Volver

Política de Privacidad

Última actualización: 2026-04-23Versión: 1.0.0-draft

Política de Privacidad · MyFitnessb4b / Eleva Tu Esencia

Aviso: este documento es un borrador redactado por el equipo interno. Pendiente de revisión por abogado antes de la activación comercial.

Esta Política explica qué datos personales recogemos, por qué los tratamos, con quién los compartimos y qué derechos tienes sobre ellos, de conformidad con el Reglamento UE 2016/679 (RGPD) y la LO 3/2018 (LOPDGDD).

1. Responsable del tratamiento

  • Responsable: Álvaro Corral — NIF {{TAX_ID}}
  • Dirección postal: {{POSTAL_ADDRESS}}
  • Email de contacto: soporte@elevatuesencia.io
  • Canal de ejercicio de derechos y revocaciones de imagen: {{REVOCATION_EMAIL}}
  • Delegado de Protección de Datos (DPD): No obligatorio para la dimensión actual del servicio.

2. Datos que recogemos

2.1. Datos identificativos y de contacto

  • Nombre completo, email, teléfono. Se recogen en Stripe Checkout durante la compra.

2.2. Datos antropométricos (necesarios para el plan)

  • Sexo, fecha de nacimiento, altura, peso.
  • Nivel de entrenamiento (básico / intermedio / avanzado).
  • Estos datos se introducen en el formulario de onboarding.

2.3. Datos biométricos (categoría especial — art. 9 RGPD)

  • Fotos corporales (frente, perfil, espalda) tomadas por el Cliente.
  • Vídeo corto mostrando el calendario del día.
  • Medidas de perímetro (opcional en seguimientos).

2.4. Datos de tracking durante el reto

  • Check-ins diarios (entrenos completados, comidas, peso).
  • Respuestas al formulario de seguimiento intermedio y de cierre.
  • Mensajes intercambiados en el chat con el coach.

2.5. Datos de pago

  • No almacenamos datos de tarjetas bancarias. El procesamiento de pagos lo realiza Stripe, Inc. (PCI-DSS Level 1). Recibimos solo confirmación de pago + últimos 4 dígitos + marca de la tarjeta.

2.6. Datos técnicos

  • Dirección IP, tipo de dispositivo, navegador.
  • Cookies técnicas necesarias para el funcionamiento de la plataforma (sesión, idioma, preferencias).
  • No usamos cookies publicitarias ni de seguimiento cross-site.

3. Finalidades y bases jurídicas del tratamiento

El servicio utiliza una arquitectura híbrida de consentimientos:

  1. Aceptaciones obligatorias en Stripe Checkout (condición de compra): Términos y Condiciones + Política de Privacidad. Esta aceptación activa las bases jurídicas de ejecución contractual (art. 6.1.b RGPD) e interés legítimo (art. 6.1.f RGPD) para el tratamiento ordinario, incluyendo el uso promocional de imagen con cara difuminada como parte consustancial del servicio.
  2. Opt-in específico en onboarding (voluntario): autorización para uso de imagen con cara visible, amparado en el consentimiento específico (art. 6.1.a RGPD). Puedes participar sin marcarlo.

| Finalidad | Base jurídica | |---|---| | Generar tu plan personalizado y prestarte el servicio del Reto | Ejecución de contrato (art. 6.1.b RGPD) | | Tratamiento de datos biométricos internos (estimación composición, seguimiento) | Ejecución de contrato + Consentimiento explícito (art. 9.2.a RGPD) | | Comunicarnos contigo durante el Reto (notificaciones, chat, email) | Ejecución de contrato (art. 6.1.b RGPD) | | Uso promocional de imagen con cara difuminada (pixelado + marcas ocultas) | Ejecución de contrato + Interés legítimo (art. 6.1.b + 6.1.f RGPD) | | Uso promocional de imagen con cara visible (opt-in onboarding) | Consentimiento específico (art. 6.1.a RGPD) | | Cumplir obligaciones fiscales (facturación, IVA) | Obligación legal (art. 6.1.c RGPD) | | Prevenir fraude de pago, abuso del servicio | Interés legítimo (art. 6.1.f RGPD) | | Seguimiento de progreso intra-reto | Ejecución de contrato |

El balance de intereses (art. 6.1.f RGPD) aplicado a la modalidad por defecto de uso de imagen con cara difuminada considera: (i) la anonimización efectiva del rostro mediante pixelado completo más la eliminación de marcas identificativas visibles; (ii) el derecho del prestador a documentar los resultados del programa como parte consustancial del servicio comunitario contratado; (iii) el derecho prevalente del titular a oponerse en cualquier momento mediante el canal de revocación descrito en la sección 6.

