Accordo sul Trattamento dei Dati
Data Processing Agreement (DPA) — Art. 28 RGPD
Versione 1.0 · Ultimo aggiornamento: 7 marzo 2026
Il presente Accordo sul Trattamento dei Dati (di seguito, “DPA” o “Accordo”) disciplina il trattamento dei dati personali effettuato da Sphaira Tech per conto delle società sportive e degli enti che utilizzano i suoi servizi, in conformità con l'articolo 28 del Regolamento (UE) 2016/679 (RGPD) e la normativa nazionale applicabile in materia di protezione dei dati.
Il presente Accordo è automaticamente incorporato e fa parte dei Termini e Condizioni di Sphaira Tech. Sottoscrivendo o utilizzando i servizi di Sphaira Tech, il Club accetta i termini del presente DPA.
1. Parti dell'Accordo
1.1. Responsabile del trattamento (Titolare del trattamento per conto terzi)
- Denominazione: Sphaira Tech (Alejandro Espinosa López)
- Codice fiscale (NIF): 48649484E
- Indirizzo: Calle Federico García Lorca 3, 30009, Murcia, Spagna
- Email: info@sphairatech.com
- Ruolo RGPD: Responsabile del trattamento (Art. 28 RGPD)
1.2. Titolare del trattamento
La società sportiva, l'accademia, l'associazione o qualsiasi ente che stipula un contratto con Sphaira Tech (di seguito, “il Club” o “il Titolare”), identificato dai dati forniti al momento della registrazione sulla piattaforma.
- Ruolo RGPD: Titolare del trattamento (Art. 24 RGPD)
2. Oggetto, Natura e Durata
Sphaira Tech tratterà i dati personali per conto del Club al solo scopo di fornire i servizi di gestione sportiva contrattati, che includono:
- Gestione di giocatori, squadre, allenatori e personale del club
- Amministrazione della documentazione sportiva e medica
- Gestione di pagamenti, quote e fatturazione
- Comunicazioni interne del club (notifiche push, messaggi)
- Pianificazione degli allenamenti, convocazioni e calendario
- Analisi delle statistiche e delle prestazioni sportive
- Archiviazione e analisi di video sportivi
- Funzionalità di intelligenza artificiale (analisi tattica, report)
- Scouting e valutazione dei giocatori
Il presente Accordo rimane in vigore per l'intero periodo in cui il Club mantiene il proprio rapporto contrattuale con Sphaira Tech, e si estingue al termine di tale rapporto, fermo restando gli obblighi di restituzione o cancellazione dei dati previsti dalla clausola 10.
3. Categorie di Dati Personali e Interessati
| Categoria di interessati | Tipi di dati trattati |
|---|---|
| Giocatori adulti (≥18 anni) | Nome, cognome, data di nascita, email, telefono, indirizzo, documento d'identità, foto profilo, dati sportivi (ruolo, numero, squadra), statistiche di prestazione, presenze, dati sanitari (infortuni, visite mediche), dati di fatturazione |
| Giocatori minorenni (<18 anni) | Nome, cognome, data di nascita, foto, dati sportivi, dati sanitari sportivi, dati del tutore legale. Trattati esclusivamente tramite i tutori legali |
| Allenatori e staff tecnico | Nome, cognome, email, telefono, foto, credenziali, ruolo nel club, cronologia attività sulla piattaforma |
| Genitori / tutori legali | Nome, cognome, email, telefono, relazione con il minore, dati di pagamento (elaborati da Stripe) |
| Amministratori del club | Nome, cognome, email, telefono, ruolo, credenziali di accesso, cronologia attività amministrative |
Categorie particolari di dati (Art. 9 RGPD): Sphaira Tech può trattare dati sanitari (infortuni, visite mediche, allergie) per conto del Club, solo quando il Club ha ottenuto il consenso esplicito dell'interessato o del suo tutore legale (Art. 9, par. 2, lett. a) RGPD).
4. Istruzioni del Titolare del Trattamento
Sphaira Tech tratterà i dati personali esclusivamente in base alle istruzioni documentate del Club e non li utilizzerà per finalità proprie estranee alla prestazione del servizio contrattato, salvo obbligo di legge contrario.
Le istruzioni del Club sono trasmesse tramite:
- La configurazione della piattaforma effettuata dall'amministratore del Club
- Le funzionalità attivate o disattivate dal Club nel proprio pannello di amministrazione
- Comunicazioni scritte inviate a info@sphairatech.com
Se Sphaira Tech ritiene che un'istruzione del Club violi il RGPD o altra normativa applicabile, ne informerà immediatamente il Club.
5. Obblighi di Sphaira Tech come Responsabile del Trattamento
Sphaira Tech si impegna a:
5.1. Riservatezza
- Garantire che le persone autorizzate a trattare i dati personali si siano impegnate a rispettare la riservatezza o siano soggette a obblighi legali di riservatezza.
