← All legal documents

Acuerdo de Tratamiento de Datos

Plantilla de DPA del Coach Portal — En vigor desde el 27 de abril de 2026

Plantilla. Este es un Acuerdo de Tratamiento de Datos de plantilla. Para obtener un acuerdo firmado que cubra tu uso del Coach Portal, contacta con alex@saturdaymorning.fit. La firma electrónica a través de DocuSign está disponible previa solicitud.

Esta es una traducción del documento original en inglés, proporcionada para tu comodidad. En caso de conflicto o discrepancia entre esta traducción y la versión en inglés, prevalecerá la versión en inglés.

Este Acuerdo de Tratamiento de Datos ("DPA") se celebra entre la entidad identificada como "Cliente" en la página de firma ("Cliente") y Saturday Inc., una corporación de Delaware con su domicilio principal en 8 The Green, STE A, Dover, DE 19901 ("Saturday"). Este DPA complementa y forma parte de los Coach Terms of Service (los "Coach Terms") y de cualquier otro acuerdo entre el Cliente y Saturday que rija el uso por parte del Cliente del Saturday Coach Portal (conjuntamente, el "Acuerdo").

Las partes acuerdan lo siguiente:

1. Definiciones

Los términos en mayúsculas no definidos en este DPA tienen el significado que se les atribuye en el Acuerdo. En este DPA:

"Responsable del Tratamiento" significa el Cliente, siendo la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los fines y los medios del Tratamiento de Datos Personales a través del Saturday Coach Portal.

"Interesado" significa una persona física identificada o identificable a la que se refieren los Datos Personales.

"EEE" significa el Espacio Económico Europeo.

"GDPR" significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (el Reglamento General de Protección de Datos), en su versión modificada, complementada o sustituida en cada momento.

"Datos Personales" significa cualquier información relativa a una persona física identificada o identificable que sea Tratada por Saturday en nombre del Cliente en relación con el Coach Portal, según se describe con más detalle en el Anexo 1. "Datos Personales" tiene el significado otorgado a "datos personales" en el artículo 4(1) del GDPR.

"Violación de la Seguridad de los Datos Personales" significa una violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de Datos Personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

"Tratamiento" (y sus formas derivadas "Tratar," "Tratado") significa cualquier operación o conjunto de operaciones realizadas sobre Datos Personales, ya sea por medios automatizados o no, incluyendo la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

"Encargado del Tratamiento" significa Saturday Inc., que Trata Datos Personales en nombre del Responsable del Tratamiento según se describe en este DPA.

"Categorías Especiales de Datos Personales" significa los Datos Personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, así como el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, según se describe en el artículo 9 del GDPR.

"Cláusulas Contractuales Tipo" o "SCCs" significa las cláusulas contractuales tipo anexas a la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea de 4 de junio de 2021, en su versión modificada, complementada o sustituida en cada momento.

"Subencargado del Tratamiento" significa cualquier tercero contratado por Saturday para Tratar Datos Personales en nombre del Cliente en relación con el Coach Portal.

"Autoridad de Control" significa una autoridad pública independiente establecida por un Estado miembro de la UE de conformidad con el artículo 51 del GDPR.

"UK Addendum" significa el International Data Transfer Addendum to the EU Commission Standard Contractual Clauses (Versión B1.0), emitido por el UK Information Commissioner conforme a la Sección 119A de la Data Protection Act 2018 y presentado ante el Parlamento del Reino Unido el 2 de febrero de 2022, en su versión revisada conforme a la Sección 18 de las Mandatory Clauses del Addendum.

"UK GDPR" significa el GDPR tal como forma parte del derecho de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud de la Sección 3 de la European Union (Withdrawal) Act 2018, en su versión modificada por las Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019.

2. Ámbito y Aplicación

2.1 Este DPA se aplica al Tratamiento por parte de Saturday de Datos Personales en nombre del Cliente en relación con el uso por parte del Cliente del Saturday Coach Portal, incluyendo datos de identidad de los atletas, datos de salud y biométricos, datos de actividad, datos de facturación, datos de auditoría y datos de pertenencia a organizaciones.

2.2 Este DPA entra en vigor tras su firma por ambas partes y permanece vigente durante la duración de la suscripción del Cliente al Coach Portal conforme al Acuerdo. La terminación o expiración del Acuerdo termina automáticamente este DPA, sin perjuicio de las obligaciones de la Sección 15 (Devolución o Eliminación de Datos Personales).

2.3 En caso de cualquier conflicto entre este DPA y el Acuerdo, este DPA prevalecerá con respecto al Tratamiento de Datos Personales.

2.4 Este DPA no se aplica a los Datos Personales respecto de los cuales Saturday es Responsable del Tratamiento por derecho propio (por ejemplo, los datos de registro de la cuenta del Cliente o los datos que Saturday recopila para sus propios fines comerciales). El tratamiento de dichos datos por parte de Saturday se rige por la Política de Privacidad del Sitio Web y la Política de Privacidad de la Aplicación de Saturday.

3. Funciones y Responsabilidades

3.1 El Cliente como Responsable del Tratamiento. El Cliente es el Responsable del Tratamiento de los Datos Personales Tratados a través del Coach Portal. El Cliente determina los fines y los medios del Tratamiento y es responsable de garantizar que su uso del Coach Portal cumpla con las leyes de protección de datos aplicables, incluido el GDPR.

3.2 Saturday como Encargado del Tratamiento. Saturday es el Encargado del Tratamiento de los Datos Personales y Tratará los Datos Personales únicamente en nombre y de acuerdo con las instrucciones documentadas del Cliente. Saturday no Tratará Datos Personales para ningún fin distinto de la prestación, protección y supervisión del servicio Coach Portal según se describe en este DPA, el Acuerdo y las instrucciones documentadas del Cliente.

3.3 Instrucciones Documentadas. Las instrucciones del Cliente a Saturday en relación con el Tratamiento de Datos Personales están documentadas en: (a) los Coach Terms of Service; (b) la Política de Privacidad del Coach; (c) este DPA; y (d) cualquier anexo o modificación por escrito acordado y firmado por ambas partes. Saturday informará sin demora al Cliente si, en opinión de Saturday, una instrucción del Cliente infringe el GDPR u otra ley de protección de datos aplicable.

