1. Protección de datos personales
2A CONSULTING se compromete a proteger los datos personales de sus usuarios de conformidad con el Reglamento General de Protección de Datos (RGPD — Reglamento UE 2016/679) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Responsable del tratamiento:
2A CONSULTING
Correo electrónico: contact@athleteside.com
Delegado de protección de datos (DPD):
Contactable por correo electrónico en contact@athleteside.com
Para cualquier cuestión relativa a la protección de sus datos personales, puede contactarnos en la dirección indicada arriba.
2. Datos recogidos
Recogemos diferentes categorías de datos en función de su uso de la plataforma:
Datos de identificación: nombre, apellidos, dirección de correo electrónico, contraseña (cifrada), foto de perfil, fecha de nacimiento.
Datos de conexión: dirección IP, tipo de navegador, sistema operativo, páginas consultadas, fecha y hora de conexión, URL de procedencia.
Datos de pago: la información de tarjeta bancaria es tratada exclusivamente por nuestro proveedor de pagos Stripe. Nunca almacenamos sus números de tarjeta bancaria en nuestros servidores. Conservamos las referencias de transacción, importes y fechas de facturación.
Datos deportivos: historial de actividades (vía Strava, Garmin Connect o entrada manual), rendimientos, frecuencia cardíaca, datos GPS de recorridos, objetivos deportivos, nivel de forma.
Datos de coaching: mensajes intercambiados entre entrenador y atleta, planes de entrenamiento asignados, opiniones y valoraciones.
Datos de interacción con la IA: historial de conversaciones con el Coach IA, preguntas formuladas, perfil deportivo transmitido a la IA.
Datos de geolocalización: dirección IP geolocalizada (MaxMind GeoIP), localización de eventos y clubes.
Datos de navegación: cookies, identificadores de sesión, preferencias de visualización, datos de audiencia (ver sección Cookies).
Datos de comunicación: dirección de correo electrónico para el boletín, preferencias de notificación.
3. Bases legales de los tratamientos
Cada tratamiento de datos personales se basa en una base legal conforme al artículo 6 del RGPD:
Ejecución del contrato (art. 6.1.b):
- Creación y gestión de su cuenta de usuario
- Tratamiento de sus pedidos y pagos (suscripciones Prime, planes de entrenamiento, coaching)
- Prestación del servicio de coaching (mensajería, planes, seguimiento)
- Conexión a través del marketplace
- Acceso al Coach IA (para suscriptores Prime)
- Exportación de sesiones hacia Strava / Garmin Connect
- Envío del boletín y comunicaciones comerciales
- Conexión de su cuenta Strava o Garmin (acceso a sus datos de actividad deportiva)
- Conexión a través de un servicio de terceros (Google, Facebook, Apple)
- Instalación de cookies no esenciales (analytics, publicitarias)
- Mejora de la plataforma y análisis de audiencia
- Prevención del fraude y seguridad del sitio (reCAPTCHA, rate limiting)
- Seguimiento de conversiones y rendimiento de las funcionalidades
- Conservación de facturas y datos de transacción (obligaciones fiscales y contables)
- Respuesta a requisitorias judiciales
4. Finalidades de los tratamientos
Sus datos personales son tratados para las siguientes finalidades:
- Gestión de cuentas: inscripción, autenticación, gestión del perfil de usuario.
- Servicios de pago: tratamiento de pagos, gestión de suscripciones (Prime, coaching), emisión de facturas, pago de comisiones a los entrenadores.
- Coaching: conexión entrenador/atleta, mensajería, seguimiento de sesiones, valoraciones.
- Inteligencia artificial: prestación del Coach IA, personalización de recomendaciones de entrenamiento.
- Datos deportivos: sincronización con Strava y Garmin, exportación de sesiones, cálculos de rendimiento.
- Marketplace: publicación y gestión de anuncios, mensajería entre vendedor y comprador.
- Comunicación: envío del boletín, notificaciones transaccionales (confirmación de pedido, recordatorio de pago, expiración de tarjeta), correos de servicio.
