Política de Privacidad

Identidad: Bruno Martinez (en adelante, "Rabtine").

NIF: 45575017B.

Dirección: Calle Santa Aurea, 28011 Madrid, España.

Correo electrónico de contacto: support@rabtine.com.

Esta política de privacidad se aplica a todos los datos personales recogidos a través de: (a) el sitio web rabtine.com, (b) la aplicación móvil Rabtine para iOS y Android, y (c) los servicios de backend que soportan la generación de rutinas, el seguimiento de entrenamientos y la gestión de suscripciones.

La analítica del sitio web (cookies) se rige además por nuestra Política de Cookies. La analítica dentro de la aplicación móvil (PostHog) se rige por esta Política de Privacidad.

A) Datos de cuenta y autenticación: correo electrónico, contraseña (almacenada como hash irreversible), identificador de usuario (UUID generado automáticamente), tokens de sesión, proveedor de autenticación (email, Google OAuth o Apple Sign-In), nombre (si utilizas Google Sign-In o Iniciar sesión con Apple y decides compartirlo), preferencia de idioma. Si utilizas Iniciar sesión con Apple, Apple podrá facilitarnos una dirección de correo electrónico privada de retransmisión (Private Email Relay, con formato xxx@privaterelay.appleid.com) en lugar de tu correo real, según tu elección en el momento del registro. Rabtine trata esta dirección de retransmisión de forma equivalente a un correo electrónico convencional.

B) Perfil de fitness (datos de salud — ver sección 5): fecha de nacimiento, género, altura, peso, objetivo de fitness (ganar músculo, perder grasa, fuerza, etc.), nivel de experiencia (principiante, intermedio, avanzado), días de entrenamiento por semana, duración de sesión preferida, equipamiento disponible (barras, mancuernas, poleas, máquinas, kettlebells, bandas, peso corporal), lesiones o limitaciones físicas (campo opcional), deportes o actividades adicionales (campo opcional), sistema de unidades (métrico/imperial).

C) Datos de entrenamiento: rutinas generadas por IA (nombre, días, ejercicios, series, repeticiones, notas del entrenador), registro de entrenamientos realizados (fecha, duración, estado: completado/parcial/omitido), registro de series (peso, repeticiones, completado), ejercicios bloqueados y favoritos, progreso de rendimiento.

D) Datos de suscripción: estado de suscripción (activa, expirada, cancelada), plan (mensual, anual), fecha de expiración, si has utilizado la rutina gratuita. Los datos de pago (tarjeta de crédito, datos bancarios) NO son recogidos ni almacenados por Rabtine; son gestionados directamente por Apple App Store o Google Play Store.

E) Datos de analítica (con tu consentimiento — app): eventos de uso anónimos (pasos del onboarding completados, inicio y fin de entrenamientos, visualización de pantallas). Solo se envían si otorgas tu consentimiento explícito al ser preguntado. No se envía tu email ni datos identificativos a la herramienta de analítica.

F) Datos de navegación web (con consentimiento): cookies analíticas de Google Analytics (_ga, _ga_*). Consulta nuestra Política de Cookies.

G) Datos de navegación web (sin cookies): Vercel Web Analytics recoge eventos de página de forma anónima sin establecer cookies.

H) Datos técnicos: tipo de dispositivo (iOS/Android), versión de la aplicación, dirección IP (registros de servidor), user agent.

I) Datos de soporte: mensajes enviados a través del formulario de soporte, información del dispositivo adjunta al ticket.

Ejecución del contrato (art. 6.1.b RGPD): crear y gestionar tu cuenta de usuario; generar rutinas de entrenamiento personalizadas mediante IA; permitir el seguimiento y registro de entrenamientos; gestionar suscripciones y acceso a funciones premium; enviar emails transaccionales (verificación de cuenta, restablecimiento de contraseña, notificaciones de suscripción).

