Política de Privacidad
Última actualización: 8 de mayo de 2026
1. Responsable del tratamiento y alcance
El responsable del tratamiento es Roberto Diaz (NIF 71655922C), persona física en régimen de autónomo establecida en España.
- Contacto de privacidad: [email protected]
- Dirección profesional: Calle Vázquez de Mella 75, 33012 Oviedo, Asturias, España
- NIF / identificador fiscal: 71655922C
No se ha designado un Delegado de Protección de Datos (DPO) conforme al Art. 37 RGPD. Para cualquier asunto de privacidad puedes contactar directamente con el responsable en
[email protected].
Esta Política explica cómo Verxion trata datos personales en el sitio público, formularios de lista de espera, aplicación autenticada, API, widgets, servidores MCP, aplicaciones conectadas y módulos de coaching. Si usas Verxion a través de cualquier cliente compatible con MCP que autorices (entre ellos, sin pretensión de exhaustividad: ChatGPT, Claude, Gemini, Cursor, OpenCode, etc.), ese proveedor podrá tratar datos de forma independiente bajo sus propias condiciones.
2. Datos que podemos tratar
Según tu uso, Verxion puede tratar:
- Datos de cuenta y autenticación: email, identificadores OAuth (Apple, Google), tokens de sesión, versiones aceptadas de términos y privacidad.
- Perfil y preferencias: nombre de usuario, nombre, fecha de nacimiento, sexo, altura, objetivos, idioma, tema, preferencias de IA.
- Datos de salud (Art. 9 categorías especiales): sesiones de entrenamiento y registros de series, medidas corporales (peso, perímetros), registros de nutrición y suplementación, agua, descanso/bienestar, notas de texto libre, imágenes de seguimiento y proyección, snapshots mensuales, analíticas de ejercicio. Cifrados en reposo con una clave de cifrado por usuario (DEK) envuelta por AWS KMS en
eu-north-1. - Datos de coaching: relaciones coach-cliente, asignaciones con scope, notas del coach sobre el cliente (cifradas con la clave del coach).
- Datos sociales (cuando se activan por característica): perfil de atleta, follows, blocks, mutes, vistas de perfil, eventos de feed.
- Datos OAuth + apps conectadas: identificadores de cliente, scopes, tokens de acceso/refresh, claves de idempotencia, eventos de auditoría de ejecución MCP.
- Logs de seguridad y operativos: request IDs, entradas de audit log (sin IP), datos de rate-limit, trazas de error (sin PII).
- Comunicaciones: emails transaccionales, suscripción opcional a lista de espera.
3. Finalidades y bases jurídicas (Art. 13.1.c, 13.1.d)
| Finalidad | Base jurídica |
|---|---|
| Creación de cuenta, login, flujo OAuth | Art. 6.1.b contrato |
| Registro de salud, entrenamiento, nutrición, progreso | Art. 9.2.a consentimiento explícito (registrado en health_data_consents) |
| Funcionalidades coach-cliente (con opt-in de ambas partes) | Art. 6.1.b contrato + Art. 9.2.a consentimiento explícito para datos de salud del cliente |
| OAuth, apps conectadas, ejecución MCP | Art. 6.1.b contrato + Art. 6.1.f interés legítimo en seguridad |
| Funcionalidades asistidas por IA (chat, narrativas) | Art. 6.1.f interés legítimo con divulgación expresa Art. 22 (ver §6) |
| Seguridad, prevención de abuso, audit logs | Art. 6.1.f interés legítimo + Art. 6.1.c obligación legal |
| Gestión de derechos del titular | Art. 6.1.c obligación legal |
| Email transaccional | Art. 6.1.b contrato |
| Lista de espera | Art. 6.1.a consentimiento |
| Perfil público / funciones sociales | Art. 6.1.a consentimiento (toggle por feature) + Art. 9.2.e cuando los datos los hace manifiestamente públicos el titular |
El tratamiento de datos relacionados con la salud requiere consentimiento explícito (Art. 9.2.a), registrado de forma versionada en nuestro sistema. Puedes retirar el consentimiento en cualquier momento (ver §11) — la retirada no afecta a la licitud del tratamiento previo.