3.4 Tratamiento Fuera de las Instrucciones. Saturday no Tratará Datos Personales fuera de las instrucciones documentadas del Cliente, salvo que esté obligado a hacerlo por la ley aplicable a la que Saturday esté sujeto. En tal caso, Saturday informará al Cliente de ese requisito legal antes del Tratamiento, salvo que la ley prohíba dicha notificación por razones importantes de interés público.

4. Descripción del Tratamiento

De conformidad con el artículo 28(3) del GDPR, los siguientes detalles describen el Tratamiento llevado a cabo en virtud de este DPA:

  • Objeto: La prestación del Saturday Coach Portal, que permite a los entrenadores y organizaciones gestionar las relaciones con los atletas, ver datos de cumplimiento, procesar la facturación a través de Stripe Connect, generar análisis organizativos y mantener registros de auditoría de las acciones administrativas.
  • Duración: Durante la vigencia de la suscripción del Cliente al Coach Portal conforme al Acuerdo, más cualquier periodo de conservación posterior a la terminación especificado en la Sección 15.
  • Naturaleza y Finalidad: Conservación, extracción, visualización, organización, estructuración, adaptación, transmisión y supresión de Datos Personales según sea necesario para prestar el servicio Coach Portal, incluyendo la gestión de la lista de atletas, la supervisión del cumplimiento, las operaciones de facturación, el registro de auditoría, la suplantación con fines de soporte y la facilitación de comunicaciones.
  • Categorías de Datos Personales: Según se describe en la Sección 5 (Categorías de Datos) y el Anexo 1.
  • Categorías de Interesados: Atletas (usuarios finales de la aplicación Saturday que han consentido el acceso del entrenador); entrenadores (profesionales del entrenamiento individuales); miembros de la organización del entrenador (administradores, entrenadores asistentes, administradores de facturación, entrenadores de solo lectura); y personal de Saturday (cuando ejerce la suplantación con fines de soporte o administrativos).
  • Categorías Especiales: Datos de salud y datos biométricos (los datos de actividad de los atletas, el tipo de deporte, la duración y las métricas de cumplimiento pueden constituir datos relativos a la salud conforme al artículo 9 del GDPR). El Cliente es responsable de garantizar una base legal conforme al artículo 9(2) para el Tratamiento de cualquier Categoría Especial de Datos Personales.

5. Categorías de Datos

La siguiente tabla describe las categorías de Datos Personales Tratados a través del Coach Portal y los periodos de conservación aplicables:

Categoría Elementos de Datos Periodo de Conservación
Identidad Nombre visible, dirección de correo electrónico, Firebase UID Duración de la cuenta + 30 días
Relación Vínculo entrenador-atleta, pertenencia a la organización, roles asignados (9 roles definidos), marcas de tiempo de consentimiento, origen del consentimiento, permisos ACL por relación Duración de la relación + 90 días
Cumplimiento Indicadores de recencia de actividad (estado rojo/amarillo/verde), recuento de actividades, días desde la última actividad Calculado en tiempo real; no se conserva de forma persistente
Actividad Tipo de deporte, duración, fecha de la actividad Duración de la cuenta + 30 días
Facturación Importes de los cargos, términos del acuerdo de facturación, estado del pago, comisiones de la plataforma, identificadores de cliente de Stripe, metadatos de la suscripción 7 años (regulación financiera y fiscal)
Auditoría Acciones administrativas (más de 40 tipos de acciones), eventos de suplantación con justificación, UID del actor, UID del destinatario, dirección IP, agente de usuario, marcas de tiempo, instantáneas del estado anterior/posterior Indefinido (conservado conforme al artículo 17(3)(e) del GDPR: formulación, ejercicio o defensa de reclamaciones legales)
Organización Nombre de la organización, jerarquía (matriz/filial), lista de miembros, roles de los miembros, UID del propietario, estado de disolución Duración de la organización + 90 días

6. Subencargados del Tratamiento

6.1 Subencargados Autorizados. El Cliente otorga autorización general por escrito para que Saturday contrate a los Subencargados del Tratamiento enumerados en el Anexo 2. A partir de la fecha de entrada en vigor, Saturday utiliza los siguientes Subencargados del Tratamiento para los datos del Coach Portal:

Subencargado del Tratamiento Finalidad Ubicación
Google Cloud Platform (Firebase, Firestore, Cloud Functions, Cloud Secret Manager) Almacenamiento de datos, autenticación, computación sin servidor, gestión de secretos Estados Unidos (us-central1)
Stripe, Inc. Procesamiento de pagos (Stripe Connect para la facturación de entrenadores, gestión de suscripciones) Estados Unidos
Brevo (Sendinblue SAS) Correo electrónico transaccional (notificaciones de invitación, notificaciones de suplantación) Unión Europea
Klaviyo, Inc. Correo electrónico de marketing y comunicaciones del ciclo de vida Estados Unidos
Cloudflare, Inc. CDN, DNS, protección DDoS, alojamiento en el borde del frontend del Coach Portal Red de borde global

6.2 Notificación de Cambios. Saturday proporcionará al Cliente un aviso previo por escrito de al menos treinta (30) días antes de contratar a un nuevo Subencargado del Tratamiento o de sustituir a un Subencargado del Tratamiento existente. El aviso identificará al Subencargado del Tratamiento, describirá el Tratamiento que se llevará a cabo e indicará la ubicación del Subencargado del Tratamiento.

6.3 Derecho de Oposición. El Cliente puede oponerse a un Subencargado del Tratamiento nuevo o de sustitución notificándolo a Saturday por escrito dentro de los catorce (14) días siguientes a la recepción del aviso conforme a la Sección 6.2. La oposición debe exponer motivos razonables relacionados con la protección de datos. Saturday hará esfuerzos comercialmente razonables para poner a disposición del Cliente un cambio en el Coach Portal o recomendar una alternativa comercialmente razonable para evitar el Tratamiento de Datos Personales por parte del Subencargado del Tratamiento objetado. Si Saturday no puede atender la oposición del Cliente dentro de los treinta (30) días siguientes a su recepción, el Cliente podrá terminar la suscripción al Coach Portal mediante notificación por escrito a Saturday, y Saturday proporcionará un reembolso prorrateado de cualquier tarifa prepagada no utilizada.

