Política de Privacidad de CoachReview

1. Responsable del tratamiento

El responsable del tratamiento de los datos de los Usuarios es Marcin Jasiński, dirección: ul. Długa 75, 84-239 Bolszewo, NIF 7742896892, inscrito en el registro polaco CEIDG.

Contacto en materia de protección de datos: mindmotion.tech@gmail.com o por correo postal a la dirección anterior.

Para los datos de Alumnos introducidos por el Entrenador, este último es por regla general el responsable, y el Operador actúa como encargado del tratamiento conforme al Acuerdo de Encargo del Tratamiento (DPA) anexo a los Términos.

2. Delegado de Protección de Datos

El Operador no ha designado un Delegado de Protección de Datos — no existe obligación de designarlo conforme al artículo 37 del RGPD. Para cualquier cuestión relativa a la protección de datos, contacte directamente con el responsable en mindmotion.tech@gmail.com.

3. Categorías de datos tratados

Datos de cuenta: nombre y apellidos, correo electrónico, contraseña (almacenada como hash), idioma, zona horaria, datos del perfil público y datos de facturación.

Datos técnicos: dirección IP, identificadores de dispositivo y navegador, registros de eventos, datos de diagnóstico y datos de cookies.

Datos de Alumnos introducidos por el Entrenador: nombre, datos de contacto, notas de entrenamiento, documentos, materiales, vídeos, calendario y demás información relacionada con el entrenamiento.

Las categorías especiales de datos (art. 9 RGPD) como datos de salud solo deben introducirse cuando el Entrenador disponga de una base jurídica adecuada.

4. Fines y bases jurídicas

Prestación del Servicio y gestión de la cuenta – art. 6.1.b) RGPD (ejecución del contrato).

Pagos y facturación – art. 6.1.b) y c) RGPD (obligación legal contable y fiscal).

Seguridad, prevención del fraude y registro de eventos – art. 6.1.f) RGPD (interés legítimo en la protección del Servicio).

Reclamaciones y reclamación o defensa de derechos – art. 6.1.b), c) y f) RGPD.

Comunicaciones de marketing – art. 6.1.a) RGPD (consentimiento) y art. 21 LSSI-CE.

Cumplimiento de la DSA y otras obligaciones legales – art. 6.1.c) RGPD.

5. Origen de los datos

La mayoría de los datos los facilita el propio Usuario (registro, perfil, pago).

Algunos datos se generan al usar el Servicio (logs, metadatos técnicos).

Los datos de Alumnos los introduce el Entrenador.

6. Destinatarios y encargados

Los datos pueden ser tratados por las siguientes categorías de proveedores que actúan por cuenta del responsable: proveedores de hosting e infraestructura cloud, almacenamiento de objetos (p. ej. Amazon S3 o Cloudflare R2), proveedores de correo transaccional, el procesador de pagos Stripe Payments Europe, Ltd., proveedores de monitorización y registro de errores y herramientas de soporte.

Los datos podrán comunicarse a autoridades públicas cuando exista obligación legal.

Una lista actualizada de los encargados y sus ubicaciones se facilita previa solicitud en mindmotion.tech@gmail.com.

7. Transferencias internacionales

Algunos encargados pueden tratar datos fuera del EEE, especialmente en EE. UU. El Operador implanta garantías adecuadas, incluidas las Cláusulas Contractuales Tipo de la Comisión Europea y, para destinatarios en EE. UU., el Marco UE-EE.UU. de Privacidad de Datos cuando el destinatario esté certificado.

Puede solicitarse copia de las garantías al Operador.

8. Conservación

Los datos de cuenta se conservan durante la vigencia del Contrato y el periodo necesario para liquidarlo y atender reclamaciones.

Los datos de facturación se conservan durante los plazos legales fiscales y mercantiles (en general, hasta seis años para los registros mercantiles).

Los datos necesarios para el ejercicio o defensa de pretensiones se conservan hasta la prescripción de las acciones.

Los vídeos publicados se conservan durante el periodo de disponibilidad establecido en el plan elegido (6 meses para Solo, 12 meses para Pro), contados desde la fecha de publicación. Una vez transcurrido ese periodo, el vídeo se traslada automáticamente a la papelera, donde puede restaurarse durante 30 días; transcurrido ese plazo se elimina de forma definitiva junto con el archivo asociado en el almacenamiento de objetos (Cloudflare R2 o Amazon S3). Los borradores no publicados se eliminan 30 días después de su creación. Las reglas detalladas, incluido el procedimiento en caso de cambio de plan, se describen en las Condiciones (apartado 6a).

