HypomoneLabVolver al inicio

Política de privacidad

Última actualización · 2026-05-12

Esta política describe qué datos personales recogemos cuando usas HypomoneLab(en adelante "el servicio"), con qué finalidad, cuánto tiempo los conservamos y qué derechos tienes sobre ellos. Está redactada conforme al Reglamento General de Protección de Datos (RGPD) y a la Ley Orgánica 3/2018 (LOPDGDD).

1. Responsable del tratamiento

  • Identidad: Manuel Alfaro García
  • Dirección postal: Peñas 21, 02124, Alcadozo, Albacete, España
  • Email de contacto: [email protected]
  • Formulario de contacto: /contacto — usaremos la dirección de correo que indiques en el formulario únicamente para responder a tu solicitud.

Por el volumen y naturaleza del tratamiento no estamos obligados a designar un Delegado de Protección de Datos (DPO). Puedes dirigirte directamente al responsable del tratamiento usando el formulario de contacto o escribiéndonos al email indicado arriba.

2. Datos que recogemos

2.1 Datos que tú nos proporcionas

  • Datos de cuenta: email, nombre, contraseña (cifrada con BCrypt), fecha de nacimiento (opcional, usada para estimaciones de zonas), código de invitación.
  • Perfil deportivo: deporte principal, frecuencia cardíaca máxima y de reposo (opcionales), umbrales de potencia / ritmo si los configuras manualmente.
  • Entrenamientos creados manualmente: duración, distancia, percepción de esfuerzo (RPE), notas, tags.
  • Cuestionario de readiness: sueño, fatiga, motivación. Likert 1-5. Opcional, diario.
  • Mensajes de contacto: si nos escribes vía /contacto, conservamos el contenido del mensaje y tu email para responderte.

2.2 Datos importados desde proveedores conectados

Si conectas tu cuenta de Strava, Garmin Connect, COROS o Suunto, y autorizas la importación, recibimos de su API:

  • Metadatos del entrenamiento (fecha, deporte, duración, distancia, ritmo medio, potencia media, frecuencia cardíaca media y máxima).
  • Series temporales por segundo (HR, watts, velocidad, GPS, altitud, cadencia) cuando están disponibles.
  • Identificadores del proveedor para evitar duplicados al re-importar.
  • Tokens de acceso del proveedor — cifrados en reposo con ASP.NET Data Protection antes de almacenarlos. Sólo nuestro servicio puede descifrarlos.

No recibimos ni almacenamos tu contraseña del proveedor: la autenticación va por OAuth 2.0, donde el proveedor nos devuelve un token tras tu consentimiento explícito en su pantalla.

2.3 Datos técnicos automáticos

  • Cookie de sesión (JWT) en almacenamiento httpOnly — necesaria para mantenerte autenticado entre peticiones. Detalles en la Política de cookies.
  • Logs de servidor con dirección IP, agente de usuario y rutas accedidas. Conservados hasta 30 días para depuración y respuesta a incidentes de seguridad.
  • Registro de auditoría (audit_log) con eventos relevantes para seguridad: login, registro, refresh de token, conexión / desconexión de un proveedor, borrado de cuenta. Sin tracking de navegación.

No usamos Google Analytics, Meta Pixel, Hotjar, ni ningún píxel publicitario o herramienta de tracking de terceros.

3. Bases legales del tratamiento

FinalidadBase legal RGPD
Crear y mantener tu cuenta, prestarte el servicioArt. 6.1.b — ejecución de contrato
Importar tu actividad desde proveedores conectadosArt. 6.1.a — consentimiento (revocable desconectando)
Calcular tus métricas y mostrarlasArt. 6.1.b — ejecución de contrato
Seguridad del servicio + registro de auditoríaArt. 6.1.f — interés legítimo
Atender solicitudes de derechos (acceso, borrado, etc.)Art. 6.1.c — obligación legal

4. ¿Con quién compartimos tus datos?

Con nadie con fines comerciales. No vendemos, alquilamos ni cedemos datos a terceros para marketing, publicidad o elaboración de perfiles externos.

Los únicos terceros que intervienen son:

  • Hetzner Online GmbH (Alemania (Falkenstein)) — proveedor de hosting del servidor donde corren la aplicación y la base de datos. Actúa como encargado del tratamiento.
  • Cloudflare, Inc. (red CDN / WAF) — enruta el tráfico HTTP entre tu navegador y nuestro servidor para protegerlo de ataques de denegación de servicio. Procesa metadatos de la conexión (IP, agente, URL), no almacena el cuerpo de las respuestas autenticadas.
  • Proveedores deportivos que conectes (Strava, Garmin, COROS, Suunto): el flujo va siempre desde su API hacia nosotros (importación), nunca al revés. No les enviamos datos tuyos salvo los necesarios para autenticarte vía OAuth y para gestionar la suscripción a sus webhooks.

