Anexo: Acuerdo de Tratamiento de Datos (DPA)
Última actualización: 15 de mayo de 2026
1. Identificación de las partes
El presente Acuerdo de Tratamiento de Datos (en adelante, «DPA») regula el tratamiento de datos personales realizado por:
- El Cliente, como Responsable del Tratamiento
- Maladeta Studio S.L., con CIF B02697837, domicilio en Plaça Naua, 1, Planta 2, Módulo 8, 25538 Casau (Lleida), España, titular del software Lueira (en adelante, «Lueira»), como Encargado del Tratamiento
en el marco del uso del software de gestión Lueira.
2. Objeto
El presente acuerdo tiene por objeto regular el tratamiento de datos personales llevado a cabo por Lueira en nombre del Cliente para la prestación de los servicios contratados a través de su plataforma, de conformidad con el artículo 28 del Reglamento (UE) 2016/679 (RGPD) y el artículo 33 de la Ley Orgánica 3/2018 (LOPDGDD).
Lueira únicamente tratará los datos personales siguiendo las instrucciones documentadas del Cliente, y no los utilizará para fines propios ni distintos a los establecidos en el presente acuerdo.
3. Naturaleza y finalidad del tratamiento
Lueira tratará los datos personales exclusivamente para la prestación de los servicios incluidos en la suscripción contratada, que comprenden:
- Gestión de clientes, alumnos y participantes
- Gestión de reservas, actividades y calendario
- Facturación, pagos y control financiero
- Gestión de alquileres e inventario
- Check-in digital y recogida de formularios firmados electrónicamente
- Comunicaciones con usuarios del servicio
- Gestión de documentos con firma electrónica (eIDAS)
- Gestión automatizada de reservas y consultas mediante el asistente de inteligencia artificial integrado con WhatsApp (en adelante, «Agente IA»), cuando el Cliente habilite esta funcionalidad
Lueira no utilizará los datos tratados en nombre del Cliente para entrenar modelos de inteligencia artificial propios ni para ninguna finalidad de análisis, marketing o desarrollo de producto que vaya más allá de la prestación del servicio contratado.
4. Tipos de datos y categorías de interesados
Tipos de datos que pueden ser objeto de tratamiento:
- Datos identificativos: nombre, apellidos, número de documento de identidad
- Datos de contacto: dirección de correo electrónico, número de teléfono, dirección postal
- Datos de transacciones y facturación: historial de compras, importes, referencias de pago
- Datos bancarios: número de cuenta (IBAN), titular y entidad bancaria, cuando el Cliente los introduzca en la plataforma para la gestión de cobros o pagos
- Datos de uso del servicio: registros de actividad, reservas, asistencia
- Contenido de comunicaciones: mensajes intercambiados a través del Agente IA de WhatsApp, cuando esta funcionalidad esté habilitada por el Cliente
- Firmas electrónicas recogidas mediante los formularios de check-in digital
- Cualquier otro dato que el Cliente introduzca en la plataforma en el ejercicio de su actividad
Categorías de interesados:
- Clientes finales del Cliente (personas que contratan actividades, alquileres o servicios gestionados con Lueira)
- Alumnos y participantes en actividades
- Empleados, monitores y personal del Cliente con acceso a la plataforma
- Cualquier otra persona cuyos datos el Cliente decida gestionar a través de la plataforma
Datos de categorías especiales (artículo 9 RGPD):
El presente acuerdo no prevé, con carácter general, el tratamiento de datos especialmente protegidos (datos de salud, origen étnico, biométricos, etc.). En caso de que el Cliente necesite tratar datos de esta naturaleza a través de la plataforma, deberá notificarlo previamente a Lueira y asegurarse de disponer de la base legal adecuada. Lueira no será responsable del tratamiento de datos de categorías especiales introducidos por el Cliente sin dicha comunicación previa.
4 bis. Datos de personas menores de edad
Las partes reconocen que la plataforma Lueira puede ser utilizada por el Cliente para gestionar datos de alumnos, participantes o clientes finales que sean menores de edad, especialmente en contextos de escuelas deportivas, campamentos o actividades de turismo activo dirigidas a menores.
En estos casos:
- El Cliente, como Responsable del Tratamiento, es el único responsable de obtener el consentimiento informado de los progenitores o tutores legales cuando sea preceptivo conforme a la normativa aplicable. En España, el artículo 7 de la LOPDGDD establece que los menores de 14 años requieren el consentimiento de su representante legal para que sus datos sean tratados.
- El Cliente garantiza que dispone de la base legal adecuada antes de introducir datos de menores en la plataforma, y que los formularios, comunicaciones y documentos dirigidos a menores o a sus representantes legales cumplen con la normativa vigente.
- Lueira, como Encargado del Tratamiento, no utilizará los datos de menores para ninguna finalidad propia más allá de la prestación del servicio contratado, y les aplicará las mismas medidas de seguridad que al resto de datos personales tratados.
- El incumplimiento de las obligaciones establecidas en esta cláusula por parte del Cliente exonera a Lueira de cualquier responsabilidad derivada de dicho incumplimiento.
