Política de privacidad

El responsable del tratamiento es Athleex, con domicilio legal en Italia. Para ejercer sus derechos o para cualquier solicitud relativa al tratamiento de los datos personales, puede escribir a: info@athleex.com.

Athleex trata las siguientes categorías de datos personales, según la interacción con el servicio:

• Datos de identificación y contacto: nombre, apellidos, correo electrónico, teléfono, dirección del lugar de trabajo (para los Personal Trainer).
• Datos de autenticación: contraseña con hash bcrypt, tokens de sesión JWT cifrados.
• Datos de salud (Art. 9 RGPD): peso, porcentaje de masa grasa, medidas corporales, objetivos de entrenamiento y datos biométricos facilitados voluntariamente por el atleta, únicamente previo consentimiento explícito separado.
• Contenido subido: fotos de progreso, archivos adjuntos del chat, facturas.
• Datos de uso: entrenamientos completados, series y repeticiones, volumen, rachas, trofeos desbloqueados.
• Datos de pago: gestionados exclusivamente por Stripe. Athleex NUNCA almacena números de tarjeta, CVV ni datos bancarios.
• Registros técnicos: dirección IP, user-agent, marcas temporales de acceso, conservados con fines de seguridad y prevención de abusos.

• Prestación del servicio (art. 6.1.b RGPD, ejecución contractual): creación de cuenta, gestión de la relación PT-atleta, asignación de programas, chat, facturación.
• Tratamiento de datos de salud (art. 9.2.a RGPD, consentimiento explícito): introducción de medidas biométricas, fotos de progreso, diario alimentario. El consentimiento es revocable en cualquier momento desde la configuración del perfil.
• Análisis predictivo (Athlete Twin / Athleex Score) (art. 6.1.a RGPD, consentimiento explícito): proyecciones estadísticas sobre rendimiento y recuperación. Consulte la sección 11 para los detalles sobre la lógica utilizada y los derechos específicos.
• Obligaciones legales (art. 6.1.c RGPD): conservación de datos de facturación conforme al D.P.R. 633/1972 durante 10 años.
• Interés legítimo (art. 6.1.f RGPD): seguridad de la infraestructura, prevención de fraude y abusos, analíticas agregadas no identificativas.
• Marketing y boletín (art. 6.1.a RGPD, consentimiento): únicamente previo opt-in explícito. Revocable en cualquier momento.

• Datos de la cuenta: durante toda la duración de la relación más 12 meses desde la finalización, salvo solicitud de supresión.
• Datos de facturación: 10 años (obligación civil y fiscal).
• Registros de seguridad: 12 meses.
• Datos de salud: conservados mientras esté activo el consentimiento; en caso de revocación se eliminan en un plazo de 30 días.

Los datos pueden comunicarse a los siguientes sujetos en calidad de encargados del tratamiento (art. 28 RGPD):

• Hetzner Online GmbH (infraestructura de servidores, Alemania — EEE).
• Stripe Payments Europe Ltd. (pagos, Irlanda — EEE).
• Meta Platforms Ireland Ltd. (integración WhatsApp Business e Instagram, solo si el PT activa la integración — EEE).
• Resend, Inc. (proveedor de correo transaccional para notificaciones de servicio, EE. UU. — transferencia con Cláusulas Contractuales Tipo).

Las eventuales transferencias fuera del Espacio Económico Europeo se realizan previa adopción de las Cláusulas Contractuales Tipo de conformidad con los arts. 44 y siguientes del RGPD.

De acuerdo con los arts. 15-22 RGPD, en cualquier momento usted tiene derecho a:

• Acceso a sus datos y obtener una copia estructurada (portabilidad) desde Ajustes » Exportar datos (GDPR).
• Rectificación de los datos inexactos desde su perfil.
• Supresión ("derecho al olvido") desde Ajustes » Eliminar cuenta.
• Limitación y oposición al tratamiento con fines de marketing.
• Revocación del consentimiento para datos de salud y boletín, en cualquier momento.
• Reclamación ante la Autoridad italiana de Protección de Datos (garanteprivacy.it) si considera que el tratamiento infringe el RGPD.

Athleex utiliza únicamente cookies técnicas de sesión (nombre: athleex_session) estrictamente necesarias para el funcionamiento del servicio. No utilizamos cookies de perfilado ni de rastreo de terceros. Conforme al considerando 30 RGPD y a la providencia de la Autoridad italiana de 10 de junio de 2021, las cookies técnicas no requieren consentimiento previo.

Implementamos medidas técnicas y organizativas adecuadas al riesgo: cifrado de datos sensibles en reposo (AES-256-GCM) y en tránsito (TLS 1.3), hashing bcrypt de contraseñas, principio de mínimo privilegio, aislamiento de sesiones mediante cookies JWT firmadas, limitación de velocidad, registro de auditoría administrativa, copias de seguridad cifradas.

El servicio no está destinado a menores de 18 años. Si se detecta que una cuenta pertenece a un menor sin el consentimiento de los padres o tutores, la cuenta será eliminada.

