Política de Privacidad
Última actualización: 7 de marzo de 2026
1. Responsable del tratamiento
En cumplimiento del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), le informamos de que el responsable del tratamiento es:
- Responsable: Alejandro Espinosa López
- NIF: 48649484E
- Domicilio social: Calle Federico García Lorca 3, 30009, Murcia, España
- Correo electrónico: info@sphairatech.com
- Sitio web: https://sphairatech.com
Para cuestiones sobre protección de datos, escriba a info@sphairatech.com (asunto: “Protección de datos / RGPD”).
2. Datos personales que recopilamos
En función de la relación del usuario con Sphaira Tech y del uso de la plataforma, podemos recopilar las siguientes categorías de datos:
2.1. Datos identificativos y de contacto
- Nombre y apellidos
- Dirección de correo electrónico
- Número de teléfono
- Domicilio
- DNI/NIE/Pasaporte (cuando sea requerido para trámites federativos)
- Fecha de nacimiento
- Fotografía de perfil
2.2. Datos relativos a menores de edad
- Nombre y apellidos del menor
- Fecha de nacimiento
- Datos deportivos (equipo, posición, dorsal)
- Fotografías
- Datos de salud deportiva (revisiones médicas, lesiones, alergias)
- Datos de rendimiento deportivo (estadísticas, valoraciones, asistencia)
- Datos del tutor legal (nombre, contacto, relación con el menor)
2.3. Datos de salud
- Certificados médicos e informes de aptitud deportiva
- Registro de lesiones y su evolución
- Alergias e intolerancias
- Información médica relevante para la práctica deportiva
2.4. Datos biométricos
- Datos de huella dactilar y/o reconocimiento facial utilizados exclusivamente para el desbloqueo de la aplicación móvil en el dispositivo del usuario
- Estos datos son procesados y almacenados localmente en el dispositivo (iOS Keychain / Android Keystore) y nunca se transmiten a nuestros servidores
2.5. Datos financieros y de pago
- Historial de pagos de cuotas
- Datos de tarjeta bancaria (procesados directamente por Stripe; Sphaira Tech no almacena números de tarjeta completos)
- Datos de facturación (nombre, dirección fiscal, CIF/NIF)
- Estado de suscripción y plan contratado
2.6. Datos deportivos y de rendimiento
- Estadísticas individuales y de equipo
- Valoraciones y evaluaciones de entrenadores
- Asistencia a entrenamientos y partidos
- Convocatorias y confirmaciones
- Datos de entrenamientos con GPS cuando el usuario active voluntariamente esta función
2.7. Datos audiovisuales
- Vídeos de partidos y entrenamientos
- Retransmisiones en directo (YouTube Live, Twitch)
- Fotografías de jugadores, equipos y eventos
2.8. Datos técnicos y de navegación
- Dirección IP
- Tipo de dispositivo, sistema operativo y navegador
- Tokens de notificaciones push
- Datos de uso de la aplicación y la web
- Cookies (detalladas en nuestra Política de Cookies)
3. Finalidades del tratamiento
Tratamos sus datos personales para las siguientes finalidades:
| Finalidad | Base jurídica (RGPD) | Datos tratados |
|---|---|---|
| Gestión de la cuenta de usuario y acceso a la plataforma | Art. 6.1.b) Ejecución de contrato | Identificativos, contacto, credenciales |
| Gestión deportiva: equipos, plantillas, entrenamientos, partidos, convocatorias, calendario | Art. 6.1.b) Ejecución de contrato | Deportivos, identificativos, asistencia |
| Gestión de cuotas, pagos y facturación | Art. 6.1.b) Ejecución de contrato | Financieros, identificativos |
| Comunicaciones entre el club, entrenadores, jugadores y tutores legales | Art. 6.1.b) Ejecución de contrato | Contacto, contenido de mensajes |
| Envío de notificaciones push sobre eventos, convocatorias, pagos y actualizaciones | Art. 6.1.b) / Art. 6.1.a) Consentimiento | Tokens de dispositivo, contenido de notificación |
| Tratamiento de datos de salud para gestión de lesiones, revisiones médicas y aptitud deportiva | Art. 9.2.a) Consentimiento explícito | Datos de salud |
