Política de Privacidad

FitMesh Sync ("nosotros", "nuestra", "la app") respeta tu privacidad y se compromete a proteger tus datos personales. Esta Política de privacidad explica cómo recopilamos, utilizamos y protegemos la información de salud cuando usas nuestra aplicación móvil FitMesh Sync (com.fitmeshsync.app en Google Play).

Base jurídica del tratamiento: art. 6(1)(b) RGPD (ejecución del servicio solicitado por el usuario) y art. 9(2)(a) RGPD (consentimiento explícito para el tratamiento de datos relativos a la salud, otorgado mediante los permisos de Health Connect/Samsung Health dentro de la app).

FitMesh Sync lee los siguientes datos de salud desde tu dispositivo Android a través de servicios autorizados (Health Connect, Samsung Health Data SDK):

• •Actividad física: pasos, distancia recorrida, calorías quemadas (activas y totales), pisos subidos
• •Frecuencia cardíaca: media, rango mínimo/máximo, frecuencia cardíaca en reposo, HRV
• •Sueño: duración total, fases (profundo, REM, ligero, despierto), horarios de inicio y fin
• •Composición corporal: peso, altura, IMC (si los facilita el usuario)
• •Otros parámetros: saturación de oxígeno (SpO₂), VO₂ máx, temperatura cutánea, desnivel
• •Sesiones de entrenamiento: tipo de actividad, duración, distancia, calorías
• •Cuenta: dirección de correo electrónico (para autenticación mediante Supabase Auth) e identificador de dispositivo

Los datos recopilados se utilizan exclusivamente para:

• •Sincronización: recibir y almacenar tus métricas de salud en nuestro backend en la nube
• •Visualización: mostrar los datos en el panel de la app
• •Soporte: diagnosticar problemas técnicos cuando nos los comunicas por correo electrónico
• •Notificaciones: enviarte recordatorios configurables (p. ej., avisos de sincronización) mediante Firebase Cloud Messaging

No vendemos, compartimos ni utilizamos tus datos con fines publicitarios o de marketing. No existe ninguna elaboración de perfiles automatizada que produzca efectos jurídicos sobre el usuario.

Los datos sincronizados se envían al backend de FitMesh Sync alojado en:

• •Vercel Inc.: alojamiento de la API serverless de fitmesh.fit (región preferida: Europa fra1; algunas funciones edge se ejecutan en la región más cercana al usuario)
• •Supabase Inc.: base de datos PostgreSQL gestionada + autenticación + almacenamiento (proyecto en región UE, eu-central-1 Fráncfort)

Los datos permanecen en tu dispositivo Android en una caché local hasta el momento de la sincronización. Tras confirmar la recepción, la caché local se vacía.

La base de datos principal (Supabase Postgres) está alojada en la Unión Europea (Fráncfort, Alemania). Sin embargo, algunos servicios auxiliares implican una transferencia a terceros países (en particular, Estados Unidos):

• •Vercel (EE. UU.): edge runtime y registro de solicitudes. Transferencia basada en las Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea (Decisión 2021/914) y en el Addendum de Procesamiento de Datos firmado con Vercel
• •Resend (EE. UU.): envío de correos transaccionales (confirmación de registro beta, comunicaciones de soporte). Transferencia basada en CCT + DPA
• •Firebase Cloud Messaging (Google LLC, EE. UU.): transporte de notificaciones push. Google se adhiere a las CCT + Marco de Privacidad de Datos UE-EE. UU.
• •Google Sign-In (Google LLC, EE. UU.): autenticación opcional mediante cuenta de Google. Transferencia basada en CCT + DPF

Antes de transferir datos a EE. UU. realizamos una Evaluación de Impacto de la Transferencia: los datos transferidos son limitados y no incluyen identificadores biométricos puros; las CCT incluyen cláusulas de suspensión en caso de solicitudes de autoridades gubernamentales; los proveedores elegidos se adhieren al Marco de Privacidad de Datos UE-EE. UU. cuando está disponible.