Athleex se reserva el derecho de actualizar esta política en caso de cambios normativos u organizativos. La fecha de la última actualización se indica al inicio del documento. Las actualizaciones relevantes se notificarán por correo electrónico a los usuarios registrados.

Athleex ofrece a los atletas una funcionalidad opcional llamada Athlete Twin que, sobre la base de los datos de entrenamiento ya presentes en la cuenta (registro de entrenamientos, series, cargas, RPE, objetivos activos), calcula:

• una proyección estimada de 1 repetición máxima (1RM) a 4 semanas para los ejercicios fundamentales;
• un índice de riesgo de recuperación / sobreentrenamiento;
• una proyección de cumplimiento de objetivos;
• una puntuación compuesta 0-100 denominada Athleex Score.

Base jurídica: art. 6.1.a) RGPD — consentimiento explícito del atleta. La funcionalidad está desactivada por defecto y puede ser activada por el atleta desde Ajustes » Athlete Twin.

Lógica utilizada (art. 13.2.f) y 22.3 RGPD — derecho a una explicación significativa): todas las proyecciones se calculan mediante métodos estadísticos clásicos y deterministas, sin recurrir a ningún aprendizaje automático opaco:

• estimación del 1RM mediante la fórmula de Epley aplicada a los datos de entrenamiento;
• regresión lineal (mínimos cuadrados) sobre el mejor 1RM semanal, con intervalo de confianza del 95 %;
• media móvil exponencialmente ponderada (EWMA) sobre los indicadores de fatiga;
• extrapolación lineal para las proyecciones de objetivos.

Importancia y consecuencias previstas: las proyecciones tienen una finalidad exclusivamente informativa y motivacional. Athleex NO utiliza estas proyecciones para tomar decisiones con efectos jurídicos o que afecten significativamente al atleta. La funcionalidad no constituye un consejo médico ni deportivo y no sustituye a la consulta con un médico ni con un Entrenador Personal.

Visibilidad para el PT: cuando está activa, las proyecciones y la puntuación son visibles para el Entrenador Personal vinculado, exclusivamente como herramienta de gestión del coaching.

Derechos del interesado: el atleta puede en cualquier momento (i) revocar el consentimiento desde Ajustes — la revocación implica la eliminación inmediata de todas las proyecciones almacenadas (art. 17 RGPD); (ii) obtener una explicación detallada de la lógica utilizada escribiendo a info@athleex.com; (iii) oponerse al tratamiento (art. 21 RGPD).

Conservación: el historial de proyecciones se conserva durante un máximo de 60 días y a continuación se sobrescribe.

Para ejercer sus derechos o cualquier duda, escriba a info@athleex.com. Respondemos en un plazo de 30 días conforme al art. 12 RGPD.

Para prestar el servicio nos apoyamos en los siguientes subencargados. Cada uno está vinculado por un Acuerdo de Tratamiento de Datos (DPA) y un mecanismo de transferencia adecuado para destinatarios fuera del EEE (Cláusulas Contractuales Tipo o EU-US Data Privacy Framework, cuando proceda).

• Hetzner Online GmbH (DE) — infraestructura de hosting (Postgres, app server). Localización de datos: Alemania. Base jurídica: art. 6(1)(b) ejecución del contrato.
• Stripe, Inc. (US) — procesamiento de pagos. Destinatario al amparo del EU-US DPF + SCC. Recibe solo datos de facturación (token de tarjeta, dirección, importe). Certificado PCI-DSS Level 1.
• Meta Platforms Ireland Ltd / Meta Platforms, Inc. (IE/US) — medición de la eficacia publicitaria (Pixel + Conversions API). Destinatario al amparo del EU-US DPF. Solo con consentimiento de marketing. Recibe identificadores en forma hasheada (correo, teléfono, nombre, país, ID externo) y metadatos del evento. Los datos personales nunca se comparten en claro.
• Resend, Inc. (US) — envío de emails transaccionales + audiencia waitlist. Destinatario al amparo de SCC. Recibe email + nombre + locale.
• OpenStreetMap Foundation / Nominatim (UK) — geocoding para la búsqueda de entrenadores. Recibe solo la cadena de dirección que escribe el usuario (sin otros identificadores).
• Google Ireland Limited / Google LLC (IE/US) — Google Analytics 4 (propiedad web G-GRLNNH64JH) para medición de uso del producto y Google Search Console para indexación SEO. Solo con consentimiento de analítica (Consent Mode v2 default-denied). Recibe IPs anonimizadas y metadatos de eventos agregados; activamos IP anonymization, ads_data_redaction y url_passthrough. Destinatario al amparo del EU-US DPF + SCC.

La lista completa de subencargados con los enlaces a los DPA está también publicada en /legal/sub-processors y se actualiza con cada incorporación (con al menos 30 días de aviso para cambios sustanciales).

Sección aplicable a los usuarios residentes en las jurisdicciones indicadas. El texto original en inglés constituye la versión jurídicamente vinculante.

