Política de Privacidad
Document version: 2026-05-25 · Aplicable desde España (RGPD + LOPDGDD)
1. Responsable del tratamiento
- Identidad: Rafael Perez
- Contacto en materia de protección de datos: privacidad@trakiafit.com
No se ha designado formalmente un Delegado de Protección de Datos (Art. 37 RGPD) por no concurrir los supuestos obligatorios; el contacto anterior atiende todas las consultas y solicitudes de derechos.
2. Datos que recopilamos y finalidad
Aviso importante: No incluyas datos médicos sensibles (diagnósticos, enfermedades, diabetes, medicación, etc.) en las descripciones de alimentos ni en el formulario de contacto. El servicio no está diseñado ni autorizado para gestionar datos de salud de categoría especial (Art. 9 RGPD).
| Dato | Finalidad | Base legal |
|---|---|---|
| Dirección de email | Identificación, acceso a la cuenta y comunicaciones del servicio | Ejecución del contrato (Art. 6.1.b RGPD) |
| Nombre (opcional) | Personalización de la interfaz | Ejecución del contrato (Art. 6.1.b RGPD) |
| Fotografías de alimentos | Análisis nutricional mediante IA. Las imágenes se transmiten a proveedores de IA externos (Anthropic / OpenAI / Google) actúando como encargados del tratamiento, y se almacenan hasta que el usuario las elimina. | Ejecución del contrato + consentimiento explícito del interesado para la transmisión a proveedores de IA (Art. 6.1.a y 6.1.b RGPD) |
| Audio de voz y transcripción | Cuando pulsas el botón de micrófono ("Describir por voz") tu voz se transcribe a texto. En la web, la transcripción ocurre en el propio navegador. En las apps iOS y Android, el sistema operativo realiza la transcripción usando Apple Speech Recognition o Google Speech Recognition (puede implicar envío del audio a sus servidores). Trakiafit solo recibe el texto transcrito; no almacenamos el audio. El texto se envía a los proveedores de IA igual que las descripciones manuales. | Consentimiento explícito del usuario al pulsar el micrófono + ejecución del contrato (Art. 6.1.a y 6.1.b RGPD) |
| Datos nutricionales y de peso | Seguimiento del historial del usuario | Ejecución del contrato (Art. 6.1.b RGPD) |
| Datos de bienestar y actividad | Registro de agua, peso, calorías activas gastadas y tus entrenamientos (tipo de ejercicio, duración y calorías quemadas de cada sesión), junto con otros datos de actividad importados desde Apple Health o Health Connect cuando activas la sincronización. Solo se importan los tipos de datos para los que hayas dado permiso explícito en la app al conectar la integración. Tus entrenamientos se muestran únicamente con fines informativos en tu diario y calendario; no ajustan tus objetivos calóricos. | Ejecución del contrato + consentimiento del usuario al conectar la integración de salud (Art. 6.1.a y 6.1.b RGPD) |
| Tokens de notificaciones push | Enviar recordatorios, resúmenes y alertas que hayas activado en la app. | Consentimiento (Art. 6.1.a RGPD) |
| Datos de suscripción y pagos | Gestionar planes Premium, renovaciones, cancelaciones, facturación, incidencias de cobro y prevención de fraude. | Ejecución del contrato + obligaciones legales aplicables (Art. 6.1.b y 6.1.c RGPD) |
| Preferencias de email y comunicaciones | Enviar comunicaciones transaccionales, resúmenes semanales si los activas y comunicaciones comerciales solo si das tu consentimiento. | Ejecución del contrato, consentimiento e interés legítimo según el tipo de comunicación (Art. 6.1.a, 6.1.b y 6.1.f RGPD) |
| Dirección IP y user-agent | Gestión de sesiones, prevención de abusos y seguridad | Interés legítimo (Art. 6.1.f RGPD) |
| Huella de dispositivo (device fingerprint) | Identificador derivado (hash) de tu user-agent, idioma y codificación aceptada por el navegador (la dirección IP no forma parte del hash). Se usa exclusivamente para detectar y prevenir el fraude y el abuso (p. ej. creación masiva de cuentas para acumular bonos de bienvenida o referidos). No se comparte con terceros ni se usa para publicidad. | Interés legítimo (Art. 6.1.f RGPD) |
| Datos de la capa social (perfil público, amigos, grupos, clasificaciones) | Nombre de usuario (username) y avatar de tu perfil público, tus amistades y pertenencia a grupos, y los puntos y posiciones que se muestran en las clasificaciones (ligas, amigos, grupos y, si tu perfil es público, la clasificación global). La competición se basa siempre en tu actividad/hábito, nunca en tu peso. Tu perfil es privado por defecto: solo apareces en la clasificación global si cambias tu visibilidad a pública. | Ejecución del contrato + consentimiento al activar la capa social y hacer público tu perfil (Art. 6.1.a y 6.1.b RGPD) |
| Datos del formulario de contacto | Gestión y respuesta a consultas de soporte | Interés legítimo (Art. 6.1.f RGPD) |
Tratamiento automatizado: el servicio realiza tratamiento automatizado de imágenes y descripciones de alimentos para generar estimaciones nutricionales, así como una puntuación diaria de calidad nutricional (escala 0-100 / letra A–F) y propuestas de reajuste de objetivos calóricos (TDEE adaptativo) a partir de tu historial. Ninguno de estos procesamientos constituye una decisión automatizada con efectos jurídicos ni que te afecte significativamente en los términos del Art. 22 del RGPD: todas las estimaciones, puntuaciones y propuestas son meramente orientativas, no condicionan el precio ni el acceso al servicio, requieren tu supervisión, y las sugerencias de objetivos pueden desactivarse en los ajustes y solo se aplican si las aceptas activamente.
