Acuerdo de Tratamiento de Datos (DPA) — AT-Load
> BORRADOR — requiere revisión por un abogado antes de su uso; no constituye asesoría legal. Este documento es una versión preliminar y contiene campos pendientes de completar (indicados en MAYÚSCULAS entre corchetes). Por tratarse de datos de salud y, eventualmente, de menores de edad, su revisión legal especializada es especialmente necesaria.
Acuerdo de Tratamiento de Datos Personales (DPA)
Última actualización: [FECHA]
Este Acuerdo de Tratamiento de Datos (el "DPA") forma parte de los Términos y Condiciones y regula el tratamiento de datos personales que [RAZÓN SOCIAL] (RUT [RUT], domicilio en [DOMICILIO], [CIUDAD], Chile; "AT-Load") realiza por cuenta del club u organización deportiva contratante (el "Cliente") al usar la plataforma AT-Load.
Se rige por la Ley N° 19.628 y la Ley N° 21.719 de la República de Chile.
1. Roles de las partes
1.1. El Cliente es el Responsable del tratamiento de los datos personales de sus atletas, cuerpo técnico y demás titulares que carga o gestiona en la plataforma.
1.2. AT-Load es el Encargado del tratamiento y actúa únicamente conforme a las instrucciones documentadas del Cliente, salvo obligación legal en contrario.
1.3. El Cliente declara contar con la base de licitud para cada tratamiento, en particular el consentimiento explícito para datos de salud y el consentimiento del padre, madre o tutor legal cuando se traten datos de menores de edad.
2. Objeto, duración y naturaleza del tratamiento
2.1. Objeto: el tratamiento necesario para prestar la plataforma AT-Load (gestión de rendimiento y salud de atletas).
2.2. Duración: mientras esté vigente el contrato de servicio, más los plazos de supresión/devolución de la cláusula 9.
2.3. Naturaleza y finalidad: recolección, registro, organización, almacenamiento, consulta, cálculo (p. ej. ACWR), exportación y supresión de datos, con la exclusiva finalidad de prestar el Servicio al Cliente.
2.4. Las categorías de datos y de titulares se detallan en el Anexo A.
3. Instrucciones de tratamiento
3.1. AT-Load tratará los datos solo según las instrucciones del Cliente, materializadas en (i) este DPA, (ii) los Términos, y (iii) la configuración y el uso que el Cliente hace de la plataforma.
3.2. AT-Load informará al Cliente si, en su opinión, una instrucción infringe la normativa aplicable.
3.3. AT-Load no usará los datos del Cliente para fines propios distintos de la prestación del Servicio, salvo su uso en forma agregada y anonimizada para mejorar la plataforma.
4. Confidencialidad
4.1. AT-Load mantendrá la confidencialidad de los datos y garantizará que su personal y colaboradores con acceso estén sujetos a deberes de confidencialidad y accedan solo en la medida necesaria (need to know).
5. Medidas de seguridad
AT-Load implementa medidas técnicas y organizativas apropiadas al riesgo, incluyendo:
- Aislamiento por club (multi-tenant) mediante Row Level Security (RLS) por `organization_id`.
- Control de acceso basado en roles, reforzado a nivel de base de datos.
- Cifrado en tránsito (TLS) y en reposo, según la infraestructura.
- Buckets privados para adjuntos clínicos (imágenes y PDF).
- Registros de auditoría y control de accesos.
- Gestión segura de credenciales (hashing, sin contraseñas en texto plano).
El detalle se recoge en el Anexo B. Las medidas podrán evolucionar sin disminuir el nivel de protección.
6. Subencargados
6.1. El Cliente autoriza a AT-Load a recurrir a los subencargados listados en el Anexo C (actualmente Supabase y Netlify).
6.2. AT-Load impondrá a cada subencargado, por contrato, obligaciones de protección de datos equivalentes a las de este DPA.
6.3. AT-Load informará al Cliente de la incorporación o sustitución de subencargados con antelación razonable. El Cliente podrá objetar por motivos razonables y fundados de protección de datos; de no alcanzarse una solución, el Cliente podrá resolver la parte del Servicio afectada.
6.4. AT-Load responde ante el Cliente por el cumplimiento de los subencargados en la misma medida que por el suyo propio.
7. Transferencias internacionales
Los subencargados alojan datos fuera de Chile (p. ej. Supabase sobre AWS y Netlify). AT-Load adoptará las garantías exigidas por la Ley N° 21.719 para las transferencias internacionales (cláusulas contractuales u otros mecanismos idóneos) y mantendrá dichas garantías vigentes mientras dure el tratamiento.