| Gestión de documentación deportiva y federativa | Art. 6.1.b) / Art. 6.1.c) Obligación legal | Documentos, identificativos, datos federativos |
| Grabación y almacenamiento de vídeos de partidos y entrenamientos | Art. 6.1.a) Consentimiento / Art. 6.1.f) Interés legítimo | Audiovisuales, deportivos |
| Retransmisión en directo a plataformas externas (YouTube, Twitch) | Art. 6.1.a) Consentimiento explícito | Audiovisuales, cuentas de terceros |
| Seguimiento GPS durante entrenamientos individuales | Art. 6.1.a) Consentimiento explícito | Geolocalización, rendimiento |
| Generación de informes y análisis mediante inteligencia artificial | Art. 6.1.b) / Art. 6.1.a) Consentimiento | Deportivos, estadísticos, tácticos |
| Autenticación biométrica (huella/Face ID) en la aplicación móvil | Art. 6.1.a) Consentimiento (activación voluntaria) | Biométricos (almacenados localmente) |
| Envío de comunicaciones comerciales y newsletters | Art. 6.1.a) Consentimiento | Contacto, preferencias |
| Cumplimiento de obligaciones legales (fiscales, mercantiles, protección de menores) | Art. 6.1.c) Obligación legal | Identificativos, financieros, documentación |
| Análisis estadístico del uso de la plataforma (analítica web) | Art. 6.1.a) Consentimiento | Datos técnicos anonimizados, comportamiento de navegación |
| Mejora del servicio, corrección de errores y desarrollo de nuevas funcionalidades | Art. 6.1.f) Interés legítimo | Técnicos, uso de la plataforma |
4. Tratamiento de datos de menores de edad
Sphaira Tech aplica las siguientes garantías reforzadas para los datos de deportistas menores:
4.1. Consentimiento parental obligatorio
- Los menores de 18 años no pueden registrarse en Sphaira Tech. Son siempre los padres o tutores legales quienes se registran e introducen los datos de sus hijos en la plataforma.
- El club deportivo debe obtener y custodiar el consentimiento expreso del padre, madre o tutor legal antes de introducir los datos del menor en la plataforma.
- Sphaira Tech proporciona mecanismos para que los clubes documenten y registren dicho consentimiento dentro de la plataforma.
4.2. Principio de minimización
- Solo se recopilan los datos estrictamente necesarios para la gestión deportiva del menor.
- Los datos de salud del menor solo se tratan con consentimiento explícito del tutor legal.
- Las fotografías del menor solo se utilizan para su identificación dentro de la plataforma, salvo consentimiento específico adicional.
4.3. Derechos de los tutores legales
- Los padres, madres o tutores legales pueden ejercer los derechos del apartado 8 en nombre del menor en cualquier momento.
- Pueden solicitar el acceso, rectificación, supresión o portabilidad de los datos de su hijo/a.
- Pueden revocar el consentimiento en cualquier momento, lo que implicará la eliminación de los datos del menor en un plazo máximo de 30 días.
4.4. Medidas de protección adicionales
- Los datos de menores están sujetos a controles de acceso reforzados dentro de la plataforma.
- Solo el personal del club autorizado tiene acceso a los datos de los menores de sus equipos.
- Los vídeos y fotografías de menores se almacenan en servidores dentro de la UE con cifrado en reposo.
- No se realiza ningún tipo de decisión automatizada ni elaboración de perfiles con datos de menores sin supervisión humana.
5. Corresponsabilidad con los clubes deportivos
Sphaira Tech actúa como encargado del tratamiento (Art. 28 RGPD) respecto a los datos que los clubes deportivos introducen en la plataforma. El club deportivo es el responsable del tratamiento de los datos de sus jugadores, entrenadores, personal y familias.
Sphaira Tech pone a disposición de los clubes un Acuerdo de Encargado del Tratamiento (DPA) que regula las obligaciones de cada parte. Los clubes que utilicen la plataforma aceptan las condiciones de dicho acuerdo, disponible bajo solicitud en info@sphairatech.com.