6.4 Obligaciones del Subencargado del Tratamiento. Saturday: (a) impondrá a cada Subencargado del Tratamiento, mediante un contrato por escrito, obligaciones de protección de datos no menos protectoras que las establecidas en este DPA; y (b) seguirá siendo plenamente responsable ante el Cliente del cumplimiento de las obligaciones de cada Subencargado del Tratamiento.

7. Medidas de Seguridad

De conformidad con el artículo 28(3)(c) y el artículo 32 del GDPR, Saturday implementa y mantiene las siguientes medidas técnicas y organizativas para proteger los Datos Personales. Estas medidas se detallan con más profundidad en el Anexo 3.

7.1 Cifrado

  • En tránsito: Todo el tráfico de API y web se cifra mediante TLS 1.3.
  • En reposo: Todos los datos en reposo se cifran mediante AES-256 a través del cifrado predeterminado de Google Cloud Platform.

7.2 Control de Acceso

  • Restricción a nivel de base de datos: Las Firestore Security Rules imponen un control de acceso por documento. El acceso del entrenador se limita a los atletas dentro de la lista activa del entrenador. Las reglas de seguridad validan el estado de la relación entrenador-atleta antes de conceder acceso de lectura o escritura.
  • Control de acceso basado en roles (RBAC): Nueve (9) roles definidos con veintitrés (23) permisos discretos rigen el acceso a las funciones del Coach Portal. La resolución de permisos se impone en la capa de middleware de la API, devolviendo HTTP 403 ante solicitudes no autorizadas.
  • Principio de necesidad de conocer: El personal de Saturday accede a los Datos Personales solo en la medida necesaria para realizar sus funciones, sujeto a obligaciones de confidencialidad por escrito.

7.3 Registro de Auditoría

  • Todas las acciones administrativas, los eventos de suplantación y las operaciones de acceso a datos se registran en un registro de auditoría de solo adición. Las entradas del registro de auditoría nunca se actualizan ni se eliminan.
  • Cada entrada de auditoría registra: identidad del actor, tipo de acción (más de 40 acciones definidas), destinatario, estado anterior/posterior, dirección IP, agente de usuario y marca de tiempo.

7.4 Controles de Suplantación

  • Las sesiones de suplantación administrativa se limitan a treinta (30) minutos y requieren una justificación por escrito.
  • Los eventos de suplantación se registran en el rastro de auditoría y activan una notificación al usuario suplantado.
  • Solo los usuarios con el permiso PermImpersonate (administradores de la organización, entrenadores principales y personal de Saturday) pueden iniciar la suplantación.

7.5 Autenticación

  • La autenticación se gestiona a través de Firebase Authentication.
  • La autenticación multifactor (MFA) está disponible para todos los usuarios y puede imponerse a nivel de organización para los clientes de nivel Enterprise, con periodos de gracia configurables y métodos permitidos (TOTP, SMS).

7.6 Medidas Organizativas

  • El personal de Saturday con acceso a Datos Personales está vinculado por obligaciones de confidencialidad por escrito.
  • Saturday realiza evaluaciones periódicas de vulnerabilidades de la infraestructura del Coach Portal.
  • Saturday mantiene un procedimiento de respuesta a incidentes, incluido el proceso de notificación de violaciones descrito en la Sección 11.
  • Saturday realiza una revisión de seguridad anual de sus medidas técnicas y organizativas.

8. Confidencialidad

8.1 Saturday garantizará que toda persona autorizada para Tratar Datos Personales en su nombre se haya comprometido a obligaciones de confidencialidad o esté sujeta a una obligación legal de confidencialidad adecuada, de conformidad con el artículo 28(3)(b) del GDPR.

8.2 Saturday no divulgará Datos Personales a ningún tercero salvo: (a) según sea necesario para prestar el servicio Coach Portal a través de los Subencargados del Tratamiento autorizados enumerados en el Anexo 2; (b) según lo exija la ley aplicable, la regulación o una orden vinculante de un tribunal o autoridad gubernamental; o (c) según lo autorice expresamente el Cliente por escrito.

8.3 Si Saturday recibe una solicitud legalmente vinculante de una autoridad pública para la divulgación de Datos Personales, Saturday notificará sin demora al Cliente dicha solicitud antes de realizar cualquier divulgación, salvo que la ley se lo prohíba. Saturday hará esfuerzos razonables para redirigir a la autoridad a solicitar los datos directamente al Cliente.

9. Contratación de Subencargados del Tratamiento

9.1 De conformidad con el artículo 28(2) y 28(4) del GDPR, Saturday no contratará a un Subencargado del Tratamiento sin la autorización general previa por escrito del Cliente, que el Cliente otorga en virtud de la Sección 6.1, sujeta al mecanismo de notificación y oposición de las Secciones 6.2 y 6.3.

9.2 Saturday impondrá a cada Subencargado del Tratamiento, mediante un contrato por escrito de conformidad con el artículo 28(4) del GDPR, obligaciones de protección de datos sustancialmente equivalentes a las impuestas a Saturday en virtud de este DPA, incluidas las obligaciones relativas a la confidencialidad, las medidas de seguridad, las transferencias internacionales de datos y la cooperación con el Responsable del Tratamiento y las Autoridades de Control.

9.3 Saturday sigue siendo plenamente responsable ante el Cliente por los actos y omisiones de sus Subencargados del Tratamiento en la misma medida en que Saturday sería responsable si realizara el Tratamiento directamente.

9.4 A solicitud por escrito del Cliente, Saturday proporcionará al Cliente una copia de un contrato de Subencargado del Tratamiento (que podrá redactarse para eliminar información comercialmente sensible no relevante para la protección de datos) a fin de permitir al Cliente verificar el cumplimiento de esta Sección.

