Política de Privacidad — FitFlow
Titular: ALYARTE DISEÑO S.L. (Responsable del Tratamiento) Última actualización: 22 de abril de 2026
1. Responsable del Tratamiento
| Campo | Valor |
|---|---|
| Identidad | ALYARTE DISEÑO S.L. |
| NIF | B87332169 |
| Dirección postal | Calle Francisco de Quevedo 19, 28810 Villalbilla (Madrid) |
| Teléfono | 609 936 839 |
| Correo electrónico (DPO) | privacidad@gtdevsolutions.com |
| Correo electrónico alternativo | leticia@alyarte.es |
Esta Política de Privacidad es aplicable al servicio FitFlow y a todos los dominios operados por el Responsable del Tratamiento, incluyendo panel.gtdevsolutions.com, app.gtdevsolutions.com (app móvil PWA), subdominios {tenant}.gtdevsolutions.com y subdominios cliente.
2. Finalidades del tratamiento
Tratamos sus datos personales con las siguientes finalidades:
2.1 Usuarios del servicio (socios del gimnasio)
- Gestión del alta, acceso y cierre de su cuenta de socio.
- Procesamiento de reservas de clases, entrenamientos y recursos.
- Gestión de pagos, tarifas, domiciliaciones SEPA y facturación.
- Envío de notificaciones operativas (recordatorios, confirmaciones, cambios).
- Comunicaciones comerciales relacionadas con el servicio contratado, únicamente si usted ha dado su consentimiento expreso al activar la opción correspondiente en su perfil.
- Cumplimiento de obligaciones fiscales, contables y de prevención de blanqueo.
2.2 Administradores de gimnasio (tenants)
- Prestación del servicio SaaS de gestión de centro deportivo contratado por el gimnasio.
- Facturación y cobro de la suscripción al servicio.
- Soporte técnico, mantenimiento y actualizaciones.
- Comunicaciones operativas sobre el servicio.
2.3 Usuarios potenciales (leads formulario web)
- Responder a solicitudes de información.
- Envío de información comercial sobre FitFlow únicamente si hay consentimiento expreso.
3. Base jurídica
- Ejecución de un contrato (art. 6.1.b RGPD): gestión de cuenta, reservas, pagos.
- Consentimiento (art. 6.1.a RGPD): comunicaciones comerciales, cookies no esenciales, datos de salud relevantes para el entrenamiento.
- Obligación legal (art. 6.1.c RGPD): conservación de facturas, obligaciones tributarias, antibanqueo.
- Interés legítimo (art. 6.1.f RGPD): seguridad del servicio, prevención de fraude, analítica agregada no identificable.
4. Plazos de conservación
| Categoría de datos | Plazo |
|---|---|
| Datos de cuenta activa | Mientras la cuenta permanezca activa |
| Datos fiscales (facturas, cobros) | 6 años desde el cierre del ejercicio (art. 30 CCom + art. 66 LGT) |
| Datos de reservas y uso | 3 años tras el último uso |
| Logs de acceso y auditoría | 1 año (salvo requerimiento judicial) |
| Consentimiento comunicaciones comerciales | Hasta que el usuario revoque |
| Datos de candidatos / leads no convertidos | 1 año desde último contacto, salvo solicitud previa de eliminación |
Tras estos plazos, los datos se anonimizan o eliminan de forma segura. Los registros fiscales anonimizados se conservan para cumplir obligaciones contables españolas (no contienen PII identificable).
5. Encargados del tratamiento
FitFlow opera sobre infraestructura de los siguientes proveedores, que actúan como encargados del tratamiento bajo contratos conformes al art. 28 RGPD:
| Proveedor | Función | Ubicación datos | Garantías transferencia |
|---|---|---|---|
| Supabase (Supabase Inc.) | Base de datos PostgreSQL, Auth, Storage | UE (Frankfurt — eu-central-1) | Sin transferencia internacional en datos operativos |
| Vercel (Vercel Inc.) | Hosting aplicación Next.js, edge CDN | EE.UU. (ingress) / UE (edge caches) | DPF (Data Privacy Framework) + SCCs Módulo 3 |
| Stripe (Stripe Payments Europe, Ltd.) | Procesador de pagos | UE (Irlanda — Dublín) + EE.UU. para reporting | DPF + SCCs + adequacy para Irlanda |
| Google Workspace (Google Ireland Ltd.) | Email transaccional (SMTP Relay) | UE + EE.UU. | DPF + SCCs |
| Upstash (Upstash Inc.) | Rate limiting (Redis) | UE (eu-west-1 — Irlanda) | Sin transferencia internacional en datos operativos |
| GT DEV SOLUTIONS (Gustavo Enrique Tejera Durán, en proceso de constitución) | Sub-encargado: desarrollo, mantenimiento, DevOps del software FitFlow | UE (España) | DPA #1 firmado con Alyarte Diseño S.L. |
Todos los contratos DPA están disponibles bajo solicitud a privacidad@gtdevsolutions.com.
