Política de Privacidad

v2026.07 · 3 de julio de 2026

Esta Política de Privacidad explica qué datos personales tratamos en OneRealSet, con qué finalidad, con qué base jurídica y qué derechos tienes sobre ellos, cuando usas nuestra aplicación web y nuestro coach de inteligencia artificial por chat web y WhatsApp. Está redactada conforme a los artículos 13 y 14 del RGPD y en lenguaje claro: si algo no se entiende, escríbenos a [RELLENAR: email de contacto].

Responsable del tratamiento

El responsable del tratamiento de tus datos personales es [RELLENAR: nombre y apellidos del titular], con NIF [RELLENAR: NIF] y domicilio en [RELLENAR: domicilio], operador individual de OneRealSet (en adelante, «OneRealSet» o «nosotros»). Contacto para cualquier cuestión de protección de datos: [RELLENAR: email de contacto]. OneRealSet es una plataforma online de entrenamiento personal operada desde España y disponible en español e inglés. Combina una aplicación web con un coach de inteligencia artificial accesible por chat web y por WhatsApp; esta política se aplica a ambos canales. Marco normativo aplicable: Reglamento (UE) 2016/679 (RGPD), Ley Orgánica 3/2018 (LOPDGDD), Ley 34/2002 (LSSI-CE), Real Decreto Legislativo 1/2007 (TRLGDCU) y Reglamento (UE) 2024/1689 (Reglamento de Inteligencia Artificial), en lo relativo a transparencia. La ley aplicable y la jurisdicción son las españolas, sin perjuicio de los derechos que te correspondan como consumidor en tu lugar de residencia.

Qué datos tratamos

Tratamos únicamente los datos necesarios para prestarte el servicio: - Datos de cuenta: dirección de email, nombre y, si lo facilitas, número de teléfono (necesario para usar el coach por WhatsApp). - Perfil de entrenamiento: peso, medidas corporales, lesiones, condición física y objetivos. Son datos de salud, una categoría especial de datos del artículo 9 del RGPD, y solo los tratamos con tu consentimiento explícito (ver la sección dedicada más abajo). - Historial de entrenamientos: sesiones, ejercicios, series, cargas y progreso registrados en la aplicación. - Mensajes del chat: el contenido de tus conversaciones con el coach de IA, tanto en el chat web como en WhatsApp. - Datos de facturación: los gestiona Stripe como proveedor de pagos; nosotros no almacenamos números de tarjeta en nuestros sistemas. - Datos técnicos: una cookie de preferencia de idioma y determinada información guardada en el almacenamiento local de tu navegador (detallada en la sección de cookies). No recogemos datos de fuentes externas: toda la información procede de ti y de tu uso del servicio.

Cookies y almacenamiento local

OneRealSet solo utiliza cookies y almacenamiento local técnicos, estrictamente necesarios para que la aplicación funcione: - Una cookie de preferencia de idioma (SameSite=Lax), que recuerda si usas el servicio en español o en inglés. - Almacenamiento local del navegador: el estado de la aplicación («one-realset-store»), la sesión de autenticación de Supabase y una marca local para las alertas de racha de entrenamiento. No usamos cookies de analítica, de publicidad ni de terceros. Al tratarse exclusivamente de elementos técnicos estrictamente necesarios, están exentos del deber de obtener consentimiento conforme al artículo 22.2 de la LSSI-CE y a la Guía sobre el uso de cookies de la AEPD. Por eso no mostramos banner de cookies: no es exigible. Si en el futuro incorporásemos analítica u otras cookies no exentas, te pediríamos consentimiento previo antes de activarlas y actualizaríamos esta política.

El coach de IA y tus datos

El coach de OneRealSet es un sistema de inteligencia artificial. Te lo indicamos de forma expresa en cumplimiento del deber de transparencia del artículo 50 del Reglamento (UE) 2024/1689 (Reglamento de Inteligencia Artificial), aplicable desde el 2 de agosto de 2026: cuando hablas con el coach, no estás hablando con una persona. Para generar sus respuestas, el modelo de IA recibe el contexto necesario de tu cuenta: los datos relevantes de tu perfil de entrenamiento (incluidos, si has dado tu consentimiento, tus datos de salud), tu historial de entrenamientos y tus mensajes del chat. Los proveedores de los modelos de IA son OpenAI y/o Groq, que actúan como encargados del tratamiento en virtud de los contratos correspondientes. Las recomendaciones del coach son orientación de fitness generada por IA. No son consejo médico ni sanitario y no sustituyen la valoración de un profesional: consulta a un profesional sanitario antes de empezar a entrenar si tienes lesiones o condiciones médicas. El coach no toma decisiones que produzcan efectos jurídicos sobre ti.

