Volver
Legal · GDPR / RGPD

Política de Privacidad

Última actualización: 21 de junio de 2026

1. Introducción y Responsables del Tratamiento

Esta Política de Privacidad explica cómo MyFitnessClient — plataforma operada por Vasco José Cardoso Correia, empresario individual, con número de identificación fiscal (NIF) 262045630 y domicilio en Rua de Campezinhos, 27, Lomba, 4600-663 Amarante, Portugal («MyFitnessClient», «nosotros») — recopila, utiliza, comparte y protege datos personales, de conformidad con el Reglamento General de Protección de Datos (RGPD). Para cualquier cuestión sobre privacidad, puede contactarnos en [email protected]. Se aplica al sitio web myfitnessclient.com, a la aplicación web (incluida la versión instalable/PWA) y a todos los servicios asociados.

MyFitnessClient actúa en dos papeles distintos: (i) como responsable del tratamiento de los datos de las cuentas, la facturación, la seguridad y el sitio web; y (ii) como encargado del tratamiento respecto a los datos que cada profesional gestiona sobre sus clientes — incluidos datos de salud —, en cuyo caso el profesional es el responsable del tratamiento y nosotros tratamos los datos según sus instrucciones. Los clientes pueden ejercer sus derechos sobre esos datos ante el profesional y/o directamente ante nosotros.

2. Datos que Recopilamos

Recopilamos los datos que nos proporciona, los datos registrados por el profesional en el marco del seguimiento y los datos técnicos generados por el uso de la plataforma:

2.1 Información de la Cuenta

  • Nombre completo
  • Email y contraseña (almacenada con hashing seguro — nunca en texto legible)
  • Número de teléfono, foto de perfil, fecha de nacimiento y género (opcionales)
  • Idioma, zona horaria, moneda y preferencias de la aplicación
  • Cuando inicia sesión con Google: identificador y email de la cuenta de Google (el nombre utilizado es el que indica al crear la cuenta)

2.2 Datos de los Profesionales

  • Biografía, especialidades, certificaciones, años de experiencia y galería
  • Contenido del perfil público/microsite, cuando está activado (servicios, precios orientativos, testimonios, FAQ, redes sociales, contacto público)
  • Datos de suscripción y facturación: plan, estado, historial de facturas y tipo y últimos 4 dígitos del método de pago (los datos completos de la tarjeta quedan solo en Stripe)
  • Datos fiscales para facturación, cuando se proporcionan (nombre fiscal, NIF, dirección)
  • Distintivo de apoyo (founder/beta), cuando se asigna

2.3 Datos de los Clientes (incluidos datos de salud)

  • Mediciones corporales y composición corporal (peso, altura, perímetros, pliegues cutáneos, porcentaje de grasa corporal, entre otras)
  • Resultados de pruebas y evaluaciones físicas
  • Fotografías de progreso y de evaluación
  • Cuestionarios de salud/anamnesis, que pueden incluir historial médico, lesiones y limitaciones
  • Registros de entrenamiento, nutrición y hábitos
  • Objetivos y notas de seguimiento
  • Respuestas a formularios creados por el profesional (incluidos formularios compartidos por enlace público)

2.4 Comunicaciones

  • Mensajes de chat, incluidos archivos, mensajes de audio, reacciones y GIFs
  • Metadatos de llamadas de vídeo/audio (participantes, inicio y duración) — el contenido de las llamadas no se graba
  • Solicitudes de soporte y mensajes enviados mediante los formularios de contacto
  • Preferencias de notificaciones

2.5 Registros de Pagos entre Profesional y Cliente

  • Importes, fechas, estados, método y notas de los pagos registrados por el profesional
  • Confirmaciones de pago enviadas por el cliente
  • Estos registros son meramente informativos — no procesamos esos pagos (ver Términos de Servicio)

2.6 Datos Técnicos

  • Dirección IP, tipo de navegador y dispositivo, sistema operativo
  • Historial de inicio de sesión (incluidos intentos fallidos) y tokens de sesión
  • Suscripciones de notificaciones push
  • Informes automáticos de errores, con contexto técnico de la acción
  • Registros de auditoría de acciones sensibles
  • Datos guardados localmente en el dispositivo (preferencias y estado de uso de la aplicación)

3. Finalidades y Bases Jurídicas

Tratamos sus datos para las siguientes finalidades, con las correspondientes bases jurídicas del RGPD:

