Versión 1.3, junio de 2026
Entre:
Holdsport.dk ApS(en lo sucesivo, «Holdsport»)
Y:
El club, agrupación u organización que utiliza la plataforma de Holdsport ApS y que ha aceptado digitalmente los términos vigentes y el presente Contrato de Encargado del Tratamiento.
(en lo sucesivo, «el Club»)
(en lo sucesivo, denominadas individualmente «Parte» y conjuntamente «las Partes») han celebrado en la fecha de hoy un Contrato de Encargado del Tratamiento en los siguientes términos y condiciones:
1.1 Los términos «datos personales» y «tratamiento» tendrán el significado que se desprende del artículo 4 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en lo sucesivo, el «RGPD»).
1.2 El Club determina la finalidad y los medios del tratamiento de los datos personales en el marco del presente contrato y es, por tanto, el Responsable del tratamiento, de conformidad con el artículo 4, apartado 7, del RGPD.
1.3 Holdsport trata datos por cuenta del Responsable del tratamiento, por lo que Holdsport es el Encargado del tratamiento, de conformidad con el artículo 4, apartado 8, del RGPD.
2.1 El Club podrá utilizar el servicio de Holdsport para:
2.2 La información necesaria para el sistema indicado se recabará del Club y de jugadores, entrenadores, padres, entre otros.
2.3 No se tratarán datos personales relativos a la salud, condenas penales, número de identificación personal danés (CPR-nr., salvo que el Club esté legalmente obligado a ello) ni infracciones.
2.4 Se tratan datos de las siguientes categorías de interesados: jugadores, entrenadores, padres u otras personas vinculadas, empleados y, en su caso, árbitros.
3.1 Holdsport utiliza principalmente a Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Alemania, para el almacenamiento de sus propios datos y software, incluidos los datos personales. Véanse también el apartado 7 y el Anexo 1 para información complementaria, así como información sobre subcontratistas, etc.
3.2 Holdsport no podrá transferir ni tratar los datos personales comprendidos en el presente contrato en otros países fuera de la UE sin la aprobación previa por escrito del Responsable del tratamiento.
4.1 Holdsport se compromete a tratar los datos personales únicamente sobre la base de instrucciones documentadas del Club, incluidas las relativas a la transferencia de datos personales a un tercer país o a una organización internacional.
4.2 Si Holdsport está obligado a transferir datos personales a un tercer país o a una organización internacional, Holdsport lo notificará al Club antes de proceder al tratamiento, salvo que la ley prohíba dicha información por motivos de interés público.
4.3 Holdsport aplicará medidas técnicas y organizativas apropiadas para garantizar que todos los datos personales disponibles o tratados por Holdsport se traten de forma que se asegure un nivel de seguridad adecuado de dichos datos personales, incluida la protección frente a un tratamiento no autorizado o ilícito y frente a su pérdida, destrucción o daño accidental, o cualquier otro tratamiento de datos personales contrario al RGPD. Estas medidas técnicas y organizativas figuran en el Anexo 1.
4.4 Holdsport garantiza que las personas autorizadas a tratar los datos personales están sujetas al deber de confidencialidad, ya sea contractual o legal.
4.5 Holdsport notificará al Club cualquier violación de la seguridad de los datos personales sin dilación indebida. Por violación de la seguridad de los datos personales se entiende toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o el acceso no autorizados a dichos datos, de conformidad con el artículo 4, apartado 12, del RGPD.
4.6 Holdsport ha implantado un procedimiento de supervisión continua de todos los sistemas, con implementación de alarmas y aviso al DPD de la compañía, quien es responsable de que se lleven a cabo todas las acciones técnicas pertinentes, así como de la información a todas las partes afectadas en caso de violación de datos. Tras más de 20 años de operación, Holdsport no ha experimentado hasta la fecha ninguna violación de la seguridad de los datos personales.
4.7 Holdsport tratará con confidencialidad los datos personales que trate por cuenta del Club. Holdsport no podrá comunicar a terceros los datos personales facilitados a Holdsport por, para o en nombre del Club, salvo que exista consentimiento u otra base legítima.
4.8 Ninguna disposición del presente contrato impedirá a ninguna de las Partes cumplir una obligación legal impuesta por autoridades o tribunales. No obstante, ambas Partes deberán, en la medida de lo posible, consultar la respuesta apropiada a cualquier requerimiento de una autoridad o tribunal en materia de comunicación de información.
5.1 Holdsport pone a disposición del Club, en formato electrónico, toda la información necesaria para acreditar el cumplimiento de las obligaciones del presente contrato. Ello se materializa en el presente Contrato de Encargado del Tratamiento, sus anexos, los documentos contractuales entre Holdsport y el Club, así como la información publicada en nuestro sitio web.