4. Autenticación
Verxion usa Iniciar sesión con Apple e Iniciar sesión con Google como únicos métodos de autenticación. No almacenamos contraseñas. Al iniciar sesión recibimos un identificador único de cuenta y tu email de Apple o Google — Apple ofrece opcionalmente una dirección de relay privada para enmascarar tu email real. No compartimos datos con Apple o Google más allá del flujo OAuth estándar.
5. MCP, OAuth y clientes LLM
Verxion es MCP first y trabaja con cualquier cliente compatible con MCP que decidas autorizar mediante OAuth. La lista de clientes compatibles cambia con el tiempo y crece con el ecosistema; ejemplos comunes incluyen, sin que la lista sea exhaustiva, ChatGPT, Claude, Gemini, Cursor, OpenCode, Cline, Continue, Cody, agentes propios, etc.
Cuando autorizas un cliente, Verxion procesa identificadores de cliente, scopes, consentimientos, sesiones, tokens y eventos de auditoría para cumplir la solicitud autorizada. Verxion sólo comparte o muta datos dentro del scope concedido. Una vez los datos se muestran o procesan dentro del cliente externo, ese tercero los trata bajo sus propias condiciones y políticas de privacidad — Verxion no controla su modelo, memoria, retención, moderación ni propósitos adicionales de tratamiento.
El tratamiento legal es el mismo para cualquier cliente MCP que el usuario autorice: el cliente es un responsable independiente, no un encargado de Verxion.
6. Tratamiento automatizado y funciones de IA (Art. 22)
Verxion no realiza decisiones automatizadas con efectos jurídicos o significativos sobre ti (Art. 22).
Verxion no llama a ninguna API de modelo de lenguaje grande (LLM) servidor a servidor. No hay un “asistente de IA” alojado por Verxion que procese tus datos en nuestra infraestructura.
Cuando eliges usar un cliente de IA compatible con MCP (ChatGPT, Claude, Gemini, Cursor, OpenCode, etc.) y lo autorizas vía OAuth para leer tus datos en Verxion, todo el procesamiento de IA ocurre dentro del producto de ese tercero, regulado por tu propio contrato con dicho proveedor — no por Verxion. Ese tercero es responsable independiente de la sesión (ver §5). El rol de Verxion se limita a atender las llamadas API limitadas por scope que el cliente realice por cuenta tuya y a registrar los eventos de auditoría necesarios para garantizar tus derechos como interesado.
Si en el futuro introducimos una funcionalidad de IA alojada por
Verxion que procese tus datos servidor a servidor a través de un
proveedor LLM, actualizaremos esta política, firmaremos un DPA con ese
proveedor antes del lanzamiento y publicaremos el cambio en
/es/sub-processors con notificación previa.
7. Origen de los datos (Art. 14)
Algunos datos provienen de personas distintas al titular:
- Cuando usas Verxion como cliente de un coach, tu coach puede añadir notas, asignaciones o medidas sobre ti. El coach es la fuente de esos datos; puedes verlos en tu exportación de privacidad y solicitar su eliminación.
- Los perfiles públicos a los que te suscribes pueden contener datos sobre tus interacciones con otros usuarios (follows, vistas de perfil).