  • Prestación del Servicio (ejecución del contrato): creación y gestión de cuentas, funcionalidades de la plataforma, relación entre profesional y cliente, integraciones que active y soporte.
  • Facturación y obligaciones legales (obligación legal): procesamiento de suscripciones, emisión de facturas (incluida la facturación certificada en Portugal) y cumplimiento de obligaciones fiscales y contables.
  • Seguridad y prevención del fraude (interés legítimo): autenticación, registros de acceso y auditoría, detección y bloqueo de abusos, límites técnicos y protección anti-bots.
  • Comunicaciones de servicio (ejecución del contrato e interés legítimo): emails transaccionales, avisos de cuenta, recordatorios y notificaciones — configurables en los ajustes.
  • Mejora del Servicio (interés legítimo): estadísticas agregadas de uso del sitio web y diagnóstico y corrección de errores.
  • Datos de salud de los clientes (consentimiento explícito): tratados por cuenta del profesional responsable, a quien corresponde asegurar el consentimiento explícito del cliente (artículo 9 del RGPD) — ver sección 4.

4. Datos de Salud

Los datos de salud de los clientes (mediciones, evaluaciones, anamnesis, fotografías de progreso y registros) se tratan exclusivamente en el marco del seguimiento prestado por el profesional y según sus instrucciones. Nunca los utilizamos para publicidad ni los vendemos.

El profesional, como responsable del tratamiento, debe obtener el consentimiento explícito de sus clientes antes de recopilar estos datos. El cliente puede retirar el consentimiento en cualquier momento y ejercer sus derechos ante el profesional y/o contactándonos directamente (sección 9).

No utilizamos los datos personales de los usuarios ni los datos de salud de los clientes para entrenar, ajustar o desarrollar modelos de inteligencia artificial o de aprendizaje automático, ni los ponemos a disposición de terceros con ese fin. En caso de que introdujéramos alguna funcionalidad de inteligencia artificial, será divulgada y, cuando sea exigible, sujeta a consentimiento propio.

5. Con Quién Compartimos sus Datos

Nunca vendemos sus datos personales. Compartimos datos únicamente en las siguientes situaciones:

  • Entre profesional y cliente: el profesional — y los miembros de su equipo a quienes asigne permisos — accede a los datos de sus clientes en el marco del seguimiento; el cliente accede a los contenidos que se le asignen.
  • Perfiles públicos (opcionales): si el profesional activa el marketplace/microsite, la información del perfil pasa a ser pública e indexable por motores de búsqueda; el muro de apoyos muestra públicamente nombre, foto y distintivo.
  • Alojamiento e infraestructura: proveedores de infraestructura cloud que alojan la aplicación y la base de datos (servidores ubicados en la Unión Europea) y proporcionan el envío de email transaccional, la red de entrega de contenidos (CDN), la protección del sitio web (incluida protección anti-DDoS y anti-bots) y el almacenamiento de archivos.
  • Procesador de pagos: Stripe procesa los pagos de las suscripciones conforme a PCI-DSS; no almacenamos los datos completos de la tarjeta — solo el tipo y los últimos 4 dígitos.
  • Facturación certificada: Moloni (Portugal) emite las facturas de las suscripciones y recibe, cuando se proporcionan, el nombre fiscal, el NIF y la dirección.
  • Google: inicio de sesión con Google (si utiliza esa opción) y sincronización con Google Calendar — solo si conecta voluntariamente su cuenta de Google; en ese caso enviamos los eventos a sincronizar. Puede desconectar la integración en cualquier momento.
  • Servicios consultados a petición: búsqueda de alimentos (Open Food Facts — términos de búsqueda y códigos de barras), búsqueda de GIFs (Klipy — términos de búsqueda) y búsqueda de ubicación (OpenStreetMap/Nominatim — el texto introducido).
  • Vídeos incrustados: al reproducir vídeos de YouTube o Vimeo incrustados en la plataforma, esos servicios reciben su dirección IP y datos del navegador.
  • Notificaciones push: si las activa, se entregan a través del servicio de push de su navegador o dispositivo (Google, Mozilla o Apple).
  • Analítica de uso del sitio web: Google Analytics 4 (Google LLC), únicamente en el sitio web público — ver sección 10.
  • Autoridades: únicamente cuando lo exija una obligación legal aplicable o para el ejercicio y la defensa de derechos en procesos judiciales.
  • Operaciones societarias: en caso de fusión, adquisición o venta de activos, los datos pueden transferirse con salvaguardias equivalentes a las de esta política, informando a los usuarios.

