionarse una justificación de texto libre antes de que comience la suplantación. Las justificaciones vacías se rechazan.
• Tiempo limitado: las sesiones de suplantación caducan automáticamente después de 30 minutos.
• Totalmente registrada: tanto el inicio como el fin de cada sesión de suplantación se registran en el registro de auditoría, incluidos el actor, el objetivo, la justificación, la dirección IP y el User-Agent.
• Con alcance limitado: la suplantación no concede acceso más allá del que ya tiene el usuario suplantado.
• Notificación: la notificación por correo electrónico de Brevo al usuario suplantado está en desarrollo. A la fecha de entrada en vigor de esta política, los usuarios suplantados aún no son notificados en tiempo real. Saturday tiene la intención de habilitar esta notificación y actualizará esta política cuando esté activa.

La suplantación por parte del personal de Saturday se utiliza con fines de soporte y no se utiliza para facturación, compras ni acceso a la información de pago.

14. Periodo de Gracia Silencioso

Cuando cambia el origen de la cobertura de un atleta — por ejemplo, porque un entrenador rebaja su nivel, se disuelve una organización o finaliza un acuerdo de facturación — el atleta entra en un periodo de gracia de 14 días durante el cual conserva el acceso completo a Saturday.

Divulgación: durante este periodo de gracia, no se envía ninguna notificación visible al atleta al inicio ni al final de la ventana de gracia. Si no se establece una cobertura de reemplazo en un plazo de 14 días, el acceso del atleta caduca de forma silenciosa. Lo divulgamos porque creemos que los atletas deben entender que los cambios de cobertura pueden no ser inmediatamente visibles para ellos.

15. Jerarquía de la Organización y Visibilidad de los Datos

Para los entrenadores que operan dentro de una organización (niveles Head Coach, Business o Enterprise):

• Las organizaciones matrices pueden leer los datos de las organizaciones descendientes que crearon, incluidas las listas de miembros, los roles y las métricas agregadas.
• Las organizaciones hijas no pueden leer los datos de la organización matriz.
• Los administradores de la organización pueden ver la lista de miembros, los roles, los acuerdos de facturación, los resúmenes financieros y los registros de auditoría de su organización.
• Las métricas agregadas de cumplimiento y financieras se consolidan a lo largo de la jerarquía de la organización.

16. Conservación de los Datos

Conservamos los datos del Coach Portal durante los siguientes periodos:

Categoría de Datos	Periodo de Conservación	Base
Datos de la cuenta del entrenador	Duración de la cuenta + 30 días	Ejecución de un contrato; limpieza tras el cierre de la cuenta
Registros de la relación atleta-entrenador	Duración de la relación + 90 días	Resolución de disputas; defensa de reclamaciones legales
Entradas del registro de auditoría	Indefinido	GDPR Art. 17(3)(b) y (e); reclamaciones legales
Registros de facturación y financieros	7 años después de la transacción	Requisitos regulatorios fiscales y financieros
Indicadores de cumplimiento	No almacenados (calculados en tiempo real)	N/A
Datos de la cuenta de Stripe Connect	Sujetos a la política de conservación de Stripe	Independiente de la conservación de Saturday
Registros de sesiones de suplantación	Indefinido (parte del registro de auditoría)	Seguridad; defensa de reclamaciones legales

Una vez que expira un periodo de conservación, los datos personales se eliminan. Saturday no conserva los datos personales más allá de los periodos indicados, salvo que la ley lo exija.

17. Derechos de los Interesados

Los atletas cuyos datos se acceden a través del Coach Portal conservan los mismos derechos descritos en la Política de Privacidad de la App, incluidos los derechos de acceso, rectificación, supresión, portabilidad, limitación del tratamiento, oposición, retirada del consentimiento y el derecho a presentar una reclamación ante una autoridad de control.

Para Atletas

Si un entrenador accede a tus datos a través del Portal y deseas ejercer un derecho como interesado, contacta directamente con Saturday en support@saturdaymorning.fit. Saturday es el responsable del tratamiento de los datos almacenados en sus sistemas y responderá a tu solicitud. No necesitas pasar por tu entrenador.

Para Entrenadores

Puedes ejercer derechos sobre los datos de tu propia cuenta de entrenador (perfil, historial de facturación, entradas del registro de auditoría en las que eres el actor) contactando con support@saturdaymorning.fit. Respecto de los datos que tratas como responsable independiente fuera de los sistemas de Saturday, eres responsable de responder a las solicitudes de los interesados conforme a la legislación aplicable.

Si un atleta te contacta directamente con una solicitud de interesado relativa a datos almacenados en los sistemas de Saturday, puedes reenviar la solicitud a Saturday. No estás obligado a cumplir tú mismo dichas solicitudes respecto de los datos que controla Saturday.

Plazos de Respuesta

Saturday responderá a las solicitudes de los interesados en un plazo de 30 días, o antes si así lo exige la legislación aplicable. Estas solicitudes son gratuitas. Si denegamos una solicitud, explicaremos el motivo y te informaremos de tu derecho a recurrir.

18. Transferencias Internacionales de Datos

Saturday almacena los datos del Coach Portal en los Estados Unidos (Google Cloud, región us-central1). Si tú o tus atletas os encontráis fuera de los Estados Unidos, los datos se transferirán y se tratarán en los EE. UU.