10. Asistencia en los Derechos de los Interesados

10.1 De conformidad con el artículo 28(3)(e) del GDPR, Saturday asistirá al Cliente, mediante medidas técnicas y organizativas apropiadas y teniendo en cuenta la naturaleza del Tratamiento, en el cumplimiento de las obligaciones del Cliente de responder a las solicitudes de los Interesados para ejercer sus derechos conforme al Capítulo III del GDPR, incluidos los derechos de acceso, rectificación, supresión, portabilidad de los datos, limitación del Tratamiento y oposición.

10.2 Saturday responderá a las solicitudes de asistencia del Cliente conforme a esta Sección dentro de los cinco (5) días hábiles. La asistencia incluye: proporcionar exportaciones de datos de los atletas, ejecutar la eliminación de datos tras la terminación de la cuenta (eliminación inmediata del acceso seguida de una purga de datos de 30 días), corregir datos tras la notificación del Cliente y limitar el Tratamiento según se indique.

10.3 Si Saturday recibe una solicitud directamente de un Interesado en relación con Datos Personales Tratados en virtud de este DPA, Saturday redirigirá sin demora al Interesado al Cliente o, cuando corresponda y con la autorización previa por escrito del Cliente, atenderá la solicitud en nombre del Cliente. Saturday no responderá directamente a una solicitud de un Interesado sin la autorización del Cliente, salvo para informar al Interesado de que la solicitud ha sido remitida al Cliente.

10.4 El Coach Portal proporciona una interfaz de solicitudes de privacidad a través de la cual el Cliente puede enviar solicitudes de acceso, exportación y eliminación en nombre de los Interesados, con un nivel de servicio de treinta (30) días para su cumplimiento.

11. Notificación de Violación de la Seguridad de los Datos Personales

11.1 De conformidad con el artículo 28(3)(f) del GDPR, Saturday notificará al Cliente una Violación de la Seguridad de los Datos Personales sin dilación indebida y, en cualquier caso, dentro de las setenta y dos (72) horas siguientes a tener conocimiento de la violación.

11.2 La notificación incluirá, en la medida en que esté razonablemente disponible en el momento de la notificación:

  1. Una descripción de la naturaleza de la Violación de la Seguridad de los Datos Personales, incluidas las categorías y el número aproximado de Interesados afectados y las categorías y el número aproximado de registros de Datos Personales afectados;
  2. El nombre y los datos de contacto del punto de contacto de Saturday del que se puede obtener más información;
  3. Una descripción de las consecuencias probables de la Violación de la Seguridad de los Datos Personales; y
  4. Una descripción de las medidas adoptadas o propuestas para adoptarse por parte de Saturday para abordar la Violación de la Seguridad de los Datos Personales, incluidas las medidas para mitigar sus posibles efectos adversos.

11.3 Cuando no sea posible proporcionar toda la información al mismo tiempo, Saturday proporcionará la información de manera escalonada sin más dilación indebida.

11.4 Saturday cooperará con el Cliente y le asistirá en relación con cualquier investigación, mitigación y remediación de la Violación de la Seguridad de los Datos Personales, y en el cumplimiento por parte del Cliente de sus obligaciones conforme a los artículos 33 y 34 del GDPR.

11.5 La notificación o respuesta de Saturday a una Violación de la Seguridad de los Datos Personales conforme a esta Sección no se interpretará como un reconocimiento por parte de Saturday de culpa o responsabilidad alguna con respecto a la violación.

12. Asistencia en la Evaluación de Impacto relativa a la Protección de Datos

12.1 De conformidad con el artículo 28(3)(f) del GDPR, Saturday proporcionará una asistencia razonable al Cliente en la realización de evaluaciones de impacto relativas a la protección de datos ("DPIAs") conforme al artículo 35 del GDPR y, cuando corresponda, en la consulta con la Autoridad de Control pertinente conforme al artículo 36 del GDPR, en cada caso únicamente en relación con el Tratamiento de Datos Personales en virtud de este DPA y teniendo en cuenta la naturaleza del Tratamiento y la información disponible para Saturday.

12.2 Saturday pondrá a disposición del Cliente la información sobre las actividades de Tratamiento del Coach Portal que sea razonablemente necesaria para que el Cliente lleve a cabo una DPIA, incluidas las descripciones de las medidas técnicas y organizativas establecidas en la Sección 7 y el Anexo 3.

13. Derechos de Auditoría

13.1 De conformidad con el artículo 28(3)(h) del GDPR, Saturday pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del GDPR y en este DPA, y permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por el Cliente o por un auditor designado por el Cliente.

13.2 El Cliente puede realizar una (1) auditoría por cada periodo de doce (12) meses. Las auditorías se realizarán: (a) a costa del Cliente; (b) durante el horario laboral normal de Saturday; (c) con un aviso previo por escrito de al menos treinta (30) días a Saturday; y (d) de una manera que no perturbe de forma irrazonable las operaciones de Saturday.

13.3 Saturday podrá satisfacer la solicitud de auditoría del Cliente proporcionando copias de los informes o certificaciones de auditoría de terceros pertinentes (como informes SOC 2 Type II, certificaciones ISO 27001 o equivalentes) que cubran las actividades de Tratamiento en virtud de este DPA. Si dichos informes no abordan adecuadamente las preocupaciones razonables del Cliente, el Cliente conserva el derecho a realizar una auditoría directa conforme a la Sección 13.2.

13.4 El auditor designado por el Cliente estará vinculado por obligaciones de confidencialidad por escrito y no será un competidor de Saturday. El Cliente proporcionará a Saturday la identidad del auditor antes de la auditoría.

13.5 Si una auditoría revela un incumplimiento material de este DPA, Saturday remediará sin demora el incumplimiento a su propio costo y notificará al Cliente las medidas de remediación adoptadas.

14. Transferencias Internacionales de Datos

14.1 Ubicación de los Datos. Saturday almacena los Datos Personales principalmente en la región us-central1 de Google Cloud en los Estados Unidos. Ciertos Subencargados del Tratamiento (Brevo) almacenan datos en la Unión Europea, y ciertos Subencargados del Tratamiento (Cloudflare) tratan datos a través de una red de borde global.