5.1 Lista de Subencargados

Recurrimos a las siguientes categorías de subencargados (subprocesadores), que tratan datos en nuestro nombre al amparo de contratos que imponen las garantías del RGPD. La lista detallada y actualizada de los subencargados específicos está disponible, a petición, para los profesionales responsables del tratamiento:

  • Proveedor de infraestructura cloud — alojamiento de la aplicación y de la base de datos y envío de email transaccional — Unión Europea
  • Proveedor de CDN y seguridad web — entrega de contenidos, protección del sitio web (anti-DDoS y anti-bots) y almacenamiento de archivos — red global, con Cláusulas Contractuales Tipo
  • Stripe — procesamiento de los pagos de las suscripciones — EE. UU., al amparo del EU-U.S. Data Privacy Framework y de Cláusulas Contractuales Tipo
  • Moloni — emisión de las facturas de las suscripciones — Portugal
  • Google — inicio de sesión y sincronización con Google Calendar (solo si los activa usted) — EE. UU., al amparo del EU-U.S. Data Privacy Framework y de Cláusulas Contractuales Tipo
  • Servicios consultados a petición (Open Food Facts, Klipy, OpenStreetMap/Nominatim) y vídeos incrustados (YouTube, Vimeo) — redes globales
  • Servidores STUN públicos — establecimiento técnico de las llamadas de vídeo/audio (WebRTC); reciben las direcciones IP de los participantes

5.2 Integración con Google Calendar (Google API Services)

Si conecta voluntariamente su cuenta de Google, accedemos únicamente a los datos de Google Calendar necesarios para crear, actualizar y eliminar, en su calendario, los eventos correspondientes a sus sesiones y compromisos en la plataforma (eventos, fechas, títulos, descripciones e identificadores técnicos). La sincronización es solo en un sentido — de la plataforma hacia Google Calendar; no leemos ni importamos los eventos de su Google Calendar.

La utilización de datos obtenidos a través de las APIs de Google respeta la Google API Services User Data Policy, incluidos los requisitos de Limited Use. Los datos de Google Calendar no se utilizan para publicidad, no se venden ni se transfieren a terceros y no se utilizan para entrenar modelos de inteligencia artificial o de aprendizaje automático.

Puede desconectar la integración en cualquier momento, en la propia plataforma o en los ajustes de permisos de su cuenta de Google; a partir de ese momento dejamos de acceder a los datos de Google Calendar.

6. Transferencias Internacionales

Los servidores principales (aplicación y base de datos) están alojados en la Unión Europea. Algunos proveedores identificados en la sección 5 (como el proveedor de CDN y seguridad web y servicios como Stripe, Google, Apple, Mozilla y Klipy) operan redes globales y pueden tratar datos fuera del Espacio Económico Europeo. En esos casos, garantizamos salvaguardias adecuadas conforme al Capítulo V del RGPD — decisiones de adecuación de la Comisión Europea (incluido el EU-U.S. Data Privacy Framework, cuando proceda) y/o Cláusulas Contractuales Tipo.

7. Seguridad

Aplicamos medidas técnicas y organizativas adecuadas, conforme al artículo 32 del RGPD, incluyendo:

  • Cifrado en tránsito (HTTPS/TLS) en todas las comunicaciones
  • Contraseñas protegidas con hashing seguro; secretos sensibles (2FA, conexiones OAuth) cifrados en reposo
  • Autenticación de dos factores (2FA) por email o aplicación de autenticación, con códigos de recuperación
  • Control de accesos por cuenta y por permisos, según el principio de mínimo privilegio
  • Límites de intentos, protección anti-bots y monitorización de accesos
  • Registros de auditoría de acciones sensibles
  • Copias de seguridad regulares con retención limitada
  • Revisiones periódicas de seguridad

En caso de violación de datos personales que pueda implicar un riesgo para los titulares, notificaremos a la autoridad de control y, cuando sea exigible, a los usuarios afectados, conforme a los artículos 33 y 34 del RGPD.

8. Conservación y Eliminación de Datos

Conservamos sus datos mientras exista la cuenta. Puede solicitar la eliminación de la cuenta contactando con el soporte: la cuenta se desactiva y los datos personales se eliminan o anonimizan de forma irreversible en un plazo máximo de 30 días, salvo cuando la ley exija su conservación (por ejemplo, documentos de facturación, conservados hasta 10 años por obligación fiscal). Los datos eliminados pueden persistir en copias de seguridad durante un período adicional máximo de 30 días, hasta que estas expiren.

Plazos específicos: los archivos alojados (fotografías, vídeos, documentos) se eliminan definitivamente 90 días después del fin de una suscripción de pago, con avisos previos por email; los tokens de sesión caducados se eliminan a los 7 días; los informes de errores se conservan como máximo 90 días (30 días tras su resolución); los registros de actividad de equipo, 90 días; los recordatorios procesados, 30 días. El historial de inicio de sesión y los registros de auditoría se conservan solo durante el período necesario para fines de seguridad y cumplimiento legal.

