Volver a la página de inicio

Acuerdo de encargo de tratamiento

conforme al art. 28 del RGPD

Versión: abril de 2026

Esta traducción tiene fines meramente informativos. Únicamente la versión alemana es jurídicamente vinculante. Ir a la versión alemana

Preámbulo

El presente Acuerdo de encargo de tratamiento (en adelante, «AVV») concreta las obligaciones en materia de protección de datos de las partes contratantes derivadas del contrato de uso de la plataforma RIKE celebrado entre ellas (en adelante, «Contrato principal»). Se aplica a todas las actividades en las que Vegvísir GmbH (en adelante, el «Encargado») trata por encargo datos personales del cliente (en adelante, el «Cliente» o el «Responsable»).

§ 1 Objeto y duración del encargo de tratamiento

(1) El objeto del encargo de tratamiento es la puesta a disposición de la plataforma SaaS en la nube RIKE para la gestión de miembros, eventos, documentos, comunicación y otros procesos propios de asociaciones y clubes, conforme al Contrato principal.

(2) La duración del encargo de tratamiento se corresponde con la vigencia del Contrato principal. Comienza con la puesta a disposición de la Plataforma y finaliza con la terminación del contrato, y a más tardar con la eliminación definitiva de todos los datos del Cliente conforme al § 10 del presente AVV.

§ 2 Naturaleza y finalidad del tratamiento, tipos de datos, interesados

Naturaleza del tratamiento: recogida, almacenamiento, estructuración, adaptación, consulta, comunicación, supresión, limitación y demás operaciones vinculadas a la puesta a disposición de la Plataforma.

Finalidad del tratamiento: posibilitar el uso conforme al contrato de la plataforma RIKE por parte del Cliente para la organización y gestión de su club o asociación.

Tipos de datos personales:

  • Datos maestros (nombre, dirección, fecha de nacimiento)
  • Datos de contacto (correo electrónico, número de teléfono)
  • Datos de acceso y autenticación
  • Asignaciones de perfil y de rol dentro del club
  • Datos de vehículos (información sobre motocicletas, imágenes)
  • Datos de eventos y de participación
  • Documentos y archivos que el Cliente suba a la Plataforma
  • Registros de comunicación y de uso dentro de la Plataforma
  • Información de pagos y facturación (en la medida en que la gestione el Cliente)

Categorías de interesados:

  • Miembros del club o de la asociación del Cliente
  • Invitados y participantes en eventos
  • Administradores y demás usuarios de la Plataforma
  • Personas interesadas y personas de contacto

Las categorías especiales de datos personales conforme al art. 9 del RGPD no son objeto del encargo de tratamiento. El Cliente está obligado a no introducir tales datos en la Plataforma sin acuerdo previo y sin medidas técnicas de protección adicionales.

§ 3 Obligaciones del Encargado

(1) El Encargado trata los datos personales exclusivamente en el marco de los acuerdos adoptados y siguiendo las instrucciones documentadas del Cliente, salvo que esté legalmente obligado a un tratamiento distinto. En tal caso, el Encargado informará al Cliente de dichos requisitos legales antes del tratamiento, a menos que el Derecho aplicable prohíba tal comunicación por razones importantes de interés público.

(2) El Encargado informará sin demora al Cliente si considera que una instrucción infringe las disposiciones en materia de protección de datos. El Encargado estará facultado para suspender la ejecución de la instrucción correspondiente hasta que el Cliente la confirme o la modifique.

(3) El Encargado garantiza que las personas autorizadas para el tratamiento se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal adecuada de secreto.

(4) El Encargado aplicará las medidas técnicas y organizativas descritas en el § 5 conforme al art. 32 del RGPD y las mantendrá durante la vigencia del contrato.

(5) El Encargado asistirá al Cliente, en la medida de sus posibilidades, en la atención de las solicitudes y reclamaciones de los interesados conforme al capítulo III del RGPD, así como en el cumplimiento de las obligaciones establecidas en los arts. 32 a 36 del RGPD.

(6) El Encargado ha designado un delegado de protección de datos externo, en la medida en que ello sea legalmente exigible. Los datos de contacto se comunicarán al Cliente previa solicitud.

§ 4 Obligaciones del Cliente

(1) En el marco del presente contrato, el Cliente es el único responsable del cumplimiento de las disposiciones legales en materia de protección de datos, en particular de la licitud de la transmisión de los datos al Encargado y de la licitud del tratamiento de los datos («Responsable» en el sentido del art. 4, n.º 7 del RGPD).

(2) El Cliente impartirá sus instrucciones, por regla general, por escrito o en forma de texto (p. ej., por correo electrónico a support@rike.club). Las instrucciones verbales deberán confirmarse sin demora por escrito o en forma de texto.