Consentimiento explícito para datos de salud (art. 9.2.a RGPD): tratar tus datos de perfil de fitness clasificados como datos de salud (peso, altura, lesiones, historial de entrenamientos) para la generación personalizada de rutinas. Puedes retirar este consentimiento en cualquier momento eliminando tu cuenta, lo que supone el cese del tratamiento de estos datos.

Consentimiento para analítica en la app (art. 6.1.a RGPD): activar el seguimiento de eventos de uso anónimos mediante PostHog. La herramienta de analítica se inicia desactivada (opt-out) y solo se activa si otorgas tu consentimiento explícito. Puedes revocarlo desde los ajustes de tu perfil.

Consentimiento para cookies analíticas web (art. 6.1.a RGPD y art. 22.2 LSSI-CE): activar cookies de Google Analytics para medir el uso del sitio web. Puedes revocar este consentimiento desde el enlace "Gestionar cookies" en el pie de página.

Interés legítimo (art. 6.1.f RGPD): realizar analíticas agregadas sin cookies en el sitio web (Vercel Web Analytics); garantizar la seguridad del servicio y prevenir fraudes; mejorar el funcionamiento técnico del Servicio.

Obligación legal (art. 6.1.c RGPD): verificar que cumples la edad mínima de 16 años; conservar datos fiscales según el Código de Comercio (art. 30); atender requerimientos de autoridades públicas.

Rabtine recoge y trata datos que, en su conjunto, constituyen datos relativos a la salud conforme al artículo 9 del RGPD y al Considerando 35: peso corporal, altura, fecha de nacimiento (edad derivada), género, lesiones y limitaciones físicas, objetivo de fitness, nivel de experiencia, historial de entrenamientos (duración, ejercicios realizados, pesos, repeticiones), y métricas de rendimiento.

Estos datos se tratan con la base legal del consentimiento explícito (art. 9.2.a RGPD), que otorgas al aceptar los términos durante el registro en la aplicación, donde se te informa específicamente del tratamiento de tus datos de salud.

Estos datos de salud se utilizan exclusivamente para: (1) generar rutinas de entrenamiento personalizadas adaptadas a tu perfil, (2) registrar y mostrar tu progreso de entrenamiento, y (3) adaptar las rutinas a tus lesiones o limitaciones. No se utilizan para publicidad, perfilado comercial ni se venden a terceros.

Tu perfil de fitness (incluyendo lesiones, peso, altura, historial de entrenamientos y edad) se envía a OpenAI (Estados Unidos) para la generación de rutinas. OpenAI procesa estos datos únicamente para generar tu rutina personalizada, con la configuración "store: false" que impide que OpenAI retenga tus datos tras el procesamiento. Consulta la sección 7 para más detalles sobre este encargado del tratamiento.

Puedes retirar tu consentimiento para el tratamiento de datos de salud en cualquier momento eliminando tu cuenta. La retirada del consentimiento no afecta a la licitud del tratamiento realizado antes de la retirada.

Rabtine utiliza inteligencia artificial (OpenAI GPT) para generar rutinas de entrenamiento personalizadas. Este proceso implica tratamiento automatizado de tus datos de perfil de fitness para producir una rutina adaptada a tus características.

Información sobre la lógica: el sistema recibe tu perfil de fitness (objetivo, nivel, equipamiento, lesiones, historial) junto con un catálogo de 182 ejercicios verificados, y genera una rutina semanal con los ejercicios, series y repeticiones más adecuados para ti.

Importancia y consecuencias: la rutina generada determina los ejercicios que se te proponen. No tiene efectos jurídicos ni efectos significativos similares, ya que es una recomendación de fitness que puedes seguir o ignorar libremente. No afecta a tu acceso al servicio ni a tus condiciones contractuales.

Intervención humana: puedes bloquear ejercicios individuales, marcar favoritos y solicitar una nueva generación de rutina. El sistema se adapta a tus preferencias.