Para las transferencias de datos personales desde el Espacio Económico Europeo, el Reino Unido y Suiza, Saturday se basa en los siguientes mecanismos de transferencia:

• Cláusulas Contractuales Tipo de la UE de 2021 — Módulo 2 (Responsable a Encargado) para el tratamiento por parte de Saturday por cuenta del entrenador en su capacidad de responsable; Módulo 1 (Responsable a Responsable) cuando proceda.
• Addendum de Transferencia Internacional de Datos del Reino Unido (2022) para las transferencias desde el Reino Unido.

Saturday ha realizado evaluaciones de impacto de las transferencias conforme a Schrems II y aplica medidas técnicas y organizativas complementarias cuando procede, incluidas la cifrado en tránsito y en reposo, los controles de acceso y el registro de auditoría.

Las copias de las Cláusulas Contractuales Tipo aplicables están disponibles previa solicitud contactando con support@saturdaymorning.fit.

19. Medidas de Seguridad

Saturday implementa las siguientes medidas técnicas y organizativas para proteger los datos del Coach Portal:

• Cifrado en tránsito: TLS 1.3 para todo el tráfico de API, web y del Portal.
• Cifrado en reposo: AES-256 mediante el cifrado por defecto de Google Cloud Platform para todos los datos almacenados.
• Control de acceso: las Reglas de Seguridad de Firestore aplican un alcance de acceso por relación y por documento. El sistema de control de acceso basado en roles (RBAC) del Portal aplica 23 permisos granulares en 9 roles para las acciones administrativas.
• Registro de auditoría: todas las acciones administrativas, los eventos de acceso a datos y las sesiones de suplantación se registran en un registro de auditoría de tipo solo anexión.
• Autenticación multifactor: disponible para todos los usuarios del Portal. Aplicable a nivel de organización para el nivel Enterprise, con periodos de gracia configurables y métodos permitidos (TOTP, SMS).
• Gestión de sesiones: los entrenadores pueden ver las sesiones activas, revocar sesiones individuales o revocar todas las demás sesiones desde la configuración del Portal.
• Limitación de frecuencia: los límites de frecuencia de solicitudes por nivel protegen contra el abuso.
• Notificación de brechas: Saturday notificará a los entrenadores y atletas afectados sin dilación indebida y a más tardar 72 horas después de tener conocimiento de una brecha de datos personales que suponga un riesgo para los derechos y libertades, según lo exigido por el artículo 33 del GDPR. También notificaremos a las autoridades de control pertinentes según lo exija la ley.

20. Datos de Menores

El Coach Portal puede ser utilizado por entrenadores que trabajan con menores. Cuando un entrenador crea una cuenta para un atleta menor de 16 años (Caso A en la Sección 6), el entrenador declara que ha obtenido el consentimiento verificable de los padres o tutores según lo exija la legislación aplicable, incluido el artículo 8 del GDPR, la COPPA (para atletas menores de 13 años en los Estados Unidos) y leyes equivalentes en otras jurisdicciones. Saturday se basa en la declaración del entrenador. Si Saturday tiene conocimiento de que se ha creado una cuenta para un niño sin el consentimiento adecuado, Saturday tomará medidas para eliminar los datos y podrá suspender el acceso del entrenador.

21. Cambios en Esta Política

Podemos actualizar esta política de vez en cuando. Para cambios materiales, notificaremos a los entrenadores por correo electrónico y mediante un banner dentro de la app al menos 14 días antes de que los cambios entren en vigor. Para cambios no materiales (aclaraciones, formato, correcciones), actualizaremos esta página e indicaremos la fecha de revisión.

Tu uso continuado del Coach Portal después de la fecha de entrada en vigor de un cambio material constituye su aceptación. Cuando la legislación aplicable exija un consentimiento afirmativo para un cambio, lo solicitaremos antes de que el cambio entre en vigor.

22. Definiciones

• Datos Personales: cualquier información que directa o indirectamente identifique o pueda identificar a una persona física, según se define en el artículo 4(1) del GDPR.
• Datos de Salud: datos relativos a la salud física, las medidas corporales o los indicadores biométricos de un atleta, tratados para proporcionar recomendaciones de alimentación e hidratación o para apoyar el entrenamiento.
• Responsable del Tratamiento: la entidad que determina los fines y los medios del tratamiento de datos personales. Consulta la Sección 2 para las asignaciones de funciones.
• Encargado del Tratamiento: una entidad que trata datos personales por cuenta y siguiendo las instrucciones de un responsable.
• Responsable Independiente: un responsable que determina sus propios fines y medios de tratamiento, separados de cualquier otro responsable implicado en el flujo de datos.
• Subencargado del Tratamiento: un tercero contratado por Saturday para tratar datos personales por cuenta de un responsable.
• Coach Portal: la aplicación web en coach.saturday.fit a través de la cual los entrenadores gestionan las listas de atletas, acceden a los datos de los atletas y administran la facturación.
• Atleta: una persona cuyos datos personales se acceden a través del Coach Portal.
• Entrenador: una persona u organización que utiliza el Coach Portal para gestionar atletas.
• Relación: el registro de Firestore que vincula a un entrenador con un atleta, incluido el estado del consentimiento y los permisos de control de acceso.