Legal · Transparencia
Datos y Cumplimiento
Última actualización: 11 de junio de 2026
Esta página resume, de forma técnica y honesta, cómo y dónde se tratan los datos en Ferro. Complementa la Política de Privacidad con el detalle de infraestructura, proveedores y medidas de seguridad.
1. Principios
- Local-first: por defecto, tus datos se guardan en tu dispositivo (IndexedDB del navegador). Salen de él solo si activas la copia en la nube o te vinculas a un entrenador.
- Minimización: solo tratamos lo necesario para que el Servicio funcione.
- Sin venta de datos ni publicidad: no compartimos tus datos con anunciantes ni intermediarios de datos.
- Sin rastreo de terceros: no cargamos analítica de terceros, píxeles ni cookies publicitarias.
2. Qué vive en el dispositivo y qué en el servidor
| Dato | Tu dispositivo | Servidor |
|---|---|---|
| Rutinas, series, récords, medidas, nutrición | Sí (siempre) | Solo con entrenador vinculado o copia en la nube |
| Preferencias (idioma, tema, unidades) | Sí | No |
| Datos de cuenta (email, nombre, hash de contraseña) | — | Sí (si creas cuenta) |
| Snapshot para el entrenador | Origen | Sí (mientras el vínculo esté activo) |
| Notas de voz | Copia local | Sí (al subirlas al entrenador) |
| Copia de seguridad en Google Drive | Origen | En tu Drive, no en el nuestro |
3. Proveedores (encargados del tratamiento)
| Proveedor | Para qué | Datos | Ubicación |
|---|---|---|---|
| Neon (PostgreSQL serverless) | Base de datos: cuentas, copia en la nube de tus datos, snapshots de atletas y datos del entrenador | Cuenta, copia de tu dataset, snapshots, notas/objetivos del coach, chat | Unión Europea (Frankfurt) |
| Netlify | Alojamiento del sitio, funciones de servidor y almacenamiento de archivos (Blobs) | Tráfico web, notas de voz (audio) | EE. UU. |
| Google (Identity / Drive API) | Inicio de sesión con Google y copia de seguridad opcional | Identificador de cuenta Google; copia en tu Drive | EE. UU. |
Trabajamos con cada proveedor bajo sus condiciones de tratamiento de datos. Esta lista se mantendrá actualizada si cambia la infraestructura.
4. Transferencias internacionales
La base de datos —donde viven tu cuenta, tu copia en la nube y los datos de salud— está alojada en la Unión Europea (Frankfurt), dentro del EEE.
Algunos servicios de apoyo siguen operando en Estados Unidos: el alojamiento web y las funciones (Netlify), el almacenamiento de notas de voz y el inicio de sesión con Google. Estas transferencias residuales se amparan en Cláusulas Contractuales Tipo de la UE y/o en la adhesión de los proveedores al EU-US Data Privacy Framework.
5. Cifrado y seguridad
- En tránsito: todo el tráfico viaja cifrado por HTTPS/TLS.
- Contraseñas: nunca se guardan en claro; se almacenan con funciones de hash.
- Control de acceso entrenador–atleta: un entrenador solo accede a los datos de un atleta si existe un vínculo activo y consentido. Cada petición se verifica en el servidor.
- Aislamiento: las notas de voz solo son accesibles para el atleta propietario y su entrenador vinculado.
6. Conservación y borrado
- Datos locales: permanecen hasta que los borras o desinstalas la app.
- Cuenta: al borrarla se eliminan tus datos del servidor (las tablas relacionadas se eliminan en cascada).
- Desvinculación del entrenador: elimina tu snapshot y tus notas de voz del servidor.
7. Tus controles
Desde la propia app puedes ejercer la mayoría de tus derechos sin esperar a nadie:
- Exportar tus datos (JSON, CSV o Excel) — derecho de portabilidad y acceso.
- Copia en la nube en tu propio Google Drive.
- Desvincularte de un entrenador en un toque.
- Borrar registros concretos o toda tu cuenta y datos.
8. Notificación de brechas
Si se produjera una violación de seguridad que afecte a tus datos personales y suponga un riesgo para tus derechos, lo notificaremos a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas desde que tengamos constancia, y te informaremos cuando la normativa lo exija.
9. Datos de salud
Tratamos posibles datos de salud (lesiones, fatiga, peso, medidas) como categoría especial y solo con tu consentimiento explícito. Puedes retirarlo en cualquier momento borrando esos datos o desvinculándote del entrenador.
10. Contacto
Dudas sobre datos, seguridad o cumplimiento: privacidad@ferro.fit.