Política de privacidad
Última actualización: 8 de mayo de 2026 · Versión 2026-05-08-v2
1. Responsable del tratamiento
- Razón social: Aetheria Agency, S.L. (en constitución)
- NIF/CIF: pendiente de asignación
- Domicilio: España (dirección postal pendiente de publicación)
- Email del DPO: dpo@kairos.train
- Email general: hola@kairos.train
2. Datos que tratamos
- Datos identificativos: nombre, email, teléfono, fecha de nacimiento.
- Datos de salud (Art. 9 RGPD — categoría especial): análisis de sangre, protocolos hormonales, mediciones corporales, fotos de progreso, registros de comidas y entrenamientos, lesiones, adherencia.
- Datos contractuales: firmas digitales, IP de firma, contratos.
- Datos financieros: identificadores de Stripe (no almacenamos números de tarjeta — los gestiona Stripe directamente).
- Datos técnicos: IP, user agent, logs de acceso, sesión.
3. Base legal
- Datos identificativos y contractuales: ejecución del contrato (Art. 6.1.b RGPD).
- Datos de salud: consentimiento explícito separado del subjeto (Art. 9.2.a RGPD), capturado en la app con timestamp, IP y versión de la política.
- Defensa de reclamaciones: Art. 9.2.f RGPD, hasta 6 años después de la baja.
4. Finalidades
- Generar planes de entrenamiento, dieta y protocolos.
- Permitir el seguimiento del coach sobre el cliente.
- Prestar soporte técnico y atención al cliente.
- Cumplir obligaciones legales (facturación, fiscal).
5. Decisiones automatizadas (Art. 22 RGPD)
La plataforma usa modelos de inteligencia artificial (Claude de Anthropic) para sugerir planes de entrenamiento, dieta y protocolos a partir de los datos del cliente. Las sugerencias NO son decisiones automatizadas en sentido estricto: el coach revisa, edita y activa cada plan antes de que llegue al cliente. Tienes derecho a obtener intervención humana, expresar tu punto de vista e impugnar cualquier decisión. Si quieres ejercer este derecho, escribe al DPO.
6. Conservación
| Categoría | Plazo de conservación |
|---|---|
| Cuenta activa | Mientras la cuenta esté activa |
| Datos clínicos (Art. 9) | 6 años desde la baja (defensa de reclamaciones) |
| Datos contractuales | 6 años (legislación mercantil) |
| Datos fiscales | 6 años (Ley General Tributaria) |
| AuditLog clínico | 6 años |
| AuditLog no clínico | 2 años |
| Tokens de reset/verificación | 30 días tras uso o caducidad |
| Notificaciones leídas | 6 meses |
7. Subprocesadores y transferencias internacionales
Para prestar el servicio compartimos datos con los siguientes subprocesadores. Cuando los datos salen del Espacio Económico Europeo se aplica el conjunto de Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914).
| Proveedor | Función | Localización |
|---|---|---|
| Railway | Hosting + Postgres | US-West (migración a EU prevista Q2) |
| Anthropic | Modelo de IA (planes, análisis comidas) | US/EU |
| Stripe | Pagos + Stripe Connect | US/Irlanda (DPA firmada) |
| Resend | Email transaccional | EU |
| Upstash | Rate limiting Redis | EU/US |
| Cloudflare R2 / AWS S3 | Almacenamiento fotos (próximo) | EU |
| Sentry | Monitoreo errores | EU (de.sentry.io) |
8. Tus derechos
Acceso, rectificación, supresión, limitación, portabilidad y oposición. También derecho a no ser objeto de decisiones basadas únicamente en tratamiento automatizado (Art. 22). Para ejercerlos escribe a dpo@kairos.train.
Si no estás conforme con nuestra respuesta, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.
Para descargar todos tus datos en formato JSON, ve a Ajustes → Tus datos y pulsa "Descargar mis datos" (cumple Art. 15 y Art. 20).
9. Seguridad
- Cifrado en tránsito (TLS forzado vía HSTS).
- Control de acceso por rol y aislamiento multi-tenant.
- Registro de auditoría inmutable de todas las modificaciones sobre datos clínicos.
- Bcrypt cost 12 para almacenamiento de contraseñas.
- Rate limiting en endpoints sensibles + verificación de email obligatoria al registrarse.
- Revisiones de seguridad periódicas con auditoría externa.
10. Notificación de brechas
En caso de brecha de seguridad que afecte a tus datos personales, te lo comunicaremos sin dilación indebida y notificaremos a la AEPD en el plazo de 72 horas conforme al Art. 33 RGPD.
11. Cookies
Solo usamos cookies estrictamente necesarias por defecto (sesión, preferencias). Las cookies de analítica y marketing (cuando existan) requieren tu consentimiento explícito en el banner que aparece la primera vez que visitas la web. Puedes revocar tu consentimiento en cualquier momento.
12. Cambios en esta política
Cuando hagamos cambios sustanciales, te lo notificaremos por email o en la app antes de que entren en vigor. La versión actual queda identificada por el código 2026-05-08-v2.
Documento orientativo. Antes de la apertura comercial, este texto se revisa con asesoría jurídica externa.