5.1. Obligaciones del club deportivo
El club deportivo, como responsable del tratamiento, se compromete a:
- Obtener el consentimiento informado de los afectados (o sus tutores legales) antes de introducir sus datos en Sphaira Tech.
- Informar a los interesados sobre el tratamiento de sus datos conforme al RGPD y la LOPDGDD.
- Garantizar que solo el personal autorizado accede a los datos en la plataforma.
- No utilizar los datos almacenados en Sphaira Tech para finalidades distintas a la gestión deportiva del club.
6. Destinatarios y encargados del tratamiento
Sus datos podrán ser comunicados a los siguientes destinatarios o encargados del tratamiento:
6.1. Encargados del tratamiento (proveedores tecnológicos)
| Proveedor | Finalidad | Ubicación de datos | Datos tratados |
|---|---|---|---|
| Stripe, Inc. | Procesamiento de pagos, cobro de cuotas, suscripciones | UE (con garantías para EE.UU. — Marco de Privacidad de Datos UE-EE.UU.) | Datos de pago, email, nombre |
| Firebase / Google LLC | Envío de notificaciones push (Firebase Cloud Messaging) | UE (con garantías para EE.UU.) | Tokens de dispositivo, contenido de notificación |
| OpenAI, Inc. | Asistente de IA, análisis táctico, generación de informes. Los datos se seudonomizan antes de enviarse (JUGADOR_1, EQUIPO_1, etc.) | EE.UU. (Marco de Privacidad de Datos UE-EE.UU.) | Datos deportivos seudonimizados. Nunca se envían nombres reales identificables |
| Backblaze, Inc. | Almacenamiento de vídeos de partidos y entrenamientos | UE (eu-central) | Archivos de vídeo |
| Google (Gmail SMTP) | Envío de correos electrónicos (validación, recuperación de contraseña, notificaciones) | UE (con garantías para EE.UU.) | Email del destinatario, contenido del mensaje |
| Resend, Inc. | Envío de correos electrónicos transaccionales (confirmaciones, alertas, comunicaciones del sistema) | EE.UU. (Marco de Privacidad de Datos UE-EE.UU.) | Email del destinatario, contenido del mensaje |
| Google Analytics 4 / Google LLC | Análisis estadístico del uso de la web. Solo se activa con consentimiento expreso. IP anonimizada y Consent Mode v2 activado | UE (con garantías para EE.UU.) | Datos técnicos anonimizados (IP, dispositivo, navegador, páginas visitadas) |
| Microsoft Clarity / Microsoft Corp. | Análisis visual del uso de la web (mapas de calor, grabaciones de sesión anonimizadas). Solo se activa con consentimiento expreso | EE.UU. (Cláusulas Contractuales Tipo — SCC) | Datos técnicos anonimizados (comportamiento de navegación, clics, desplazamiento) |
| Activa Network (Hosting) | Alojamiento de la base de datos principal | Unión Europea (Francia) | Todos los datos almacenados en la plataforma |
6.2. Servicios de terceros activados voluntariamente por el usuario
Los siguientes servicios solo procesan datos cuando el usuario los activa expresamente desde la aplicación:
- YouTube Live / Twitch: para retransmisión en directo. Requiere conexión OAuth iniciada voluntariamente por el usuario.
- Google Drive: para importación de vídeos. Requiere autorización OAuth explícita.
- Geolocalización (GPS): para entrenamientos con tracking. Requiere activación expresa en cada sesión.
- Reconocimiento de voz: procesado localmente por el sistema operativo. No se envía audio a servidores de Sphaira Tech.
- Autenticación biométrica: procesada y almacenada localmente en el dispositivo. Sphaira Tech no tiene acceso a los datos biométricos.
6.3. Comunicaciones a terceros por obligación legal
Podremos comunicar sus datos a:
- Administraciones públicas y organismos oficiales cuando exista obligación legal.
- Federaciones deportivas cuando sea necesario para el cumplimiento de obligaciones federativas del club.
- Fuerzas y cuerpos de seguridad del Estado en caso de requerimiento judicial.
7. Transferencias internacionales de datos
La base de datos principal de Sphaira Tech se aloja en servidores ubicados en la Unión Europea. Sin embargo, algunos encargados del tratamiento tienen sede en Estados Unidos.