- Non divulgare i dati del Club a terzi senza istruzione o autorizzazione del Titolare, salvo obbligo di legge.
5.2. Misure di sicurezza tecniche e organizzative
Implementare misure di sicurezza adeguate ai sensi dell'Art. 32 RGPD, incluse quelle descritte nell'Informativa sulla Privacy — Sezione 10:
- Cifratura in transito (HTTPS/TLS) e a riposo (AES-256)
- Autenticazione sicura con hashing bcrypt e token JWT
- Controllo degli accessi basato sui ruoli (RBAC)
- Tokenizzazione dei dati di pagamento (PCI-DSS Livello 1 tramite Stripe)
- Dati biometrici archiviati esclusivamente sul dispositivo dell'utente
5.3. Assistenza nell'esercizio dei diritti degli interessati
Assistere il Club, con misure tecniche e organizzative adeguate, nell'adempimento dell'obbligo di rispondere alle richieste di esercizio dei diritti degli interessati (accesso, rettifica, cancellazione, portabilità, limitazione, opposizione).
Quando un interessato si rivolge direttamente a Sphaira Tech, trasmetteremo la richiesta al Club senza ingiustificato ritardo.
5.4. Assistenza negli obblighi di sicurezza
Assistere il Club nel garantire il rispetto di:
- Obblighi di sicurezza del trattamento (Art. 32 RGPD)
- Notifica di violazioni dei dati all'autorità di controllo (Art. 33 RGPD)
- Comunicazione di violazioni dei dati agli interessati (Art. 34 RGPD)
- Effettuazione di Valutazioni d'Impatto sulla Protezione dei Dati (DPIA) ove necessario (Art. 35 RGPD)
5.5. Notifica di violazioni dei dati personali
Sphaira Tech notificherà al Club, senza ingiustificato ritardo e comunque entro un massimo di 72 ore dalla scoperta, qualsiasi violazione dei dati personali del Club, ai sensi dell'Art. 33 RGPD.
La notifica sarà inviata all'indirizzo email dell'amministratore del Club registrato sulla piattaforma e includerà almeno: descrizione della natura della violazione, categorie e numero approssimativo di interessati, probabili conseguenze e misure adottate o proposte.
5.6. Messa a disposizione di informazioni e audit
Sphaira Tech metterà a disposizione del Club tutte le informazioni necessarie a dimostrare il rispetto degli obblighi di cui all'Art. 28 RGPD, e consentirà e contribuirà allo svolgimento di audit e ispezioni da parte del Club o di un revisore da esso designato.
Le richieste di audit devono essere inviate con un preavviso ragionevole (minimo 30 giorni di calendario) e per iscritto a info@sphairatech.com. I costi associati agli audit in loco saranno a carico del Club.
6. Obblighi del Club come Titolare del Trattamento
Il Club, in qualità di Titolare del trattamento, si impegna a:
- Aver ottenuto il consenso informato degli interessati (o dei loro tutori legali nel caso dei minori) prima di inserire i loro dati nella piattaforma Sphaira Tech.
- Aver informato gli interessati sul trattamento dei loro dati, inclusa l'identità e i dati di Sphaira Tech come responsabile del trattamento.
- Garantire che le istruzioni fornite a Sphaira Tech per il trattamento dei dati siano conformi al RGPD e alla normativa applicabile.
- Non inserire nella piattaforma dati personali che non siano strettamente necessari per la gestione sportiva del club.
- Garantire che solo il personale autorizzato del club abbia accesso alla piattaforma e ai dati degli interessati.
- Mantenere aggiornati i dati degli interessati e gestire adeguatamente le richieste di esercizio dei diritti ricevute direttamente.
- Informare immediatamente Sphaira Tech qualora venga a conoscenza di un incidente che possa compromettere la sicurezza dei dati.
7. Sub-responsabili del Trattamento
Il Club autorizza Sphaira Tech a avvalersi dei seguenti sub-responsabili del trattamento per la fornitura dei servizi. Sphaira Tech garantisce che questi sub-responsabili offrono garanzie sufficienti di conformità al RGPD e che i contratti stipulati con loro includono gli stessi obblighi in materia di protezione dei dati:
| Sub-responsabile | Paese / Sede | Finalità | Garanzia di trasferimento |
|---|---|---|---|
| Stripe, Inc. | USA | Elaborazione dei pagamenti e riscossione delle quote | Quadro UE-USA per la Privacy dei Dati (DPF) |
| Firebase / Google LLC | USA | Invio di notifiche push | Quadro UE-USA per la Privacy dei Dati (DPF) |
| OpenAI, Inc. | USA | IA per analisi tattica e report (dati pseudonimizzati) | Quadro UE-USA per la Privacy dei Dati (DPF) + DPA proprio |
| Backblaze, Inc. | UE (eu-central) | Archiviazione video sportivi | Dati ospitati nell'UE |
| Google LLC (Gmail SMTP) | USA | Invio di email transazionali | Quadro UE-USA per la Privacy dei Dati (DPF) |
| Resend, Inc. | USA | Invio di email transazionali | Quadro UE-USA per la Privacy dei Dati (DPF) |
| Activa Network | Francia (UE) | Hosting del database principale | Dati ospitati nell'UE (nessun trasferimento internazionale) |
Sphaira Tech notificherà al Club con almeno 30 giorni di anticipo qualsiasi modifica prevista ai sub-responsabili. Il Club può opporsi a tali modifiche inviando una comunicazione scritta a info@sphairatech.com entro 15 giorni dalla notifica.
