POLÍTICA DE PRIVACIDAD UPTIVO
Versión r2605.8 — Fecha de entrada en vigor: 6 de mayo de 2026
La presente Política de Privacidad describe cómo UPTIVO S.r.l. («UPTIVO», «nosotros») recopila, utiliza y protege los datos personales de los usuarios: (i) del sitio www.uptivo.fit y de cualquier dominio relacionado; (ii) de las aplicaciones móviles y web UPTIVO; y (iii) de cualquier servicio UPTIVO. La presente Política se aplica con independencia del modo de acceso a los Servicios. Cuando el usuario acceda a los Servicios en calidad de usuario final de un Cliente UPTIVO (por ejemplo, un gimnasio que utiliza UPTIVO al amparo de un Contrato de Servicios), se aplicará un nivel adicional de acuerdos contractuales entre UPTIVO y dicho Cliente (véase la Cláusula 11).
1. RESPONSABLE DEL TRATAMIENTO Y CONTACTO
UPTIVO S.r.l., con domicilio social en Via L. Vitali 1, 20122 Milán (MI), Italia, número de IVA IT08849150969, correo electrónico certificado (PEC) euvic@legalmail.it, es el Responsable del tratamiento de los datos personales en el sentido del artículo 4(7) del RGPD.
Para consultas sobre privacidad (incluido el ejercicio de los derechos previstos en la Cláusula 6) puede contactar con nosotros en support@uptivo.fit o por correo postal en el domicilio social arriba indicado.
2. CATEGORÍAS DE DATOS PERSONALES
Recopilamos y tratamos las siguientes categorías de datos personales, en la medida necesaria para los fines descritos en la Cláusula 3.
2.1 Datos identificativos y de contacto: nombre, apellido, alias, imagen de perfil; dirección de correo electrónico; número de teléfono; dirección postal; identificador fiscal cuando se requiera para la facturación.
2.2 Datos de cuenta y autenticación: UserId; nombre de usuario; contraseña con hash y sal; tokens de autenticación JWT; claves API; identificadores OAuth de dispositivo.
2.3 Datos demográficos y de perfil: fecha de nacimiento; sexo; idioma; país; zona horaria; ocupación.
2.4 Perfil fitness y preferencias: peso; altura; objetivos de entrenamiento; historial de lesiones; actividades a evitar; disponibilidad semanal; preferencias de notificación, ranking y calendario.
2.5 Datos de club y suscripción: afiliación al club; rol (atleta o staff); licencias; créditos; reservas de clases.
2.6 Datos de dispositivo y sensor: identificador de hardware; modelo del dispositivo; nombre del sensor; dispositivos bridge asociados y SNAP; identificadores de aplicación.
2.7 Integraciones con cuentas externas: identificadores de conexión y tokens OAuth de acceso a servicios de terceros como Garmin Connect, Stripe, PayPal, Whoop y Withings.
2.8 Datos de uso y técnicos: registros de inicio de sesión; dirección IP; marcas temporales de sesión; identificadores de dispositivo; User Agent; registros de diagnóstico y métricas Application Insights.
2.9 Datos sanitarios y biométricos — categoría especial conforme al artículo 9 del RGPD. Los Servicios implican el tratamiento de datos relativos a la salud en el sentido del artículo 4(15) del RGPD, a saber: (a) métricas de frecuencia cardíaca (mín/máx/media/en reposo), zonas cardíacas, umbrales objetivo, variabilidad de la frecuencia cardíaca (HRV), SpO2; (b) índice de masa corporal (IMC), potencia de umbral funcional (FTP); (c) telemetría de entrenamiento y rendimiento (fecha y hora, duración, distancia, calorías, potencia, cadencia, hits, geolocalización, altitud, desnivel); (d) datos de salud integrados de proveedores terceros (pasos, estrés, body battery, fases del sueño, respiración, planes de entrenamiento); (e) medidas clínicas y antropométricas facilitadas por el usuario o por un Cliente (presión arterial, glucemia, composición corporal, resultados de pruebas fitness); (f) feedback generado por el Nate AI a partir del perfil, sueño y HRV. Estas categorías constituyen categorías especiales de datos personales conforme al artículo 9 del RGPD y se tratan exclusivamente sobre la base jurídica indicada en la Cláusula 4.