14.2 Mecanismo de Transferencia — EEE. En la medida en que se transfieran Datos Personales desde el EEE a los Estados Unidos o a cualquier otro país que no esté sujeto a una decisión de adecuación de la Comisión Europea, las partes acuerdan que las Cláusulas Contractuales Tipo de la UE de 2021 (Decisión de Ejecución (UE) 2021/914 de la Comisión), Módulo 2 (Responsable a Encargado), se incorporan a este DPA por referencia y se aplican a dichas transferencias. A efectos de las SCCs:

  • El "exportador de datos" es el Cliente (Responsable del Tratamiento);
  • El "importador de datos" es Saturday (Encargado del Tratamiento);
  • Cláusula 7 (Cláusula de Acoplamiento): La cláusula de acoplamiento opcional se aplica, permitiendo que entidades adicionales se adhieran a las SCCs;
  • Cláusula 9(a) (Subencargados del Tratamiento): Se aplica la Opción 2 (Autorización General por Escrito), con un aviso previo de treinta (30) días de cualquier adición o sustitución prevista de Subencargados del Tratamiento;
  • Cláusula 17 (Legislación Aplicable): Las SCCs se regirán por la ley de Irlanda;
  • Cláusula 18 (Elección de Foro y Jurisdicción): Los litigios derivados de las SCCs se resolverán ante los tribunales de Irlanda;
  • El Anexo I.A (Lista de Partes), el Anexo I.B (Descripción de la Transferencia) y el Anexo I.C (Autoridad de Control Competente) se completan en el Anexo 1 de este DPA;
  • El Anexo II (Medidas Técnicas y Organizativas) se completa en el Anexo 3 de este DPA;
  • El Anexo III (Lista de Subencargados del Tratamiento) se completa en el Anexo 2 de este DPA.

14.3 Mecanismo de Transferencia — Reino Unido. En la medida en que se transfieran Datos Personales desde el Reino Unido, el UK International Data Transfer Addendum to the EU Commission Standard Contractual Clauses (Versión B1.0, emitido por la ICO y presentado ante el Parlamento el 2 de febrero de 2022, en su versión revisada conforme a la Sección 18 de dichas Mandatory Clauses) se aplica a dichas transferencias y se incorpora a este DPA por referencia. La información requerida por la Tabla 1 a la Tabla 4 del UK Addendum es la establecida en las SCCs incorporadas conforme a la Sección 14.2, sujeta a lo siguiente:

  • Las Approved EU SCCs a las que se hace referencia en la Tabla 2 son las SCCs incorporadas conforme a la Sección 14.2 de este DPA, incluida la Appendix Information;
  • Cualquiera de las partes puede dar por terminado el UK Addendum de conformidad con sus términos;
  • La UK Information Commissioner's Office es la autoridad de control competente para las transferencias sujetas al UK GDPR.

14.4 Mecanismo de Transferencia — Suiza. En la medida en que se transfieran Datos Personales desde Suiza, las SCCs incorporadas conforme a la Sección 14.2 se aplican con las siguientes modificaciones: (a) las referencias al GDPR se interpretan como referencias a la Swiss Federal Act on Data Protection ("FADP") según corresponda; (b) las referencias a "Estado miembro" se interpretan en el sentido de incluir a Suiza; (c) las referencias a la "autoridad de control competente" se interpretan como referencias al Swiss Federal Data Protection and Information Commissioner ("FDPIC"); y (d) las referencias a "UE," "Unión" y "derecho de los Estados miembros" se interpretan de modo que no excluyan a los interesados suizos del ejercicio de sus derechos en su lugar de residencia habitual en Suiza.

14.5 Medidas Complementarias. Saturday ha evaluado las leyes y prácticas de los Estados Unidos de conformidad con las Recomendaciones 01/2020 del EDPB (versión 2.0, adoptada el 18 de junio de 2021) sobre medidas que complementan las herramientas de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la UE. Saturday implementa las siguientes medidas complementarias:

  • Medidas técnicas: Cifrado de los Datos Personales en tránsito (TLS 1.3) y en reposo (AES-256); controles de acceso por documento; suplantación limitada en el tiempo con registro de justificación;
  • Medidas contractuales: Contratos de Subencargados del Tratamiento que exigen protecciones equivalentes; compromiso de impugnar las solicitudes de acceso gubernamentales en la medida legalmente permitida; transparencia respecto a las solicitudes de acceso gubernamentales recibidas (si las hubiera y en la medida legalmente permitida);
  • Medidas organizativas: Restricciones de acceso por necesidad de conocer; obligaciones de confidencialidad para todo el personal; revisiones de seguridad periódicas; procedimientos de respuesta a incidentes.

14.6 Declaración del Cliente. El Cliente declara y garantiza que tiene la facultad de transferir Datos Personales a Saturday, incluso a través de fronteras internacionales, y que dichas transferencias se realizan de conformidad con las leyes de protección de datos aplicables.

15. Devolución o Eliminación de Datos Personales

15.1 De conformidad con el artículo 28(3)(g) del GDPR, tras la terminación o expiración del Acuerdo, Saturday, a elección y solicitud por escrito del Cliente, bien: (a) devolverá todos los Datos Personales al Cliente en un formato de uso común y legible por máquina; o (b) eliminará todos los Datos Personales y las copias existentes. Saturday completará dicha devolución o eliminación dentro de los treinta (30) días siguientes a la recepción de la solicitud por escrito del Cliente.

15.2 Si el Cliente no proporciona instrucciones dentro de los treinta (30) días siguientes a la terminación o expiración del Acuerdo, Saturday eliminará todos los Datos Personales de conformidad con la Sección 15.1(b).

15.3 Excepciones. Saturday podrá conservar Datos Personales tras la terminación en la medida en que lo exija la ley aplicable, incluyendo:

  • Registros de facturación: Conservados durante siete (7) años según lo exijan las regulaciones financieras y fiscales aplicables;
  • Entradas del registro de auditoría: Conservadas según sea necesario para la formulación, el ejercicio o la defensa de reclamaciones legales conforme al artículo 17(3)(e) del GDPR;
  • Datos requeridos por orden judicial o mandato regulatorio.