8. Destinatarios y encargados del tratamiento (Art. 13.1.e)
No vendemos datos personales. Los siguientes encargados y destinatarios tratan tus datos por cuenta nuestra:
| Proveedor | Finalidad | Región | Mecanismo de transferencia |
|---|---|---|---|
| Railway | Hosting de aplicación + base de datos Postgres | EU West (EEE) | n/a |
| AWS KMS | Custodia de Key Encryption Key (eu-north-1) | EEE | n/a |
| Sentry | Error tracking (instancia EU) | EEE (DE) | n/a |
| Upstash | Redis para rate-limit + idempotencia | Reino Unido (eu-west-2, Londres) | Decisión de adecuación del Reino Unido |
| Resend | Email transaccional + lista de espera | Irlanda (eu-west-1, EEE) | n/a (residencia de datos en el EEE; acceso a nivel de entidad cubierto por las SCCs del DPA) |
| Vercel | Hosting de sitio estático + CDN global | CDN global incl. PoPs en el EEE (entidad Vercel Inc. en EEUU, Delaware) | SCCs |
Responsables independientes (no son encargados de Verxion): Apple, Google (proveedores de inicio de sesión), OpenFoodFacts (fuente de metadatos de alimentos), cualquier cliente compatible con MCP que tú autorices (ejemplos no exhaustivos: ChatGPT, Claude, Gemini, Cursor, OpenCode, Cline, etc.), coaches y clientes activos con los que tengas relación autorizada.
La lista completa con enlaces a los DPAs está publicada en
/es/sub-processors. Los cambios materiales se
registran en el changelog.
9. Transferencias internacionales (Art. 13.1.f / Capítulo V)
Para los encargados con sede en EEUU (Resend, Vercel), Verxion se
basa en las Cláusulas Contractuales Tipo (SCCs) ejecutadas como parte
del DPA de cada proveedor. Cuando se requieren salvaguardas adicionales
según la guía reciente del EDPB, aplicamos medidas técnicas: cifrado a
nivel de campo con claves residentes en el EEE (AWS KMS eu-north-1),
seudonimización en logs y acceso estrictamente limitado por scope.
10. Retención (Art. 13.2.a)
| Datos | Retención |
|---|---|
| Cuenta, perfil, entrenamiento, nutrición, datos sociales | Vida útil de la cuenta |
| Sesiones y tokens OAuth | 30 días |
| Audit logs | 30 días |
| URLs de descarga de exportaciones | 15 minutos |
| Registros de jobs de exportación | 30 días |
| Aceptaciones legales (prueba de consentimiento) | Vida útil de la cuenta + 6 años tras eliminación (Art. 7.1 obligación de prueba) |
| Cuentas inactivas (sin actividad durante 24 meses) | Purga automática tras email de aviso de 30 días (planeado) |
Cuando eliminas tu cuenta, Verxion borra tus datos en todas las tablas relevantes en una única transacción, con verificación post-transacción que hace rollback si quedan filas huérfanas (defensa contra fallos de configuración).
11. Tus derechos (Art. 13.2.b)
Bajo el RGPD tienes derecho a:
- acceso a tus datos (Art. 15) — vía «Descargar mis datos» en la app
o por email a
[email protected]; - rectificación (Art. 16) — directamente en la app;
- supresión (Art. 17) — vía «Eliminar mi cuenta» en Ajustes;
- limitación del tratamiento (Art. 18) — por email;
- oposición al tratamiento basado en interés legítimo (Art. 21);
- portabilidad en formato JSON legible por máquina (Art. 20) — vía el flujo de exportación;
- retirada del consentimiento en cualquier momento (Art. 7.3) — vía el endpoint de revocación de consentimiento o Ajustes; la retirada es tan fácil como otorgarlo y no afecta a la licitud del tratamiento previo.
Puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): https://www.aepd.es
12. Si la entrega de datos es obligatoria (Art. 13.2.e)
La creación de cuenta, la aceptación legal y los datos de perfil de onboarding son contractuales: sin ellos no puedes usar Verxion. El resto (medidas, nutrición, social, uso de IA) es opcional — tú eliges qué registrar.
13. Cookies
Verxion utiliza cookies o tecnologías similares principalmente para autenticación, seguridad, funcionalidad básica, preferencias y flujos OAuth. Detalles y tabla itemizada en la Política de Cookies.
14. Cambios
Podemos actualizar esta Política para reflejar cambios de producto, legales o técnicos. Los cambios materiales activan un flujo de re-aceptación — se te pedirá aceptar la nueva versión en tu siguiente inicio de sesión. La versión publicada siempre muestra la fecha de última actualización y el identificador de versión (parte superior de esta página).