- Programa de referidos: seguimiento de los referidos, asignación de recompensas.
- Análisis y mejora: medición de audiencia, análisis de recorridos de usuario, optimización del sitio.
- Seguridad: detección de fraude, protección contra abusos (reCAPTCHA), registro de accesos.
5. Inteligencia artificial
AthleteSide utiliza servicios de inteligencia artificial proporcionados por OpenAI (OpenAI, L.L.C., San Francisco, Estados Unidos) para las siguientes funcionalidades:
- Coach IA: Asistente conversacional de entrenamiento, nutrición y estrategia de carrera. Los mensajes que envía al Coach IA son transmitidos a la API de OpenAI para generar respuestas.
- Generación de contenido: Algunos artículos y descripciones pueden ser generados o enriquecidos por IA.
- Traducción: Asistencia a la traducción de contenidos en los diferentes idiomas del sitio.
Ausencia de decisión automatizada: La IA proporciona recomendaciones con fines informativos. Ninguna decisión que produzca efectos jurídicos o afecte significativamente al usuario se toma de manera automatizada basándose únicamente en un tratamiento algorítmico.
Los datos transmitidos a OpenAI son objeto de una transferencia fuera de la UE (ver sección «Transferencias fuera de la UE»).
6. Datos de pago
Los pagos en AthleteSide son procesados por Stripe (Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublín, Irlanda).
Datos tratados por Stripe: número de tarjeta bancaria, fecha de caducidad, criptograma visual, nombre del titular. Estos datos son recogidos y tratados directamente por Stripe en un entorno certificado PCI-DSS Nivel 1. AthleteSide nunca almacena sus datos de tarjeta bancaria.
Datos conservados por AthleteSide: identificador de cliente Stripe, 4 últimos dígitos de la tarjeta, tipo de tarjeta, fecha de caducidad, historial de transacciones (importes, fechas, estados), facturas.
Para los entrenadores: los pagos de comisiones se efectúan a través de Stripe Connect. El entrenador proporciona sus coordenadas bancarias (IBAN, BIC) directamente a Stripe.
Política de privacidad de Stripe: https://stripe.com/es/privacy
7. Conexión a través de servicios de terceros
AthleteSide permite la conexión y el registro a través de los siguientes servicios de terceros:
Google (Google Ireland Limited, Gordon House, Barrow Street, Dublín 4, Irlanda) — Datos recuperados: nombre, apellidos, dirección de correo electrónico, foto de perfil.
Facebook (Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublín 2, Irlanda) — Datos recuperados: nombre, apellidos, dirección de correo electrónico, foto de perfil.
Apple (Apple Distribution International Ltd., Hollyhill Industrial Estate, Cork, Irlanda) — Datos recuperados: nombre, dirección de correo electrónico (posiblemente retransmitida a través del servicio «Hide My Email»).
Strava (Strava, Inc., San Francisco, Estados Unidos) — Datos recuperados: nombre, apellidos, foto de perfil, datos de actividades deportivas (ver sección «Datos deportivos»).
El uso de estos servicios de conexión es facultativo y está sujeto a su consentimiento. Puede desconectar en cualquier momento un servicio de terceros desde la configuración de su cuenta. Solo se recuperan los datos necesarios para la creación o la conexión de su cuenta.
8. Datos deportivos y de salud
Algunas funcionalidades de AthleteSide implican el tratamiento de datos relativos a la salud en el sentido del artículo 9 del RGPD, en particular:
- Frecuencia cardíaca (datos importados desde Strava o Garmin Connect)
- Datos de actividad física: distancia, duración, ritmo, desnivel, potencia, cadencia
- Datos GPS: trazados de recorridos
- Objetivos deportivos y nivel de forma
Strava (Strava, Inc., San Francisco, Estados Unidos) — Accedemos a sus actividades deportivas a través de la API de Strava. Puede revocar este acceso en cualquier momento desde la configuración de su cuenta Strava.