Compartimos tus datos personales con los siguientes encargados del tratamiento, exclusivamente para las finalidades indicadas:

Supabase Inc. (Unión Europea — Irlanda): alojamiento de base de datos, autenticación de usuarios, funciones de backend (Edge Functions). Almacena todos los datos de cuenta, perfil de fitness, rutinas, entrenamientos y suscripciones. Servidor en la región UE-Oeste-1 (Irlanda). DPA disponible.

OpenAI Inc. (Estados Unidos): generación de rutinas de entrenamiento mediante inteligencia artificial. Recibe tu perfil de fitness (objetivo, nivel, peso, altura, lesiones, deportes, edad, historial de entrenamientos) para generar rutinas personalizadas. Configurado con "store: false" para que OpenAI no retenga tus datos tras el procesamiento. DPA disponible.

RevenueCat Inc. (Estados Unidos): gestión de suscripciones y compras dentro de la aplicación. Recibe tu identificador de usuario y datos de suscripción (plan, estado, fechas). No recibe datos de salud. DPA disponible.

PostHog Inc. (Unión Europea — Frankfurt): analítica de producto dentro de la aplicación (solo si otorgas consentimiento). Recibe eventos de uso anónimos y tu identificador de usuario. No recibe tu email ni datos de salud. Se inicia en modo opt-out. DPA disponible.

Resend Inc. (Estados Unidos): envío de correos electrónicos transaccionales (verificación de cuenta, bienvenida, notificaciones de suscripción). Recibe tu dirección de email y preferencia de idioma. DPA disponible.

Google LLC (Estados Unidos): Google Analytics 4 para analítica del sitio web (con consentimiento) y Google OAuth para inicio de sesión social. Adherido al EU-U.S. Data Privacy Framework (DPF). DPA disponible.

Apple Inc. (Estados Unidos): Iniciar sesión con Apple (Sign in with Apple) como proveedor de autenticación en iOS. Cuando utilizas esta opción, Apple nos proporciona un identificador de usuario único, tu nombre (si decides compartirlo) y tu dirección de correo electrónico o una dirección de Private Email Relay, según tu elección. Apple no comparte con Rabtine ningún otro dato de tu cuenta de Apple ID. Apple no rastrea tu actividad dentro de Rabtine. Más información en la política de privacidad de Apple: https://www.apple.com/legal/privacy/.

Vercel Inc. (Estados Unidos): alojamiento del sitio web y analítica cookieless (Vercel Web Analytics). Adherido al EU-U.S. Data Privacy Framework (DPF). DPA disponible.

Apple Inc. / Google LLC: procesamiento de pagos de suscripciones a través de App Store y Google Play Store, respectivamente. Los datos de pago son gestionados directamente por estas plataformas conforme a sus propias políticas de privacidad.

No vendemos, alquilamos ni cedemos tus datos personales a terceros con fines publicitarios o de marketing.

Tu base de datos principal se aloja en servidores de Supabase situados en la Unión Europea (Irlanda), lo que no implica transferencia internacional.

Los siguientes encargados del tratamiento están situados en Estados Unidos y las transferencias se realizan con las siguientes garantías:

OpenAI Inc.: Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea + DPA firmado. Configuración "store: false" para evitar retención de datos.

RevenueCat Inc.: EU-U.S. Data Privacy Framework (DPF) + Cláusulas Contractuales Tipo (SCCs).

Resend Inc.: Cláusulas Contractuales Tipo (SCCs) + DPA.

Google LLC: EU-U.S. Data Privacy Framework (DPF), reconocido por la Comisión Europea como mecanismo que ofrece un nivel adecuado de protección (Decisión de Adecuación de 10 de julio de 2023). Además, los contratos incluyen Cláusulas Contractuales Tipo.

Vercel Inc.: EU-U.S. Data Privacy Framework (DPF) + Cláusulas Contractuales Tipo (SCCs).

PostHog Inc. almacena datos en la UE (Frankfurt), por lo que no se produce transferencia internacional para la analítica de la app.

Datos de cuenta y perfil de fitness: mientras tu cuenta esté activa. Tras la eliminación de tu cuenta, tus datos se suprimen en un plazo máximo de 30 días, salvo las obligaciones legales indicadas a continuación.

