← Inicio · Privacidad · Encargo de tratamiento
Seguridad y protección de datos
Resumen para clubes y responsables de protección de datos sobre cómo funciona Aptusport.
Última actualización: junio de 2026.
1. Roles (RGPD)
- El club contratante es el responsable del tratamiento de los datos de sus alumnos, familias y staff (decide qué datos recoge y para qué).
- GESTEDIA SLU (marca Aptusport) actúa como encargado del tratamiento: aloja la plataforma, mantiene la infraestructura y trata datos solo siguiendo instrucciones del club y el contrato de encargo (ver documento).
- En formularios de la web corporativa de Aptusport (demo, contacto), GESTEDIA SLU es responsable de esos datos concretos.
2. ¿Están encriptados los datos?
- En tránsito: sí. Toda la comunicación con la app y la web usa HTTPS/TLS.
- En reposo: la base de datos y almacenamiento están en proveedores cloud con cifrado en disco (estándar del sector).
- En la aplicación: los datos (nombres, cuotas, etc.) se almacenan en formato legible para que el club pueda gestionarlos; no usamos cifrado extremo a extremo que impida el funcionamiento del servicio.
3. Aislamiento entre clubes
Cada club opera en un espacio independiente (tenant). Medidas técnicas:
- Separación lógica por identificador de club en base de datos.
- Políticas de acceso (Row Level Security) que impiden que un club autenticado consulte datos de otro.
- Landings y subdominios (
tuclub.aptusport.es) vinculados a un único tenant.
4. ¿Quién puede ver qué?
| Perfil | Acceso |
|---|---|
| Administración del club (owner/staff autorizado) | Datos de su club: socios, cuotas, asistencia, documentos, conciliación bancaria (si la usan), etc. |
| Alumno / familia (portal) | Solo su ficha, pagos y contenidos propios. |
| Otro club | Sin acceso. |
| Aptusport (GESTEDIA SLU) | Acceso técnico restringido para operación, soporte y mantenimiento de la plataforma. No comercializamos ni explotamos datos personales de los alumnos de los clubs. |
5. Funciones de inteligencia artificial (opcional)
Los planes que incluyen IA envían prompts necesarios a proveedores externos (p. ej. xAI/Grok) para generar sugerencias. El uso está limitado por cuota del plan. No entrenamos modelos propios con datos de clubs sin acuerdo expreso.
6. Copias de seguridad y continuidad
La infraestructura de base de datos incluye copias de seguridad gestionadas por el proveedor de hosting (Supabase). Ante baja del servicio, procederemos a la devolución o supresión de datos según el encargo de tratamiento y la ley.
7. Subencargados (proveedores)
Principales proveedores que intervienen en el servicio:
- Supabase — base de datos, autenticación, almacenamiento de ficheros, funciones serverless.
- Cloudflare — CDN, protección y hosting de la web.
- MXRoute — envío de correo transaccional (bienvenida, avisos).
- Plausible — analítica agregada de la web corporativa (sin cookies de seguimiento, si está activa).
- Stripe — pagos online, cuando el club activa cobros con tarjeta.
- xAI — procesamiento IA, solo si el club usa funciones IA del plan.
- Google Firebase — notificaciones push en app, si están configuradas.
Lista actualizable; el club puede solicitar información actualizada en info@aptusport.es.
8. Incidentes de seguridad
Si detectamos una violación de seguridad que afecte a datos personales, notificaremos al club (responsable) sin dilación indebida para que pueda cumplir sus obligaciones de notificación a la AEPD y a los interesados, cuando proceda.
9. Contacto
GESTEDIA SLU
CIF B67719682
Calle Virgen de Lluc, 17, 28043 Madrid
info@aptusport.es (asunto: Seguridad / RGPD)