Política de Privacidad

1. Responsable del tratamiento

Responsable: Miguel Ángel Fernández (en adelante, "Nutrilaps"). Contacto: contacto@nutrilaps.com.

Durante la fase beta no se ha designado un Delegado de Protección de Datos formal, al no concurrir los supuestos del Art. 37 RGPD. Para cualquier consulta sobre privacidad escribe al email anterior.

2. Datos que recogemos

• Cuenta: nombre, email, contraseña (cifrada con bcrypt en Supabase Auth).
• Perfil deportivo: sexo, fecha de nacimiento, peso, FTP, zonas de entrenamiento, objetivos.
• Datos de actividad: sesiones de entrenamiento (potencia, frecuencia cardiaca, cadencia, carga de entrenamiento, GPS si lo aportas) sincronizadas desde Intervals.icu o introducidas manualmente.
• Wellness diario: sueño, fatiga, motivación, estrés, dolor muscular — datos subjetivos que tú decides registrar.
• Salud femenina (opcional): ciclo menstrual, fase hormonal, embarazo, lactancia — solo si decides registrarlos.
• Antropometría (opcional): medidas corporales (pliegues, perímetros, diámetros) si las registras.
• Nutrición: planes orientativos y selecciones de alimentos.
• Técnicos: cookies estrictamente necesarias para mantener la sesión.

3. Datos de salud (categoría especial · Art. 9 RGPD)Sensibles

Algunos datos que tratamos (peso, FC en reposo, ciclo menstrual, embarazo, lactancia, antecedentes clínicos, antropometría) son datos relativos a la salud, considerados de categoría especial por el RGPD.

Base legal específica: consentimiento explícito (art. 9.2.a RGPD). Antes de procesarlos te pedimos consentimiento separado mediante nuestro sistema de consents (registrado con fecha, IP y user-agent).

Importante: Nutrilaps no constituye un servicio médico ni nutricional individualizado. La información ofrecida es orientativa, basada en literatura científica (ACSM, ISSN). En casos clínicos (embarazo, lactancia, RED-S, diabetes, TCA, menores) la app deriva al usuario a profesional sanitario colegiado.

4. Finalidad y base legal

• Prestación del servicio (cuenta, login, panel): ejecución de contrato (art. 6.1.b RGPD).
• Comunicaciones sobre el servicio (avisos técnicos, beta): interés legítimo (art. 6.1.f RGPD).
• Datos de salud: consentimiento explícito (art. 9.2.a RGPD).
• Comunicación con tu coach (si te asignas uno): consentimiento explícito al vincularte.
• Mejora del producto (analítica anonimizada): consentimiento.

5. Encargados del tratamiento

Para ofrecer el servicio nos apoyamos en proveedores que actúan como encargados del tratamiento. La siguiente tabla detalla el estado real del Data Processing Agreement (DPA) art. 28 RGPD y la base legal de las transferencias internacionales en el momento de actualización de este documento. Esta lista se actualizará a medida que completemos las firmas pendientes.

Estado actual (fase beta): los DPAs marcados como "pendientes" están en proceso de firma. Mientras tanto, las transferencias se amparan en las cláusulas estándar de los términos de servicio de cada proveedor, que ya incorporan SCCs aprobadas por la Comisión Europea (Decisión 2021/914) o adhesión al EU-US Data Privacy Framework (DPF). Para los proveedores marcados en rojo, mantenemos limitada la categoría y cantidad de datos personales tratados hasta completar las firmas formales. En el caso de la IA (Anthropic), la DPA comercial ya está vigente (incorporada a los Commercial Terms + SCCs Módulo 2) y los datos de categoría especial RGPD art. 9 solo se envían con el consentimiento explícito del atleta (ai_processing + sensitive_health), retirable en cualquier momento.

Si tienes dudas sobre alguno o quieres copia formal de las garantías, escríbenos a contacto@nutrilaps.com.

5a. Strava (opcional)

Si conectas tu cuenta de Strava desde tu panel, Nutrilaps recibirá los datos necesarios para sincronizar tus actividades. La conexión la inicias tú a través del flujo oficial de Strava (OAuth 2.0), con scope de solo lectura — Nutrilaps nunca escribe en tu cuenta de Strava (no publica actividades, no comenta, no da kudos, no modifica tu perfil).