2.10 Comunicaciones: solicitudes de soporte y correspondencia asociada.
2.11 Identificadores relativos al pago: identificadores gestionados por el procesador de pagos. UPTIVO no almacena los datos completos de la tarjeta de pago; estos datos son tratados directamente por Stripe y PayPal en virtud de sus respectivas políticas de privacidad.
3. FINES DEL TRATAMIENTO
Tratamos los datos personales con los siguientes fines: (a) prestación de los Servicios: registro de cuenta, autenticación, gestión de sesiones de entrenamiento, paneles, rankings, badges, notificaciones; (b) personalización: cálculo de zonas cardíacas, estimación de calorías, puntos y ranking; (c) gestión de clubes: relación entre atletas y entrenadores, reservas, comunicaciones operativas; (d) funcionalidad Nate AI: generación de evaluaciones y recomendaciones personalizadas a partir del perfil, sueño y HRV (véase Cláusula 5); (e) atención al cliente: respuesta a solicitudes de soporte y gestión de reclamaciones; (f) seguridad y mantenimiento: registros de diagnóstico, prevención del fraude, prevención de abusos, registros de auditoría; (g) facturación y gestión administrativa: emisión de facturas, gestión de pagos, contabilidad; (h) cumplimiento de obligaciones legales: obligaciones fiscales, conservación documental, respuestas a requerimientos legítimos de las autoridades; (i) comunicaciones de marketing (sólo previo consentimiento): newsletters e información sobre los servicios UPTIVO.
Lo que no hacemos. No realizamos perfilado publicitario, no vendemos datos personales identificables, incluidos los datos sanitarios y biométricos, a terceros para sus propias finalidades comerciales, ni compartimos los datos con terceros para sus propias finalidades de marketing.
4. BASE JURÍDICA
Las bases jurídicas del tratamiento, conforme al artículo 6 del RGPD (y, en su caso, al artículo 9 del RGPD), son las siguientes:
(a) Prestación de los Servicios, personalización, gestión de clubes, atención al cliente — artículo 6(1)(b) del RGPD: ejecución del contrato del que el usuario es parte.
(b) Tratamiento de datos sanitarios y biométricos (Cláusula 2.9) con fines de fitness, monitoreo del rendimiento y funcionalidad Nate AI — artículo 9(2)(a) del RGPD: consentimiento explícito, recabado en el momento del registro o de la activación de las correspondientes funcionalidades. El consentimiento puede revocarse en cualquier momento, sin perjuicio de la licitud del tratamiento llevado a cabo con anterioridad; la revocación implica el cese de las funcionalidades asociadas.
(c) Perfilado mediante Nate AI — artículos 6(1)(a) y 9(2)(a) del RGPD: consentimiento explícito (véase Cláusula 5).
(d) Seguridad, prevención del fraude y los abusos — artículo 6(1)(f) del RGPD: interés legítimo en proteger la integridad de los Servicios y de los usuarios.
(e) Facturación, contabilidad, cumplimiento fiscal — artículos 6(1)(b) y 6(1)(c) del RGPD: contrato y obligaciones legales.
(f) Cumplimiento de otras obligaciones legales — artículo 6(1)(c) del RGPD.
(g) Comunicaciones de marketing — artículo 6(1)(a) del RGPD: consentimiento, libremente revocable en cualquier momento mediante el enlace de baja presente en las comunicaciones o a través del contacto de privacidad de la Cláusula 1.
5. DECISIONES AUTOMATIZADAS Y PERFILADO (NATE AI)
Los Servicios incluyen la funcionalidad Nate AI, que utiliza un modelo de inteligencia artificial para generar evaluaciones y recomendaciones personalizadas a partir del perfil, la variabilidad cardíaca y los datos de sueño. Esta funcionalidad constituye perfilado en el sentido del artículo 4(4) del RGPD.
Lógica, importancia y consecuencias. Nate AI procesa los datos de entrada antes indicados a través de un modelo de lenguaje generativo que produce recomendaciones textuales relativas a entrenamiento, recuperación y rendimiento. El resultado está destinado a apoyar la autoevaluación del usuario y se entrega exclusivamente con carácter informativo.
