Acuerdo de Procesamiento de Datos (DPA)
Última actualización: 9 de abril de 2026
Este Acuerdo se celebra entre el entrenador que utiliza la Plataforma (el “Responsable del Tratamiento” o el “Entrenador”) y Arian Roque, operando bajo la marca Rutinize (el “Encargado del Tratamiento” o el “Proveedor”; contacto: [email protected]).
Este DPA forma parte integrante de los Términos de Uso para Entrenadores y se aplica en la medida en que el Proveedor trate Datos Personales de los clientes del Entrenador en nombre de este.
1. Definiciones
- Datos Personales: cualquier información sobre una persona física identificada o identificable introducida en la Plataforma.
- Tratamiento: cualquier operación realizada sobre Datos Personales.
- Responsable del Tratamiento: el Entrenador, quien determina los fines y medios del tratamiento de los datos de sus clientes.
- Encargado del Tratamiento: el Proveedor (Rutinize), quien trata los datos por cuenta del Entrenador.
- Subencargado: cualquier tercero contratado por el Proveedor para actividades de tratamiento específicas.
- Interesado: la persona física a quien se refieren los Datos Personales (principalmente los clientes del Entrenador).
- Violación de Datos: brecha de seguridad que provoque destrucción, pérdida, alteración o acceso no autorizado a Datos Personales.
- Normativa Aplicable: RGPD, UK GDPR, LGPD (Brasil), PIPEDA/Ley 25 Quebec (Canadá), CCPA/CPRA (California), LFPDPPP (México), y cualquier otra normativa de protección de datos aplicable.
2. Reconocimiento de roles
- El Entrenador actúa como Responsable del Tratamiento respecto de los datos de sus clientes: determina qué datos solicitar, con qué propósito y durante cuánto tiempo.
- El Proveedor actúa como Encargado del Tratamiento respecto de esos mismos datos, únicamente en la medida necesaria para prestar la Plataforma al Entrenador.
- El Proveedor actúa como Responsable independiente respecto de los datos del propio Entrenador (cuenta, acceso, facturación), que se rigen por la Política de Privacidad para Entrenadores.
3. Objeto, finalidad y duración del tratamiento
3.1 Objeto
El Proveedor tratará datos de los clientes del Entrenador exclusivamente para prestar los servicios de la Plataforma, incluyendo:
- Almacenamiento y gestión de perfiles de clientes.
- Almacenamiento de respuestas a formularios dinámicos.
- Gestión de historiales de entrenamiento, planes, rutinas, métricas y progresiones.
- Procesamiento de datos de país a efectos fiscales (si el Entrenador habilita esa funcionalidad).
- Personalización según idioma y zona horaria.
- Detección y resolución de errores técnicos.
3.2 Tipos de datos tratados
- Identificación básica: nombre, correo electrónico.
- Localización y preferencias: país, idioma, zona horaria.
- Respuestas a formularios: el contenido depende de lo que el Entrenador configure; puede incluir datos de salud, lesiones, objetivos u otra información.
- Datos de entrenamiento: rutinas, cargas, series, repeticiones, frecuencia, progresiones, métricas.
- Datos fiscales: país de residencia del cliente cuando el Entrenador habilite esa función.
El Proveedor no controla las categorías de datos que el Entrenador solicite mediante formularios dinámicos. Si el Entrenador recoge categorías especiales (datos de salud según el RGPD), es responsable de contar con la base legal adecuada.
3.3 Duración
El Proveedor tratará los Datos Personales mientras el Entrenador mantenga una cuenta activa y el cliente permanezca asociado a dicha cuenta.
4. Instrucciones del Entrenador y limitación de uso
El Proveedor tratará los datos únicamente conforme a las instrucciones documentadas del Entrenador y no los utilizará para fines comerciales propios, construcción de perfiles de venta, publicidad dirigida ni ningún otro propósito incompatible con la prestación de la Plataforma.
5. Obligaciones del Proveedor
5.1 Confidencialidad
El Proveedor garantizará que las personas autorizadas para tratar los datos estén sujetas a obligaciones de confidencialidad adecuadas.
5.2 Seguridad
El Proveedor aplicará medidas técnicas y organizativas apropiadas, incluyendo:
- Cifrado en tránsito (HTTPS/TLS) y, cuando sea técnicamente razonable, en reposo.
- Controles de acceso basados en roles.
- Mecanismos de autenticación seguros.
- Procedimientos de detección, investigación y notificación de incidentes.
- Copias de seguridad periódicas.
