Política de privacidad

El responsable del tratamiento de tus datos personales es Diego Calatayud García (NIF: [NIF: completar]), con domicilio en [Dirección: completar], que opera bajo el nombre comercial FitAxion.

Para cualquier consulta relativa al tratamiento de datos, escribe a legal@fitaxion.com.

A día de hoy no es obligatorio designar un Delegado de Protección de Datos (DPD/DPO) por el volumen de tratamiento. Si en el futuro se supera el umbral o se incorporan tratamientos a gran escala de datos sensibles, se designará uno y se publicará en este mismo apartado.

Según el rol del usuario, tratamos los siguientes datos:

Cuenta de Entrenador:

• Identificativos: nombre, apellidos, email, teléfono (opcional), avatar.
• De cuenta: contraseña cifrada (bcrypt), preferencias, idioma, zona horaria.
• De facturación (cuando contrate un plan de pago): nombre fiscal, NIF, dirección, historial de pagos. Estos datos son tratados a través de nuestro proveedor de pagos (Stripe) y Fitaxion solo conserva el ID de cliente y referencias.
• De uso: registros de actividad, accesos, IP de inicio de sesión (con fines de seguridad), eventos del producto.
• Profesionales (opcional): biografía, especialidades, certificaciones que el Entrenador decida publicar en su perfil.

Cuenta de Atleta (categoría especial):

• Identificativos: nombre, apellidos, email, teléfono (opcional), avatar.
• Datos relativos a la salud (art. 9 GDPR): peso, altura, composición corporal (% grasa, masa muscular), perímetros, fotografías de progreso (opcionales), objetivos, lesiones, intolerancias y restricciones alimentarias declaradas.
• Datos de actividad física: planes asignados, registros de entrenamiento (peso, repes, RIR/RPE), adherencia, rachas, registros nutricionales.
• Comunicaciones: mensajes con el Entrenador y archivos adjuntos.
• De uso: como en el caso del Entrenador.

Visitantes del sitio web (sin cuenta): datos de navegación básicos recogidos por cookies estrictamente necesarias y, si así lo consientes, analítica agregada.

3.1. Prestación del servicio (gestión de cuenta, asignación de planes, chat, agenda, registros de entrenamiento, soporte).

• Base legal: ejecución de un contrato (art. 6.1.b GDPR) y, para los datos de salud del Atleta, consentimiento explícito (art. 9.2.a GDPR), recogido al aceptar la invitación del Entrenador.
• Plazo: mientras la cuenta esté activa. Tras la baja, los datos se eliminan o anonimizan en un plazo máximo de 30 días, salvo obligación legal de conservación.

3.2. Facturación y obligaciones contables

• Base legal: obligación legal (art. 6.1.c GDPR — Ley General Tributaria, Código de Comercio).
• Plazo: 6 años desde la emisión de la factura (Código de Comercio, art. 30) y 4 años fiscales (Ley General Tributaria, art. 66).

3.3. Comunicaciones del servicio (verificación de email, recordatorios de cita, resúmenes semanales, notificaciones de adherencia).

• Base legal: ejecución del contrato (esenciales) o interés legítimo (resúmenes informativos), con derecho de oposición fácil desde el panel de preferencias.
• Plazo: mientras la cuenta esté activa.

3.4. Comunicaciones comerciales (newsletter, anuncio de nuevas funcionalidades).

• Base legal: consentimiento (art. 6.1.a GDPR), revocable en cualquier momento.
• Plazo: hasta que retires el consentimiento.

3.5. Mejora del producto y prevención del fraude (analítica agregada, detección de uso anómalo).

• Base legal: interés legítimo (art. 6.1.f GDPR). Ponderación de intereses disponible bajo solicitud.
• Plazo: métricas agregadas anonimizadas se conservan indefinidamente; datos identificativos se borran al cerrar la cuenta.