UPTIVO considera que Nate AI no se encuentra dentro del ámbito de aplicación del artículo 22(1) del RGPD, en la medida en que las recomendaciones tienen carácter informativo y no vinculante, están destinadas a apoyar y no a sustituir el juicio del usuario y de profesionales cualificados, y no condicionan la prestación de ningún Servicio.
El usuario tiene en todo momento derecho a: (i) desactivar Nate AI en los ajustes de su cuenta; (ii) solicitar la intervención humana para la revisión de cualquier resultado de Nate AI que considere inexacto o inadecuado; (iii) expresar su punto de vista e impugnar el resultado. Las solicitudes de intervención humana son gestionadas por personal cualificado y atendidas en un plazo razonable y, en cualquier caso, en el plazo de treinta (30) días. Para ejercer estos derechos, puede contactar con nosotros según las modalidades de la Cláusula 6.
El Nate AI no proporciona asesoramiento médico. Los Servicios no constituyen un producto sanitario al amparo del Reglamento (UE) 2017/745. El usuario debería consultar a un profesional sanitario cualificado antes de basar decisiones de salud en cualquier resultado del Nate AI.
6. DERECHOS DEL INTERESADO
Conforme a los artículos 15 a 22 del RGPD, el interesado dispone de los siguientes derechos:
(a) Derecho de acceso (artículo 15): obtener confirmación del tratamiento y copia de los datos;
(b) Derecho de rectificación (artículo 16): corrección de los datos inexactos o incompletos;
(c) Derecho de supresión / derecho al olvido (artículo 17): solicitar la eliminación de los datos, con sujeción a las excepciones legales;
(d) Derecho a la limitación del tratamiento (artículo 18): limitar el tratamiento en determinadas circunstancias;
(e) Derecho a la portabilidad (artículo 20): recibir los datos en formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable;
(f) Derecho de oposición (artículo 21) al tratamiento basado en interés legítimo, incluido el marketing directo;
(g) Derecho a no ser objeto de decisiones automatizadas (artículo 22): véase Cláusula 5;
(h) Derecho a retirar el consentimiento (artículo 7(3)) en cualquier momento, sin perjuicio de la licitud del tratamiento previo a la retirada.
Modalidades de ejercicio. Puede utilizar las funciones de gestión de cuenta de la aplicación cuando estén disponibles (Ajustes > Cuenta > Gestionar / Eliminar cuenta), o contactar con nosotros en support@uptivo.fit. Podemos solicitar información adicional para verificar la identidad del solicitante. Responderemos sin dilación indebida y, en cualquier caso, en el plazo de treinta (30) días desde la recepción de la solicitud, conforme al artículo 12 del RGPD; este plazo puede prorrogarse hasta dos meses adicionales para solicitudes complejas o numerosas, comunicándolo al interesado.
Eliminación de la cuenta. Tras una solicitud de eliminación, un proceso automatizado elimina credenciales, imágenes de perfil, conexiones a cuentas externas y todos los datos de telemetría (frecuencia cardíaca, geolocalización, potencia, cadencia y hits) en el plazo de treinta (30) días. Las copias de seguridad que contengan los datos se sobrescriben posteriormente según los ciclos de rotación estándar. Los datos que estamos obligados a conservar por motivos de facturación, contabilidad u otras obligaciones legales se conservan durante los plazos indicados en la Cláusula 7 y se eliminan posteriormente.
Derecho a presentar reclamación. El interesado tiene derecho a presentar reclamación ante la Autoridad italiana de protección de datos (Garante per la protezione dei dati personali, www.garanteprivacy.it) o ante la autoridad de control de su lugar de residencia habitual, lugar de trabajo o lugar de la presunta infracción.
7. PLAZOS DE CONSERVACIÓN
Conservamos los datos personales solo el tiempo necesario para los fines descritos:
Datos de cuenta de usuario activo: duración de la suscripción;
Registros de usuario pendientes o no confirmados: quince (15) días;
Invitaciones y enlaces de registro no aceptados: quince (15) días;
Solicitudes de registro de dispositivos o aplicaciones: siete (7) días;
Notificaciones in-app: sesenta (60) días;
Registros de diagnóstico y de error: dos (2) meses;
Registros de eventos de seguridad (accesos, autenticación, detección de anomalías): seis (6) meses;
Documentación fiscal y contable: diez (10) años desde su emisión, conforme al artículo 2220 del Código Civil italiano;
Datos relativos a una solicitud de eliminación: telemetría y datos de cuenta eliminados en el plazo de treinta (30) días; sobrescritura de copias de seguridad según la rotación estándar.