Datos que recibimos de Strava:

• · Perfil básico: ID de atleta, nombre, ciudad, país, foto, sexo y peso (si los tienes públicos en Strava).
• · Actividades: detalles de cada entrenamiento subido a Strava (potencia, frecuencia cardiaca, cadencia, GPS, distancia, duración, tipo de actividad, fecha, ritmo, elevación).
• · Streams: series temporales segundo a segundo de las métricas anteriores, necesarias para los análisis avanzados (zonas, decoupling, IF, NP).

Cómo recibimos las actividades: al conectarte activamos un webhook oficial de Strava: cada vez que subes una actividad nueva, Strava nos avisa en segundos y la importamos automáticamente. Adicionalmente puedes solicitar un backfill manual de hasta 90 días anteriores desde tu panel.

Finalidad y base legal: ejecución del contrato (art. 6.1.b RGPD) para los análisis de entrenamiento, periodización nutricional e informes automáticos a los que estás suscrito. Los datos de Strava se utilizan únicamente dentro de Nutrilaps y solo son visibles para ti y, si lo autorizas, para tu coach asignado. No vendemos, no cedemos a anunciantes ni utilizamos tus datos de Strava para entrenar modelos de IA de terceros.

Transferencia internacional: Strava, Inc. es una empresa estadounidense (San Francisco, CA) y sus servidores residen fuera del Espacio Económico Europeo. La transferencia se ampara en el marco EU-US Data Privacy Framework (Decisión de adecuación de la Comisión Europea 2023/1795) cuando el proveedor está certificado, o subsidiariamente en las Cláusulas Contractuales Tipo (Decisión UE 2021/914) y en tu consentimiento explícito al iniciar la conexión OAuth.

Revocación y borrado: puedes desconectar Strava en cualquier momento desde Mi Perfil → Fuentes de actividades → Desconectar Strava o revocando el permiso desde tu cuenta de Strava (Settings → My Apps). Cuando lo haces, dejamos de recibir actividades nuevas. Adicionalmente puedes pulsar "Borrar todas las actividades de Strava" desde el mismo panel para eliminar de Nutrilaps el histórico ya importado. Borrado completo en un plazo máximo de 24 horas.

Uso de la marca Strava en Nutrilaps: empleamos el botón oficial "Conectar con Strava" y la atribución "Powered by Strava" conforme a las Directrices de marca de la API de Strava. Nutrilaps no está afiliada a, patrocinada por ni respaldada por Strava, Inc.

5a-bis. Intervals.icu (opcional)

Si conectas tu cuenta de Intervals.icu desde tu panel, Nutrilaps recibirá tus actividades, entrenamientos planificados y métricas de entrenamiento (CTL, ATL, TSB). La conexión se realiza mediante API Key personal que generas en Intervals.icu y pegas en Nutrilaps; puedes revocarla en cualquier momento eliminando la API Key o desconectando desde tu panel.

Datos que recibimos: actividades, planes de entrenamiento, zonas configuradas, métricas TSS / CTL / ATL / TSB, eventos del calendario y perfil básico (ID de atleta, nombre).

Finalidad y base legal: ejecución del contrato (art. 6.1.b RGPD) para sincronizar planes entre coach y atleta y generar análisis cruzados. No vendemos ni compartimos estos datos.

Transferencia internacional: Intervals.icu opera desde infraestructura europea (Reino Unido). Tras el Brexit, las transferencias UK ↔ UE están cubiertas por la Decisión de adecuación de la Comisión Europea 2021/1772.

Revocación y borrado: al desconectar Intervals.icu, dejamos de sincronizar. Puedes borrar el histórico ya importado desde el botón "Borrar todas las actividades de Intervals.icu" en tu panel.

5b. Telemetría de uso

Para mejorar la app registramos automáticamente qué páginas visitas dentro del panel y cuánto tiempo pasas en cada una. Se asocia a tu cuenta solo el tiempo agregado y la ruta visitada — nunca el contenido específico que ves dentro de ella.

Páginas con datos de salud (nutrición, wellness, perfil, salud femenina, antropometría) se registran como /__sensitive__ — sin asociar tu actividad de salud a tu patrón de uso. Mantenemos métricas de uso globales (DAU/WAU/MAU) sin mezclarlas con tus datos de categoría especial.

Base legal: interés legítimo (art. 6.1.f RGPD) para mejorar el producto.
Conservación: 90 días detallados; después se borran automáticamente.
Opt-out: puedes desactivarla en cualquier momento desde Mi Perfil → Telemetría de uso. Al hacerlo, además dejamos de registrar, borramos tu histórico completo (RGPD art. 17 - derecho de supresión).

Esta telemetría no se comparte con terceros: queda en nuestra propia base de datos en Supabase. No usamos Google Analytics, Vercel Analytics ni herramientas similares.