For California residents, Athleex complies with the California Consumer Privacy Act (CCPA) as amended by the California Privacy Rights Act (CPRA). You have the right to: (a) know what personal information we collect, use, disclose; (b) delete personal information; (c) correct inaccurate personal information; (d) opt out of "sale" or "sharing" (Athleex does NOT sell personal information; cross-context behavioural advertising is governed by the cookie banner and may be disabled at /legal/do-not-sell); (e) limit use of "sensitive personal information" (which we do not use beyond strictly necessary purposes); (f) non-discrimination. Equivalent rights apply to residents of Colorado, Connecticut, Virginia, Utah, Texas, Oregon, Tennessee, Indiana, Iowa, Montana, Florida, Delaware, New Hampshire, New Jersey, Maryland, Minnesota under their respective state privacy laws. To exercise rights write to info@athleex.com. We respond within 45 days (CCPA) — extendable once by another 45 days. Athleex is NOT a HIPAA Covered Entity or Business Associate; the service is wellness-tracking and not medical care.

Washington — My Health My Data Act (MHMDA, RCW 19.373): los registros de entrenamiento, las biométricas (con consentimiento), las puntuaciones de bienestar y cualquier dato que identifique el estado de salud física o mental (pasado, presente o futuro) del consumidor constituyen "consumer health data" en virtud de la MHMDA. Al crear una cuenta Athleex, los residentes del estado de Washington otorgan su consentimiento explícito (RCW 19.373.020) para el tratamiento de dichos datos exclusivamente con las finalidades de coaching de bienestar descritas en el §3. Athleex NO vende consumer health data. Athleex NO los comparte con terceros con fines publicitarios. Los subencargados enumerados en el §13 reciben consumer health data únicamente como proveedores de servicios vinculados por DPA escritos que prohíben cualquier uso autónomo. Los residentes de Washington pueden en cualquier momento revocar el consentimiento y solicitar la supresión de los consumer health data escribiendo a info@athleex.com; la supresión se propaga a todos los subencargados en un plazo de 30 días (RCW 19.373.040). El geofencing de consumer health data está prohibido y Athleex no lo practica. See /legal/wa-consumer-health for the full standalone notice required by RCW 19.373.020(1).

Sección aplicable a los usuarios residentes en las jurisdicciones indicadas. El texto original en inglés constituye la versión jurídicamente vinculante.

For Canadian users, Athleex complies with the Personal Information Protection and Electronic Documents Act (PIPEDA) at the federal level and with Quebec's Law 25 (formerly Bill 64) for Quebec residents. Quebec Law 25 introduces requirements stricter than GDPR for sensitive data and automated decisions; Athleex's Art.22 protections (Athlete Twin / Athleex Score) extend to Quebec users by default. The competent authority is the Office of the Privacy Commissioner of Canada (OPC) — priv.gc.ca — and for Quebec residents the Commission d'accès à l'information du Québec (CAI). To exercise PIPEDA / Law 25 rights write to info@athleex.com.

Para los usuarios residentes en México, Athleex actúa conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Tienes derecho a ejercer los derechos ARCO (Acceso, Rectificación, Cancelación, Oposición), así como a revocar tu consentimiento y limitar el uso o divulgación de tus datos. Para ello escribe a info@athleex.com. La autoridad competente es el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (Secretaría Anticorrupción y Buen Gobierno (SABG, successor to INAI as of March 2025)) — gob.mx/sabg. Las transferencias de datos hacia destinatarios fuera de México se realizan exclusivamente para cumplir el contrato con el usuario y para fines de prestación del servicio.

Sección aplicable a los usuarios residentes en las jurisdicciones indicadas. El texto original en inglés constituye la versión jurídicamente vinculante.

Athleex is operated from Italy and processes personal data primarily under the EU GDPR. For users resident in Norway, Iceland, Liechtenstein, Andorra, Monaco, San Marino — the GDPR or a regime declared adequate by the European Commission applies. For users resident in countries with national data-protection laws aligned to the GDPR template — including Serbia, Bosnia and Herzegovina, Montenegro, North Macedonia, Albania, Kosovo, Ukraine, Moldova, Georgia, Armenia and Azerbaijan — Athleex applies GDPR-equivalent technical, organisational and contractual safeguards and recognises the rights granted by your local law. The competent supervisory authorities of those countries can be contacted directly; we cooperate with any lawful request. Where consent is required by your local law (e.g. Ukraine's 2024 amended Law on Personal Data Protection), the cookie banner and account-creation flows operate as the consent-collection mechanism. To exercise rights write to info@athleex.com.

Sección aplicable a los usuarios residentes en las jurisdicciones indicadas. El texto original en inglés constituye la versión jurídicamente vinculante.

Athleex does not knowingly accept registrations from territories subject to comprehensive EU, UK, US or UN sanctions, including (without limitation) Belarus, North Korea, Iran, Syria, Cuba, the Crimea, Donetsk and Luhansk regions of Ukraine. Should an account be created from such a territory, we reserve the right to suspend it without prior notice and to comply with applicable sanctions law.