Garmin Connect (Garmin Ltd., Schaffhausen, Suiza / Garmin International, Inc., Olathe, Kansas, Estados Unidos) — Exportamos sesiones a su cuenta Garmin. La conexión puede ser revocada desde la configuración de Garmin.
Puede eliminar en cualquier momento sus datos deportivos desde la configuración de su cuenta AthleteSide.
9. Encargados del tratamiento y destinatarios de los datos
Sus datos personales pueden ser transmitidos a los siguientes encargados del tratamiento, que actúan bajo instrucciones de 2A CONSULTING:
| Encargado del tratamiento | Servicio | Datos afectados | Localización |
|---|---|---|---|
| Amazon Web Services (AWS) | Alojamiento | Todos los datos | UE (Irlanda / Francia) |
| Stripe | Pagos | Datos de pago, identidad | Irlanda / Estados Unidos |
| SendGrid (Twilio) | Envío de correos | Dirección de correo, contenido de correos | Estados Unidos |
| OpenAI | Inteligencia artificial | Conversaciones IA, perfil deportivo | Estados Unidos |
| reCAPTCHA, Analytics, OAuth | Dirección IP, datos de navegación | Irlanda / Estados Unidos | |
| Plausible Analytics | Análisis de audiencia | Datos de navegación anonimizados | UE |
| MaxMind (GeoIP2) | Geolocalización IP | Dirección IP | Estados Unidos |
| Meta (Facebook) | OAuth, compartir social | Identidad (si conexión social) | Irlanda / Estados Unidos |
| Apple | OAuth (Sign In with Apple) | Identidad (si conexión social) | Irlanda |
| Strava | Sync actividades deportivas | Datos de actividad física | Estados Unidos |
| Garmin | Exportación de sesiones | Sesiones de entrenamiento | Suiza / Estados Unidos |
| Effiliation | Afiliación comercial | Datos de navegación (cookies) | Francia |
Ningún dato personal es vendido a terceros.
10. Transferencias de datos fuera de la UE
Algunos de nuestros encargados del tratamiento están ubicados fuera de la Unión Europea, en particular en Estados Unidos. Estas transferencias están amparadas por las siguientes garantías, de conformidad con el capítulo V del RGPD:
EU-US Data Privacy Framework: Stripe, Google, Meta y otros encargados estadounidenses están certificados bajo el Data Privacy Framework, reconocido por la Comisión Europea como que ofrece un nivel de protección adecuado (decisión de adecuación del 10 de julio de 2023).
Cláusulas Contractuales Tipo (CCT): Para los encargados no cubiertos por el Data Privacy Framework, se han establecido Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.
Encargados del tratamiento concernidos por una transferencia fuera de la UE:
- Stripe (Estados Unidos) — Data Privacy Framework
- SendGrid / Twilio (Estados Unidos) — CCT
- OpenAI (Estados Unidos) — CCT + Data Processing Agreement
- Google (Estados Unidos) — Data Privacy Framework
- MaxMind (Estados Unidos) — CCT
- Strava (Estados Unidos) — CCT
11. Cookies y rastreadores
El sitio https://www.athleteside.com utiliza cookies y rastreadores. Para una información detallada, consulte nuestra página dedicada a las cookies.
Resumen de las categorías de cookies utilizadas:
- Cookies estrictamente necesarias: Sesión de usuario, autenticación, cesta, CSRF, preferencia de idioma. Estas cookies no requieren su consentimiento.
- Cookies analíticas: Google Analytics, Plausible Analytics — medición de audiencia y mejora del sitio.
- Cookies funcionales: Memorización de sus preferencias (comparador de productos, filtros).
- Cookies de terceros: reCAPTCHA (Google), botones de compartir en redes sociales, contenidos integrados (vídeos).