5. Transferencias internacionales

Todos los datos se almacenan en servidores en la Unión Europea (Alemania (Falkenstein)). Cloudflare puede procesar tráfico en otros países; en ese caso se ampara en cláusulas contractuales tipo de la Comisión Europea. Los proveedores deportivos (Strava, Garmin, etc.) son responsables independientes y aplican sus propias políticas — consulta la suya antes de conectar tu cuenta.

6. Conservación de datos

  • Mientras tu cuenta esté activa, conservamos todos los datos necesarios para prestarte el servicio.
  • Si solicitas el borrado de tu cuenta, queda en periodo de gracia de 30 días durante el cual puedes cancelar la solicitud. Pasados los 30 días, borramos físicamente todos tus datos (perfil, entrenamientos, métricas, tokens, mensajes asociados) en un proceso automático nocturno.
  • Los logs de servidor se rotan a los 30 días.
  • El registro de auditoría conserva los eventos relevantes para seguridad hasta 12 meses con el identificador del usuario; tras el borrado de cuenta, se conserva únicamente el evento user.deleted con el identificador hash-256-ado (sin email, sin nombre).
  • Los mensajes del formulario de contacto se conservan hasta 90 días desde su envío. La dirección IP del remitente sólo se conserva 30 días para anti-spam y luego se borra.

7. Tus derechos

Como titular de los datos, el RGPD te reconoce los siguientes derechos:

  • Acceso— puedes obtener una copia de todos tus datos directamente desde el panel de ajustes ("Descargar mis datos") o vía formulario de contacto.
  • Rectificación — puedes corregir tu perfil directamente desde la app, o pedirnos que lo hagamos por ti.
  • Supresión("derecho al olvido") — puedes solicitar el borrado total desde /athlete/settings o vía /contacto.
  • Limitación — puedes pedirnos que dejemos de procesar tus datos mientras se resuelve una incidencia.
  • Portabilidad — el export de datos en formato JSON cumple este derecho.
  • Oposición — puedes oponerte al tratamiento basado en interés legítimo. En la práctica el único tratamiento de este tipo es el registro de auditoría de seguridad.
  • Revocación del consentimiento — desconectando un proveedor en /athlete/integrations revocas el consentimiento para futuras importaciones. Los datos ya importados permanecen en tu cuenta hasta que la elimines.
  • Reclamación ante la autoridad de control — si consideras que vulneramos tus derechos, puedes reclamar ante la Agencia Española de Protección de Datos.

8. Seguridad

Aplicamos medidas técnicas y organizativas razonables:

  • HTTPS / TLS obligatorio en toda la app y la API pública.
  • Contraseñas almacenadas con BCrypt (sin texto plano).
  • Tokens OAuth de proveedores cifrados en reposo con claves de ASP.NET Data Protection, rotables y persistidas fuera del repositorio de código.
  • Cookie de autenticación con flags httpOnly, Secure, SameSite=Lax.
  • Rate-limiting en endpoints sensibles (login, registro, contacto) + Cloudflare delante para mitigación de DDoS.
  • Backups diarios cifrados de la base de datos.
  • Logs de auditoría inmutables (append-only) de eventos relevantes para seguridad.

Si descubrimos una brecha de seguridad que afecte a tus datos personales, te lo notificaremos sin dilación indebida y, en cualquier caso, dentro de las 72 horas posteriores al conocimiento de la misma, conforme al art. 33-34 RGPD.

9. Menores de edad

El servicio está dirigido a personas mayores de 14 años (LOPDGDD art. 7.1). Si descubrimos que hemos recogido datos de un menor de 14 años sin el consentimiento de sus titulares de la patria potestad, los borraremos a la mayor brevedad.

10. Cambios en esta política

Podemos actualizar esta política para reflejar cambios en el servicio o en la normativa aplicable. La versión vigente es la publicada en esta URL. Cuando el cambio afecte sustancialmente a cómo tratamos tus datos, te lo notificaremos por email y/o vía un aviso destacado dentro de la app antes de que el cambio entre en vigor.

11. Contacto

Para cualquier consulta relacionada con esta política o con el ejercicio de tus derechos, usa el formulario de contacto. Indica claramente en el asunto la naturaleza de tu solicitud ("Acceso a datos", "Borrado", etc.) para que podamos responderte con la mayor diligencia.