Saturday notificará al Cliente cualquier requisito de conservación de este tipo y limitará el Tratamiento de los datos conservados al fin legal específico para el que se requiere la conservación.

15.4 Tras completar la devolución o eliminación, Saturday proporcionará al Cliente una certificación por escrito de la eliminación, previa solicitud por escrito.

15.5 Los datos que hayan sido anonimizados de modo que ya no constituyan Datos Personales en el sentido del GDPR podrán ser conservados por Saturday sin restricción.

16. Responsabilidad e Indemnización

16.1 La responsabilidad de cada parte en virtud de este DPA está sujeta a las exclusiones y limitaciones de responsabilidad establecidas en el Acuerdo, salvo que dichas limitaciones no limitarán la responsabilidad de una parte frente a los Interesados conforme a las SCCs o a la ley de protección de datos aplicable cuando dicha limitación no esté permitida.

16.2 Cada parte indemnizará y eximirá de responsabilidad a la otra parte frente a todas las reclamaciones, daños, pérdidas, costos y gastos (incluidos los honorarios razonables de abogados) que surjan de o en relación con cualquier reclamación de un tercero resultante del incumplimiento de este DPA por la parte indemnizadora.

16.3 La responsabilidad agregada de Saturday por todas las reclamaciones que surjan en virtud de este DPA, ya sea por contrato, agravio u otra causa, no excederá el total de las tarifas pagadas por el Cliente a Saturday en virtud del Acuerdo en los doce (12) meses inmediatamente anteriores al hecho que dé lugar a la reclamación. Esta limitación no se aplica a: (a) la responsabilidad de Saturday conforme a las SCCs; (b) las obligaciones de indemnización de Saturday conforme a la Sección 16.2 en la medida en que surjan de la conducta dolosa o negligencia grave de Saturday; o (c) las multas regulatorias impuestas directamente al Cliente por una Autoridad de Control, que siguen siendo responsabilidad exclusiva del Cliente.

17. Vigencia y Terminación

17.1 Este DPA entra en vigor a partir de la fecha de su firma y permanecerá vigente durante la duración de la suscripción del Cliente al Coach Portal conforme al Acuerdo.

17.2 Cualquiera de las partes puede terminar este DPA por incumplimiento material mediante un aviso por escrito de treinta (30) días a la otra parte, siempre que se haya dado a la parte incumplidora la oportunidad de subsanar el incumplimiento dentro de dicho periodo de aviso.

17.3 La terminación del Acuerdo (incluida la terminación de la suscripción del Cliente al Coach Portal) terminará automáticamente este DPA.

17.4 Las siguientes Secciones sobreviven a la terminación o expiración de este DPA: Sección 1 (Definiciones), Sección 8 (Confidencialidad), Sección 11 (Notificación de Violación de la Seguridad de los Datos Personales), Sección 13 (Derechos de Auditoría, durante un periodo de doce meses tras la terminación), Sección 14 (Transferencias Internacionales de Datos, en la medida en que los Datos Personales permanezcan en posesión de Saturday), Sección 15 (Devolución o Eliminación de Datos Personales), Sección 16 (Responsabilidad e Indemnización) y Sección 22 (Legislación Aplicable).

18. Firma

18.1 Este DPA puede firmarse en varios ejemplares, cada uno de los cuales se considerará un original y todos los cuales juntos constituirán un solo y mismo instrumento.

18.2 Las firmas electrónicas (incluidas las proporcionadas a través de DocuSign o servicios de firma electrónica equivalentes) tendrán la misma fuerza y efecto legal que las firmas manuscritas originales.

18.3 Para obtener una copia firmada de este DPA, contacta con Saturday en alex@saturdaymorning.fit. La firma electrónica a través de DocuSign está disponible previa solicitud.

Anexo 1: Descripción del Tratamiento

Este Anexo forma parte de este DPA y satisface los requisitos del Anexo I de las Cláusulas Contractuales Tipo (Módulo 2: Responsable a Encargado).

A. Lista de Partes

Función Parte Detalles
Exportador de Datos (Responsable del Tratamiento) Cliente Según se identifica en la página de firma. Actividades relevantes para la transferencia: uso del Saturday Coach Portal para gestionar las relaciones con los atletas, ver datos de cumplimiento y procesar la facturación.
Importador de Datos (Encargado del Tratamiento) Saturday Inc. 8 The Green, STE A, Dover, DE 19901, Estados Unidos. Contacto: alex@saturdaymorning.fit. Actividades relevantes para la transferencia: prestación de la plataforma SaaS del Coach Portal.

B. Descripción de la Transferencia

Campo Descripción
Categorías de Interesados Atletas (usuarios finales de la aplicación Saturday); entrenadores (profesionales del entrenamiento individuales); miembros de la organización (administradores, entrenadores asistentes, administradores de facturación, entrenadores principales, entrenadores de solo lectura); personal de Saturday (cuando ejerce la suplantación).
Categorías de Datos Personales Datos de identidad (nombre visible, correo electrónico, Firebase UID); datos de relación (vínculos entrenador-atleta, pertenencia a la organización, roles, registros de consentimiento); datos de cumplimiento (recencia de actividad, recuento de actividades); datos de actividad (tipo de deporte, duración, fecha); datos de facturación (importes de los cargos, términos del acuerdo, estado del pago, identificadores de Stripe); datos de auditoría (acciones administrativas, eventos de suplantación, direcciones IP, agentes de usuario, marcas de tiempo); datos de organización (nombre, jerarquía, lista de miembros, roles).
Categorías Especiales de Datos Personales Datos de salud: los datos de actividad de los atletas (tipo de deporte, duración y métricas de cumplimiento) pueden constituir datos relativos a la salud conforme al artículo 9 del GDPR. Restricciones y salvaguardias aplicadas: controles de acceso a la base de datos por documento, acceso basado en roles, cifrado en reposo y en tránsito, intercambio de datos basado en el consentimiento.
Frecuencia de la Transferencia Continua, durante la duración del Acuerdo.
Naturaleza del Tratamiento Recogida, conservación, estructuración, extracción, consulta, utilización, comunicación por transmisión, cotejo, interconexión, limitación, supresión y destrucción.
Finalidad del Tratamiento Prestación del servicio Coach Portal: gestión de la lista de atletas, supervisión del cumplimiento, operaciones de facturación a través de Stripe Connect, análisis organizativos, registro de auditoría, suplantación administrativa con fines de soporte y comunicaciones transaccionales.
Periodo de Conservación Según se especifica en la Sección 5 (Categorías de Datos) de este DPA: datos de identidad y datos de actividad durante la duración de la cuenta más 30 días; datos de relación y organización durante la duración más 90 días; datos de facturación durante 7 años; datos de auditoría indefinidamente (base del artículo 17(3)(e)); datos de cumplimiento calculados en tiempo real y no conservados de forma persistente.