Transcurrido el plazo de conservación, los datos se eliminan o anonimizan, salvo conservación exigida por norma imperativa de ley.
8. TRANSFERENCIAS INTERNACIONALES
Tratamos los datos personales en el Espacio Económico Europeo (EEE), con almacenamiento principal en servidores ubicados en Países Bajos, Irlanda y Alemania.
Cuando los datos se transfieren fuera del EEE en relación con los Servicios (en particular a través de los proveedores estadounidenses indicados en la Cláusula 9), nos basamos en: (a) el EU-US Data Privacy Framework (Decisión de Ejecución (UE) 2023/1795 de la Comisión) cuando el destinatario sea participante certificado; o (b) las Cláusulas Contractuales Tipo adoptadas por la Decisión de Ejecución (UE) 2021/914, complementadas, cuando sea necesario, por medidas técnicas y organizativas adicionales valoradas caso por caso mediante un Transfer Impact Assessment, disponible previa solicitud.
9. PROVEEDORES TERCEROS (ENCARGADOS DEL TRATAMIENTO)
UPTIVO recurre a los siguientes proveedores terceros para la prestación de los Servicios. UPTIVO ha suscrito con cada uno de ellos un acuerdo de tratamiento de datos conforme al artículo 28 del RGPD. La lista se actualiza periódicamente; la versión más reciente está disponible previa solicitud.
Encargado | Servicio | Localización / Transferencia | Categorías de Datos Transferidos |
|---|---|---|---|
Supabase Inc. | Base de datos, almacenamiento, autenticación | UE (Irlanda) | Cuenta, perfil, perfil fitness, telemetría, datos sanitarios |
Microsoft Corporation (Azure) | Hosting cloud, infraestructura, Application Insights | UE (Países Bajos, Irlanda, Alemania) | Todos los datos de tratamiento, registros de diagnóstico |
Microsoft Corporation (M365) | Correo empresarial y colaboración | UE | Comunicaciones, datos de contacto |
OpenAI, L.L.C. | Procesamiento IA / LLM (Nate AI) | Estados Unidos — DPF UE-EE.UU. | Perfil, HRV, datos de sueño y prompts derivados |
Google LLC (Gemini) | Procesamiento IA / LLM (Nate AI) | Estados Unidos — DPF UE-EE.UU. | Perfil, HRV, datos de sueño y prompts derivados |
Stripe Payments Europe, Ltd. | Procesamiento de pagos para suscripciones | UE (Irlanda) | Identificación, contacto, identificadores de pago (sin datos sanitarios) |
PayPal (Europe) S.à r.l. et Cie, S.C.A. | Procesamiento de pagos para servicios del club | UE (Luxemburgo) | Identificación, contacto, identificadores de pago (sin datos sanitarios) |
Garmin International, Inc. | Integración de wearables (Garmin Connect) | Estados Unidos — DPF UE-EE.UU. | Identificadores OAuth, telemetría fitness y sanitaria |
WHOOP, Inc. | Integración de wearables (Whoop) | Estados Unidos — CCT UE | Identificadores OAuth, telemetría fitness y sanitaria |
Withings SAS | Integración de wearables y dispositivos conectados de salud | UE (Francia) | Identificadores OAuth, mediciones corporales y datos sanitarios |
10. COOKIES Y TECNOLOGÍAS SIMILARES (SITIO WEB)
El sitio UPTIVO utiliza cookies y tecnologías similares: (a) cookies estrictamente necesarias (sin consentimiento), para el funcionamiento del sitio (gestión de sesión, seguridad, balanceo de carga); (b) cookies analíticas (consentimiento requerido), para entender, sobre base agregada y anonimizada, el uso del sitio; (c) cookies de marketing (consentimiento requerido), para difundir comunicaciones UPTIVO a través de los canales, cuando proceda.
En la primera visita al sitio se mostrará un banner de cookies desde el cual puede otorgar o rechazar el consentimiento por categoría. Las preferencias pueden modificarse en cualquier momento mediante el centro de preferencias de cookies accesible desde el pie del sitio.
