Política de Privacidad

1. Quiénes Somos

Gymbo es operado por OXWARE LLC. Proveemos la aplicación de seguimiento de entrenamientos disponible en app.gymbo.life y el sitio en gymbo.life.

Esta Política de Privacidad explica qué información recopilamos, cómo la utilizamos, con quién la compartimos y cuáles son tus derechos. Al usar Gymbo, aceptas las prácticas descritas en este documento.

2. Información que Recopilamos

2.1 Información de Cuenta

Cuando te registras directamente, recopilamos tu dirección de correo electrónico y nombre para mostrar. Las contraseñas se almacenan con hash bcrypt; nunca las vemos en texto plano.

Si inicias sesión con Facebook Login o Google OAuth, recibimos de ese proveedor: tu identificador de usuario en la plataforma, dirección de correo electrónico y nombre de pantalla. Gymbo no solicita acceso a tu lista de amigos, a tu feed, ni permiso para publicar contenido en tu nombre.

2.2 Preferencias de Perfil

• Idioma preferido (español o inglés)
• Unidad de peso (kg o lb)
• Zona horaria
• Duración del temporizador de descanso
• Configuración de recordatorios de entrenamiento
• Nivel de experiencia

2.3 Datos de Entrenamiento

• Ejercicios, series, repeticiones, peso, RPE, duración
• Peso corporal registrado
• Medidas corporales (datos de circunferencia como cintura, cadera, pecho)
• Porcentaje de grasa corporal y método de medición
• Estatura y sexo biológico (opcional, utilizado para cálculos de composición corporal)
• Rutinas y plantillas
• Notas adjuntas a entrenamientos o ejercicios
• Condiciones de medición (ej. en ayunas, post-entrenamiento)
• Qué medidas corporales eliges registrar

2.4 Notificaciones Push

Si habilitas los recordatorios, almacenamos el endpoint de suscripción de notificaciones push de tu navegador, las claves de cifrado asociadas y el User-Agent. Esta información se usa exclusivamente para enviar recordatorios de entrenamiento.

2.5 Funciones de Coaching

Si participas en funciones de coaching, almacenamos relaciones entre entrenadores y atletas, y fragmentos de datos de entrenamiento incluidos en los resúmenes del entrenador.

2.6 Metadatos de Uso

Los eventos de uso compartido y los registros de notificaciones se almacenan con un TTL de 90 días y se eliminan automáticamente. No recopilamos rutas de navegación ni eventos de clic.

2.7 Almacenamiento Local

Tu navegador almacena tokens JWT para autenticación, borradores de entrenamientos en curso (TTL de 24 horas), la cola offline para sincronización cuando recuperas la conexión, y preferencias de interfaz como el modo oscuro. Estos datos permanecen en tu dispositivo y no se transmiten salvo para sincronizar los borradores.

2.8 Cookies

Gymbo utiliza una única cookie: lang, que almacena tu preferencia de idioma. Caduca a los 12 meses. No se utilizan cookies de seguimiento ni de terceros.

3. Información que NO Recopilamos

• Direcciones IP (no se registran)
• Análisis de comportamiento ni huellas digitales del dispositivo
• Píxeles de seguimiento publicitario
• Datos de geolocalización
• Lista de contactos o amigos de redes sociales

4. Cómo Usamos tu Información

• Operar y sincronizar el servicio de seguimiento de entrenamientos
• Autenticar tu acceso y mantener la sesión
• Enviar recordatorios de entrenamiento cuando estés suscrito
• Generar resúmenes de coaching para entrenadores autorizados
• Responder a solicitudes de soporte o reportes de seguridad

No usamos tus datos para publicidad, perfilado ni venta a terceros.

5. Base Legal (UE/EEE)

Para usuarios en la Unión Europea o el Espacio Económico Europeo, procesamos tus datos en base a:

• Ejecución de contrato — necesario para prestar el servicio que solicitas
• Interés legítimo — seguridad, prevención de abuso y mejora del servicio
• Consentimiento — notificaciones push y funciones opcionales

6. Compartición de Datos

No vendemos tus datos personales. Solo compartimos información en los siguientes casos:

• AWS (Amazon Web Services) — subencargado del tratamiento para alojamiento de infraestructura (Lambda, DynamoDB, S3, CloudFront). AWS está cubierto por nuestro Acuerdo de Procesamiento de Datos con AWS.
• Facebook / Google — durante el flujo de OAuth reciben únicamente los datos que son parte estándar del protocolo (ID de usuario, correo). No compartimos tus datos de entrenamiento.
• Obligación legal — si lo exige la ley o una orden judicial válida.

7. Transferencias Internacionales

Tus datos se almacenan y procesan en la región us-east-1 de AWS (Estados Unidos). Las transferencias desde la UE/EEE están cubiertas por el Acuerdo de Procesamiento de Datos de AWS y las Cláusulas Contractuales Tipo (SCC) de la Comisión Europea.

8. Retención de Datos

• Perfil y datos de entrenamiento — hasta que elimines tu cuenta
• Suscripciones push — hasta que canceles la suscripción
• Eventos de uso compartido y registros de notificaciones — 90 días (TTL automático)
• Registros de seguridad y auditoría — hasta 13 meses. Cuando un entrenador o administrador modifica los datos de tu cuenta, conservamos un registro del cambio con fines de seguridad, resolución de disputas y detección de abusos. Estos registros no se eliminan al cerrar tu cuenta — se retienen durante su TTL completo bajo interés legítimo (seguridad y prevención de abusos).
• Borradores en localStorage — 24 horas desde la última interacción

Al solicitar la eliminación de tu cuenta, esta entra en un período de gracia de 30 días durante el cual puedes cancelar iniciando sesión y eligiendo mantener tu cuenta. Transcurridos los 30 días, todos tus datos se eliminan de forma permanente e irreversible de nuestros sistemas.

9. Tus Derechos

Tienes derecho a:

• Acceder a los datos personales que tenemos sobre ti
• Corregir información inexacta
• Eliminar tu cuenta y todos los datos asociados — disponible en Configuración de la aplicación (instrucciones)
• Exportar tus datos de entrenamiento

Usuarios de la UE/EEE también tienen derecho a la portabilidad de datos, a solicitar la limitación del tratamiento y a presentar una reclamación ante la autoridad supervisora de su país.

Para ejercer cualquiera de estos derechos, contáctanos en privacy@gymbo.life.

10. Seguridad

• Toda la comunicación se cifra con HTTPS/TLS
• Los datos en DynamoDB están cifrados en reposo
• Las contraseñas se almacenan con bcrypt
• La autenticación usa tokens JWT de corta duración
• Los endpoints de autenticación están protegidos con limitación de velocidad

11. Privacidad de Menores

Gymbo no está dirigido a personas menores de 16 años. No recopilamos conscientemente información de menores. Si crees que hemos recopilado datos de un menor, contáctanos y los eliminaremos de inmediato.

12. Reporte de Vulnerabilidades

Si encuentras un problema de seguridad en Gymbo, te pedimos que lo reportes de forma responsable a security@gymbo.life antes de hacerlo público. Nos comprometemos a responder en un plazo de 72 horas.

13. Cambios a Esta Política

Cuando realicemos cambios materiales, actualizaremos la fecha de "Última actualización" en esta página. Te notificaremos de cambios significativos a través de la aplicación. Te recomendamos revisar esta política periódicamente.

14. Contacto

Para cualquier pregunta sobre privacidad o para ejercer tus derechos:

OXWARE LLC
privacy@gymbo.life