Datos de entrenamiento (rutinas, logs): mientras tu cuenta esté activa. Se eliminan junto con la cuenta.

Datos de suscripción: mientras tu cuenta esté activa, más 6 años adicionales tras la baja para cumplir obligaciones fiscales y mercantiles (art. 30 Código de Comercio).

Datos de analítica web (Google Analytics): período de retención configurado de 14 meses.

Datos de analítica de la app (PostHog): 25 meses conforme a las directrices de la AEPD.

Datos de consentimiento: 5 años desde la fecha del consentimiento, como prueba de su obtención.

Datos de soporte: 3 años tras la resolución del ticket (LGDCU).

Tras los períodos de retención, los datos se eliminan o anonimizan de forma irreversible. Conforme a la LOPDGDD (art. 32), los datos sujetos a obligaciones legales se conservan en estado de bloqueo (accesibles solo ante requerimiento judicial o administrativo) durante el período legalmente exigido.

Conforme al RGPD y la LOPDGDD, tienes los siguientes derechos sobre tus datos personales:

Acceso (art. 15): obtener confirmación de si tratamos tus datos y, en su caso, acceder a ellos.

Rectificación (art. 16): corregir datos inexactos o incompletos. Puedes hacerlo directamente desde la sección "Perfil" de la aplicación.

Supresión (art. 17): solicitar la eliminación de tus datos. Puedes eliminar tu cuenta desde la aplicación.

Limitación (art. 18): solicitar que se restrinja el tratamiento en determinadas circunstancias.

Portabilidad (art. 20): recibir tus datos en un formato estructurado, de uso común y lectura mecánica (JSON).

Oposición (art. 21): oponerte al tratamiento basado en interés legítimo.

Retirada del consentimiento: puedes retirar cualquier consentimiento otorgado en cualquier momento, sin que afecte a la licitud del tratamiento previo. Para retirar el consentimiento de datos de salud, elimina tu cuenta. Para retirar el consentimiento de analítica, usa los ajustes de la app o contacta con nosotros.

Para ejercer tus derechos, envía un correo electrónico a support@rabtine.com indicando el derecho que deseas ejercer. Responderemos en el plazo máximo de un mes, prorrogable a tres meses en casos de especial complejidad.

Rabtine está dirigido a mayores de 16 años. No recogemos deliberadamente datos de menores de 16 años.

La aplicación implementa un control de edad durante el registro que impide la creación de cuentas a menores de 16 años. Si detectamos que un menor de 16 años ha proporcionado datos personales, los eliminaremos sin demora.

Esta edad mínima de 16 años se aplica globalmente para garantizar el cumplimiento de: el RGPD (art. 8, máximo permitido por los Estados miembros), la LOPDGDD y la normativa española de protección del menor, COPPA (EE.UU.) para menores de 13 años, y las leyes de protección de menores de LATAM.

Si otorgas permiso de notificaciones en tu dispositivo, Rabtine podrá enviarte notificaciones push relacionadas con el servicio: recordatorios de entrenamiento, alertas de racha y motivación.

Las notificaciones se programan localmente en tu dispositivo. Los tokens de notificación push se envían a los servicios de Apple (APNs) o Google (FCM) según tu plataforma.

No enviamos notificaciones publicitarias ni de marketing. Puedes desactivar las notificaciones en cualquier momento desde los ajustes de tu dispositivo.

Aplicamos medidas técnicas y organizativas para proteger tus datos: cifrado en tránsito (TLS/HTTPS) en todas las comunicaciones; almacenamiento de contraseñas mediante hash criptográfico irreversible; seguridad a nivel de fila (Row-Level Security) en la base de datos, que garantiza que cada usuario solo puede acceder a sus propios datos; autenticación mediante tokens JWT con expiración; servidores principales en la Unión Europea (Irlanda); claves API sensibles almacenadas como secretos del lado del servidor (nunca en el código de la aplicación).