La aplicación móvil UPTIVO no utiliza cookies; utiliza el almacenamiento local específico de la plataforma necesario para el funcionamiento de la aplicación.
11. USUARIOS FINALES QUE ACCEDEN A LOS SERVICIOS A TRAVÉS DE UN CLIENTE
Cuando el usuario acceda a los Servicios en calidad de usuario final de un Cliente UPTIVO (por ejemplo, como miembro de un gimnasio que utiliza UPTIVO al amparo de un Contrato de Servicios), el Cliente es el Responsable del tratamiento de los datos y UPTIVO es el Encargado del tratamiento en el sentido del artículo 28 del RGPD. El tratamiento se rige por un acuerdo de tratamiento de datos (DPA) suscrito entre el Cliente y UPTIVO.
En este escenario: (i) el personal autorizado del Cliente (por ejemplo, entrenadores, gestores) puede consultar y modificar el perfil del usuario (correo, edad, zonas cardíacas) y supervisar su progreso de entrenamiento; (ii) el Cliente es responsable de la exactitud y del uso lícito de los datos que modifica; (iii) el usuario puede interrumpir en cualquier momento la compartición eliminando la asociación al club desde la aplicación; (iv) para las solicitudes relativas a los datos, el usuario puede dirigirse directamente al Cliente o contactar con UPTIVO en el contacto de privacidad de la Cláusula 1, y UPTIVO asistirá al Cliente en su respuesta.
Con respecto a la funcionalidad Nate AI, el consentimiento al tratamiento de los datos sanitarios conforme al artículo 9(2)(a) del RGPD se recaba directamente por UPTIVO del usuario final, que actúa como interesado autónomo respecto de esa finalidad específica.
12. MENORES
Los Servicios no están destinados a menores de catorce (14) años. Conforme al artículo 8 del RGPD y al Decreto Legislativo italiano 196/2003 y sus modificaciones, los menores de catorce (14) años no pueden utilizar los Servicios sin el consentimiento y la supervisión del progenitor o de quien ejerza la responsabilidad parental. Si tomamos conocimiento de haber recopilado datos personales de un menor de catorce (14) años sin consentimiento parental verificado, procederemos a su eliminación sin dilación indebida. Cuando los Servicios sean utilizados por usuarios residentes en jurisdicciones que fijen una edad mínima distinta para el consentimiento digital con arreglo a la ley aplicable, dicha edad se aplicará en lugar del umbral arriba indicado.
13. SEGURIDAD
UPTIVO adopta medidas técnicas y organizativas apropiadas al riesgo del tratamiento, conforme al artículo 32 del RGPD: cifrado de los datos personales en tránsito (TLS 1.2 o superior) y en reposo (AES-256 o equivalente); control de acceso basado en roles y autenticación multifactor para accesos administrativos y privilegiados; segregación de red y controles cortafuegos; actualizaciones periódicas de sistemas y aplicaciones; copias de seguridad automáticas con replicación externa; procedimientos documentados de recuperación ante desastres y continuidad del negocio; registro y monitoreo de los eventos de seguridad relevantes; compromisos de confidencialidad para el personal con acceso a datos personales; monitoreo periódico de vulnerabilidades y revisión de seguridad de los cambios en producción.
En caso de Violación de Datos Personales, UPTIVO notificará a la autoridad de control competente conforme al artículo 33 del RGPD cuando proceda. Cuando la violación entrañe un riesgo elevado para los derechos y libertades del interesado, se lo comunicaremos sin dilación indebida conforme al artículo 34 del RGPD.
14. MODIFICACIONES DE ESTA POLÍTICA
Podremos actualizar esta Política de tiempo en tiempo. La versión vigente se identifica por el número de versión y la fecha de entrada en vigor indicados en el pie de cada página. Para cambios sustanciales le notificaremos a través de los Servicios o por correo electrónico al menos treinta (30) días antes de su entrada en vigor.
15. CONTACTOS
Consultas en materia de privacidad: support@uptivo.fit
Correo electrónico certificado (PEC): euvic@legalmail.it
Dirección postal: UPTIVO S.r.l., Via L. Vitali 1, 20122 Milán (MI), Italia
Autoridad italiana de protección de datos: www.garanteprivacy.it