5.3 Asistencia al Entrenador
El Proveedor asistirá al Entrenador, en la medida de lo posible, para responder a solicitudes de ejercicio de derechos por parte de los interesados y para cumplir con sus obligaciones de seguridad, notificación de brechas y evaluaciones de impacto.
6. Subencargados
El Proveedor puede contratar subencargados para la prestación de los servicios. Los subencargados actuales son:
| Subencargado | Función | Ubicación |
|---|---|---|
| Railway Corp. | Infraestructura de alojamiento | EE.UU. |
| Cloudflare, Inc. | Gestión del dominio y red | EE.UU. |
| Mailgun / Sinch | Envío de correos electrónicos | EE.UU./UE |
| Stripe, Inc. | Procesamiento de pagos | EE.UU. |
El Proveedor impondrá a los subencargados obligaciones de protección de datos equivalentes a las de este DPA. El Entrenador acepta el uso de estos subencargados al aceptar los Términos de Uso. El Proveedor notificará al Entrenador con antelación razonable sobre cualquier cambio en la lista de subencargados, ofreciéndole la posibilidad de oponerse a dichos cambios.
7. Transferencias internacionales
Los subencargados tienen sede en EE.UU. El Proveedor procura garantizar que dichas transferencias se realicen con las garantías adecuadas (Cláusulas Contractuales Tipo de la UE, UK Addendum del ICO, o mecanismos equivalentes para otras jurisdicciones).
8. Notificación de violaciones de datos
En caso de que el Proveedor tenga conocimiento de una violación de datos que afecte a datos del Entrenador, notificará al Entrenador sin demora indebida y, en todo caso, dentro de las 72 horas siguientes a tener conocimiento de ella (o antes si la normativa aplicable exige un plazo inferior).
La notificación incluirá al menos: descripción de la naturaleza de la violación, categorías y número aproximado de interesados afectados, datos de contacto del Proveedor, posibles consecuencias y medidas adoptadas o propuestas.
9. Derechos de los interesados
El Proveedor asistirá técnicamente al Entrenador para responder a solicitudes de derechos (acceso, rectificación, supresión, portabilidad, limitación, oposición) de los interesados, dentro de los plazos establecidos por la normativa aplicable.
10. Evaluaciones de impacto (DPIA)
Si el Entrenador considera que el tratamiento de datos que realiza a través de la Plataforma requiere una Evaluación de Impacto de Protección de Datos (DPIA) conforme al RGPD Art. 35, el Proveedor proporcionará la información que tenga disponible sobre la Plataforma que sea relevante para dicha evaluación.
11. Auditorías
El Entrenador tiene derecho a verificar el cumplimiento de este DPA por parte del Proveedor, ya sea mediante la revisión de la documentación disponible o mediante auditorías razonables acordadas con antelación y realizadas de forma que no interfieran materialmente con las operaciones del Proveedor. Las auditorías se realizarán con un preaviso mínimo de 30 días, salvo urgencia justificada.
12. Eliminación o devolución de datos
A la terminación del contrato de servicio, el Proveedor eliminará o anonimizará de forma segura los Datos Personales de los clientes del Entrenador dentro de los 30 días siguientes a la solicitud del Entrenador o a la baja de su cuenta. El Entrenador puede solicitar previamente una exportación de sus datos a través de los canales disponibles en la Plataforma.
13. Registro de actividades de tratamiento
El Proveedor mantendrá el registro de las actividades de tratamiento realizadas por cuenta del Entrenador conforme al RGPD Art. 30(2), en la medida en que se le exija.
14. Responsabilidad
Las responsabilidades de las Partes respecto a las obligaciones de este DPA se rigen, en cuanto a su extensión y limitaciones, por lo establecido en los Términos de Uso para Entrenadores. Las Partes reconocen que el incumplimiento de las obligaciones de este DPA puede conllevar sanciones administrativas conforme a la normativa aplicable, y que cada Parte es responsable de las consecuencias derivadas de su propio incumplimiento.
15. Ley aplicable
Este DPA se rige por las leyes de Canadá. Para los Entrenadores de la Unión Europea, las disposiciones del RGPD y la normativa de protección de datos de la UE son de aplicación con carácter imperativo.
16. Aceptación
Al recibir credenciales de acceso a la Plataforma y comenzar a usarla, el Entrenador acepta este DPA y sus obligaciones en la misma medida que los Términos de Uso para Entrenadores.
17. Contacto
Para cualquier cuestión relativa a este DPA: [email protected]