5.2 Holdsport informará sin dilación al Club en caso de que considere que una instrucción del Club infringe el RGPD.
5.3 Holdsport asistirá al Club, en la medida de lo posible, con medidas técnicas y organizativas apropiadas para el cumplimiento de la obligación del Club de responder a las solicitudes de ejercicio de los derechos de los interesados.
5.4 Holdsport asistirá — teniendo en cuenta la naturaleza del tratamiento y la información a disposición de Holdsport — al Club en garantizar el cumplimiento de las obligaciones relativas a:
5.4.1 la seguridad del tratamiento,
5.4.2 la notificación de violaciones de la seguridad de los datos personales a la autoridad de control,
5.4.3 la comunicación de violaciones de la seguridad de los datos personales al interesado, y
5.4.4 la evaluación de impacto relativa a la protección de datos.
5.5 Holdsport llevará — si resulta de aplicación el artículo 30 del RGPD — un registro de las actividades de tratamiento efectuadas bajo su responsabilidad y facilitará al Club una copia del mismo previa solicitud.
6.1 El Club tiene, de conformidad con el RGPD, una obligación general de garantizar el cumplimiento de las medidas técnicas y organizativas, lo que incluye las medidas técnicas y organizativas adoptadas por un encargado del tratamiento. Holdsport ha evaluado los riesgos derivados del tratamiento de datos personales realizado por Holdsport en virtud del presente contrato y ha aplicado medidas apropiadas, de conformidad con el apartado 5.3.
6.2 El Club declara que los datos personales que Holdsport trata en virtud del presente contrato pueden ser tratados por Holdsport. Es decir, el Club garantiza que se trata de datos para cuyo tratamiento ha obtenido el consentimiento y que dicho consentimiento comprende el tratamiento subsiguiente por parte de Holdsport. El Club exime a Holdsport de toda responsabilidad al respecto.
6.3 Se hace constar, a los efectos oportunos, que el Club, en su condición de responsable del tratamiento, debe cumplir la normativa del RGPD, lo que incluye, entre otras cosas, la celebración de contratos de encargo del tratamiento con proveedores.
6.4 Para garantizar una comunicación y un soporte rápidos y precisos como usuario, en Holdsport podemos utilizar herramientas automatizadas, incluidas ChatGPT de OpenAI y herramientas afines, para analizar y responder a las consultas suyas y de otros usuarios. Utilizamos el diálogo con todos los usuarios como base para el desarrollo de estas herramientas. El diálogo con usted se anonimiza. Como usuario, usted acepta este uso.
7.1 El Club concede a Holdsport una autorización general para recurrir a subencargados del tratamiento. Holdsport notificará al Club cualquier cambio previsto en relación con los subencargados del tratamiento con al menos 30 días de antelación, dando así al Club la oportunidad de oponerse a dichos cambios.
7.2 La lista de subencargados del tratamiento figura en el Anexo 1.
7.3 Como complemento a lo anterior, Holdsport utiliza una serie de servicios de pago, como MobilePay, Stripe, Altapay, entre otros. La información pertinente y necesaria para poder ejecutar los pagos permanece en los respectivos servicios conforme a las condiciones y normas aplicables, y Holdsport no conserva copia de dicha información salvo en lo que resulte necesario para poder garantizar los derechos del pagador, por ejemplo, el acceso a un equipo o a una actividad de pago.
8.1 El presente contrato estará en vigor mientras Holdsport trate datos personales por cuenta del Club.
8.2 Tras la resolución o extinción del presente contrato, Holdsport, previo requerimiento del Club, destruirá toda dicha información. No obstante, lo anterior no será de aplicación cuando la legislación otorgue el derecho o la obligación de conservarla.
9.1 El presente contrato se rige por el derecho danés.
9.2 Toda controversia derivada del presente contrato o relacionada con él, incluidas las controversias relativas a su existencia, validez o extinción, será resuelta por el Tribunal de Aarhus (retten i Aarhus), si la controversia no puede resolverse mediante negociación.
| Encargado del tratamiento | HOLDSPORT.DK ApS, CVR-nr. 33765509, Filmbyen 23, 3., 8000 Aarhus C |
| Servicio | Holdsport / SportMember — plataforma de administración de clubes (web, app y API) |
| Tipo de documento | Anexo al Contrato de Encargado del Tratamiento — documentación de las medidas de seguridad conforme al art. 32 del Reglamento General de Protección de Datos (RGPD) |
| Versión | 1.3 |
| Fecha | 2026-06-30 |
El presente documento describe las medidas técnicas y organizativas de seguridad (Technical and Organizational Measures, TOM) que Holdsport, en su condición de encargado del tratamiento, ha implantado para proteger los datos personales tratados por cuenta del responsable del tratamiento (el club/cliente).
