@miofaseVolver

Política de privacidad

Última actualización: 22 de mayo de 2026 · Versión 1.1

1. Responsable del tratamiento

A los efectos de lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, "RGPD"), y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, "LOPDGDD"), el tratamiento de los datos personales aportados a través de la plataforma se realiza bajo la denominación comercial Miofase, marca registrada bajo la que se presta el servicio.

El canal único de contacto del responsable, del equipo gestor y, en su caso, de la persona designada para atender consultas relativas a protección de datos es la siguiente dirección electrónica:

Correo de contacto: miofase@hotmail.com

A través de este correo el usuario podrá:

  • Ejercer cualquiera de los derechos descritos en esta política.
  • Solicitar información adicional sobre el tratamiento.
  • Comunicar incidencias, dudas, problemas técnicos relativos al funcionamiento de la plataforma o a la integridad de sus datos.
  • Notificar la posible existencia de una brecha de seguridad o accesos indebidos.
  • Solicitar la suspensión, baja o supresión definitiva de su cuenta y de la información asociada.

El responsable se compromete a tramitar las solicitudes recibidas a través del canal indicado en el plazo máximo de un (1) mes desde su recepción, prorrogable por dos meses adicionales cuando la complejidad de la solicitud lo justifique, conforme al artículo 12.3 del RGPD.

2. Datos personales objeto del tratamiento

Se tratan, con carácter general, las siguientes categorías de datos personales:

  • Datos identificativos básicos: nombre, primer apellido y, opcionalmente, segundo apellido, así como nombre de usuario único elegido por el interesado.
  • Datos de contacto: dirección de correo electrónico y, en su caso, teléfono cuando el usuario decide facilitarlo voluntariamente.
  • Datos de autenticación: contraseña almacenada mediante funciones criptográficas no reversibles (hashing) por el proveedor del subsistema de autenticación, así como tokens de sesión.
  • Datos sociodemográficos voluntarios: fecha de nacimiento, sexo declarado, dirección postal y código postal si el usuario los facilita.
  • Datos relativos al estado de salud y a la condición física: información clínica que el interesado aporta de forma voluntaria —en particular el motivo o justificación facilitada en el momento del registro— y los datos derivados del seguimiento del programa de ejercicio (valoraciones, registros de sesiones, marcas personales, cuestionarios cumplimentados). Estos datos tienen la consideración de categorías especiales a efectos del artículo 9 del RGPD.
  • Datos derivados del uso del sistema: registros de acceso, identificadores técnicos del dispositivo y navegador (user-agent), dirección IP en logs de seguridad, fecha y hora de las acciones relevantes, así como aceptación de las cláusulas de consentimiento informado.
  • Comunicaciones: mensajes intercambiados con el profesional asignado a través del chat interno y notas internas del sistema.

No se solicitan, ni se tratarán, datos personales innecesarios para las finalidades descritas. El usuario es libre de no aportar aquellos datos que no sean estrictamente imprescindibles para el funcionamiento del servicio.

3. Finalidades del tratamiento

Los datos personales facilitados se tratan exclusivamente para las finalidades específicas, explícitas y legítimas que se enumeran a continuación, y no serán tratados ulteriormente de manera incompatible con dichas finalidades, conforme al principio de limitación de la finalidad del artículo 5.1.b del RGPD:

  1. Crear, mantener, gestionar y, en su caso, dar de baja la cuenta del usuario en la plataforma.
  2. Autenticar al usuario en cada inicio de sesión y mantener la sesión activa durante el uso de la aplicación.
  3. Permitir al usuario utilizar la plataforma: planificación de sesiones, seguimiento de ejercicios, cumplimentación de cuestionarios, registro de marcas personales y comunicación con el profesional asignado.
  4. Asignar a cada usuario al profesional adecuado en función del contenido del mensaje de solicitud aportado voluntariamente al registrarse.
  5. Atender cualquier consulta, sugerencia o ejercicio de derechos recibido a través del canal de contacto establecido.
  6. Velar por la seguridad técnica del sistema, prevenir abusos, detectar incidencias y mantener el registro inmutable de solicitudes y consentimientos.
  7. Cumplir con las obligaciones legales que resulten de aplicación al responsable.

Se hace constar expresamente que no se realizan: (i) envíos comerciales o publicitarios; (ii) cesiones de datos a terceros con fines de marketing; (iii) elaboración de perfiles con efectos jurídicos significativos sobre el interesado; (iv) decisiones automatizadas de las descritas en el artículo 22 del RGPD.

