Acuerdo de Procesamiento de Datos
Cómo Centro procesa datos en nombre de tu club
Última actualización: 14 de marzo de 2026
Este Acuerdo de Procesamiento de Datos ("DPA") forma parte de los Términos de Servicio (withcentro.com/terms) entre Centro ("Procesador," "nosotros" o "nuestro") y el club, organización o individuo que ha creado una cuenta en la plataforma Centro ("Controlador," "tú" o "tu"). Este DPA rige el procesamiento de datos personales que envías a la plataforma Centro en nombre de tus miembros.
Al usar la plataforma Centro, aceptas este DPA. Si no estás de acuerdo, no puedes usar la plataforma para procesar datos personales.
1. Definiciones
"Datos Personales" significa cualquier información relativa a una persona identificada o identificable, incluyendo, entre otros, nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, direcciones físicas, información de pagos, información médica y datos de contacto de emergencia.
"Datos de Miembros" significa Datos Personales sobre los miembros de tu club, incluyendo propietarios del club, administradores, entrenadores, padres, jugadores y cualquier otro individuo cuyos datos ingreses en la plataforma Centro.
"Procesamiento" significa cualquier operación realizada sobre Datos Personales, incluyendo recopilación, almacenamiento, uso, recuperación, transmisión, modificación y eliminación.
"Controlador de Datos" (o "Controlador") significa la entidad que determina los fines y medios del Procesamiento de Datos Personales. Bajo este DPA, el Controlador eres tú — el club u organización que usa Centro.
"Procesador de Datos" (o "Procesador") significa la entidad que procesa Datos Personales en nombre del Controlador. Bajo este DPA, el Procesador es Centro.
"Subprocesador" significa un proveedor de servicios de terceros contratado por Centro para asistir en el Procesamiento de Datos Personales.
"Sujeto de Datos" significa el individuo al que se refieren los Datos Personales — los miembros de tu club, padres, jugadores, entrenadores y otro personal.
"Ley de Protección de Datos Aplicable" significa todas las leyes y regulaciones relativas al procesamiento de Datos Personales que aplican a las partes, incluyendo, entre otras, la Ley de Protección de la Privacidad en Línea de los Niños (COPPA), la Ley de Privacidad del Consumidor de California (CCPA), el Reglamento General de Protección de Datos (GDPR) cuando sea aplicable, y las leyes de privacidad del estado de Florida.
2. Roles y Responsabilidades
2.1 Tú como Controlador de Datos
Tú determinas qué Datos Personales se recopilan, por qué se recopilan y cómo se usan dentro de las operaciones de tu club en la plataforma Centro. Eres responsable de:
- Asegurar que tienes una base legal para recopilar y procesar Datos de Miembros
- Obtener todos los consentimientos necesarios de los Sujetos de Datos, incluyendo el consentimiento parental para jugadores menores de 13 años según lo requiere COPPA
- Informar a tus miembros sobre cómo se usarán sus datos, incluyendo que serán procesados por Centro
- Asegurar la precisión de los datos que ingresas en la plataforma
- Cumplir con todas las Leyes de Protección de Datos Aplicables en tu jurisdicción
- Responder a las solicitudes de acceso, corrección y eliminación de datos de tus miembros
- Determinar tus propias políticas de retención de datos dentro de la plataforma
2.2 Centro como Procesador de Datos
Centro procesa los Datos de Miembros únicamente en tu nombre y según tus instrucciones (como se expresan a través de tu uso de las funciones de la plataforma). Somos responsables de:
- Procesar los Datos de Miembros solo para los fines de proporcionar la plataforma Centro y servicios relacionados
- Implementar medidas de seguridad técnicas y organizativas apropiadas para proteger los Datos de Miembros
- No vender, alquilar ni compartir los Datos de Miembros con terceros para sus propios fines
- Asistirte en responder a las solicitudes de los Sujetos de Datos cuando sea técnicamente factible
- Notificarte de cualquier vulneración de datos que afecte tus Datos de Miembros
- Devolver o eliminar los Datos de Miembros al terminar tu cuenta, de acuerdo con la Sección 9 de este DPA
- Asegurar que nuestros Subprocesadores estén sujetos a obligaciones de protección de datos equivalentes
3. Datos que Procesamos
Las siguientes categorías de Datos Personales pueden ser procesadas a través de la plataforma Centro, dependiendo de las funciones que uses:
Datos de Cuenta e Identidad: Nombres, direcciones de correo electrónico, números de teléfono, información de perfil del personal del club, entrenadores, padres y jugadores.
Datos de Jugadores: Nombres, fechas de nacimiento, números de camiseta, posiciones, asignaciones de equipo, evaluaciones de habilidades, registros de asistencia y datos de seguimiento de desarrollo.
Datos Médicos y de Emergencia: Condiciones médicas, alergias, medicamentos, nombres y números de teléfono de contactos de emergencia, según lo proporcionado por padres o tutores durante el registro.
Datos Financieros: Montos de facturas, historial de pagos, tipos de métodos de pago (nota: los números completos de tarjetas de crédito son procesados por Stripe y nunca se almacenan en los servidores de Centro) y direcciones de facturación.