4. Destinatarios (con quién compartimos los datos)

Utilizamos proveedores de servicios ("encargados del tratamiento" según RGPD) con los que tenemos firmados contratos de encargo (DPA). Son:

| Proveedor | Servicio | Dónde se alojan los datos | |---|---|---| | Supabase Inc. | Base de datos + autenticación + almacenamiento de fotos/vídeos | Región AWS eu-west-3 (París). Cifrado at-rest y en tránsito. | | Vercel Inc. | Hosting de la aplicación web | Región eu-central-1 (Frankfurt) / CDN global. | | Stripe Payments Europe Ltd. | Procesamiento de pagos | UE + EEUU (SCCs) | | Anthropic PBC | IA Claude (estimación composición corporal por fotos) | EEUU. Transferencia internacional bajo SCCs. | | Google LLC (Workspace) | Email transaccional (@elevatuesencia.io) | EEUU bajo SCCs. | | GoHighLevel (HighLevel Inc.) | CRM de marketing (solo datos de contacto) | EEUU bajo SCCs. | | n8n.io + Hostinger | Orquestación de workflows (procesamiento de imágenes para IA) | VPS Hostinger UE. |

Transferencias internacionales: los datos que viajan a EEUU (Anthropic, Stripe, Google, GoHighLevel) lo hacen bajo Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea (Decisión 2021/914/UE).

Exclusión expresa de venta a terceros: no cedemos datos personales ni imágenes a terceros ajenos al servicio (marcas, patrocinadores, plataformas de testimonios, agencias) salvo obligación legal o consentimiento adicional específico.

5. Conservación de los datos

| Tipo de dato | Plazo de conservación | |---|---| | Datos identificativos y de contacto | Durante el Reto + 5 años (obligación fiscal) | | Datos biométricos internos (fotos, vídeos, medidas) | Durante el Reto + 12 meses (seguimiento post-reto / audit) | | Mensajes del chat | Durante el Reto + 6 meses | | Facturación y datos de pago | 5 años (obligación fiscal art. 30 Código Comercio) | | Imágenes promocionales con cara difuminada | Durante el Reto + 24 meses posteriores (salvo revocación anticipada) | | Imágenes promocionales con cara visible (opt-in) | Mientras no revoques el consentimiento | | Logs técnicos (IP, acceso) | 12 meses |

Pasados esos plazos, los datos se eliminan de forma segura o se anonimizan para fines estadísticos agregados.

6. Tus derechos

Como titular de tus datos, tienes derecho a:

  • Acceso (art. 15 RGPD): solicitar copia de los datos que tenemos sobre ti.
  • Rectificación (art. 16 RGPD): corregir datos inexactos o incompletos.
  • Supresión / derecho al olvido (art. 17 RGPD): solicitar la eliminación de tus datos.
  • Limitación del tratamiento (art. 18 RGPD).
  • Portabilidad (art. 20 RGPD): recibir tus datos en formato estructurado y transmitirlos a otro responsable.
  • Oposición (art. 21 RGPD): oponerte al tratamiento basado en interés legítimo — incluida la oposición al uso promocional con cara difuminada descrito en los Términos.
  • Revocación del consentimiento (art. 7.3 RGPD): en particular, del opt-in de imagen con cara visible. La revocación no afectará a tratamientos anteriores.
  • Decisiones automatizadas (art. 22 RGPD): nuestro motor de cálculo es determinista, no toma decisiones con efectos jurídicos sobre ti. La estimación de composición corporal por IA es una recomendación que valida un humano (el coach) antes de llegarte.

Cómo ejercer tus derechos

Escribe a {{REVOCATION_EMAIL}} con el asunto "Derechos RGPD". Responderemos en un plazo máximo de 30 días (prorrogable a 60 si la solicitud es compleja).

Reclamaciones

Si crees que tratamos tus datos de forma indebida, puedes reclamar ante la Agencia Española de Protección de Datos (www.aepd.es) antes o en paralelo a contactarnos.

7. Medidas de seguridad

Aplicamos medidas técnicas y organizativas apropiadas para proteger tus datos:

  • Cifrado en tránsito: TLS 1.3 en todas las conexiones.
  • Cifrado at-rest: AES-256 en Supabase Storage (fotos, vídeos).
  • Control de acceso: Row-Level Security (RLS) en la base de datos.
  • Datos biométricos protegidos: la columna fat_percentage_estimated (composición corporal estimada) tiene políticas column-level de privacidad.
  • Autenticación: magic link vía email (sin contraseñas fijas) + JWT con expiración corta.
  • Audit log: todos los accesos a datos sensibles se registran.
  • Pen-testing y RLS tests: CI que verifica aislamiento de datos entre usuarios antes de cada despliegue.

8. Menores

El servicio está dirigido exclusivamente a mayores de 18 años. No aceptamos el registro de menores.

9. Cambios en esta política

Podemos actualizar esta política para reflejar cambios legislativos o mejoras en la protección de tus datos. Te notificaremos con al menos 15 días de antelación cualquier cambio significativo por email.

10. Contacto

Para cualquier duda sobre esta política o sobre el tratamiento de tus datos: soporte@elevatuesencia.io.