Privacidad y seguridad diseñadas para clubes deportivos
SAITO protege datos de jugadores, familias, entrenadores y equipos con control de acceso, trazabilidad e IA privada por diseño.
Por qué importa
Un club gestiona mucho más que partidos
Un club deportivo gestiona menores, pagos recurrentes, comunicaciones a familias, lesiones, citas médicas, restricciones deportivas y datos de contacto sensibles. Todo eso convive en la misma plataforma y exige decisiones explícitas sobre quién puede ver qué.
SAITO se diseña asumiendo este contexto: protección por defecto, separación clara entre roles y trazabilidad de las acciones que importan.
Principios de seguridad
Controles preparados desde el primer día
Datos aislados por club
Cada club opera en su propio espacio lógico. Las consultas se aíslan a nivel de organización para que los datos nunca se mezclen entre entidades.
Permisos por rol
Admin, manager, técnico, médico y familias. Cada rol ve solo lo que necesita para hacer su trabajo.
Cifrado en tránsito y en reposo
TLS para todo el tráfico y cifrado en reposo en la base de datos y el almacenamiento de archivos.
Registro de accesos sensibles
Las acciones sobre datos médicos, menores y pagos quedan registradas para auditoría interna del club.
Control específico para menores
Marcado de menores, gestión de tutores y restricciones por edad para comunicaciones y consentimientos.
Módulo de salud con acceso restringido
El historial médico, las lesiones y las citas solo son visibles para el rol médico y para quien el club autorice expresamente.
IA privada por diseño
Una IA con permisos, límites y supervisión
No entrenamos modelos generales con tus datos
Los datos del club no se usan para entrenar modelos compartidos con otros clientes ni con terceros.
La IA solo ve lo que tú puedes ver
Las respuestas se generan con el contexto al que el usuario ya tiene permiso. Sin atajos por encima de los permisos.
Supervisión humana en lo sensible
Las respuestas que afectan a salud, menores o decisiones económicas se presentan como propuesta para revisión humana.
La IA no diagnostica ni sustituye a profesionales
No emite diagnósticos médicos, no autoriza altas deportivas y no sustituye el juicio clínico ni técnico.
Configurable por módulo
La IA puede limitarse, restringirse a determinados roles o desactivarse módulo a módulo desde la configuración del club.
Cumplimiento y normativa
Diseñado para alinearse con el marco europeo y español
RGPD y LOPDGDD
Diseñado para alinearse con el Reglamento (UE) 2016/679 y la legislación española de protección de datos.
Datos de salud como categoría especial
Los datos médicos se tratan como categoría especial del art. 9 RGPD, con accesos restringidos y bases legales específicas.
Menores y tutores
Identificación de menores, gestión de tutores legales y consentimientos cuando la base legal lo requiere.
Evaluación de impacto (EIPD)
Plantillas y soporte para la EIPD de los módulos sensibles (salud, menores, comunicación masiva).
Contratos de encargado del tratamiento
Firmamos un contrato de encargado del tratamiento con cada cliente para los datos que tratamos por su cuenta.
Gestión de subencargados
Lista pública de subencargados (hosting, email, IA) y procedimiento de notificación ante cambios.
Brechas y derechos RGPD
Procedimiento documentado de respuesta a brechas y atención de derechos de acceso, rectificación, supresión, portabilidad y oposición.
ENS como objetivo institucional
Controles preparados para alinearse con el Esquema Nacional de Seguridad como objetivo para despliegues con clientes públicos o institucionales.
No declaramos certificaciones que no tenemos obtenidas. Las menciones a ISO 27001 o ENS se refieren a controles preparados para alinearse con esos marcos y a una hoja de ruta de certificación.
Hoja de ruta de confianza
Cómo crece nuestra postura de seguridad
- 1
Base RGPD
- Cifrado, control de acceso por rol y registro de accesos sensibles.
- Contrato de encargado del tratamiento y subencargados publicados.
- 2
Módulos sensibles
- Plantillas de EIPD para salud, menores y comunicación.
- Restricción granular del módulo médico y trazabilidad reforzada.
- 3
Enterprise
- SSO, política de retención por club y exportaciones auditables.
- Hoja de ruta de certificación alineada con ISO 27001.
- 4
Despliegues avanzados
- Controles preparados para alinearse con ENS para clientes institucionales.
- Opciones de residencia de datos y despliegues dedicados.
Preguntas frecuentes
Lo que más nos preguntan sobre seguridad
¿SAITO usa datos del club para entrenar modelos?
No. Los datos del club no se utilizan para entrenar modelos generales ni se comparten con otros clientes.
¿Puede un entrenador ver datos médicos completos?
No por defecto. El módulo de salud está restringido al rol médico y a quienes el club autorice expresamente. El resto de roles solo ve disponibilidad o restricciones deportivas, no historial clínico.
¿SAITO diagnostica lesiones?
No. SAITO no diagnostica, no autoriza altas médicas y no sustituye al criterio del personal sanitario. La IA puede ayudar a registrar y resumir información, siempre bajo supervisión humana.
¿Qué pasa con los menores?
Los menores se marcan explícitamente y se vinculan a tutores legales. Las comunicaciones y consentimientos siguen reglas específicas por edad y base legal aplicable.
¿Tenéis ISO 27001 o ENS?
No declaramos certificaciones que no tenemos obtenidas. Nuestros controles están diseñados para alinearse con ISO 27001 y ENS, y publicamos una hoja de ruta de certificación para clientes que lo requieran.
Transparencia
Estado real de implementación
Publicamos en abierto qué controles están activos hoy y cuáles entran durante la fase de piloto. La validación se hace con el club, no a su espalda.
| Control | Estado |
|---|---|
Aislamiento de datos por organización (RLS) Políticas a nivel de base de datos por organization_id. | Activo |
Cifrado en tránsito (TLS) | Activo |
Cifrado en reposo (base de datos y almacenamiento) Provisto por la infraestructura gestionada de Supabase. | Activo |
Permisos por rol en la aplicación Roles definidos y aplicados en backend; UI por rol en validación durante el piloto. | En piloto |
Autenticación con sesión persistente y MFA opcional La autenticación productiva entra al inicio del piloto del primer club. | En piloto |
Registro de accesos a datos sensibles Activo en el módulo médico y de pagos durante el piloto. | En piloto |
Restricción del módulo médico | En piloto |
Marcado de menores y vinculación a tutores | En piloto |
IA con scoping por rol La IA solo recibe el contexto autorizado para el rol en cada consulta. | Activo |
Contrato de encargado del tratamiento (DPA) Plantilla disponible; firma se incluye en el onboarding del piloto. | En piloto |
Lista pública de subencargados | Planificado |
Procedimiento documentado de respuesta a brechas | En piloto |
Atención de derechos RGPD (acceso, supresión, portabilidad) | En piloto |
SSO empresarial | Planificado |
Política de retención configurable por club | Planificado |
Alineación ISO 27001 / ENS Hoja de ruta publicada; sin certificación obtenida a la fecha. | Planificado |
Esta tabla se actualiza con cada hito de producto. Si necesitas un control concreto antes del despliegue general, podemos priorizarlo dentro del piloto.
¿Quieres ver cómo lo aplicamos en tu club?
Te enseñamos los controles y la configuración con tus datos en una demo personalizada.