Cuentas inactivas: tras 12 meses sin actividad, enviamos avisos por email; sin respuesta, la cuenta se desactiva y, transcurrida una ventana de recuperación de 30 días, los datos personales se anonimizan de forma permanente. Las cuentas con suscripción activa y los profesionales con clientes activos quedan excluidos de este proceso.

8.1 Plazos de Conservación (resumen)

  • Cuenta y perfil — mientras exista la cuenta; eliminados o anonimizados hasta 30 días después de la solicitud de eliminación
  • Documentos de facturación — 10 años (obligación fiscal)
  • Archivos alojados (fotografías, vídeos, documentos) — 90 días tras el fin de una suscripción de pago
  • Tokens de sesión caducados — 7 días
  • Informes de errores — hasta 90 días (30 días tras su resolución)
  • Registros de actividad de equipo — 90 días
  • Copias de seguridad — hasta 30 días adicionales
  • Cuentas inactivas — anonimización permanente tras 12 meses sin actividad y una ventana de recuperación de 30 días

9. Sus Derechos (RGPD)

Como titular de los datos, tiene los siguientes derechos:

  • Acceso: obtener confirmación y copia de sus datos personales
  • Rectificación: corregir datos inexactos o incompletos
  • Supresión: solicitar la eliminación de sus datos («derecho al olvido»)
  • Portabilidad: recibir sus datos en un formato estructurado y de uso común
  • Oposición: oponerse a tratamientos basados en interés legítimo y, en todo caso, al marketing directo
  • Limitación: restringir el tratamiento de sus datos en determinadas circunstancias
  • Retirar el consentimiento: en cualquier momento, sin afectar a la licitud del tratamiento ya realizado

Para ejercer cualquiera de estos derechos, contáctenos en [email protected].

Respondemos en el plazo máximo de un mes. Cuando los datos sean gestionados por un profesional en calidad de responsable del tratamiento, puede ejercer también sus derechos directamente ante él. Tiene además derecho a presentar una reclamación ante una autoridad de control — en Portugal, la CNPD (cnpd.pt); en España, la AEPD (aepd.es).

10. Cookies y Almacenamiento Local

Utilizamos cookies estrictamente necesarias para la autenticación y el funcionamiento de la plataforma. Las cookies de sesión y de autenticación son HttpOnly (inaccesibles para scripts). Algunas cookies estrictamente necesarias o de preferencia son legibles por scripts solo cuando el funcionamiento de esos procesos lo exige. No utilizamos cookies publicitarias ni compartimos datos con redes de publicidad. La aplicación guarda además cierta información en el almacenamiento local del dispositivo (preferencias y estado de uso), que puede borrar cerrando sesión o desde los ajustes del navegador.

El sitio web público utiliza Google Analytics 4 (Google LLC) para estadísticas agregadas de visitas; esta medición no se utiliza en las áreas autenticadas de la aplicación (panel del profesional y aplicación del cliente). Puede oponerse bloqueando cookies de terceros en su navegador o utilizando el complemento de inhabilitación de Google Analytics.

11. Notificaciones y Comunicaciones

Enviamos comunicaciones transaccionales y de servicio: verificación de cuenta, seguridad, avisos de suscripción y facturación, invitaciones, recordatorios y notificaciones de actividad. Puede gestionar las notificaciones push y por email, por categoría, en los ajustes; las notificaciones push requieren su autorización en el navegador y pueden desactivarse en cualquier momento. No enviamos newsletters ni comunicaciones de marketing sin su consentimiento.

12. Llamadas de Vídeo y Audio

Las llamadas entre profesional y cliente se establecen directamente entre los participantes (tecnología WebRTC, punto a punto) siempre que sea técnicamente posible. Para establecer la conexión se utilizan servidores STUN públicos, que tratan las direcciones IP de los participantes. No grabamos ni almacenamos el contenido de las llamadas — solo metadatos (participantes, inicio y duración) asociados a la conversación.

13. Cambios en Esta Política

Esta política puede actualizarse periódicamente. Siempre que haya cambios relevantes, será avisado por email o a través de la plataforma antes de que surtan efecto. La fecha de la última actualización figura en la parte superior de esta página.

14. Contacto

Para preguntas sobre privacidad o sobre el tratamiento de sus datos:

  • Email: [email protected]
  • Domicilio: Rua de Campezinhos, 27, Lomba, 4600-663 Amarante, Portugal