3. Transferencias internacionales y encargados del tratamiento
Las fotografías e instrucciones de texto enviadas para análisis se transmiten a proveedores de inteligencia artificial establecidos en Estados Unidos, que actúan como encargados del tratamiento (Art. 28 RGPD) bajo instrucciones de Trakiafit:
- Anthropic, Inc. (San Francisco, EE.UU.) Relación jurídica: Acuerdo de Encargo del Tratamiento (DPA) con Cláusulas Contractuales Tipo (CCT) adoptadas por la Comisión Europea (Art. 46.2.c RGPD) como mecanismo de transferencia. Política de privacidad de Anthropic.
- OpenAI, LLC (San Francisco, EE.UU.) — si se configura como proveedor Relación jurídica: Acuerdo de Encargo del Tratamiento (DPA) con Cláusulas Contractuales Tipo (CCT) adoptadas por la Comisión Europea (Art. 46.2.c RGPD) como mecanismo de transferencia. Política de privacidad de OpenAI.
- Google LLC (Mountain View, EE.UU.) — si se configura como proveedor (Gemini API a través de Google AI Studio) Relación jurídica: Acuerdo de Encargo del Tratamiento (DPA) con Cláusulas Contractuales Tipo (CCT) adoptadas por la Comisión Europea (Art. 46.2.c RGPD) como mecanismo de transferencia. Términos de Gemini API · Política de privacidad de Google.
Ninguno de estos proveedores utilizará tus datos para entrenar sus modelos en virtud de los acuerdos de encargo suscritos. Para más información sobre las garantías aplicables, puedes solicitarlas en privacidad@trakiafit.com.
Procesadores de pago
| Entidad | Finalidad | País | Garantías |
|---|---|---|---|
| Stripe Payments Europe, Ltd. | Pagos web | Irlanda + EE.UU. | DPA + CCT (Art. 46.2.c RGPD) |
| Apple Inc. | Pagos iOS (App Store) | EE.UU. | DPA + CCT + DPF |
| Google LLC | Pagos Android (Google Play) | EE.UU. | DPA + CCT + DPF |
Adicionalmente, Trakiafit puede utilizar PostHog para analítica de comportamiento de usuario (qué funciones se utilizan, flujo de navegación y retención). PostHog solo se carga si has aceptado expresamente la analítica opcional. PostHog actúa como encargado del tratamiento bajo instrucciones de Trakiafit:
- PostHog, Inc. (San Francisco, EE.UU.) — datos procesados en servidores de la UE Datos recogidos: identificador de usuario, páginas visitadas y eventos de interacción. La transferencia se realiza con CCT (Art. 46.2.c RGPD) y los datos se procesan en infraestructura europea. Base legal: consentimiento (Art. 6.1.a RGPD). Política de privacidad de PostHog.