5. Obligaciones de Lueira como Encargado del Tratamiento
Lueira se compromete a:
a) Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Cliente, tal como se establecen en los presentes Términos y en el presente DPA, salvo que esté obligado a actuar de otro modo en virtud del Derecho de la Unión o de los Estados miembros, en cuyo caso informará al Cliente de dicho requisito legal, salvo que el Derecho aplicable prohíba esta información por razones de interés público.
b) No ceder, comunicar ni permitir el acceso a los datos personales a terceros sin autorización previa del Cliente, excepto a los subencargados recogidos en la sección 7 del presente acuerdo.
c) No utilizar los datos personales del Cliente para fines propios, incluyendo el desarrollo o entrenamiento de modelos de inteligencia artificial.
d) Garantizar que las personas autorizadas para tratar los datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad.
e) Aplicar las medidas de seguridad técnicas y organizativas establecidas en la sección 6 del presente acuerdo.
f) Asistir al Cliente en el cumplimiento de las solicitudes de ejercicio de los derechos de los interesados (acceso, rectificación, supresión, oposición, portabilidad, limitación), respondiendo a las solicitudes que Lueira reciba directamente en el plazo máximo de 5 días hábiles y redirigiendo al interesado al Cliente cuando corresponda.
g) Ayudar al Cliente a garantizar el cumplimiento de las obligaciones de seguridad, notificación de violaciones de datos, evaluación de impacto y consulta previa.
h) Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD.
i) Notificar al Cliente, sin dilación indebida y en cualquier caso en el plazo máximo establecido en la sección 10, cualquier violación de seguridad que afecte a los datos personales tratados en virtud del presente acuerdo.
6. Medidas de seguridad
Lueira implementa las siguientes medidas de seguridad técnicas y organizativas para proteger los datos personales:
- Cifrado de datos en tránsito mediante HTTPS/TLS
- Cifrado de datos sensibles en reposo (en particular, datos bancarios y contraseñas)
- Control de acceso basado en roles, con autenticación segura
- Gestión de usuarios y permisos con principio de mínimo privilegio
- Copias de seguridad periódicas almacenadas dentro del EEE
- Infraestructura cloud alojada íntegramente dentro del Espacio Económico Europeo
- Procedimientos de gestión de incidentes de seguridad
- Formación periódica del personal en materia de protección de datos
Lueira revisará y actualizará estas medidas periódicamente para adaptarlas al estado de la técnica. El Cliente reconoce que ningún sistema es completamente infalible y que Lueira adoptará las medidas razonables y proporcionales al riesgo del tratamiento.
7. Subencargados del Tratamiento
El Cliente, mediante la aceptación de los presentes Términos, autoriza a Lueira a contratar a los siguientes subencargados para la prestación del servicio. Lueira garantiza que dichos subencargados ofrecen garantías suficientes de conformidad con el RGPD y ha suscrito con ellos los correspondientes acuerdos de tratamiento de datos:
| Subencargado | Servicio prestado | Ubicación de datos | Garantía de transferencia |
|---|---|---|---|
| [PENDIENTE — proveedor cloud] | Infraestructura, alojamiento y base de datos | EEE | Dentro del EEE |
| [PENDIENTE — pasarela de pago] | Procesamiento de pagos con tarjeta | [PENDIENTE] | [PENDIENTE] |
| [PENDIENTE — servicio de email transaccional] | Envío de notificaciones y confirmaciones | [PENDIENTE] | [PENDIENTE] |
| Meta Platforms Ireland Ltd (WhatsApp Business API) | Canal del Agente IA conversacional | EE.UU. | Cláusulas Contractuales Tipo (Decisión de la Comisión 2021/914) |
| Zoho Corporation (Zoho EU) | Formularios de contacto y gestión de leads (sitio web lueira.com) | UE | Dentro del EEE |
Lueira notificará al Cliente con al menos 30 días de antelación cualquier cambio previsto en la lista de subencargados (incorporación o sustitución de un subencargado), dando al Cliente la posibilidad de oponerse a dicho cambio. En caso de oposición justificada, las partes negociarán de buena fe una solución alternativa. Si no fuera posible llegar a un acuerdo, el Cliente podrá resolver el contrato sin penalización.
La lista actualizada de subencargados estará siempre disponible en /legal/terms/dpa/ o podrá solicitarse en cualquier momento a rgpd@maladetastudio.com.
8. Transferencias internacionales de datos
Cuando el tratamiento implique la transferencia de datos personales fuera del Espacio Económico Europeo (EEE), Lueira se asegurará de que dichas transferencias cuenten con las garantías adecuadas conforme al Capítulo V del RGPD, incluyendo:
- Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914)
- Decisiones de adecuación de la Comisión Europea vigentes en el momento de la transferencia
Las transferencias internacionales actualmente identificadas se detallan en la tabla de subencargados de la sección 7. El Cliente reconoce y acepta las transferencias descritas en dicha tabla al suscribir el presente acuerdo.