8. Asistencia al Responsable
8.1. Derechos de los titulares. AT-Load asistirá al Cliente, con medidas técnicas y organizativas razonables, para atender solicitudes de acceso, rectificación, cancelación/supresión, oposición y portabilidad (ARCO+). Si un titular se dirige directamente a AT-Load, este lo derivará al Cliente sin resolver por sí mismo, salvo instrucción del Cliente.
8.2. Evaluaciones y consultas. AT-Load asistirá al Cliente, en lo que le sea aplicable, en evaluaciones de impacto y en consultas ante la Agencia de Protección de Datos Personales, considerando la naturaleza del tratamiento y la información disponible.
9. Notificación de brechas de seguridad
9.1. AT-Load notificará al Cliente sin dilación indebida tras tomar conocimiento de una vulneración de seguridad que afecte datos personales tratados por cuenta del Cliente.
9.2. La notificación incluirá, en la medida de lo disponible: naturaleza de la brecha, categorías y volumen aproximado de datos y titulares afectados, consecuencias probables y medidas adoptadas o propuestas.
9.3. AT-Load prestará asistencia razonable al Cliente para que este cumpla sus deberes de notificación a la Agencia y/o a los titulares afectados, según lo exija la Ley N° 21.719. La notificación a las autoridades y titulares corresponde, como regla, al Cliente en su calidad de Responsable.
10. Supresión o devolución al término del tratamiento
10.1. Al terminar el Servicio, y a elección del Cliente, AT-Load devolverá los datos del Cliente (en formato exportable) y/o los suprimirá, incluyendo copias, salvo que la conservación sea exigida por ley.
10.2. AT-Load pondrá los datos a disposición para exportación durante un plazo razonable antes de la supresión definitiva.
11. Auditorías
11.1. AT-Load pondrá a disposición del Cliente la información razonablemente necesaria para demostrar el cumplimiento de este DPA.
11.2. El Cliente podrá auditar el cumplimiento, mediante requerimientos de información o, cuando esté justificado, inspecciones acotadas, con aviso previo razonable, en horario laboral, sin afectar la seguridad de otros clientes y sujeto a confidencialidad. Las partes podrán acordar el uso de informes o certificaciones de terceros como medio de verificación.
12. Disposiciones finales
Este DPA se rige por las leyes de Chile. En caso de conflicto entre el DPA y los Términos respecto del tratamiento de datos personales, prevalece este DPA. La invalidez de una cláusula no afecta a las demás.
---
Anexo A — Categorías de datos y de titulares
Categorías de titulares:
- Atletas (incluidos menores de edad / juveniles).
- Cuerpo técnico y de salud del club (entrenadores, preparadores físicos, sport scientists, médicos, kinesiólogos, nutricionistas, analistas).
- Administradores y usuarios del Cliente.
Categorías de datos personales:
- Identificación y contacto (nombre, correo, rol, club).
- Credenciales de acceso (cifradas).
- Datos deportivos y de rendimiento (GPS, workload, ACWR, RPE, pruebas físicas).
- Datos de salud (sensibles): wellness, ficha e historial clínico, lesiones, tratamientos y evaluaciones médicas, kinésicas y nutricionales.
- Documentos adjuntos clínicos (imágenes y PDF).
- Datos técnicos y de auditoría (IP, logs, accesos).
Anexo B — Medidas técnicas y organizativas
- Aislamiento multi-tenant por `organization_id` con RLS.
- Control de acceso por roles, con permisos mínimos por función.
- Cifrado en tránsito (TLS) y en reposo.
- Buckets de almacenamiento privados para adjuntos clínicos.
- Auditoría y registro de accesos.
- Gestión de credenciales con hashing.
- Respaldos gestionados por la infraestructura y procedimientos de recuperación.
- Segregación de entornos y control de cambios.
Anexo C — Lista de subencargados
| Subencargado | Servicio prestado | Ubicación / infraestructura | |---|---|---| | Supabase | Base de datos (Postgres), autenticación, almacenamiento de archivos | Alojado en AWS (verificar región) | | Netlify | Hosting y CDN del sitio | Infraestructura fuera de Chile | | [PROVEEDOR DE PAGOS, si aplica] | Procesamiento de pagos / facturación | Por definir |
---
AT-Load (Encargado): [RAZÓN SOCIAL] — RUT [RUT] — [DOMICILIO], [CIUDAD] — [EMAIL DE PRIVACIDAD/DPO]
Cliente (Responsable): _______________________________ (a completar al firmar)