Otros proveedores técnicos
| Entidad | Finalidad | País | Garantías |
|---|---|---|---|
| Cloudflare, Inc. | Protección anti-bot (Turnstile) en formularios de registro y contacto; seguridad de red. Procesa la IP y características del navegador exclusivamente para detectar tráfico automatizado. | EE.UU./global | DPA + CCT (Art. 46.2.c RGPD) |
| Brevo (Sendinblue) | Envío de emails transaccionales (verificación, reset, lifecycle si lo aceptaste). | Francia | Encargado del tratamiento (UE) |
| Google LLC — Firebase Cloud Messaging | Notificaciones push (solo si las activas). Solo se procesa un token de dispositivo opaco, no el contenido del mensaje. | EE.UU. | DPA + CCT + DPF |
| Functional Software, Inc. (Sentry) | Monitorización de errores. Trakiafit ha configurado el SDK con send_default_pii=False y un filtro before_send que redacta tokens, cabeceras de autenticación e IP antes del envío. |
EE.UU. | DPA + CCT |
| Apple Inc. / Google LLC — Health | Importación de peso, calorías activas gastadas, entrenamientos (tipo, duración y calorías) y actividad física desde Apple Health o Health Connect (solo si autorizas la integración). Los datos se importan exclusivamente con tu consentimiento explícito al activar la integración desde los ajustes de la app. | EE.UU. | DPA + CCT + DPF |
| Apple Inc. — Speech Recognition (iOS) | Transcripción de voz a texto cuando usas "Describir por voz" en la app iOS. El audio capturado por el micrófono puede enviarse a los servidores de Apple para transcribirlo; Apple no almacena el audio asociado a tu cuenta de Trakiafit. Solo se activa al pulsar el botón de micrófono. Política de Apple. | EE.UU. | DPF + CCT |
| Google LLC — Speech Recognition (Android) | Transcripción de voz a texto cuando usas "Describir por voz" en la app Android. Android delega el reconocimiento al servicio del sistema (normalmente la app de Google), que puede enviar el audio a los servidores de Google. Solo se activa al pulsar el botón de micrófono. Política de Google. | EE.UU. | DPF + CCT |
| Open Food Facts (French non-profit association) — world.openfoodfacts.org | Lookup of nutritional information for packaged products when scanning a barcode or searching for food manually — Barcode scanned or search term. Zero personal data of the user. | France (EU — GDPR) | Performance of contract (Art. 6.1.b GDPR) |
4. Plazos de conservación
- Datos de cuenta: mientras la cuenta esté activa o hasta que el usuario solicite su eliminación.
- Sesiones: máximo 14 días, o hasta el cierre de sesión.
- Fotografías e historial nutricional: hasta eliminación manual por el usuario o borrado de la cuenta.
- Datos de agua y peso: hasta eliminación manual por el usuario o borrado de la cuenta.
- Tokens push: hasta que desactives notificaciones, cierres sesión en el dispositivo o elimines la cuenta.
- Datos de facturación y suscripción: durante la relación contractual y, tras su finalización, durante los plazos legalmente exigibles en materia mercantil y fiscal (con carácter general, hasta 6 años conforme al Código de Comercio y la normativa tributaria española) para contabilidad, reclamaciones y prevención de fraude.
- Logs de seguridad: máximo 90 días.
- Datos de contacto: el tiempo necesario para resolver la consulta, máximo 1 año.
- Registro de consentimiento: durante toda la vida de la cuenta y hasta 3 años tras su cierre, a efectos de cumplimiento normativo.
5. Tus derechos
Puedes ejercer los siguientes derechos en cualquier momento enviando un email a privacidad@trakiafit.com. Si no podemos verificar tu identidad por otros medios, podremos solicitar información adicional o copia de un documento identificativo únicamente para tramitar la solicitud:
- Acceso: conocer qué datos tuyos tratamos.
- Rectificación: corregir datos inexactos (también disponible desde tu perfil).
- Supresión: solicitar la eliminación de tu cuenta y todos tus datos (también disponible desde tu perfil → "Borrar mi cuenta").
- Portabilidad: recibir tus datos en formato estructurado y legible por máquina (disponible desde tu perfil → "Descargar mis datos"; por motivos técnicos esta descarga directa se limita a una vez cada 24 h, pero puedes solicitar el ejercicio del derecho sin esa limitación por email).
- Retirada del consentimiento: puedes retirar en cualquier momento el consentimiento prestado. Para el análisis de imágenes mediante IA, basta con dejar de usar la función de análisis fotográfico o eliminar tu cuenta. Para las comunicaciones, puedes desactivar el email y las notificaciones push por categoría desde tu perfil (notificaciones), o usar el enlace de baja de cualquier email.
- Oposición y limitación: oponerte al tratamiento basado en interés legítimo o restringirlo en determinadas circunstancias.
Resolveremos tu solicitud en el plazo de un mes desde su recepción (Art. 12.3 RGPD), prorrogable por dos meses adicionales si la solicitud es compleja o numerosa, en cuyo caso te informaremos dentro del primer mes. El ejercicio de estos derechos es gratuito.
Si consideras que tus derechos no han sido atendidos, puedes reclamar ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es.
6. Seguridad
Aplicamos medidas técnicas y organizativas adecuadas para proteger tus datos: cifrado de contraseñas con bcrypt, tokens de sesión con hash SHA-256, comunicaciones mediante HTTPS/TLS, protección contra ataques de fuerza bruta y cabeceras de seguridad HTTP. Para reportar vulnerabilidades, consulta security.txt.