LOONSTEP

Legal

Política de
privacidad.

Última actualización

La versión corta

  • 01 Loonstep es una herramienta de coaching. Para que funcione recogemos tus datos de cuenta, tu perfil de entrenamiento (edad, sexo, altura, peso, lesiones), las sesiones que registras y las conversaciones que tienes con el coach.
  • 02 Alojamos en Alemania. La autenticación y la base de datos corren en Fráncfort. Parte del procesamiento (las respuestas del chat, la entrega del sitio web, el correo transaccional) pasa por Estados Unidos bajo cláusulas contractuales tipo.
  • 03 No vendemos tus datos. No usamos tus datos de entrenamiento ni el contenido del chat para publicidad. No entrenamos modelos de IA con tus conversaciones.
  • 04 Puedes pedir una copia de tus datos, corregirlos o borrar tu cuenta en cualquier momento. Escribe a privacy@loonstep.com. Actuamos en un plazo de 30 días.
  • 05 Hay que tener 16 años o más para usar Loonstep.

1. Quiénes somos

Loonstep ("nosotros", "nos", "nuestro") es un servicio de coaching personal para personas que entrenan combinando pesas y carrera. Loonstep está operado por Juan Mugica, persona física responsable del tratamiento, establecido en España. A los efectos del Reglamento General de Protección de Datos de la UE (RGPD) y de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), Juan Mugica es el responsable del tratamiento de los datos personales descritos en esta política.

Puedes contactar con nosotros en privacy@loonstep.com para cualquier consulta de privacidad o de protección de datos.

2. Qué recogemos

Solo recogemos lo que necesitamos para operar el servicio de coaching.

Cuenta

  • Dirección de correo electrónico (sirve como identificador de inicio de sesión y para correo transaccional).
  • Nombre visible y preferencia de idioma, cuando los facilitas.
  • Un identificador de autenticación emitido por nuestro proveedor (Supabase). Tu contraseña está custodiada por Supabase y nunca se almacena en nuestros servidores.

Perfil de entrenamiento

  • Edad, sexo, altura, historial de peso corporal.
  • Experiencia de entrenamiento, equipamiento disponible, restricciones de horario.
  • Lesiones, consideraciones médicas o restricciones de movimiento que decidas compartir.
  • Objetivos y preferencias dietéticas, cuando las facilitas.

Parte de esta información, en concreto el peso corporal, el historial de lesiones y cualquier contexto de salud que aportes voluntariamente, puede entrar en la categoría especial de datos personales del artículo 9 del RGPD (datos relativos a la salud). Tratamos esta categoría únicamente con tu consentimiento explícito, otorgado al crear la cuenta y completar el onboarding, y solo para prestar el servicio de coaching. Puedes retirar el consentimiento en cualquier momento borrando tu cuenta o editando o eliminando los campos correspondientes.

Datos de entrenamiento y nutrición

  • Sesiones de fuerza: ejercicios, series, repeticiones, pesos, valoraciones de RPE/RIR, notas en texto libre.
  • Sesiones de carrera: distancia, duración, ritmo, esfuerzo percibido, superficie, calzado, notas en texto libre.
  • Registros de peso corporal.
  • Registros de nutrición (calorías, proteína, notas en texto libre), si decides registrarlos.
  • Programas, planes de mesociclo, preferencias de ejercicios e historial de progresión que generamos a partir de tus datos.

Conversaciones con el coach

  • El texto de los mensajes que intercambias con el coach.
  • Cualquier imagen que subas en el chat (por ejemplo, fotos de tu equipamiento o vídeos para revisión de técnica).
  • Las llamadas a herramientas que el coach realiza sobre tus datos de entrenamiento al responderte, y los resultados correspondientes.

Las conversaciones con el coach pueden incluir contenido de salud que decidas compartir (síntomas, fatiga, recuperación, ánimo, ingesta dietética). Trata el chat como una libreta, no como un registro clínico. Consulta la sección IA y contenido del chat más abajo para ver cómo se procesan estos datos.