6. Destinatarios y cesiones
No cedemos sus datos a terceros salvo:
- Obligación legal (AEAT, Tesorería General Seguridad Social, Fuerzas y Cuerpos de Seguridad).
- Proveedores encargados listados en la sección 5 (no se consideran cesión a efectos RGPD).
- Su gimnasio (en caso de socio, el gimnasio es co-responsable del tratamiento de sus datos como socio del centro).
7. Transferencias internacionales
Las transferencias de datos a EE.UU. mencionadas en la sección 5 se amparan en:
- Data Privacy Framework (DPF) — decisión de adecuación Comisión Europea 10-jul-2023 para entidades adheridas.
- Cláusulas Contractuales Tipo (SCCs) Módulo 3 (processor-to-processor) de la Decisión 2021/914/UE.
Puede solicitar copia de las garantías aplicables en privacidad@gtdevsolutions.com.
8. Sus derechos
Tiene derecho a:
- Acceso (art. 15 RGPD): obtener copia de sus datos. Disponible self-service en
/configuracion/privacidad(staff) o/mi-cuenta/privacidad(socio). - Rectificación (art. 16): corregir datos inexactos desde su perfil o solicitándolo.
- Supresión / derecho al olvido (art. 17): eliminar su cuenta. Disponible self-service en las mismas rutas. Los datos fiscales se anonimizan, no se eliminan, por obligación legal (sección 4).
- Limitación del tratamiento (art. 18).
- Portabilidad (art. 20): descargar sus datos en formato JSON estructurado. Self-service en los endpoints indicados.
- Oposición (art. 21).
- No ser objeto de decisiones automatizadas (art. 22): FitFlow no toma decisiones automatizadas con efectos jurídicos sobre usted.
- Retirar consentimiento en cualquier momento para las finalidades basadas en él.
Para ejercerlos: envíe solicitud a privacidad@gtdevsolutions.com identificándose suficientemente, o use los endpoints self-service mencionados.
Reclamación: si considera que no ha obtenido satisfacción plena, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD):
- Dirección: C/ Jorge Juan 6, 28001 Madrid.
- Sede electrónica: https://sedeagpd.gob.es
- Teléfono: 901 100 099 / 91 266 35 17.
9. Medidas de seguridad
Implementamos medidas técnicas y organizativas conformes al art. 32 RGPD, entre otras:
- Cifrado en tránsito (TLS 1.3) y en reposo (AES-256).
- Autenticación multifactor obligatoria para cuentas administrativas (TOTP).
- Aislamiento multi-tenant mediante Row Level Security (RLS) en la base de datos.
- Validación de integridad en webhooks de pago (firma HMAC).
- Auditoría de accesos y eventos críticos (audit log inmutable).
- Rate limiting de endpoints sensibles (5 req/min autenticación).
- Gestión de secretos vía vault cifrado.
- Copias de seguridad automáticas con retención de 7 días.
- Rotación de credenciales y claves periódica.
- Pruebas de penetración y revisiones de seguridad bajo demanda.
10. Cookies y tecnologías similares
El uso de cookies se regula en nuestra Política de Cookies (accesible desde /cookies), conforme al art. 22.2 LSSI-CE y la Guía AEPD 2023 sobre cookies.
Puede gestionar sus preferencias de cookies en cualquier momento pulsando "Preferencias de cookies" en el pie de página.
11. Menores de edad
FitFlow no está dirigido a menores de 14 años. En caso de que un menor se registre como socio de un gimnasio, se requiere consentimiento del titular de la patria potestad o tutela, que el gimnasio debe obtener por escrito (art. 8 RGPD + art. 7 LOPDGDD).
12. Modificaciones
Nos reservamos el derecho de modificar esta Política para adaptarla a cambios legislativos o de servicio. Las modificaciones sustanciales serán comunicadas a los usuarios registrados con al menos 30 días de antelación.
La versión vigente siempre estará disponible en /privacidad indicando la fecha de última actualización.
13. Consulta, dudas y contacto
- Correo DPO: privacidad@gtdevsolutions.com
- Correo alternativo: leticia@alyarte.es
- Postal: ALYARTE DISEÑO S.L., Calle Francisco de Quevedo 19, 28810 Villalbilla (Madrid), España.
Texto elaborado a partir de las plantillas oficiales de la herramienta FACILITA RGPD de la Agencia Española de Protección de Datos (AEPD), adaptado al contexto del servicio FitFlow y ampliado con información específica sobre encargados del tratamiento, transferencias internacionales y medidas de seguridad técnicas.