En todos los casos, las transferencias internacionales se realizan al amparo de alguna de las siguientes garantías:
- Marco de Privacidad de Datos UE-EE.UU.: Stripe, Google, OpenAI, Resend y otros proveedores están adheridos a este marco, reconocido como adecuado por la Comisión Europea.
- Cláusulas contractuales tipo (SCC): en caso de que algún proveedor no esté cubierto por el marco anterior, se aplican las SCC aprobadas por la Comisión Europea (Decisión 2021/914).
- Consentimiento explícito: para integraciones opcionales (YouTube, Twitch, Google Drive), el usuario autoriza expresamente la transferencia al activar la conexión.
Puede solicitar información adicional sobre las garantías aplicables escribiendo a info@sphairatech.com.
8. Derechos del interesado
De conformidad con el RGPD y la LOPDGDD, usted tiene derecho a:
| Derecho | Descripción |
|---|---|
| Acceso | Obtener confirmación de si se están tratando sus datos y, en tal caso, acceder a ellos. |
| Rectificación | Solicitar la corrección de datos inexactos o incompletos. |
| Supresión | Solicitar la eliminación de sus datos cuando ya no sean necesarios para la finalidad para la que fueron recogidos. |
| Oposición | Oponerse al tratamiento de sus datos en determinadas circunstancias. |
| Portabilidad | Recibir sus datos en un formato estructurado y de uso común, y transmitirlos a otro responsable. |
| Limitación | Solicitar la limitación del tratamiento en los supuestos previstos en el RGPD. |
| Retirada del consentimiento | Retirar su consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo. |
| No ser objeto de decisiones automatizadas | No ser objeto de decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos o le afecte significativamente. |
Para ejercer cualquiera de estos derechos, envíe un correo a info@sphairatech.com (asunto: “Ejercicio de derechos RGPD”) indicando el derecho que desea ejercer y acompañando copia de su documento identificativo. Responderemos en un plazo máximo de 30 días.
Si considera que el tratamiento de sus datos no es conforme a la normativa, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) — www.aepd.es.
9. Conservación de datos
Los datos personales se conservarán durante los siguientes plazos:
| Tipo de datos | Plazo de conservación |
|---|---|
| Datos de la cuenta de usuario | Mientras la cuenta esté activa. Tras la baja, se conservarán bloqueados durante 5 años para el cumplimiento de obligaciones legales. |
| Datos de menores | Mientras el menor pertenezca al club. Tras su baja, se eliminarán en un plazo máximo de 30 días, salvo obligación legal. |
| Datos de salud | Mientras sean necesarios para la gestión deportiva. Se eliminarán en un plazo máximo de 30 días tras la baja o la revocación del consentimiento. |
| Datos financieros | 5 años conforme a la normativa fiscal y mercantil (Ley General Tributaria, Código de Comercio). |
| Vídeos y material audiovisual | Mientras el club mantenga su suscripción activa. El club puede eliminarlos en cualquier momento desde la plataforma. |
| Datos de navegación y cookies | Según los plazos indicados en la Política de Cookies. |
| Comunicaciones comerciales | Hasta la revocación del consentimiento. |
Transcurridos los plazos de conservación, los datos serán eliminados de forma segura o anonimizados de forma irreversible para fines estadísticos.
10. Medidas de seguridad
Sphaira Tech implementa medidas técnicas y organizativas adecuadas conforme al artículo 32 del RGPD:
10.1. Medidas técnicas
- Cifrado en tránsito: todas las comunicaciones se realizan mediante HTTPS/TLS.
- Cifrado en reposo: los datos almacenados utilizan cifrado AES-256.
- Autenticación segura: contraseñas almacenadas con hash bcrypt. Autenticación biométrica como segundo factor.
- Tokens JWT: sesiones gestionadas mediante tokens JWT con expiración configurable y firma segura.
- Control de acceso basado en roles (RBAC): cada usuario solo accede a los datos correspondientes a su rol.
- Tokenización de datos de pago: datos de tarjeta procesados exclusivamente por Stripe mediante tokenización PCI-DSS Level 1.