Datos técnicos

  • Dirección IP y metadatos de la solicitud, como parte del registro estándar de servidor de nuestro CDN (Cloudflare) y proxy inverso (Caddy).
  • Analítica agregada y sin cookies sobre las visitas al sitio web, mediante Cloudflare Web Analytics.

3. Cómo usamos tus datos

  • Para operar el servicio: construir y adaptar tu programa de entrenamiento, registrar tus sesiones, hacer funcionar el coach conversacional y mostrar el progreso.
  • Para enviar correo transaccional: confirmación de registro, restablecimiento de contraseña, notificaciones de cuenta. No enviamos correo de marketing.
  • Para securizar el servicio: limitación de tasa, detección de abuso, diagnóstico de errores.
  • Para entender cómo se usan las funcionalidades y mejorar el servicio, únicamente cuando hayas dado tu consentimiento a la analítica de producto a través del banner de cookies de la aplicación.
  • Para cumplir obligaciones legales.

Las bases jurídicas en las que nos apoyamos son: la ejecución de un contrato contigo (artículo 6.1.b del RGPD) para el servicio principal; el consentimiento explícito (artículo 9.2.a) para el tratamiento de datos de salud; y nuestros intereses legítimos (artículo 6.1.f) para seguridad, prevención del fraude y registro operativo del servicio. No usamos tus datos con fines publicitarios, ni para perfilado destinado a terceros, ni para ninguna forma de decisión automatizada con efectos jurídicos.

4. Encargados del tratamiento

Empleamos un número reducido de terceros cuidadosamente seleccionados para operar Loonstep. Cada uno está vinculado por un acuerdo de tratamiento de datos por escrito y solo trata tus datos siguiendo nuestras instrucciones.

Encargado Finalidad Región Base de la transferencia
Supabase Autenticación y alojamiento de la base de datos (contraseñas, emisión de JWT, datos de la aplicación). Fráncfort, Alemania (UE). UE/EEE: sin transferencia.
Hetzner Online GmbH Alojamiento de servidores para la API, la base de datos y el almacenamiento de archivos. Falkenstein/Núremberg, Alemania (UE). UE/EEE: sin transferencia.
Cloudflare CDN, protección frente a DDoS, terminación TLS en el borde; analítica agregada y sin cookies en el sitio web. Red global de borde; sede corporativa en Estados Unidos. Cláusulas Contractuales Tipo de la UE (Decisión 2021/914 de la Comisión); EU-U.S. Data Privacy Framework.
PostHog Analítica de producto (embudos y retención) y repetición de sesión con campos de formulario enmascarados, únicamente en la aplicación de app.loonstep.com y solo cuando aceptas el banner de cookies. Fráncfort, Alemania (UE). UE/EEE: sin transferencia.
Resend (a través del relé SMTP de Supabase) Entrega de correo transaccional (registro, restablecimiento de contraseña, notificaciones de cuenta). Estados Unidos. Cláusulas Contractuales Tipo de la UE.
OpenRouter Pasarela de API hacia el modelo de lenguaje que mueve el chat del coach. Estados Unidos. Cláusulas Contractuales Tipo de la UE.
Proveedor de modelo (actualmente Google, vía OpenRouter) Genera las respuestas del coach. El proveedor concreto puede cambiar a medida que mejoran los modelos. Estados Unidos u otras regiones de procesamiento de Google. Cláusulas Contractuales Tipo de la UE (encadenadas a través de OpenRouter).

Actualizaremos esta lista antes de incorporar un nuevo encargado del tratamiento. Si quieres recibir aviso de los cambios, escribe a privacy@loonstep.com.

5. IA y contenido del chat

El coach está movido por un modelo grande de lenguaje, accesible a través de OpenRouter. Cuando envías un mensaje, se reenvía lo siguiente para que el modelo genere una respuesta:

  • El texto de tu mensaje y cualquier imagen que adjuntes.
  • Un resumen acotado de la conversación reciente (normalmente los últimos mensajes de hasta una semana atrás).
  • El contexto de entrenamiento que el coach necesita para responder: tu perfil, tu programa activo, tus sesiones más recientes.