Los datos técnicos y registros de seguridad se conservan, por regla general, durante un máximo de 12 meses, salvo que sea necesario un plazo mayor por un incidente activo.

9. Derechos de los interesados

Los interesados tienen derecho de acceso (art. 15 RGPD), rectificación (art. 16), supresión (art. 17), limitación (art. 18), portabilidad (art. 20), oposición (art. 21) y a retirar el consentimiento cuando este sea la base.

Pueden ejercerse desde la configuración de la cuenta o escribiendo a mindmotion.tech@gmail.com. El responsable contestará sin dilación y, a más tardar, en un mes.

Asimismo se reconoce el derecho a presentar reclamación ante la Agencia Española de Protección de Datos (www.aepd.es) o ante la autoridad de control competente.

10. Decisiones automatizadas y elaboración de perfiles

El Operador no adopta decisiones basadas únicamente en tratamientos automatizados que produzcan efectos jurídicos o afecten significativamente a los Usuarios en el sentido del art. 22 RGPD.

11. Cookies y tecnologías similares

El Servicio emplea cookies y tecnologías similares. Las cookies estrictamente necesarias (sesión, seguridad, funcionamiento) no requieren consentimiento. Las cookies analíticas, de marketing y otras no esenciales requieren consentimiento expreso, libre e informado, revocable en todo momento.

El banner de cookies permite aceptar, rechazar o configurar las cookies no esenciales. La lista detallada está disponible en la configuración de cookies.

12. Seguridad

El responsable aplica medidas técnicas y organizativas adecuadas, incluyendo cifrado TLS, hashing de contraseñas, control de acceso por roles, principio de mínimo privilegio, copias de seguridad periódicas y monitorización de eventos.

Ante una violación de datos personales que pueda suponer un riesgo para los derechos y libertades de los interesados, el responsable la notificará a la autoridad de control en 72 horas y, cuando sea necesario, a los interesados.

13. Datos de usuario de Google y Google API Services

Ámbitos solicitados: https://www.googleapis.com/auth/calendar.events.freebusy (lectura de disponibilidad/ocupación en Google Calendar).

Datos a los que se accede: bloques de tiempo libre/ocupado del calendario principal de Google del Entrenador para la semana seleccionada. El Operador no accede a títulos, descripciones, asistentes, ubicaciones, archivos adjuntos ni a ningún otro contenido de los eventos.

Finalidad: calcular ventanas de disponibilidad para que el Entrenador pueda importarlas al calendario de disponibilidad de CoachReview. Los datos de usuario de Google se utilizan exclusivamente para mostrar las ventanas libres/ocupadas al Entrenador que conectó la cuenta y no se usan con ninguna otra finalidad.

Almacenamiento: el token de actualización emitido por Google se almacena cifrado y se utiliza únicamente para consultar disponibilidad/ocupación a petición del Entrenador. Las respuestas de free/busy se procesan en memoria; solo se conservan de forma persistente las ventanas de disponibilidad que el Entrenador decida importar.

Compartición: los datos de usuario de Google no se venden, no se comparten con terceros con fines publicitarios ni se utilizan para entrenar modelos de IA/ML. CoachReview no transfiere datos de usuario de Google a terceros salvo cuando sea necesario para prestar o mejorar la integración, cumplir la ley aplicable, o en el marco de una fusión, adquisición o venta de activos, con notificación a los Usuarios.

Limited Use: el uso y la transferencia a cualquier otra aplicación de la información recibida de las Google APIs cumple la Google API Services User Data Policy, incluidos los requisitos de Limited Use.

Revocación: el Entrenador puede desconectar Google Calendar en cualquier momento desde la configuración de la cuenta o revocar el acceso en https://myaccount.google.com/permissions. Al desconectarse, se elimina el token de actualización.

14. Cambios en la política

Esta política puede actualizarse. Los cambios sustanciales se comunicarán por correo electrónico y mediante la fecha indicada en la cabecera. Las versiones anteriores se conservan a efectos de responsabilidad proactiva.