9. Derechos de los interesados
Lueira asistirá al Cliente en la atención de los derechos de los interesados conforme al RGPD:
- Derecho de acceso (art. 15)
- Derecho de rectificación (art. 16)
- Derecho de supresión (art. 17)
- Derecho de oposición (art. 21)
- Derecho de portabilidad (art. 20)
- Derecho de limitación del tratamiento (art. 18)
El Cliente es el responsable último de gestionar las solicitudes de ejercicio de derechos recibidas de los interesados. Cuando Lueira reciba directamente una solicitud de un interesado, la trasladará al Cliente en el plazo de 5 días hábiles para que este dé respuesta en el plazo máximo de 1 mes establecido por el RGPD.
10. Notificación de violaciones de seguridad
Lueira notificará al Cliente cualquier violación de seguridad que afecte a los datos personales tratados en virtud del presente acuerdo, sin dilación indebida y, en todo caso, en el plazo máximo de 72 horas desde que tenga conocimiento de la misma.
La notificación incluirá, en la medida de lo posible:
- Descripción de la naturaleza de la violación
- Categorías y número aproximado de interesados y de registros afectados
- Probable impacto y consecuencias de la violación
- Medidas adoptadas o propuestas para remediar la situación
El Cliente, como Responsable del Tratamiento, es quien debe valorar si la violación debe notificarse a la Agencia Española de Protección de Datos (plazo: 72 horas desde su conocimiento) y/o a los interesados afectados, conforme a los artículos 33 y 34 del RGPD.
11. Duración y finalización
El presente acuerdo estará vigente mientras dure la relación contractual entre el Cliente y Lueira.
A la finalización del servicio, y en el plazo máximo de 30 días desde la fecha de cancelación de la cuenta:
- Lueira procederá a la eliminación segura de los datos activos del Cliente en la plataforma, o a su devolución en formato exportable (CSV o equivalente) si el Cliente lo solicita antes de la cancelación.
- Se entregará al Cliente, si lo solicita, una confirmación escrita de la eliminación realizada.
No obstante lo anterior, Lueira podrá conservar en forma bloqueada determinados datos cuando esté obligada a ello por normativa legal aplicable (obligaciones fiscales, contables o de otro tipo), durante los plazos legalmente establecidos y sin utilizarlos para ninguna otra finalidad. Una vez transcurridos dichos plazos, procederá a su eliminación definitiva.
12. Auditorías e inspecciones
El Cliente podrá verificar el cumplimiento por parte de Lueira de las obligaciones establecidas en el presente acuerdo mediante cualquiera de los siguientes mecanismos:
a) Solicitud de información documentada sobre las medidas de seguridad y procedimientos aplicados, a la que Lueira responderá en el plazo máximo de 15 días hábiles.
b) Auditorías realizadas por el Cliente o por un auditor externo designado por este, previo acuerdo con Lueira sobre el alcance, la fecha y las condiciones de la misma, y siempre que no interfieran de forma desproporcionada en la operativa del servicio. Los costes de la auditoría serán asumidos por el Cliente.
c) Consulta de certificaciones de seguridad o informes de auditoría independiente que Lueira ponga a disposición del Cliente.
Las solicitudes de auditoría deberán formularse con al menos 30 días de antelación a rgpd@maladetastudio.com.
12 bis. Evaluación de Impacto relativa a la Protección de Datos (DPIA)
Cuando el tipo de tratamiento previsto, especialmente por la utilización de nuevas tecnologías o por el tratamiento de datos bancarios, datos de menores, o decisiones automatizadas mediante el Agente IA, pueda suponer un alto riesgo para los derechos y libertades de los interesados, el Cliente, como Responsable del Tratamiento, deberá realizar una Evaluación de Impacto relativa a la Protección de Datos (DPIA) conforme al artículo 35 del RGPD.
Lueira colaborará con el Cliente en la realización de dicha evaluación, proporcionando la información razonablemente necesaria sobre el tratamiento realizado en nombre del Cliente y las medidas de seguridad aplicadas.
12 ter. Registro de actividades de tratamiento
Conforme al artículo 30.2 del RGPD, Lueira, en su condición de Encargado del Tratamiento, mantiene un registro de las categorías de actividades de tratamiento efectuadas en nombre de los Responsables del Tratamiento que utilizan la plataforma. Dicho registro incluye la información prevista en el artículo 30.2 del RGPD y está disponible para la autoridad de control competente (AEPD) cuando esta lo requiera.
13. Responsabilidad
Cada parte será responsable de los daños y perjuicios derivados del incumplimiento de sus respectivas obligaciones en materia de protección de datos establecidas en el presente acuerdo y en la normativa aplicable.
Lueira no será responsable de los incumplimientos derivados de instrucciones incorrectas, incompletas o contrarias a la normativa facilitadas por el Cliente, ni de los tratamientos realizados por el Cliente fuera del marco del servicio contratado.
14. Integración con los Términos
El presente DPA forma parte integrante de los Términos y Condiciones de Lueira.
La aceptación de dichos Términos durante el proceso de registro implica la aceptación del presente Acuerdo de Tratamiento de Datos.
En caso de conflicto entre lo dispuesto en los Términos y Condiciones y lo dispuesto en el presente DPA en materia de protección de datos, prevalecerá lo establecido en este DPA.