OpenRouter no retiene por defecto el contenido de los mensajes con fines de entrenamiento, y no aceptamos ningún esquema de retención para entrenamiento. El proveedor del modelo opera bajo sus propias condiciones de tratamiento, que hemos revisado; no autorizamos el uso de tus datos para entrenar modelos. Ambas relaciones se rigen por las Cláusulas Contractuales Tipo de la UE.

Las respuestas del coach las genera un programa. Pueden ser incorrectas. No son consejo médico, ni un diagnóstico, ni un sustituto de la orientación de un médico, fisioterapeuta o entrenador cualificados. Consulta los Términos para el descargo de responsabilidad sanitario completo.

6. Cuánto conservamos tus datos

  • Cuenta, perfil, datos de entrenamiento, chat: se conservan mientras tu cuenta esté activa.
  • Tras la eliminación: los datos personales se borran de los sistemas en producción en un plazo de 30 días; las copias de seguridad cifradas envejecen y se sobrescriben en otros 30 días. No restauramos datos una vez procesada la eliminación.
  • Logs de servidor (CDN, proxy inverso, aplicación): efímeros; rotan en cuestión de días por el runtime del contenedor. No se usan para perfilado.
  • Analítica agregada del sitio: Cloudflare Web Analytics solo retiene agregados anonimizados y sin cookies; no se crea ningún perfil individual de visitante.
  • Registros exigidos por ley: un conjunto reducido de registros (por ejemplo, registros de facturación cuando aplique) puede conservarse durante el plazo exigido por la legislación española o de la UE (normalmente hasta 6 años para los registros fiscales según el Código de Comercio español). Cuando aplique, los datos quedan bloqueados a esa finalidad de conservación legal y no se usan para ninguna otra.

7. Tus derechos

Bajo el RGPD tienes los siguientes derechos sobre tus datos personales:

  • Acceso: recibir una copia de los datos que tenemos sobre ti.
  • Rectificación: corregir datos inexactos o incompletos.
  • Supresión: que se borren tus datos (consulta la sección 8).
  • Limitación: pausar el tratamiento mientras se resuelve una cuestión sobre él.
  • Portabilidad: recibir tus datos en un formato estructurado y legible por máquina.
  • Oposición: oponerte al tratamiento basado en nuestros intereses legítimos.
  • Retirada del consentimiento: para cualquier tratamiento basado en consentimiento. La retirada no afecta a la licitud del tratamiento previo.
  • Reclamación: presentar una reclamación ante la Agencia Española de Protección de Datos (aepd.es) o ante la autoridad de protección de datos de tu Estado miembro de residencia.

Para ejercer cualquiera de estos derechos, escribe a privacy@loonstep.com desde la dirección asociada a tu cuenta. Respondemos en un plazo de 30 días, prorrogable hasta 60 días adicionales para solicitudes complejas o numerosas, previa notificación. No cobramos por ello salvo que las solicitudes sean manifiestamente infundadas o excesivas.

8. Eliminación de cuenta

Puedes borrar tu cuenta y todos los datos personales que tenemos sobre ti desde dentro de la aplicación: abre el menú, entra en ajustes y elige Eliminar cuenta. La acción es inmediata e irreversible. Borra tu perfil, programas, sesiones de entrenamiento, carreras, historial de chat, preferencias de ejercicios, registro de peso corporal, integraciones y el registro de autenticación que conservamos sobre ti.

Si no puedes acceder al control en la app (por ejemplo, has perdido el acceso al correo de tu cuenta), escribe a privacy@loonstep.com desde la dirección asociada a tu cuenta. Confirmamos la recepción en dos días hábiles y completamos la eliminación en un plazo de 30 días desde la confirmación. Las copias de seguridad cifradas que aún contengan datos residuales envejecen en otros 30 días. A partir de ahí, tus datos ya no existen, no podemos recuperarlos.