No obstante, ningún sistema de transmisión o almacenamiento electrónico es 100% seguro. Si detectamos una brecha de seguridad que afecte a tus datos, te notificaremos conforme al RGPD (art. 33-34) y a la normativa aplicable.

El sitio web rabtine.com utiliza cookies. Para información detallada, consulta nuestra Política de Cookies.

La aplicación móvil no utiliza cookies. La analítica de la app se realiza mediante PostHog SDK con consentimiento previo del usuario (ver sección 4).

Si resides en California, la Ley de Privacidad del Consumidor de California (CCPA) y la Ley de Derechos de Privacidad de California (CPRA) te otorgan derechos adicionales:

Derecho a saber: qué categorías de información personal hemos recopilado, con qué fines y a quién la hemos comunicado.

Derecho a eliminar: solicitar la eliminación de tu información personal.

Derecho a no ser discriminado: no te trataremos de forma distinta por ejercer tus derechos de privacidad.

Rabtine NO vende ni comparte información personal con fines publicitarios. No realizamos "venta" ni "compartición" de datos según la definición del CCPA/CPRA.

Los datos de perfil de fitness (peso, altura, lesiones, historial de entrenamientos) constituyen "información personal sensible" bajo la CPRA. Solo los utilizamos para prestarte el Servicio (generar rutinas), y puedes limitar su uso eliminando tu cuenta.

Para ejercer tus derechos, contacta con support@rabtine.com.

Si resides en Brasil, la Ley General de Protección de Datos (LGPD, Lei 13.709/2018) te otorga derechos similares al RGPD, incluyendo confirmación de tratamiento, acceso, corrección, anonimización, portabilidad, eliminación, información sobre compartición, y revocación del consentimiento.

Los datos de salud se clasifican como "dados pessoais sensíveis" (art. 11 LGPD) y se tratan con tu consentimiento específico y destacado, otorgado durante el registro.

Encarregado de Proteção de Dados (equivalente a DPO): Bruno Martinez — support@rabtine.com.

Autoridad de supervisión: Autoridade Nacional de Proteção de Dados (ANPD) — www.gov.br/anpd.

Si resides en México, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) te otorga derechos ARCO (Acceso, Rectificación, Cancelación, Oposición). Para ejercerlos, envía tu solicitud a support@rabtine.com. Responderemos en un plazo máximo de 20 días hábiles.

Los datos de salud (peso, altura, lesiones) se clasifican como "datos sensibles" conforme al art. 3.VI LFPDPPP, y se tratan con tu consentimiento expreso otorgado por escrito durante el registro.

Este aviso de privacidad cumple con las disposiciones del art. 15 LFPDPPP.

Conforme a la Health Breach Notification Rule de la Comisión Federal de Comercio de Estados Unidos (FTC), te informamos de que datos relativos a tu salud (peso, altura, lesiones, historial de entrenamientos) son enviados a OpenAI Inc. (Estados Unidos) con el fin de generar rutinas de entrenamiento personalizadas.

OpenAI procesa estos datos únicamente para generar tu rutina, con la configuración "store: false" que impide la retención de datos con posterioridad al procesamiento. OpenAI no utiliza tus datos para entrenar sus modelos de IA.

En caso de una brecha de seguridad que afecte a tus datos de salud, te notificaremos dentro de los plazos establecidos por la normativa aplicable (72 horas conforme al RGPD; 60 días conforme a la FTC HBNR).

Si consideras que el tratamiento de tus datos no se ajusta a la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).

Dirección: C/ Jorge Juan 6, 28001 Madrid. Web: www.aepd.es. Teléfono: 901 100 099.

Si resides en otro Estado miembro de la UE, puedes dirigirte a tu autoridad de protección de datos local.

Nos reservamos el derecho a actualizar esta política para adaptarla a novedades legislativas o cambios en nuestros servicios. Cualquier modificación sustancial será comunicada a los usuarios a través de la aplicación o del sitio web.

La fecha de la última actualización se indica al inicio de este documento. Te recomendamos consultar esta política periódicamente.