Datos de Comunicación: Mensajes enviados entre miembros del club a través del sistema de mensajería de Centro.
Datos de Documentos: Archivos subidos a la plataforma incluyendo exenciones, documentos firmados, formularios médicos y otros documentos del club.
Datos de Registro: Información enviada a través de formularios públicos de registro y pruebas.
4. Subprocesadores
Centro utiliza los siguientes Subprocesadores de terceros para proporcionar la plataforma. Cada Subprocesador procesa datos solo según sea necesario para su función específica:
| Subprocesador | Función | Datos Procesados | Ubicación |
|---|---|---|---|
| Stripe | Procesamiento de pagos | Detalles de pago, información de facturación, registros de transacciones | Estados Unidos |
| Clerk | Autenticación e identidad | Nombre, correo electrónico, credenciales de autenticación | Estados Unidos |
| Neon | Alojamiento de base de datos | Todos los datos de la plataforma (cifrados en reposo) | Estados Unidos |
| Vercel | Alojamiento de aplicación y CDN | Datos de solicitud, direcciones IP, datos de aplicación | Estados Unidos (CDN global) |
| Vercel Blob | Almacenamiento de archivos | Documentos e imágenes subidos | Estados Unidos |
| Resend | Entrega de correo electrónico | Direcciones de correo electrónico, contenido de correos | Estados Unidos |
| Pusher | Mensajería en tiempo real | Mensajes de chat (solo en tránsito, no almacenados) | Estados Unidos |
| Upstash | Limitación de velocidad | Direcciones IP, conteo de solicitudes (efímero) | Estados Unidos |
Te notificaremos antes de agregar o reemplazar cualquier Subprocesador que procese Datos de Miembros. Proporcionamos al menos 30 días de aviso antes de que cualquier cambio de Subprocesador entre en vigor. Si te opones a un nuevo Subprocesador, puedes terminar tu cuenta.
Aseguramos que todos los Subprocesadores estén contractualmente obligados a proteger los Datos Personales al menos al mismo nivel que este DPA.
5. Medidas de Seguridad
Centro implementa las siguientes medidas técnicas y organizativas para proteger los Datos de Miembros:
Cifrado: Todos los datos están cifrados en tránsito usando TLS 1.2+ (HTTPS) y cifrados en reposo en nuestra base de datos.
Autenticación: Autenticación multifactor disponible a través de Clerk. Todas las sesiones de usuario se gestionan de forma segura con tokens de corta duración.
Controles de Acceso: El control de acceso basado en roles (RBAC) limita el acceso a los datos dentro de cada club. Los entrenadores solo ven los datos de sus equipos. Los padres solo ven los datos de sus hijos. La arquitectura multi-inquilino asegura el aislamiento completo de datos entre clubes.
Seguridad de Pagos: El procesamiento de pagos es manejado por Stripe, que está certificado PCI-DSS Nivel 1. Centro nunca almacena, procesa ni transmite números completos de tarjetas de crédito.
Infraestructura: La plataforma está alojada en la infraestructura de Vercel con actualizaciones de seguridad automáticas, protección DDoS y redundancia geográfica.
Monitoreo: Registro del lado del servidor y seguimiento de errores para eventos de seguridad. Limitación de velocidad en todos los endpoints públicos y rutas de API.
Registro de Auditoría: Todas las acciones significativas (creación, modificación, eliminación, acceso, exportaciones de datos) se registran con marcas de tiempo e identificación de usuario.
6. Notificación de Vulneración de Datos
En caso de una vulneración de seguridad que resulte en acceso no autorizado, pérdida o divulgación de Datos de Miembros:
Te notificaremos sin demora indebida y, en cualquier caso, dentro de las 72 horas posteriores al conocimiento de la vulneración.
Nuestra notificación incluirá: la naturaleza de la vulneración, las categorías y el número aproximado de Sujetos de Datos afectados, las consecuencias probables y las medidas que estamos tomando para abordar la vulneración y mitigar sus efectos.
Cooperaremos contigo para notificar a los Sujetos de Datos afectados y a las autoridades relevantes según lo requiera la Ley de Protección de Datos Aplicable.
Eres responsable de determinar si notificar y cómo notificar a tus propios miembros, de acuerdo con tus obligaciones legales.
7. Derechos de los Sujetos de Datos
Si un miembro de tu club (un Sujeto de Datos) contacta a Centro directamente con una solicitud para acceder, corregir, eliminar o portar sus datos, nosotros:
- Dirigiremos al Sujeto de Datos para que contacte a tu club, como Controlador de Datos, para manejar la solicitud.
- Te notificaremos de la solicitud dentro de 5 días hábiles.
- Te asistiremos en cumplir la solicitud a través de las funciones existentes de la plataforma (como exportación de datos, eliminación de miembros y edición de perfil) o mediante asistencia técnica razonable.
Eres responsable de responder a las solicitudes de los Sujetos de Datos dentro de los plazos requeridos por la Ley de Protección de Datos Aplicable.