9. Cookies y seguimiento

El sitio web en loonstep.com usa Cloudflare Web Analytics, que es sin cookies y no crea ningún perfil individual de visitante.

La aplicación en app.loonstep.com usa un número reducido de cookies estrictamente necesarias, emitidas por nuestro proveedor de autenticación para mantener tu sesión iniciada. Estas cookies son imprescindibles para que el servicio funcione y no requieren consentimiento.

La aplicación también ofrece analítica de producto y repetición de sesión a través de PostHog (alojado en la UE, en Fráncfort). Están desactivadas por defecto. La primera vez que abres la aplicación te mostramos un banner que pregunta si aceptas las cookies analíticas. Si aceptas, PostHog establece cookies de sesión en app.loonstep.com que registran qué pantallas visitas, qué acciones realizas dentro de la aplicación (por ejemplo, completar el onboarding o registrar una sesión) y una repetición de tu sesión con todos los campos de formulario enmascarados (los campos de texto se renderizan como puntos opacos, nunca como su contenido real, de modo que los mensajes del chat, los pesos corporales, las notas en texto libre y similares no se capturan). Si rechazas, no se establece ninguna cookie de PostHog ni se envía ningún evento analítico. Puedes cambiar tu decisión en cualquier momento desde la sección Privacidad de tu página de perfil en la aplicación, lo que borra cualquier cookie analítica y detiene la captura.

No usamos cookies publicitarias, píxeles de marketing, rastreadores de redes sociales ni tecnologías de seguimiento entre sitios, y no lo haremos sin revisar antes esta política y pedirte tu permiso explícito.

10. Menores

Loonstep no está dirigido a menores de 16 años. No recogemos a sabiendas datos personales de menores de 16. Si crees que un menor de 16 nos ha facilitado datos personales, contacta con privacy@loonstep.com y eliminaremos la cuenta.

11. Transferencias internacionales

Tu cuenta, tus datos de entrenamiento y la base de datos que los almacena permanecen en la Unión Europea (Fráncfort, Alemania). Algunos encargados del tratamiento que intervienen en la prestación del servicio operan desde Estados Unidos, en concreto nuestro CDN (Cloudflare), el servicio de entrega de correo que mueve nuestros mensajes transaccionales (Resend, vía el relé SMTP de nuestro proveedor de autenticación) y el modelo de lenguaje que mueve el chat del coach (OpenRouter, con proveedores como Google). Estas transferencias se realizan al amparo de las Cláusulas Contractuales Tipo adoptadas por la Comisión Europea (Decisión 2021/914), complementadas en su caso por el EU-U.S. Data Privacy Framework. Puedes solicitar una copia de las garantías aplicables escribiendo a privacy@loonstep.com.

12. Seguridad

Usamos TLS en tránsito, almacenamiento cifrado en reposo, credenciales de base de datos con ámbito acotado y prácticas estándar de endurecimiento de servidor en nuestro entorno de alojamiento. Ningún sistema es perfectamente seguro. Si se produce una violación de datos personales que pueda suponer un riesgo para tus derechos y libertades, lo notificaremos a la Agencia Española de Protección de Datos en un plazo de 72 horas desde que tengamos conocimiento, y notificaremos a las personas afectadas sin dilación indebida cuando el riesgo sea elevado.

13. Cambios en esta política

Actualizamos esta política cuando cambian nuestras prácticas. La fecha de "Última actualización" en la parte superior refleja la versión vigente. Para cambios sustanciales (por ejemplo, incorporar un nuevo encargado del tratamiento que maneje datos personales relevantes, o cambiar la base jurídica del tratamiento) te avisaremos por correo antes de que el cambio entre en vigor.

14. Contacto

Para preguntas de privacidad, ejercicio de derechos o dudas sobre cómo tratamos tus datos, escribe a privacy@loonstep.com.

Ver también: Términos del servicio.