Para prestar el servicio, Fitaxion comparte determinados datos personales con los siguientes encargados del tratamiento, todos ellos sujetos a contrato de encargo (art. 28 GDPR):

• Google Cloud Platform (Google Ireland Ltd. + Google LLC) — hosting de la aplicación (Cloud Run) y almacenamiento de archivos (Cloud Storage). Servidores principalmente en la UE (europe-west1). Transferencias internacionales a EE. UU. cubiertas por el marco EU-U.S. Data Privacy Framework y cláusulas contractuales tipo (SCCs).
• Neon, Inc. — hosting de la base de datos PostgreSQL. Región europea cuando esté disponible. SCCs aplicables.
• Resend, Inc. — envío de emails transaccionales (verificación, recuperación de contraseña, recordatorios). SCCs aplicables.
• Sentry (Functional Software, Inc.) — monitorización de errores. Configurado para minimizar PII y aplicar scrubbing de datos sensibles. SCCs aplicables.
• Jitsi (8x8.vc) — videollamadas. Solo cuando programas una cita de tipo «videollamada». La sala se genera al vuelo y no almacena grabación por defecto. Los datos audiovisuales no transitan por servidores de Fitaxion.
• Stripe Payments Europe Ltd. (cuando se active el cobro) — procesamiento de pagos. Conforme a PCI-DSS Level 1.
• Plausible / PostHog (cuando se activen) — analítica web del sitio público. Plausible es privacy-first y no usa cookies; PostHog se usaría con anonimización IP y respetando preferencias de cookies.

Este listado se actualiza cuando se añade o cambia un proveedor. La lista actualizada está siempre disponible en esta página y, bajo solicitud, podemos facilitarte el detalle de cada encargo.

Cesiones a terceros: No vendemos ni cedemos tus datos personales a terceros con fines comerciales. Solo se comunican datos a autoridades cuando exista obligación legal.

Algunos de nuestros encargados (Google Cloud, Sentry, Stripe) tienen empresas matrices o subprocesadores en EE. UU. Las transferencias se realizan al amparo de:

• La decisión de adecuación EU-U.S. Data Privacy Framework de la Comisión Europea (julio 2023), cuando el receptor está certificado.
• Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea (Decisión 2021/914), con medidas suplementarias técnicas y organizativas (cifrado en tránsito y reposo, minimización de datos, control de accesos).

En cualquier momento, sin coste y sin justificar el motivo, puedes ejercer los siguientes derechos:

• Acceso: saber qué datos tenemos sobre ti.
• Rectificación: corregir datos inexactos.
• Supresión («derecho al olvido»): eliminar tus datos cuando ya no sean necesarios.
• Limitación: solicitar que limitemos el uso mientras revisamos una solicitud.
• Oposición: oponerte a tratamientos basados en interés legítimo.
• Portabilidad: recibir tus datos en un formato estructurado (JSON o CSV).
• Revocación del consentimiento: para los tratamientos basados en consentimiento, sin efectos retroactivos.
• No ser objeto de decisiones automatizadas: en Fitaxion no hay decisiones automatizadas con efectos jurídicos para el usuario.

¿Cómo ejercerlos? Escribe a legal@fitaxion.com indicando el derecho que ejerces. Responderemos en un plazo máximo de 30 días. Para verificar tu identidad podemos pedirte un documento identificativo.

Si consideras que hemos vulnerado tus derechos, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).

Aplicamos medidas técnicas y organizativas razonables para proteger tus datos:

• Cifrado en tránsito (TLS 1.3) y en reposo (AES-256 a nivel de almacenamiento).
• Hash de contraseñas con bcrypt (factor 12). Nunca conservamos contraseñas en texto claro.
• Tokens de acceso de corta duración (15 min) y refresh tokens almacenados como cookies HttpOnly + SameSite=Lax con rotación.
• Backups automáticos diarios con cifrado, retención de 30 días.
• Control de acceso por roles, principio del mínimo privilegio.
• Monitorización continua y alertas ante actividad anómala. Notificación de brechas en 72 h ante la AEPD según GDPR.

Fitaxion no permite cuentas de menores de 14 años (artículo 7 LOPDGDD). Para Atletas entre 14 y 17 años, el Entrenador debe verificar la autorización de sus tutores legales antes de invitarlos a la plataforma.

Podemos actualizar esta política para reflejar cambios legales, nuevos servicios o mejoras en la transparencia. Las modificaciones sustanciales se comunicarán por email con al menos 15 días de antelación.