GDPR y datos fitness: dónde van realmente los datos de tu smartwatch

Los datos de tu smartwatch (frecuencia cardíaca, sueño, ciclo menstrual, peso, actividad) son datos de salud según el GDPR art. 4 n. 15: el reglamento los somete a normas más estrictas que las direcciones de correo electrónico o el historial de compras, y cada marca que los recopila debe cumplir obligaciones precisas frente a los usuarios europeos. Este artículo explica qué significan esas obligaciones en la práctica y cómo hacer valer tus derechos.

Qué se considera 'dato de salud' según el GDPR

Categoría 'especial' (art. 9): el tratamiento está en principio prohibido salvo excepciones explícitas. Las excepciones relevantes para los smartwatches son dos: consentimiento explícito (art. 9.2.a) y finalidades de asistencia sanitaria/medicina laboral/salud pública (9.2.h-i). Prácticamente todos los fabricantes de consumo se basan en el consentimiento explícito que otorgas al aceptar los términos de servicio en el primer inicio.

• •Frecuencia cardíaca: dato de salud.
• •Ciclo menstrual (Cycle Tracking de Apple Watch, Cycle de Withings, etc.): dato de salud sensible.
• •Sueño por fases (REM, profundo, ligero, despierto): dato de salud.
• •ECG: dato de salud médico.
• •SpO₂: dato de salud.
• •Pasos diarios: zona gris. Algunas autoridades de protección de datos los clasifican como sanitarios si están vinculados a una persona identificable; otras, como datos personales estándar.
• •Registros GPS de entrenamientos: datos personales (no sanitarios en sí mismos), pero un perfil localizado que puede revelar residencia, lugar de trabajo y hábitos.

Dónde van físicamente tus datos

La política de privacidad de cada marca declara en qué países están alojados los servidores. Resumen basado en las políticas públicas a fecha de 2026:

Tus derechos, en la práctica

Derecho de acceso (art. 15)

Puedes solicitar a cualquier responsable del tratamiento una copia de todos los datos que tiene sobre ti. Tienen 30 días para responder (ampliables a 90 en casos complejos). Sin coste. El conjunto de datos debe ser inteligible (no valen volcados binarios indescifrables).

• •Apple: a través de privacy.apple.com (incluye datos de Health en iCloud).
• •Google/Fitbit: a través de takeout.google.com.
• •Samsung: a través de privacy.samsung.com/es/privacy-rights.
• •Garmin: desde el panel de cuenta → Privacy → 'Export data'.
• •Polar: a través de flow.polar.com → ajustes del perfil.
• •Withings: a través de account.withings.com → privacidad.
• •Oura: a través de cloud.ouraring.com → settings → export.
• •Xiaomi: a través de privacy.mi.com.
• •Para cualquier otra marca: escribe a privacy@[marca].com (están obligados a ofrecer un canal).

Derecho a la portabilidad (art. 20)

Aplica específicamente a los datos que tú has proporcionado (de forma voluntaria o mediante el uso del servicio). Los datos derivados o agregados por el responsable pueden no estar incluidos. El formato debe ser 'estructurado, de uso común y legible por máquina', generalmente CSV o JSON. Esta es la base legal que hace posible cambiar de ecosistema sin perder el historial.

Derecho de supresión (art. 17)

Al cerrar la cuenta, los datos deben eliminarse. Casi todas las marcas conservan copias de seguridad operativas durante 30 a 180 días tras la eliminación (deben declararlo). Para los datos anonimizados y agregados con fines de investigación o mejora del servicio, la supresión puede no ser obligatoria.

Derecho de oposición (art. 21)

Para los tratamientos basados en interés legítimo (perfilado de marketing, analíticas agregadas no esenciales), puedes oponerte en cualquier momento. El responsable debe cesar el tratamiento o demostrar un interés prevalente. Esta es casi siempre la base legal de los programas de 'compartir datos anónimos para mejorar el servicio'.

Señales de alerta en las políticas de privacidad

Cuando leas la política de privacidad de una marca de wearables antes de comprar, busca estas palabras clave. Son indicadores de prácticas más o menos agresivas.

• •'Compartimos datos con socios de investigación' → ¿consentimiento opt-in granular? Sí = correcto. Agrupado en 'aceptar todo' = señal de alerta.
• •'Datos agregados y anonimizados' → la anonimización es reversible en conjuntos de datos múltiples. Si es posible, haz opt-out.
• •'Para mejorar nuestros servicios y los de nuestros socios' → 'socios' es una vaguedad sospechosa.
• •'Personalización publicitaria' → está prohibida para datos de salud (Apple y Google/Fitbit declaran expresamente que no lo hacen gracias a compromisos regulatorios). Si encuentras esta cláusula referida a datos de salud, cambia de marca.
• •Servidores en China sin mención al GDPR → para uso en Europa es casi siempre un problema legal.

En resumen

• •La frecuencia cardíaca, el sueño, el ciclo menstrual y el SpO₂ son datos de salud 'especiales' bajo el GDPR art. 9: el consentimiento debe ser explícito y granular, no un genérico 'aceptar todo'.
• •Casi ninguna marca importante tiene servidores en Europa: Apple, Google/Fitbit, Garmin y Samsung transfieren datos a EE. UU. mediante mecanismos SCC o DPF. Huawei y Xiaomi transfieren a Asia con garantías más débiles.
• •Tienes tres derechos prácticos que puedes ejercer ahora: acceso (copia de datos en 30 días, gratis), portabilidad (formato CSV/JSON para cambiar de ecosistema) y supresión (cerrando la cuenta).
• •Señal de alerta en las políticas de privacidad: 'compartimos con socios de investigación' incluido en un único consentimiento, o 'personalización publicitaria' para datos de salud.
• •Health Connect es la configuración Android más respetuosa con la privacidad disponible: los datos permanecen en el dispositivo y cada app solicita permiso por tipo de dato.