(3) El Cliente designará frente al Encargado a las personas autorizadas para impartir instrucciones. En caso de duda, se considerarán autorizados para impartir instrucciones los usuarios registrados como administradores en el sistema.

(4) El Cliente informará sin demora al Encargado si detecta errores o irregularidades en relación con el tratamiento de datos personales por parte del Encargado.

§ 5 Medidas técnicas y organizativas (TOM)

El Encargado garantiza, conforme al art. 32 del RGPD, la seguridad del tratamiento mediante medidas técnicas y organizativas adecuadas. Estas incluyen, en particular:

1. Confidencialidad

  • Control de acceso físico: hosting en centros de datos certificados (ISO 27001) de los subcontratistas Vercel y Supabase en la UE
  • Control de acceso a los sistemas: autenticación de varios niveles, requisitos estrictos de contraseñas, expiración automática de sesiones, almacenamiento de contraseñas con hash (bcrypt)
  • Control de acceso a los datos: control de acceso basado en roles (RBAC), Row-Level Security (RLS) en la base de datos, separación multi-tenant por tenant
  • Control de separación: separación lógica de clientes mediante IDs de tenant y políticas RLS; los entornos de producción, pruebas y desarrollo están separados
  • Seudonimización y cifrado de datos personales, cuando resulte adecuado

2. Integridad

  • Control de transmisión: cifrado de transporte (TLS 1.2+) en todas las transferencias de datos; cifrado de datos en reposo (AES-256) en la base de datos y en el almacenamiento de archivos
  • Control de entrada: registros de auditoría para cambios relevantes para la seguridad (asignación de permisos, eliminaciones, acciones de administrador)

3. Disponibilidad y resiliencia

  • Copias de seguridad diarias automatizadas de la base de datos con recuperación point-in-time
  • Almacenamiento de datos georredundante dentro de la UE
  • Monitorización y alertas a nivel de infraestructura y de aplicación
  • Protección DDoS y Web Application Firewall (WAF) a cargo del proveedor de hosting

4. Procedimientos de verificación, valoración y evaluación periódicas

  • Actualizaciones de seguridad periódicas de los sistemas operativos y de las dependencias
  • Revisiones de código y comprobaciones de seguridad automatizadas en el proceso de desarrollo
  • Evaluación de impacto relativa a la protección de datos en caso de cambios sustanciales
  • Proceso de respuesta a incidentes para violaciones de la protección de datos

La versión actual de las TOM se pondrá a disposición del Cliente, previa solicitud, en forma detallada. El Encargado está facultado para adaptar las TOM en el marco de la evolución técnica, siempre que no se reduzca el nivel de protección acordado en el AVV.

§ 6 Subencargados del tratamiento

(1) El Cliente consiente el empleo de los siguientes subencargados del tratamiento:

NombreSedeServicio
Vercel Inc.EE. UU. (centros de datos de la UE en Fráncfort)Alojamiento web, entrega edge
Supabase Inc.Singapur (centros de datos de la UE en Fráncfort)Base de datos, autenticación, almacenamiento de archivos
Stripe Payments Europe, Ltd.IrlandaProcesamiento de pagos
Resend, Inc.EE. UU.Correos electrónicos transaccionales
Anthropic PBCEE. UU.Asistente de IA (solo en el plan Platin)

(2) El Encargado ha celebrado con todos los subencargados mencionados contratos conforme al art. 28 del RGPD que garantizan un nivel de protección comparable al del presente AVV. Para las transferencias a terceros países existen cláusulas contractuales tipo de la Comisión Europea conforme al art. 46 del RGPD, junto con garantías adicionales.

(3) El Encargado informará al Cliente con la debida antelación, en forma de texto, antes de la incorporación o sustitución de un subencargado (p. ej., por correo electrónico a la dirección de administrador registrada o mediante un aviso en la Plataforma). El Cliente podrá oponerse a la modificación, en forma de texto y por un motivo importante en materia de protección de datos, dentro de los 14 días siguientes a la recepción de la comunicación.

(4) Si el Cliente se opone de forma justificada, el Encargado estará facultado para resolver el contrato con un plazo de preaviso de 30 días, en caso de que no pueda alcanzarse una solución de mutuo acuerdo.

(5) No se considerarán subencargos en el sentido de esta disposición los servicios que el Encargado contrate con terceros como meras prestaciones accesorias (p. ej., servicios de telecomunicaciones, servicios postales y de transporte, limpieza, personal de mantenimiento).

§ 7 Derechos de los interesados

(1) El Encargado asistirá al Cliente, en la medida de lo posible, mediante medidas técnicas y organizativas adecuadas, en el cumplimiento de los derechos de los interesados conforme a los arts. 12 a 22 del RGPD (acceso, rectificación, supresión, limitación, portabilidad de los datos, oposición).

(2) Si un interesado se dirige directamente al Encargado para ejercer sus derechos, el Encargado remitirá dicha solicitud sin demora al Cliente.