8. Trasferimenti Internazionali di Dati
I trasferimenti internazionali di dati effettuati da Sphaira Tech o dai suoi sub-responsabili si basano su:
- Quadro UE-USA per la Privacy dei Dati (DPF): riconosciuto come adeguato dalla Commissione europea. I fornitori Stripe, Google, OpenAI e Resend sono certificati nell'ambito di questo quadro.
- Clausole Contrattuali Standard (SCC): approvate dalla Commissione europea (Decisione 2021/914) come garanzia aggiuntiva o alternativa ove applicabile.
- Dati ospitati nell'UE: il database principale e i video sono ospitati su server nell'Unione europea.
Per i dati inviati a OpenAI viene applicata una pseudonimizzazione automatica preventiva: nomi di giocatori, allenatori, squadre e luoghi vengono sostituiti da token prima dell'invio, riducendo al minimo l'esposizione di dati identificabili.
9. Periodo di Conservazione dei Dati
Sphaira Tech conserverà i dati personali del Club per il tempo strettamente necessario alla prestazione dei servizi contrattati. I periodi specifici sono quelli stabiliti nell'Informativa sulla Privacy — Sezione 9.
In nessun caso i dati saranno conservati oltre il periodo massimo legalmente ammissibile per ciascuna tipologia di dati, salvo espressa istruzione contraria del Titolare conforme alla legge.
10. Restituzione o Cancellazione dei Dati al Termine del Servizio
Una volta terminato il rapporto contrattuale tra il Club e Sphaira Tech:
- Esportazione dei dati (fino a 90 giorni dalla disdetta): il Club può richiedere l'esportazione di tutti i propri dati in formato standard (CSV, JSON o PDF) entro 90 giorni dalla disdetta del servizio, inviando la richiesta a info@sphairatech.com.
- Cancellazione definitiva: scaduto il periodo di esportazione (o prima se il Club lo richiede espressamente), Sphaira Tech procederà all'eliminazione definitiva e irrecuperabile di tutti i dati personali del Club dai propri sistemi, entro un massimo di 30 giorni.
- Conferma di cancellazione: Sphaira Tech invierà al Club una conferma scritta dell'avvenuta cancellazione completa dei dati.
- Conservazione per obbligo legale: i dati che devono essere conservati per obbligo di legge (es. dati finanziari per 5 anni) non saranno cancellati, ma saranno bloccati e non utilizzati per alcun altro scopo.
11. Responsabilità
Sphaira Tech risponderà nei confronti del Club per l'inadempimento degli obblighi stabiliti nel presente DPA a essa direttamente imputabili, nei termini e con i limiti stabiliti nei Termini e Condizioni — Sezione 10.
Il Club risponderà nei confronti degli interessati e delle autorità di controllo per il rispetto dei propri obblighi in qualità di Titolare del trattamento, inclusi l'ottenimento di consensi validi e la corretta informativa agli interessati.
12. Legge Applicabile e Risoluzione delle Controversie
Il presente DPA è regolato dal Regolamento (UE) 2016/679 (RGPD), dalla Legge Organica Spagnola 3/2018 (LOPDGDD), dal D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018, e da ogni altra normativa europea applicabile in materia di protezione dei dati.
Per la risoluzione di qualsiasi controversia derivante dal presente Accordo, le parti si sottopongono alla giurisdizione dei Tribunali di Murcia, Spagna, fatta salva la competenza dell'Agenzia Spagnola per la Protezione dei Dati (AEPD) come autorità di controllo.
13. Contatto
Per qualsiasi questione relativa al presente DPA o al trattamento dei dati nell'ambito dei servizi di Sphaira Tech:
- Email: info@sphairatech.com (oggetto: “DPA / Accordo sul Trattamento dei Dati”)
- Telefono/WhatsApp: +34 623 91 17 72
- Indirizzo postale: Calle Federico García Lorca 3, 30009, Murcia, Spagna
Il presente Accordo è stato aggiornato per l'ultima volta il 7 marzo 2026 (versione 1.0). Per consultare le nostre altre informative: