Política de Privacidad

Datos personales que recopilamos

• Datos de cuentaDirección de correo electrónico, necesaria para crear y gestionar tu cuenta, autenticarte y enviarte comunicaciones del servicio (p. ej., códigos de verificación OTP).
• Fotos de perfilImagen de perfil que el usuario sube voluntariamente. Se almacena de forma privada en Supabase Storage con acceso restringido.
• Fotos corporales — BodyScan rápido (quick scan)Las fotografías corporales enviadas para realizar un análisis rápido se transmiten a través de nuestro servidor y se procesan mediante Google Gemini. Estas imágenes NO se almacenan en ningún sistema tras concluir el análisis; se descartan de forma permanente una vez obtenido el resultado.
• Fotos corporales — BodyScan de progreso (progress scan)Si el usuario ha dado su consentimiento explícito durante el proceso de incorporación (onboarding), las fotografías corporales correspondientes a escaneos de progreso se almacenan de forma cifrada y privada en Supabase Storage. Estas fotografías no son accesibles por terceros ni por el equipo de Gymia, salvo requerimiento legal. El usuario puede eliminarlas en cualquier momento desde su perfil. NOTA IMPORTANTE: Las fotografías corporales pueden constituir datos biométricos en el sentido del Art. 9 RGPD cuando permitan identificar a una persona de forma inequívoca. Su tratamiento se basa exclusivamente en el consentimiento explícito del usuario (Art. 9.2.a RGPD), que puede ser retirado en cualquier momento.
• Datos de uso y entrenamientoDatos relativos a tus sesiones de entrenamiento, check-ins en gimnasio, puntos (GymPoints), racha semanal y métricas derivadas de los análisis BodyScan (puntuaciones de simetría, definición, V-Taper, Hourglass, etc.). Estos datos no incluyen información de salud clínica.
• Datos de pagoLos pagos son gestionados íntegramente por LemonSqueezy (Merchant of Record). Gymia no almacena ni tiene acceso a datos de tarjetas de crédito, cuentas bancarias ni ningún dato financiero sensible. LemonSqueezy actúa como responsable independiente del tratamiento de datos de pago.
• Datos técnicos de acceso (logs)Nuestro servidor backend (alojado en Render) puede registrar automáticamente datos técnicos como la dirección IP, tipo de dispositivo, sistema operativo y marcas de tiempo de las solicitudes realizadas al servicio. Estos datos se utilizan exclusivamente para garantizar la seguridad, estabilidad y diagnóstico del servicio, y se eliminan automáticamente en un plazo máximo de 30 días. No contienen información sensible del usuario.
• Cookies técnicasUtilizamos cookies estrictamente necesarias para el funcionamiento del servicio: cookie de sesión de Supabase (autenticación) y cookie de idioma (NEXT_LOCALE). Estas cookies no requieren consentimiento previo al ser técnicamente imprescindibles.
• Tecnologías publicitarias de MonetagCon tu consentimiento previo, permitimos que Monetag (PropellerAds Ltd) instale tecnologías de seguimiento en tu dispositivo para mostrar publicidad. Monetag puede recopilar datos técnicos como dirección IP, tipo de navegador, sistema operativo y ubicación geográfica aproximada. Gymia no tiene acceso ni control sobre estos datos una vez son procesados por Monetag. Puedes consultar la política de privacidad de Monetag en https://monetag.com/privacy/.

Base legal del tratamiento

• Ejecución de un contrato (Art. 6.1.b RGPD)Tratamos tus datos de cuenta y de uso para prestarte el servicio al que te has suscrito.
• Consentimiento explícito (Art. 6.1.a y Art. 9.2.a RGPD)El almacenamiento de fotografías corporales de progreso y el uso de tecnologías publicitarias de Monetag se basan exclusivamente en tu consentimiento, otorgado de forma libre, específica e informada. Puedes retirar dicho consentimiento en cualquier momento sin que ello afecte a la licitud del tratamiento previo.
• Interés legítimo (Art. 6.1.f RGPD)El análisis temporal de imágenes corporales para generar métricas BodyScan (quick scan) se basa en el interés legítimo de ofrecer el servicio principal, dado que las imágenes no son retenidas tras el procesamiento. El registro de logs técnicos del servidor también se basa en interés legítimo para garantizar la seguridad y el correcto funcionamiento del servicio.
• Cumplimiento de obligaciones legales (Art. 6.1.c RGPD)Podemos conservar ciertos datos cuando así lo exija la normativa fiscal, mercantil o de cualquier otra índole aplicable.

Terceros encargados del tratamiento

Gymia trabaja con los siguientes proveedores que pueden procesar datos personales de los usuarios en nombre del Servicio o como responsables independientes. Gymia se reserva el derecho de sustituir o incorporar nuevos proveedores en cualquier momento. Cuando dicho cambio afecte al tratamiento de tus datos personales, serás notificado con al menos 15 días de antelación y esta sección será actualizada.

• SupabaseBase de datos, almacenamiento y autenticación · Unión Europea (AWS eu-west-3)Actúa como encargado del tratamiento bajo DPA firmado.
• Google Gemini (Google LLC)Análisis de imágenes corporales mediante inteligencia artificial · Estados Unidos (con garantías adecuadas: Data Processing Addendum firmado)Las imágenes son procesadas bajo los términos del Acuerdo de Procesamiento de Datos (DPA/APD) de Google Cloud. La activación de facturación en Google AI Studio garantiza que los datos no se usan para entrenamiento de modelos. Google puede retener datos temporalmente según sus propias políticas de retención.
• Monetag (PropellerAds Ltd)Red publicitaria para la versión gratuita del Servicio · Chipre / Internacional (con garantías adecuadas)Solo activo con consentimiento previo del usuario. Monetag puede recopilar datos técnicos del dispositivo (IP, navegador, SO, geolocalización aproximada) para mostrar publicidad relevante y detectar fraude. Gymia no tiene acceso ni control sobre los datos procesados por Monetag. Contacto DPO de Monetag: dpo@monetag.com.
• LemonSqueezyProcesamiento de pagos (Merchant of Record) · Estados UnidosActúa como responsable independiente del tratamiento de datos de pago. Gymia no recibe ni almacena datos financieros.
• Render (Render Services, Inc.)Hospedaje del servidor backend (NestJS) · Estados UnidosLos datos en tránsito a través del servidor son procesados en los servidores de Render. Actúa como encargado del tratamiento. Los logs técnicos se eliminan automáticamente en un plazo máximo de 30 días.

Plazos de conservación

• Datos de cuenta (email)Mientras la cuenta esté activa. Se eliminan en los 30 días siguientes a la solicitud de baja.
• Fotos de progreso (progress scan)Hasta que el usuario las elimine manualmente o elimine su cuenta. No existe retención mínima obligatoria.
• Fotos de quick scanNo se almacenan. Se descartan de forma permanente tras el procesamiento en tiempo real.
• Datos de uso y métricas BodyScanMientras la cuenta esté activa o hasta que el usuario los elimine.
• Logs técnicos del servidor (Render)Máximo 30 días, eliminados automáticamente.

Tus derechos

Como usuario residente en el EEE, Reino Unido o Suiza, tienes los siguientes derechos bajo el RGPD:

• Acceso (Art. 15)Solicitar una copia de los datos personales que tratamos sobre ti.
• Rectificación (Art. 16)Solicitar la corrección de datos inexactos o incompletos.
• Supresión / «derecho al olvido» (Art. 17)Solicitar la eliminación de tus datos. Puedes hacerlo directamente desde la app (ajustes → eliminar cuenta) o enviando una solicitud a privacy@gymia.one.
• Limitación del tratamiento (Art. 18)Solicitar que restrinjamos el tratamiento de tus datos en determinadas circunstancias.
• Portabilidad (Art. 20)Recibir tus datos en un formato estructurado, de uso común y lectura mecánica.
• Oposición (Art. 21)Oponerte al tratamiento basado en interés legítimo.
• Retirada del consentimientoRetirar en cualquier momento el consentimiento otorgado (p. ej., para publicidad de Monetag o almacenamiento de fotos de progreso) sin efecto retroactivo.
• Reclamación ante la autoridad de controlPresentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es si consideras que el tratamiento de tus datos vulnera la normativa vigente.

Para ejercer cualquiera de estos derechos, contacta con nosotros en contact@gymia.one indicando tu nombre, dirección de correo electrónico registrada y el derecho que deseas ejercer. Responderemos en un plazo máximo de 30 días naturales.

Responsable del tratamiento

El responsable del tratamiento de tus datos personales es: Nombre: Samuel Navasardyan Vardanyan Nombre comercial: Gymia Sitio web: https://gymia.one Correo electrónico de contacto: contact@gymia.one Al no estar Gymia constituida como entidad jurídica independiente en este momento, el responsable actúa como persona física autónoma en el ejercicio de esta actividad.

Delegado de Protección de Datos (DPO)

Gymia no está obligada a designar un Delegado de Protección de Datos conforme al Art. 37 RGPD, al no tratarse de un organismo público, no realizar una monitorización sistemática a gran escala de personas físicas, ni tratar datos de categorías especiales como actividad principal a gran escala. Para cualquier consulta relacionada con la protección de datos, puedes contactar directamente con el responsable del tratamiento en contact@gymia.one.

Edad mínima requerida

El Servicio está dirigido exclusivamente a personas mayores de 18 años. Al registrarte, confirmas que tienes al menos 18 años de edad. Si tenemos conocimiento de que un usuario es menor de 18 años, eliminaremos su cuenta y todos los datos asociados de forma inmediata. Si eres padre, madre o tutor legal y crees que tu hijo/a menor ha creado una cuenta, ponte en contacto con nosotros en contact@gymia.one.

Transferencias internacionales de datos

Algunos de nuestros proveedores están ubicados fuera del Espacio Económico Europeo (EEE), en particular en Estados Unidos. Dichas transferencias se realizan bajo garantías adecuadas conforme al Art. 46 RGPD, incluyendo Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea y, en el caso de Google, el Marco de Privacidad de Datos UE-EE.UU. (Data Privacy Framework, DPF).

Notificación de brechas de seguridad

En caso de producirse una brecha de seguridad que pueda suponer un riesgo para los derechos y libertades de los usuarios, Gymia notificará dicho incidente a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas desde que tenga conocimiento de la misma, conforme al Art. 33 RGPD. Si la brecha entraña un alto riesgo para los usuarios afectados, estos serán informados de forma directa y sin dilación indebida, conforme al Art. 34 RGPD.

Seguridad de los datos

Aplicamos medidas técnicas y organizativas adecuadas para proteger tus datos personales frente a accesos no autorizados, pérdida o destrucción accidental, incluyendo: almacenamiento en buckets privados con control de acceso basado en roles (RLS) en Supabase, transmisión de datos mediante HTTPS/TLS, y acceso restringido a fotografías mediante URLs firmadas de corta duración.

Política de cookies

Utilizamos cookies y tecnologías similares. Las cookies técnicas son necesarias para el funcionamiento del Servicio y no requieren tu consentimiento. Las tecnologías publicitarias de Monetag solo se activarán si das tu consentimiento explícito a través del banner de cookies que aparece en tu primera visita. Puedes modificar tus preferencias en cualquier momento desde el enlace «Gestionar cookies» disponible en el pie de página del sitio. Para más información consulta nuestra Política de Cookies completa.

Cambios en esta Política

Podemos actualizar esta Política de Privacidad periódicamente. Cuando realicemos cambios sustanciales, te notificaremos mediante un aviso en la aplicación o por correo electrónico con al menos 15 días de antelación. La fecha de la última actualización figura siempre en la parte superior del documento.

Contacto

Si tienes cualquier pregunta, duda o solicitud relacionada con esta Política de Privacidad o el tratamiento de tus datos personales, puedes contactarnos en: Correo electrónico: contact@gymia.one Sitio web: https://gymia.one