(3) El Cliente dispone de forma autónoma de las funciones de acceso, rectificación y supresión en la administración de la Plataforma y las utiliza por sí mismo para la tramitación de los derechos de los interesados.

§ 8 Obligaciones de información en caso de violaciones de la seguridad de los datos

(1) El Encargado informará al Cliente sin demora, y a más tardar dentro de las 48 horas siguientes a tener conocimiento de ello, sobre las violaciones de la seguridad de los datos personales del Cliente (art. 33 del RGPD).

(2) La notificación contendrá, como mínimo:

  • Una descripción de la naturaleza de la violación
  • La categoría y el número aproximado de interesados y de registros de datos afectados
  • El nombre y los datos de contacto de una persona de contacto para obtener más información
  • Una descripción de las consecuencias probables
  • Una descripción de las medidas adoptadas o propuestas para subsanar la violación y mitigar sus posibles efectos negativos

(3) El Encargado asistirá al Cliente en el cumplimiento de sus obligaciones de notificación ante la autoridad de control (art. 33 del RGPD) y de comunicación a los interesados (art. 34 del RGPD).

§ 9 Derechos de control y auditoría

(1) El Cliente tiene derecho a cerciorarse del cumplimiento por parte del Encargado de las obligaciones derivadas del presente AVV. A tal efecto, el Encargado pondrá a disposición del Cliente, previa solicitud, la información necesaria, en particular:

  • La documentación completa de las TOM conforme al § 5
  • Certificados o informes de verificación de los subcontratistas (en la medida en que estén disponibles)
  • La lista actualizada de subencargados conforme al § 6

(2) Si, a juicio del Cliente, la presentación de la documentación mencionada no resulta suficiente, el Cliente podrá encargar, una vez al año o cuando exista un motivo concreto, una inspección in situ a un tercero experto designado por él. Dicho tercero no podrá ser competidor del Encargado y deberá obligarse a guardar confidencialidad.

(3) Las inspecciones deberán anunciarse en forma de texto con una antelación mínima de 30 días y se llevarán a cabo en horario comercial habitual, sin perturbar de manera desproporcionada la actividad operativa.

(4) Los costes de la inspección correrán a cargo del Cliente. El Encargado estará facultado para facturar una remuneración razonable por el esfuerzo que le suponga.

§ 10 Supresión y devolución de los datos

(1) Una vez concluido el encargo de tratamiento – a más tardar con la terminación del Contrato principal – el Encargado pondrá a disposición del Cliente, durante 30 días y a través de la Plataforma, una exportación de sus datos en un formato habitual y legible por máquina (p. ej., JSON/CSV).

(2) Transcurrido el plazo de exportación, el Encargado eliminará de forma conforme a la protección de datos e irrevocable todos los datos personales tratados en el marco del Contrato principal, incluidas las eventuales copias en poder de los subencargados, salvo que obligaciones legales de conservación se opongan a la supresión.

(3) Los datos de las copias de seguridad se eliminarán en el marco de la rotación habitual de backups, a más tardar dentro de los 90 días siguientes a la terminación del contrato.

(4) La supresión se confirmará al Cliente, previa solicitud, por escrito o en forma de texto.

§ 11 Responsabilidad

Para la responsabilidad de las partes se aplican por analogía las disposiciones del Contrato principal, salvo que en el presente AVV se establezca otra cosa. El art. 82 del RGPD permanece inalterado.

§ 12 Disposiciones finales

(1) El presente AVV complementa el Contrato principal. Si alguna de las disposiciones del presente AVV fuera o llegara a ser ineficaz, ello no afectará a la validez de las restantes disposiciones. En lugar de la disposición ineficaz se considerará acordada aquella disposición eficaz que más se aproxime al sentido y la finalidad de la disposición ineficaz.

(2) En caso de contradicción entre el presente AVV y el Contrato principal, prevalecerán las disposiciones del presente AVV en la medida en que afecten a cuestiones de protección de datos.

(3) Se aplica el Derecho de la República Federal de Alemania. El fuero exclusivo es Hamburgo.

Celebración del contrato y aceptación

El presente AVV pasa a formar parte del contrato de forma automática con la celebración del Contrato principal (contratación de un plan de pago a través de la plataforma rike.club). No se requiere una firma por separado; el Cliente acepta el presente AVV de forma concluyente mediante la celebración del Contrato principal.

Previa solicitud, el Encargado pondrá a disposición una versión firmada por separado del presente AVV. Las solicitudes al respecto pueden dirigirse a support@rike.club.

Encargado del tratamiento

Vegvísir GmbH
Ballindamm 27
20095 Hamburg
Alemania
Administrador: Mark C. Reinold
HRB 178193, Amtsgericht Hamburg
NIF-IVA: DE357182449