C. Autoridad de Control Competente

La autoridad de control competente se determinará de conformidad con la Cláusula 13 de las SCCs. Cuando el Exportador de Datos esté establecido en un Estado miembro de la UE, la autoridad de control de ese Estado miembro será la autoridad competente. Cuando el Exportador de Datos no esté establecido en un Estado miembro de la UE pero quede dentro del ámbito territorial del GDPR conforme al artículo 3(2), la autoridad de control del Estado miembro designado por el Exportador de Datos en la página de firma será la autoridad competente. En ausencia de dicha designación, la Irish Data Protection Commission actuará como la autoridad de control competente.

Anexo 2: Lista de Subencargados del Tratamiento

Este Anexo forma parte de este DPA y satisface los requisitos del Anexo III de las Cláusulas Contractuales Tipo (Módulo 2: Responsable a Encargado).

Subencargado del Tratamiento Dirección Descripción del Tratamiento Ubicación
Google LLC (Google Cloud Platform, Firebase, Firestore, Cloud Functions, Cloud Secret Manager) 1600 Amphitheatre Parkway, Mountain View, CA 94043, Estados Unidos Infraestructura en la nube: almacenamiento de datos (Firestore), autenticación de usuarios (Firebase Auth), computación sin servidor (Cloud Functions), gestión de secretos (Cloud Secret Manager) y alojamiento. Estados Unidos (us-central1)
Stripe, Inc. 354 Oyster Point Blvd, South San Francisco, CA 94080, Estados Unidos Procesamiento de pagos: Stripe Connect para la facturación entrenador-atleta, gestión de suscripciones, registro de cargos, procesamiento de reembolsos y verificación de identidad (KYC) para entrenadores. Estados Unidos
Sendinblue SAS (d/b/a Brevo) 106 boulevard Haussmann, 75008 París, Francia Correo electrónico transaccional: notificaciones de invitación de entrenadores, notificaciones de eventos de suplantación y comunicaciones generadas por el sistema. Unión Europea (Francia)
Klaviyo, Inc. 125 Summer Street, Boston, MA 02110, Estados Unidos Correo electrónico de marketing: comunicaciones del ciclo de vida del entrenador, entrega de códigos de canje y secuencias de correos de incorporación. Estados Unidos
Cloudflare, Inc. 101 Townsend Street, San Francisco, CA 94107, Estados Unidos Entrega de contenido, resolución de DNS, protección DDoS y alojamiento en el borde de la aplicación frontend del Coach Portal. Red de borde global

Anexo 3: Medidas Técnicas y Organizativas

Este Anexo forma parte de este DPA y satisface los requisitos del Anexo II de las Cláusulas Contractuales Tipo (Módulo 2: Responsable a Encargado). Las siguientes medidas describen las medidas de seguridad técnicas y organizativas implementadas por Saturday (Importador de Datos).

Cifrado de los Datos Personales

  • Todos los datos en tránsito se cifran mediante TLS 1.3.
  • Todos los datos en reposo se cifran mediante AES-256 a través del cifrado predeterminado de Google Cloud Platform. Google gestiona las claves de cifrado de conformidad con el Key Management Service de Google.

Confidencialidad, Integridad, Disponibilidad y Resiliencia

  • Las Firestore Security Rules imponen un control de acceso por documento, restringiendo el acceso del entrenador a los atletas dentro de la lista activa del entrenador.
  • Nueve (9) roles definidos y veintitrés (23) permisos discretos rigen el acceso a nivel de aplicación.
  • Google Cloud Platform proporciona capacidades de redundancia, copia de seguridad y recuperación ante desastres a nivel de infraestructura.
  • Saturday mantiene procedimientos de respuesta a incidentes para la identificación y remediación oportunas de las interrupciones de disponibilidad.

Capacidad de Restaurar la Disponibilidad y el Acceso

  • Saturday se basa en los mecanismos de copia de seguridad y recuperación a nivel de infraestructura de Google Cloud Platform, incluida la replicación automática de Firestore en múltiples zonas de disponibilidad.

Pruebas y Evaluación Regulares

  • Saturday realiza revisiones de seguridad anuales de sus medidas técnicas y organizativas.
  • Saturday realiza evaluaciones periódicas de vulnerabilidades de la infraestructura del Coach Portal.
  • Saturday prueba sus procedimientos de respuesta a incidentes para garantizar la preparación ante escenarios de Violación de la Seguridad de los Datos Personales.

Identificación y Autorización de Usuarios

  • La autenticación se gestiona a través de Firebase Authentication, admitiendo el inicio de sesión con correo electrónico/contraseña y basado en OAuth.
  • La autenticación multifactor (MFA) está disponible y es exigible por organización para los clientes de nivel Enterprise, con periodos de gracia configurables y métodos permitidos (TOTP, SMS).
  • El middleware de la API impone permisos basados en roles en cada endpoint, devolviendo HTTP 403 ante intentos de acceso no autorizados.
  • La gestión de sesiones incluye la enumeración de sesiones, la revocación de sesiones individuales y la revocación de todas las demás sesiones.