• •Métricas de salud: conservadas mientras la cuenta del usuario esté activa. La eliminación de la cuenta se ejecuta automáticamente en un plazo de 24 horas desde la solicitud (proceso programado activo), que borra de forma definitiva los datos de salud asociados
• •Registros de aplicación y sincronización: conservados 90 días con fines de diagnóstico y, después, eliminados automáticamente
• •Correos de contacto (privacidad/soporte): conservados 24 meses para garantizar la continuidad del soporte y, después, eliminados
• •Copias de seguridad de la base de datos: rotación de 7 días en la recuperación point-in-time de Supabase
• •Datos de registro beta: conservados hasta el lanzamiento público y, después, anonimizados o eliminados

FitMesh Sync requiere los siguientes permisos:

• •Health Connect: para leer los datos de salud del sistema operativo Android
• •Samsung Health (opcional): si tienes un Galaxy Watch, para obtener datos adicionales que Health Connect no expone
• •Acceso a Internet: para sincronizar los datos con el backend de FitMesh Sync
• •Sincronización en segundo plano: para enviar datos periódicamente incluso cuando la app está cerrada
• •Notificaciones: para recibir recordatorios de sincronización y avisos del sistema
• •Exención de optimización de batería: para garantizar la sincronización regular (obligatorio en Android 14+)

Todos los permisos se solicitan de forma explícita y puedes revocarlos en cualquier momento desde los ajustes del dispositivo o de la aplicación.

• •Transporte: todos los datos se transmiten mediante HTTPS/TLS 1.2+ hacia fitmesh.fit
• •Persistencia local: la caché local se vacía tras la confirmación de envío por parte del servidor
• •Tokens de autenticación: JWT de Supabase almacenados en el Android Keystore (flutter_secure_storage)
• •Seguridad a nivel de fila (RLS): cada usuario solo puede leer y escribir sus propias filas (políticas RLS de Supabase en todas las tablas expuestas)
• •Sin rastreadores de terceros en la app: no incluimos SDKs de analítica, publicidad ni elaboración de perfiles en la app

De conformidad con el RGPD, tienes derecho a:

• •Acceder: solicitar una copia de tus datos almacenados en nuestros sistemas
• •Rectificar: corregir datos inexactos o incompletos
• •Suprimir: solicitar la eliminación completa de tu cuenta y de los datos asociados. La solicitud se ejecuta automáticamente en un plazo de 24 horas
• •Limitar: solicitar la limitación del tratamiento en casos específicos
• •Portabilidad: exportar todos tus datos por ti mismo, en formato JSON estructurado, desde la página de exportación disponible en el área de usuario (/app/export)
• •Oponerte: oponerte al tratamiento por motivos legítimos
• •Retirar el consentimiento: deshabilitar los permisos de acceso a los datos de salud en cualquier momento (la retirada no afecta a la licitud del tratamiento realizado antes de la misma)

Puedes ejercer por ti mismo los derechos de portabilidad (exportación de datos) y de supresión directamente desde el área de usuario. Para los demás derechos, o si lo prefieres, escríbenos a privacy@fitmesh.fit. Respondemos en un plazo de 30 días, conforme al art. 12 RGPD.

FitMesh Sync utiliza los siguientes encargados del tratamiento:

• •Health Connect (Google LLC): fuente de datos de salud Android, leídos localmente, no comunicados por nosotros a Google
• •Samsung Health Data SDK (Samsung Electronics): fuente de datos de Galaxy Watch, leídos localmente
• •Supabase Inc.: PostgreSQL gestionado + Auth (Fráncfort, DE), DPA firmado
• •Vercel Inc.: alojamiento de API serverless (EE. UU., edge global), DPA firmado + CCT
• •Resend, Inc.: envío de correos transaccionales (EE. UU.), DPA + CCT
• •Google LLC (Firebase Cloud Messaging): transporte de notificaciones push (EE. UU.), DPA + CCT + DPF
• •Google LLC (Google Sign-In, opcional): autenticación OAuth (EE. UU.), DPA + CCT + DPF
• •Google LLC (Google Play Billing): gestión de compras en la app, sujeto a los Términos de Google Play
• •Google Analytics 4 (solo sitio web, opt-in): analítica anónima activada únicamente tras el consentimiento explícito mediante el banner de cookies

Más detalles sobre las cookies del sitio web en nuestra Política de cookies.

Podemos actualizar esta Política de privacidad de vez en cuando. Para cambios significativos, te notificaremos por correo electrónico o mediante un aviso en la app antes de la próxima sincronización. La fecha de última actualización aparece en la parte superior de esta página.

FitMesh Sync no está destinada a usuarios menores de 16 años (edad mínima de consentimiento digital según el art. 8 RGPD). No recopilamos conscientemente datos personales de menores de 16 años sin el consentimiento de quien ejerza la patria potestad o tutela.

Si consideras que el tratamiento de tus datos infringe el RGPD, puedes presentar una reclamación ante la autoridad de protección de datos de tu país. Para residentes en Italia, la autoridad competente es el Garante per la Protezione dei Dati Personali garanteprivacy.it. Si resides en otro Estado miembro de la UE, puedes dirigirte a tu autoridad nacional competente.