8. Datos de Menores y Cumplimiento de COPPA
Centro está diseñado para organizaciones deportivas juveniles y procesa datos sobre menores (jugadores menores de 18 años, incluyendo niños menores de 13 años).
Responsabilidad del Controlador
Tú, como club, eres el operador bajo COPPA con respecto a la recopilación de Datos Personales de niños. Eres responsable de obtener el consentimiento parental verificable antes de ingresar la información de un niño en la plataforma Centro. Los formularios de registro público de Centro incluyen mecanismos de consentimiento parental, pero tú eres responsable de asegurar que se usen correctamente.
Compromisos de Centro
No recopilamos Datos Personales directamente de niños. Todos los datos de jugadores son ingresados por padres, entrenadores o administradores del club. No usamos los datos de los niños para fines de marketing o publicidad. No divulgamos los datos de los niños a terceros excepto como se describe en este DPA (Subprocesadores). Apoyamos la revisión, corrección y eliminación de datos de niños por parte de los padres a través de las funciones de la plataforma.
Si nos enteramos de que los datos de un niño han sido ingresados en la plataforma sin el consentimiento parental adecuado, trabajaremos contigo para obtener el consentimiento o eliminar los datos.
9. Retención y Eliminación de Datos
Mientras tu cuenta esté activa: Los Datos de Miembros se retienen mientras los mantengas en la plataforma. Puedes eliminar registros individuales de miembros, mensajes, documentos y otros datos en cualquier momento a través de las funciones administrativas de la plataforma.
Al terminar la cuenta: Pondremos tus datos disponibles para exportación durante 90 días después del cierre de la cuenta. Después de 90 días, todos los Datos de Miembros asociados con tu club serán eliminados permanente e irreversiblemente de nuestros sistemas, incluyendo copias de seguridad (dentro de 30 días adicionales para la rotación de copias de seguridad).
Registros financieros: Los registros de pago y datos de transacciones pueden retenerse hasta 7 años según lo requieran las regulaciones fiscales y financieras, incluso después de la eliminación de la cuenta.
Datos agregados: Podemos retener datos anónimos y agregados que no pueden identificar Sujetos de Datos individuales con el fin de mejorar la plataforma. Estos datos no son Datos Personales.
10. Transferencias Internacionales de Datos
Centro opera desde los Estados Unidos. Todos los Subprocesadores listados en la Sección 4 están basados en o procesan datos principalmente en los Estados Unidos. Si tú o tus miembros se encuentran fuera de los Estados Unidos, los Datos Personales serán transferidos a los Estados Unidos para su procesamiento.
Para transferencias sujetas al GDPR, nos basamos en Cláusulas Contractuales Estándar u otros mecanismos de transferencia legales según corresponda.
11. Auditorías y Cumplimiento
Bajo solicitud razonable y sujeto a obligaciones de confidencialidad, te proporcionaremos la información necesaria para demostrar nuestro cumplimiento con este DPA. Esto puede incluir:
- Resúmenes de nuestras medidas y prácticas de seguridad
- Copias de certificaciones de seguridad de terceros relevantes o informes de auditoría (cuando estén disponibles de nuestros Subprocesadores)
- Respuestas a cuestionarios escritos razonables sobre nuestras prácticas de protección de datos
No estamos obligados a proporcionar acceso a nuestro código fuente, sistemas propietarios o datos de otros clubes.
12. Limitación de Responsabilidad
La responsabilidad total de Centro bajo este DPA está sujeta a las disposiciones de limitación de responsabilidad en nuestros Términos de Servicio. No somos responsables por fallas de protección de datos causadas por:
- Tu incumplimiento en obtener los consentimientos necesarios de los Sujetos de Datos
- Tu ingreso de datos inexactos o no autorizados en la plataforma
- Tu incumplimiento de las Leyes de Protección de Datos Aplicables
- Acciones de los usuarios autorizados de tu club (propietarios, administradores, entrenadores) dentro de la plataforma
- Servicios de terceros que integres por separado de Centro
13. Vigencia y Terminación
Este DPA permanece en vigencia mientras tengas una cuenta activa de Centro. Se termina automáticamente cuando tu cuenta es cerrada, sujeto a las obligaciones de retención de datos en la Sección 9.
Secciones que sobreviven a la terminación: Secciones 6 (Notificación de Vulneración de Datos), 9 (Retención y Eliminación de Datos), 11 (Auditorías) y 12 (Limitación de Responsabilidad).
14. Cambios a Este DPA
Podemos actualizar este DPA de vez en cuando. Los cambios importantes se comunicarán por correo electrónico con al menos 30 días de anticipación antes de que entren en vigor. Tu uso continuado de la plataforma después de la fecha de vigencia constituye la aceptación del DPA actualizado. Si no estás de acuerdo, puedes cerrar tu cuenta.
15. Contáctanos
Para preguntas sobre este DPA o nuestras prácticas de procesamiento de datos:
Centro
Email: support@withcentro.com
Miami, Florida, Estados Unidos
Para consultas de protección de datos específicamente, también puedes contactar: privacy@withcentro.com