5c. Garmin Connect (opcional)

Si conectas tu cuenta de Garmin Connect desde tu panel, Nutrilaps recibirá los datos necesarios para ofrecerte las funcionalidades a las que estás suscrito. La conexión la inicias tú a través del flujo oficial de Garmin (OAuth 2.0 con PKCE) y puedes revocarla en cualquier momento desde tu panel o desde tu cuenta de Garmin Connect.

Datos que recibimos de Garmin:

• · Actividades: detalles de cada entrenamiento completado (potencia, frecuencia cardiaca, cadencia, GPS, calorías, duración, tipo de actividad).
• · Entrenamientos planificados: publicación en tu calendario de Garmin Connect de los entrenamientos estructurados que tu coach o nuestra IA te asignen.

Si en el futuro habilitamos la integración con la Health API de Garmin (sueño, HRV, frecuencia cardiaca en reposo, Body Battery), te pediremos consentimiento explícito adicional antes de empezar a recibir esos datos, dado su carácter de categoría especial (art. 9 RGPD).

Finalidad y base legal: ejecución del contrato (art. 6.1.b RGPD) para los datos de actividad y entrenamiento. Los datos de Garmin se utilizan únicamente para las funcionalidades de Nutrilaps a las que estás suscrito (análisis de entrenamientos, informes con IA, nutrición periodizada). No vendemos ni compartimos tus datos de Garmin con terceros y no los empleamos con fines publicitarios.

Transferencia internacional: Garmin International, Inc. es una empresa estadounidense y sus servidores residen fuera del Espacio Económico Europeo. La transferencia se ampara en el marco EU-US Data Privacy Framework (Decisión de adecuación de la Comisión Europea 2023/1795) cuando el proveedor está certificado, o subsidiariamente en las Cláusulas Contractuales Tipo (Decisión UE 2021/914) y en tu consentimiento explícito al iniciar la conexión OAuth.

Revocación y borrado: puedes desconectar Garmin en cualquier momento desde Mi Perfil → Integraciones o revocando el permiso desde Garmin Connect. Cuando lo haces, Garmin nos notifica automáticamente a través de sus endpoints de Deregistration y User Permission Change, y eliminamos los datos asociados en un plazo máximo de 30 días, salvo aquellos que debamos conservar por obligación legal.

5d. iGPSport (integración nativa — pendiente)

La integración nativa con iGPSport Cloud (OAuth 2.0 sobre IdentityServer4, oauth.igpsport.com) está pendiente de aprobación por el iGPSport Open Platform y todavía no está disponible en tu panel. Hoy no enviamos ni recibimos datos directamente de los servidores de iGPSport (China).

Mientras tanto, si usas un ciclocomputador iGPSport puedes traer tus actividades a Nutrilaps usando Strava como puente (iGPSport Cloud → Strava → Nutrilaps), la ruta recomendada por la propia iGPSport. En ese caso aplica la sección 5a (Strava) de esta política, no una transferencia directa a China.

Cuando la integración nativa se active: iGPSport es una empresa china (Wuhan Qiwu Technology Co., Ltd.) y sus servidores residen fuera del Espacio Económico Europeo. China no figura en la lista de países con decisión de adecuación de la Comisión Europea, y no disponemos de Cláusulas Contractuales Tipo firmadas con este proveedor. Por ello, la transferencia solo podrá ampararse en el art. 49.1.a RGPD (consentimiento explícito del interesado para una transferencia internacional específica, tras ser informado de los riesgos por la ausencia de un marco legal equivalente al europeo). Te pediremos ese consentimiento de forma separada en el momento de conectar la integración, que será siempre voluntaria y revocable; podrás seguir usando Nutrilaps con normalidad sin conectar iGPSport.

Actualizaremos esta sección con los detalles definitivos (datos recibidos, revocación y plazos de borrado) en cuanto la integración nativa esté operativa.

5e. Wahoo Cloud API (opcional)

Si conectas tu cuenta de Wahoo Fitness desde tu panel, Nutrilaps recibirá los datos necesarios para ofrecerte las funcionalidades a las que estás suscrito. La conexión la inicias tú a través del flujo oficial de Wahoo (OAuth 2.0 estándar contra api.wahooligan.com) y puedes revocarla en cualquier momento desde tu panel o desde la app Wahoo.

Scopes que solicitamos: email, user_read, workouts_read, workouts_write, plans_read, plans_write, power_zones_read y offline_data (este último necesario para recibir webhooks cuando subes una actividad). Puedes ver el detalle de cada uno en la página de integraciones.