12. Plazos de conservación
Sus datos son conservados durante los siguientes plazos:
| Tipo de datos | Plazo de conservación |
|---|---|
| Cuenta de usuario | Duración de la cuenta + 3 años tras la supresión |
| Datos de pago y facturas | 10 años (obligación contable — Código de Comercio español) |
| Datos de coaching (mensajes, planes) | Duración de la suscripción + 1 año |
| Conversaciones Coach IA | Duración de la cuenta (suprimibles por el usuario) |
| Datos de actividades deportivas | Duración de la cuenta (suprimibles por el usuario) |
| Boletín | Hasta la baja |
| Registros de conexión | 12 meses (obligación legal — LSSI-CE) |
| Datos de audiencia (analytics) | 26 meses máximo |
| Cookies | 13 meses máximo (recomendación AEPD) |
| Anuncios marketplace | Duración de la publicación + 6 meses |
| Datos de programa de referidos | Duración de la cuenta del referidor |
Al vencimiento de estos plazos, los datos son suprimidos o anonimizados de manera irreversible.
13. Sus derechos
De conformidad con el RGPD y la LOPDGDD, usted dispone de los siguientes derechos sobre sus datos personales:
- Derecho de acceso (art. 15 RGPD): Obtener la confirmación de que datos que le conciernen están siendo tratados y obtener una copia de los mismos.
- Derecho de rectificación (art. 16 RGPD): Hacer corregir datos inexactos o incompletos.
- Derecho de supresión (art. 17 RGPD): Solicitar la supresión de sus datos, sujeto a las obligaciones legales de conservación.
- Derecho a la portabilidad (art. 20 RGPD): Recibir sus datos en un formato estructurado, de uso común y lectura mecánica.
- Derecho de oposición (art. 21 RGPD): Oponerse al tratamiento de sus datos por motivos legítimos, u oponerse a la prospección comercial.
- Derecho a la limitación (art. 18 RGPD): Solicitar la suspensión del tratamiento de sus datos en ciertos casos.
- Derecho de retirada del consentimiento: Retirar su consentimiento en cualquier momento (boletín, cookies, conexión social, datos deportivos), sin afectar a la licitud del tratamiento anterior.
- Directivas post mortem: Definir directivas relativas al destino de sus datos después de su fallecimiento.
14. Ejercer sus derechos
Para ejercer sus derechos, puede:
- Enviar un correo electrónico a contact@athleteside.com precisando su solicitud y adjuntando un justificante de identidad.
- Utilizar las funcionalidades de su cuenta: modificar sus informaciones, suprimir su cuenta, gestionar sus suscripciones, desconectar los servicios de terceros (Strava, Google, etc.).
En caso de dificultad en el ejercicio de sus derechos, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD):
AEPD — C/ Jorge Juan 6, 28001 Madrid
Sitio web: www.aepd.es
15. Seguridad de los datos
2A CONSULTING implementa las medidas técnicas y organizativas apropiadas para proteger sus datos personales:
- Cifrado en tránsito: Todas las comunicaciones están aseguradas mediante HTTPS/TLS.
- Cifrado en reposo: Los datos sensibles están cifrados en la base de datos.
- Hash de contraseñas: Las contraseñas son hasheadas con un algoritmo seguro (bcrypt) y nunca se almacenan en claro.
- Control de acceso: Acceso restringido a los datos por rol (RBAC), autenticación reforzada para los administradores.
- Pagos seguros: Procesamiento PCI-DSS vía Stripe — ningún dato de tarjeta bancaria transita por nuestros servidores.
- Protección contra abusos: Rate limiting, reCAPTCHA, protección CSRF, detección de intrusiones.
- Copias de seguridad: Copias de seguridad regulares y cifradas de los datos.
- Actualizaciones: Aplicación regular de parches de seguridad.
16. Menores
El sitio AthleteSide no está destinado a menores de 14 años (edad del consentimiento digital en España, conforme al artículo 7 del RGPD y artículo 92 de la LOPDGDD).
Los usuarios de entre 14 y 18 años deben obtener la autorización de su representante legal para crear una cuenta y utilizar los servicios, en particular los servicios de pago.
Si constatamos que se han recogido datos relativos a un menor de 14 años sin el consentimiento del titular de la patria potestad, tomaremos las medidas necesarias para suprimir estos datos en los menores plazos posibles.