Destinatarios y encargados del tratamiento

No vendemos ni cedemos tus datos a terceros con fines comerciales. Para operar el servicio nos apoyamos en los siguientes encargados y subencargados del tratamiento, cada uno vinculado por un contrato de encargo conforme al artículo 28 del RGPD: - Supabase: base de datos y autenticación (alojadas en la región UE, AWS eu-west-2). - Vercel: alojamiento de la aplicación web. - Railway: infraestructura del backend del coach de IA. - Twilio: mensajería de WhatsApp. - OpenAI y/o Groq: proveedores de los modelos de IA del coach. - Stripe: procesamiento de pagos y facturación. Además de estos proveedores, solo comunicaremos datos a autoridades u organismos públicos cuando una obligación legal nos lo exija.

Transferencias internacionales

Nuestra base de datos principal está alojada en la Unión Europea (Supabase, región AWS eu-west-2). No obstante, algunos de nuestros proveedores (por ejemplo, Vercel, Railway, Twilio, OpenAI, Groq o Stripe) pueden tratar datos fuera del Espacio Económico Europeo, principalmente en Estados Unidos. Cuando esto ocurre, la transferencia queda amparada por garantías adecuadas del capítulo V del RGPD: cláusulas contractuales tipo (SCC) aprobadas por la Comisión Europea y/o la certificación del proveedor en el Marco de Privacidad de Datos UE-EE. UU. (Data Privacy Framework), según el proveedor. Puedes solicitarnos más información sobre las garantías aplicables a cada proveedor escribiendo a [RELLENAR: email de contacto].

Plazos de conservación

Conservamos tus datos mientras tu cuenta esté activa y sean necesarios para prestarte el servicio. Si solicitas el borrado de tu cuenta, se abre un periodo de gracia de 72 horas durante el cual puedes cancelar la solicitud. Transcurrido ese plazo, eliminamos tus datos de forma definitiva de nuestros sistemas activos. Tras el borrado pueden persistir temporalmente copias en nuestras copias de seguridad, que se sobrescriben en sus ciclos normales, y conservamos únicamente los registros mínimos exigidos por la ley (por ejemplo, registros de facturación a efectos fiscales), durante los plazos legales correspondientes y bloqueados para cualquier otro uso.

Tus derechos y cómo ejercerlos

Puedes ejercer la mayoría de tus derechos directamente desde la aplicación, sin necesidad de escribirnos: - Acceso y portabilidad: descarga una exportación completa de tus datos en formato JSON desde Ajustes > Privacidad. - Rectificación: edita tu perfil en cualquier momento desde la propia aplicación. - Supresión: solicita el borrado de tu cuenta desde Ajustes > Privacidad, con un periodo de gracia de 72 horas cancelable. - Revocación del consentimiento de datos de salud: desde Ajustes > Privacidad. También puedes ejercer estos derechos, junto con los de oposición y limitación del tratamiento, escribiendo a [RELLENAR: email de contacto]. Te responderemos en el plazo máximo de un mes previsto en el RGPD. Si consideras que no hemos atendido correctamente tus derechos, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), autoridad de control competente: www.aepd.es.

Menores de edad

OneRealSet está dirigido a personas de 14 años o más. Conforme al artículo 7 de la LOPDGDD, los mayores de 14 años pueden consentir por sí mismos el tratamiento de sus datos personales. Los menores de 14 años no pueden usar el servicio. No creamos cuentas para menores de 14 años y, si detectamos que una cuenta pertenece a un menor de esa edad, la eliminaremos junto con sus datos.

Seguridad

Aplicamos medidas técnicas y organizativas apropiadas al riesgo, conforme al artículo 32 del RGPD, entre ellas: cifrado de las comunicaciones (HTTPS/TLS), autenticación y control de acceso gestionados por Supabase, políticas de acceso restringido a los datos en la base de datos, alojamiento de la base de datos en la Unión Europea y selección de proveedores que ofrecen garantías contractuales de seguridad. Ningún sistema es infalible. Si se produjera una violación de seguridad que supusiera un riesgo para tus derechos y libertades, la notificaríamos a la AEPD y, cuando proceda, te informaríamos directamente, conforme a los artículos 33 y 34 del RGPD.

Cambios en esta política

Podemos actualizar esta política para reflejar cambios en el servicio o en la normativa. La versión vigente es la v2026.07, actualizada por última vez el 3 de julio de 2026. Si introducimos cambios sustanciales, te lo comunicaremos a través de la aplicación o por email antes de que entren en vigor. Si un cambio afecta al tratamiento de tus datos de salud, te pediremos de nuevo el consentimiento mediante una nueva versión del gate de consentimiento. Te recomendamos revisar esta política periódicamente: la versión y la fecha de la cabecera indican siempre la última revisión.