- Almacenamiento biométrico local: los datos biométricos se almacenan exclusivamente en el dispositivo del usuario.
10.2. Medidas organizativas
- Política de acceso mínimo: el personal solo accede a los datos estrictamente necesarios para su función.
- Formación periódica del equipo en materia de protección de datos.
- Procedimientos de gestión de brechas de seguridad conforme al artículo 33 del RGPD.
- Evaluaciones de impacto (EIPD) para tratamientos de alto riesgo (datos de menores o de salud).
- Acuerdos de confidencialidad con todo el personal y los encargados del tratamiento.
11. Uso de inteligencia artificial
Sphaira Tech utiliza servicios de inteligencia artificial (OpenAI) para funcionalidades avanzadas como análisis táctico, generación de informes y asistencia al entrenador.
- Todos los datos enviados a servicios de IA son seudonimizados de forma automática antes del envío: los nombres de jugadores se sustituyen por códigos (JUGADOR_1), los de equipos por EQUIPO_1, los de entrenadores por ENTRENADOR_1, etc.
- Los textos clínicos y de salud se someten al mismo proceso de seudonimización.
- OpenAI actúa como encargado del tratamiento bajo su DPA, comprometiéndose a no utilizar los datos para entrenar sus modelos (API Data Usage Policy).
- No se toman decisiones automatizadas con efectos legales basadas exclusivamente en el resultado de la IA.
- Los datos de menores se tratan con seudonimización reforzada y minimización de datos. Nunca se envían nombres reales identificables de menores a servicios de IA externos.
13. Modificaciones de la política de privacidad
Sphaira Tech se reserva el derecho de modificar la presente política para adaptarla a novedades legislativas, jurisprudenciales o de práctica de la industria. En caso de cambios sustanciales, se lo notificaremos mediante:
- Un aviso destacado en la plataforma.
- Una notificación por correo electrónico a los usuarios registrados.
- Una notificación push en la aplicación móvil.
Le recomendamos revisar esta política periódicamente. La fecha de última actualización se indica al principio del documento.
14. Derechos específicos según su país o territorio
Además de los derechos reconocidos por el RGPD (apartado 8), los usuarios ubicados fuera de la Unión Europea pueden tener derechos adicionales según su legislación local:
14.1. Reino Unido (UK GDPR)
Los residentes en el Reino Unido están protegidos por el UK GDPR y la Data Protection Act 2018. La autoridad de supervisión es la Information Commissioner's Office (ICO).
14.2. California, EE.UU. (CCPA / CPRA)
Los residentes en California tienen derechos adicionales bajo la CCPA y la CPRA. Sphaira Tech no vende datos personales. Para ejercer sus derechos CCPA, contacte a info@sphairatech.com (asunto: “CCPA Rights Request”).
14.3. Brasil (LGPD)
Los residentes en Brasil están protegidos por la Lei Geral de Proteção de Dados (LGPD). La autoridad de supervisión es la Autoridade Nacional de Proteção de Dados (ANPD).
14.4. Canadá (PIPEDA)
Los residentes en Canadá están protegidos por la Personal Information Protection and Electronic Documents Act (PIPEDA). La autoridad de supervisión es el Office of the Privacy Commissioner of Canada (OPC).
14.5. Australia (Privacy Act 1988)
Los residentes en Australia están protegidos por la Privacy Act 1988 y los Australian Privacy Principles (APPs). La autoridad de supervisión es la Office of the Australian Information Commissioner (OAIC).
Para ejercer cualquier derecho derivado de su legislación local, contacte con nosotros en info@sphairatech.com indicando su país de residencia y el derecho que desea ejercer.
15. Contacto
Para cualquier consulta o solicitud relacionada con esta política de privacidad o con el tratamiento de sus datos personales:
- Email de contacto: info@sphairatech.com
- Email para protección de datos / RGPD: info@sphairatech.com (asunto: “Protección de datos”)
- Teléfono/WhatsApp: +34 623 91 17 72
Agencia Española de Protección de Datos (AEPD): puede presentar una reclamación en www.aepd.es o en C/ Jorge Juan, 6, 28001 Madrid.