4. Base jurídica del tratamiento

Cada uno de los tratamientos descritos se apoya en una base jurídica concreta de las previstas en los artículos 6 y 9 del RGPD, en los términos que se detallan a continuación:

  • Consentimiento expreso e informado del interesado (artículo 6.1.a y, en su caso, artículo 9.2.a del RGPD), prestado de forma libre, específica, informada e inequívoca mediante la cumplimentación del formulario de registro y el marcado expreso de la casilla habilitada al efecto. El consentimiento del interesado constituye la base jurídica principal del tratamiento.
  • Ejecución del contrato con el interesado o adopción de medidas precontractuales a petición del mismo (artículo 6.1.b del RGPD).
  • Cumplimiento de obligaciones legales aplicables al responsable (artículo 6.1.c del RGPD), en particular en materia de protección de datos, prevención del fraude y obligaciones contables, fiscales y sanitarias.
  • Interés legítimo del responsable (artículo 6.1.f del RGPD) en garantizar la seguridad de los sistemas, prevenir su uso indebido, atender requerimientos legítimos y mejorar la calidad técnica de la plataforma, previa ponderación con los derechos y libertades fundamentales del interesado.
  • Fines de medicina preventiva, diagnóstico o asistencia sanitaria prestados por profesional sujeto al secreto profesional (artículo 9.2.h del RGPD), cuando la prestación incorpore actuación profesional sanitaria.

La retirada del consentimiento en cualquier momento es un derecho del interesado y no afectará a la licitud del tratamiento realizado con anterioridad a dicha retirada.

5. Tratamiento de categorías especiales de datos

Cuando el interesado aporta —de forma voluntaria— información relacionada con su estado de salud, patologías, lesiones, tratamientos, diagnósticos o evolución clínica, dicha información tiene la consideración de categoría especial de datos conforme al artículo 9 del RGPD, lo que implica un nivel reforzado de protección.

El responsable adopta, en relación con estas categorías, las siguientes garantías reforzadas:

  • Se exige un consentimiento explícito e independiente del resto de consentimientos, prestado mediante marcación expresa de la casilla habilitada al efecto.
  • La información clínica nunca se utiliza con finalidades distintas a la prestación del servicio, ni se comparte con terceros ajenos al equipo profesional al que el usuario haya sido asignado.
  • Se aplican controles de acceso basados en roles, segregación estricta entre profesionales y políticas de mínimo privilegio sobre la información clínica.
  • Los profesionales que acceden a estos datos se hallan sujetos al correspondiente deber de secreto profesional y a los principios deontológicos aplicables a su actividad.

6. Destinatarios de los datos. Cesiones

Con carácter general, los datos personales del interesado no son cedidos a terceros. Únicamente pueden acceder a la información los siguientes destinatarios, en los términos y con las limitaciones que se indican:

  • El profesional al que se haya asignado el usuario en el seno de la plataforma. Cada profesional únicamente accede a los datos de los usuarios asignados a su cartera, sin que pueda visualizar la información de usuarios pertenecientes a la cartera de otros profesionales. Esta segregación se implementa de forma técnica mediante mecanismos de seguridad a nivel de registro de la base de datos.
  • Encargados del tratamiento a los que se hace referencia detallada en el apartado siguiente, todos ellos obligados contractualmente y por imperativo del artículo 28 del RGPD a tratar la información exclusivamente conforme a las instrucciones del responsable.
  • Administraciones públicas, jueces, tribunales o el Ministerio Fiscal cuando exista una obligación legal de comunicación de información.

En ningún caso se comparten datos personales con redes sociales, plataformas publicitarias ni terceros con finalidades comerciales.

7. Encargados del tratamiento

Para el adecuado funcionamiento técnico de la plataforma, el responsable recurre a la prestación de servicios por parte de los siguientes proveedores tecnológicos, todos ellos formalmente considerados encargados del tratamiento en el sentido del artículo 28 del RGPD:

  • Supabase Inc. — proveedor del subsistema de base de datos, autenticación, almacenamiento y aplicación de políticas de seguridad a nivel de fila.
  • Vercel Inc. — proveedor del subsistema de entrega de la aplicación web, ejecución de funciones serverless y red de distribución de contenido.
  • Proveedor de correo electrónico transaccional utilizado, en su caso, por el subsistema de autenticación para el envío de los correos de verificación de cuenta y restablecimiento de contraseña.
  • Microsoft Corporation — exclusivamente en lo relativo a la cuenta de correo electrónico de contacto del responsable utilizada para la atención de derechos y comunicaciones (servicio Outlook/Hotmail).