Protección de Datos Durante la Transmisión y el Almacenamiento

  • Cifrado TLS 1.3 para todo el tráfico de API y web entre los clientes y los servicios de Saturday.
  • Cifrado AES-256 en reposo para todas las colecciones de Firestore, los objetos de Cloud Storage y otros servicios de almacenamiento de GCP.
  • Stripe gestiona los datos de tarjetas de pago en una infraestructura conforme a PCI-DSS; Saturday no almacena, trata ni transmite datos del titular de la tarjeta.

Seguridad Física de las Ubicaciones de Tratamiento

  • Todos los Datos Personales se almacenan en centros de datos de Google Cloud Platform. Google mantiene controles de seguridad física certificados SOC 2 Type II e ISO 27001, incluidas restricciones de acceso, vigilancia y controles ambientales.

Registro de Eventos

  • Saturday mantiene un registro de auditoría de solo adición que registra todas las acciones administrativas (más de 40 tipos de acciones definidas), eventos de suplantación (con justificación), identidad del actor, destinatario, instantáneas del estado anterior/posterior, dirección IP, agente de usuario y marcas de tiempo.
  • Las entradas del registro de auditoría nunca se actualizan ni se eliminan.
  • Google Cloud Logging captura todos los registros estructurados, incluidos los eventos a nivel de aplicación y de infraestructura.

Minimización de Datos

  • Los indicadores de cumplimiento (recencia de actividad, recuento de actividades) se calculan en tiempo real y no se conservan de forma persistente.
  • Los entrenadores no pueden acceder a los tokens de integración de los atletas (credenciales OAuth para servicios de terceros como TrainingPeaks e Intervals.icu), datos biométricos sin procesar, prescripciones de salud detalladas o credenciales de pago.

Conservación y Eliminación de Datos

  • Los periodos de conservación se especifican por categoría de datos en la Sección 5 de este DPA.
  • La eliminación de la cuenta activa la eliminación inmediata del acceso y una purga de datos de 30 días.
  • La revocación de la relación por parte de un atleta termina inmediatamente el acceso del entrenador a través de las Firestore Security Rules, conservándose los registros históricos según el periodo de conservación aplicable.

Responsabilidad Proactiva

  • Saturday mantiene este DPA, la Política de Privacidad del Coach y los Coach Terms of Service como registros documentados de sus compromisos de protección de datos.
  • El flujo de aceptación de los Terms of Service de Saturday registra la aceptación por parte de cada usuario de la versión actual de los ToS, incluida la marca de tiempo, la dirección IP y el agente de usuario.

Seguridad de los Subencargados del Tratamiento

  • Cada Subencargado del Tratamiento está contractualmente vinculado por obligaciones de protección de datos sustancialmente equivalentes a las de este DPA.
  • Google Cloud Platform mantiene certificaciones SOC 2 Type II, ISO 27001 e ISO 27017.
  • Stripe mantiene la certificación PCI-DSS Level 1 e informes SOC 2 Type II.
  • Brevo mantiene una infraestructura conforme al GDPR dentro de la Unión Europea.
  • Cloudflare mantiene certificaciones SOC 2 Type II e ISO 27001.

19. Disposiciones Generales

19.1 Acuerdo Completo. Este DPA, junto con el Acuerdo, constituye el acuerdo completo entre las partes con respecto al Tratamiento de Datos Personales y reemplaza todos los acuerdos, entendimientos o representaciones anteriores o contemporáneos relativos al mismo.

19.2 Modificaciones. Este DPA solo puede modificarse mediante un instrumento por escrito firmado por ambas partes. No obstante lo anterior, Saturday podrá actualizar las medidas técnicas y organizativas descritas en la Sección 7 y el Anexo 3 en cada momento, siempre que dichas actualizaciones no disminuyan materialmente el nivel general de protección otorgado a los Datos Personales.

19.3 Divisibilidad. Si alguna disposición de este DPA se considera inválida o inejecutable, las disposiciones restantes permanecerán en pleno vigor y efecto.

19.4 Ausencia de Terceros Beneficiarios. Este DPA es en beneficio de las partes y de sus respectivos sucesores y cesionarios autorizados únicamente, salvo que los Interesados son terceros beneficiarios de las SCCs incorporadas a este DPA.

19.5 Notificaciones. Todas las notificaciones en virtud de este DPA se harán por escrito y se enviarán a las direcciones especificadas en el Acuerdo o, en el caso de Saturday, a alex@saturdaymorning.fit.

20. Cooperación con las Autoridades de Control

20.1 Saturday cooperará, previa solicitud, con la Autoridad de Control competente en el desempeño de sus funciones, de conformidad con el artículo 31 del GDPR.

20.2 Saturday informará sin demora al Cliente si recibe una consulta, queja o investigación de una Autoridad de Control que se refiera al Tratamiento de Datos Personales en virtud de este DPA.

21. Relación con el Acuerdo

21.1 Nada en este DPA reduce las obligaciones de Saturday en virtud del Acuerdo con respecto a la protección de Datos Personales ni permite a Saturday Tratar Datos Personales de una manera que no estaría permitida en virtud del Acuerdo.

21.2 Salvo por los cambios introducidos por este DPA, el Acuerdo permanece sin cambios y en pleno vigor y efecto.

22. Legislación Aplicable

22.1 Este DPA y cualquier obligación no contractual que surja de o en relación con él se regirá e interpretará de conformidad con las leyes del Estado de Delaware, Estados Unidos, sin tener en cuenta sus disposiciones sobre conflicto de leyes.

22.2 No obstante la Sección 22.1, en la medida en que lo exijan las SCCs, las SCCs se regirán e interpretarán de conformidad con la ley especificada en la Cláusula 17 de las SCCs (la ley de Irlanda), y los litigios que surjan en virtud de las SCCs se resolverán ante los tribunales especificados en la Cláusula 18 de las SCCs (los tribunales de Irlanda).

22.3 En la medida en que lo exija el UK Addendum, el UK Addendum se regirá e interpretará de conformidad con las leyes de Inglaterra y Gales.

Contacto

Para solicitudes de DPA, firma o consultas sobre protección de datos:
Saturday Inc.
8 The Green, STE A, Dover, DE 19901
alex@saturdaymorning.fit

© 2026 Saturday Inc. — Todos los derechos reservados.