Datos que recibimos de Wahoo:

• · Actividades: resúmenes (workout_summary) más el archivo FIT completo de cada sesión (potencia, frecuencia cardiaca, cadencia, GPS, altimetría, calorías, duración).
• · Perfil básico: nombre, email, peso, sexo, fecha de nacimiento — necesarios para los cálculos fisiológicos del análisis.
• · Zonas de potencia: tus zonas configuradas en Wahoo, para que el análisis use la misma referencia que tu dispositivo. Nunca las modificamos sin tu permiso explícito.
• · Workouts planificados: publicación en tu calendario Wahoo de los entrenamientos estructurados que tu coach o nuestra IA te asignen.

Finalidad y base legal: ejecución del contrato (art. 6.1.b RGPD) para los datos de actividad y entrenamiento. Los datos de Wahoo se utilizan únicamente para las funcionalidades de Nutrilaps a las que estás suscrito (análisis de entrenamientos, informes con IA, nutrición periodizada, envío de workouts al ELEMNT). No vendemos ni compartimos tus datos de Wahoo con terceros y no los empleamos con fines publicitarios.

Transferencia internacional: Wahoo Fitness LLC es una empresa estadounidense y sus servidores residen fuera del Espacio Económico Europeo. La transferencia se ampara en el marco EU-US Data Privacy Framework (Decisión de adecuación de la Comisión Europea 2023/1795) cuando el proveedor está certificado, o subsidiariamente en las Cláusulas Contractuales Tipo (Decisión UE 2021/914) y en tu consentimiento explícito al iniciar la conexión OAuth.

Revocación y borrado: puedes desconectar Wahoo en cualquier momento desde Mi Perfil → Integraciones o revocando el permiso desde la app Wahoo. Cuando lo haces eliminamos los tokens (revocándolos también vía API en el lado Wahoo) y dejamos de recibir webhooks. Las actividades ya importadas se conservan como histórico salvo que solicites su borrado, que realizamos en un plazo máximo de 30 días.

6. Conservación

Conservamos tus datos mientras la cuenta esté activa. Si solicitas el borrado, eliminamos todos tus datos personales en un plazo máximo de 30 días, salvo aquellos que debamos conservar por obligación legal (en cuyo caso quedan bloqueados y solo accesibles a requerimientos oficiales).

7. Tus derechos

Puedes ejercer en cualquier momento tus derechos de:

• · Acceso — saber qué datos tenemos sobre ti
• · Rectificación — corregir datos inexactos
• · Supresión — borrar tu cuenta y datos asociados
• · Portabilidad — recibir tus datos en formato estructurado
• · Oposición y limitación
• · Retirar el consentimiento en cualquier momento (no afecta a la licitud de tratamientos previos)

Envía la solicitud a contacto@nutrilaps.com. Responderemos en plazo máximo de 30 días.

También puedes presentar una reclamación ante la Agencia Española de Protección de Datos: aepd.es.

8. Menores de edad

Nutrilaps no está dirigido a menores de 14 años: por debajo de esa edad no es posible registrarse (LOPDGDD art. 7 + RGPD art. 8).

Para usuarios de entre 14 y 17 años, el registro exige además la autorización de un progenitor o tutor legal, que verificamos dentro de la propia plataforma: durante el alta pedimos la fecha de nacimiento y, al detectar que se trata de un menor en ese rango, solicitamos el email del tutor. Le enviamos un correo con un enlace único para que apruebe o rechace el tratamiento de los datos del menor. Hasta que el tutor aprueba, la cuenta queda en estado pendiente y el acceso a las funciones con datos de salud está limitado.

El estado del consentimiento parental (pendiente, aprobado, caducado o rechazado) se registra de forma auditable. Si el tutor rechaza, o si el enlace caduca sin confirmarse, la cuenta del menor se elimina tras un periodo de gracia. El tutor puede reenviar la solicitud o corregir su email desde el aviso que ve el menor mientras la autorización está pendiente.

9. Seguridad

Aplicamos medidas técnicas y organizativas razonables: cifrado en tránsito (HTTPS), cifrado en reposo a nivel de proveedor, segregación por Row Level Security en la base de datos, secretos en variables de entorno, claves rotadas periódicamente y revisión de accesos.

10. Cambios en esta política

Podemos actualizar esta política para reflejar mejoras o cambios legales. Las modificaciones se publican en esta misma página con la fecha de actualización en la cabecera. Para cambios sustanciales que afecten a tus derechos, te avisaremos por email.