Este documento constituye la documentación que se pone a disposición conforme al Contrato de Encargado del Tratamiento y al art. 28, apdo. 3, letra h, del RGPD, y puede utilizarse como base para la supervisión/auditoría por parte del responsable del tratamiento (véase el apartado 10).
La descripción refleja el entorno operativo a la fecha del documento. Las medidas se desarrollan de forma continua; los cambios sustanciales se reflejarán en una nueva versión del presente documento.
Categorías de datos personales
Holdsport trata, entre otros, nombre, datos de contacto (correo electrónico, teléfono, dirección), edad/sexo, así como datos de actividad y de pago de los miembros del club, entrenadores, padres, entre otros. No se tratan categorías especiales de datos personales relativos a la salud, hechos delictivos ni infracciones y, con carácter general, no se tratan números de identificación personal daneses (CPR-nr., salvo que el club esté legalmente obligado a ello).
Cifrado en tránsito (in transit)
Cifrado en reposo (at rest)
Autenticación de usuarios
Acceso administrativo y operativo
Acceso organizativo y físico
Copia de seguridad (backup)
Redundancia
Holdsport recurre a los siguientes subencargados del tratamiento:
| Subencargado del tratamiento | Función | Lugar del tratamiento | Base de la transferencia |
|---|---|---|---|
| Hetzner Online GmbH | Alojamiento de servidores e infraestructura | Alemania (UE) | Dentro de la UE/EEE |
| Amazon Web Services (AWS) | Almacenamiento de copias de seguridad cifradas de la base de datos | Irlanda (UE) | Dentro de la UE/EEE |
| AppSignal B.V. | Monitorización de rendimiento y de errores (backend) | Países Bajos (UE) | Dentro de la UE/EEE |
| Elastic Email | Envío de correos electrónicos del sistema y transaccionales | Servidores europeos del proveedor (UE — Irlanda, Francia y Polonia) | Dentro de la UE/EEE |
| Honeybadger | Monitorización de errores (backend) | EE. UU. — AWS us-east-1 (Northern Virginia) | SCCs a través del contrato de encargado del tratamiento de Honeybadger |
| Sentry | Monitorización de errores (aplicación móvil) | EE. UU. — región de EE. UU. de Sentry, Iowa (Google Cloud us-central1) | SCCs a través del contrato de encargado del tratamiento de Sentry |
| Meta Platforms (Facebook) | Inicio de sesión con Facebook y datos de eventos de la aplicación móvil (Facebook SDK) | EE. UU. — Meta Platforms, Inc. (entidad UE: Meta Platforms Ireland) | EU-US Data Privacy Framework (Meta autocertificada) + SCCs |
Nota: Los servicios de monitorización (errores/rendimiento) tratan principalmente datos técnicos de diagnóstico y operación, si bien en situaciones de error pueden contener información limitada atribuible a personas físicas. Para los subencargados del tratamiento situados fuera de la UE/EEE se garantiza la base de la transferencia (por ejemplo, las Cláusulas Contractuales Tipo de la Comisión Europea, SCCs) a través del contrato de encargado del tratamiento del proveedor correspondiente (véase Transferencias internacionales más adelante).
Transferencias internacionales (transferencias a terceros países)
Los datos personales se tratan y almacenan, con carácter general, dentro de la UE/EEE (véase el apartado 6 y la tabla anterior). Los siguientes subencargados del tratamiento pueden tratar información limitada en EE. UU.: Honeybadger (monitorización de errores) en AWS us-east-1 (Northern Virginia), Sentry (monitorización de errores) en Iowa (Google Cloud us-central1), y Meta/Facebook (inicio de sesión con Facebook y eventos de la aplicación desde la aplicación móvil). La transferencia se realiza sobre la siguiente base:
Como medidas complementarias, Holdsport está trabajando para (i) minimizar los datos personales que se envían a estos servicios — incluida la exclusión de la recogida de IP/PII en la aplicación móvil (Sentry) y el filtrado de campos atribuibles a personas físicas (por ejemplo, nombre, correo electrónico, teléfono, dirección, CPR y datos bancarios) en los informes de errores (Honeybadger) — y (ii) trasladar ambos servicios a regiones de la UE, tras lo cual se suprimirá la transferencia a terceros países.
En caso de violación de la seguridad de los datos personales, Holdsport notificará al responsable del tratamiento sin dilación indebida, de conformidad con el Contrato de Encargado del Tratamiento, a fin de que el responsable del tratamiento pueda cumplir sus obligaciones conforme a los art. 33 y 34 del RGPD.
Holdsport ha establecido un procedimiento de supervisión continua de todos los sistemas con alertas y notificación interna al DPD de Holdsport, responsable de que se lleven a cabo las acciones técnicas pertinentes y de que se informe a las partes afectadas en caso de que se produzca una violación.