Todos los encargados aplican garantías técnicas y organizativas apropiadas; cuando alguno de ellos pueda subcontratar parte del tratamiento a un subencargado, lo hace cumpliendo los requisitos del artículo 28.2 del RGPD. El usuario puede solicitar al responsable la relación actualizada y detallada de subencargados a través del canal de contacto.

8. Transferencias internacionales de datos

Algunos de los proveedores indicados en el apartado anterior pueden, en función de la configuración del servicio, tratar determinados datos en servidores ubicados fuera del Espacio Económico Europeo, en particular en los Estados Unidos de América.

En los supuestos en que se produzca una transferencia internacional, el responsable garantizará la adopción de las medidas previstas en el Capítulo V del RGPD (artículos 44 a 50), en particular:

  • Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea mediante Decisión de Ejecución (UE) 2021/914, de 4 de junio de 2021, suscritas con cada encargado que actúe fuera del EEE.
  • Evaluaciones de impacto adicionales de las transferencias (denominadas habitualmente Transfer Impact Assessment), en cumplimiento del criterio fijado por el Tribunal de Justicia de la Unión Europea en la sentencia de 16 de julio de 2020, asunto C-311/18 (Schrems II).
  • Adhesión a marcos de adecuación aprobados por la Comisión Europea, en su caso, como el EU-U.S. Data Privacy Framework cuando los proveedores se hallen adheridos al mismo.

9. Plazos de conservación

Los datos personales se conservarán durante el tiempo estrictamente necesario para el cumplimiento de las finalidades que justifican su tratamiento. A título orientativo se establecen los siguientes plazos:

  • Datos asociados a la cuenta del usuario: mientras la cuenta permanezca activa o el usuario mantenga su vinculación con la plataforma.
  • Datos clínicos voluntarios: durante el tiempo de prestación efectiva del servicio y, en su caso, conforme a los plazos que resulten aplicables en virtud de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, y la normativa autonómica que resulte de aplicación.
  • Libro de registros de solicitudes y consentimientos: de manera inmutable durante el tiempo legalmente exigible para acreditar el correcto cumplimiento del principio de responsabilidad proactiva (accountability) del artículo 5.2 del RGPD.
  • Registros de acceso y eventos de seguridad: durante un plazo máximo orientativo de doce (12) meses, salvo que se hallen vinculados a un incidente abierto.
  • Comunicaciones con el equipo y registros de ejercicio de derechos: durante los plazos exigidos por la normativa de prescripción de acciones legales que pudieran derivarse del tratamiento.

Transcurridos los plazos anteriores, los datos serán suprimidos o, en su caso, bloqueados conforme al artículo 32 de la LOPDGDD hasta que prescriban las eventuales responsabilidades derivadas de su tratamiento.

10. Derechos del interesado

El RGPD y la LOPDGDD reconocen al interesado los siguientes derechos en relación con sus datos personales:

  • Derecho de acceso (artículo 15 RGPD): a obtener confirmación sobre si se están tratando o no sus datos y, en caso afirmativo, a acceder a los mismos y a la información asociada.
  • Derecho de rectificación (artículo 16 RGPD): a solicitar la modificación de los datos inexactos o incompletos.
  • Derecho de supresión (artículo 17 RGPD), conocido como "derecho al olvido": a obtener la supresión de los datos cuando concurran las circunstancias previstas en el propio RGPD.
  • Derecho de oposición (artículo 21 RGPD): a oponerse al tratamiento por motivos relacionados con su situación particular.
  • Derecho a la limitación del tratamiento (artículo 18 RGPD): a obtener la suspensión temporal del tratamiento cuando se den las condiciones previstas en el citado precepto.
  • Derecho a la portabilidad (artículo 20 RGPD): a recibir los datos en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable cuando ello sea técnicamente posible.
  • Derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento previo.
  • Derecho a no ser objeto de decisiones automatizadas que produzcan efectos jurídicos significativos o le afecten de modo similar (artículo 22 RGPD).

Para ejercer cualquiera de estos derechos, el interesado deberá remitir su solicitud al correo electrónico miofase@hotmail.com aportando, en su caso, copia de un documento que permita acreditar su identidad. La solicitud se atenderá en el plazo previsto en el artículo 12.3 del RGPD.

Sin perjuicio de lo anterior, el interesado tiene reconocido el derecho a presentar reclamación ante la Agencia Española de Protección de Datos (AEPD), con domicilio en calle Jorge Juan, número 6, 28001 Madrid, así como telemáticamente a través de la sede electrónica accesible en www.aepd.es.

11. Medidas técnicas y organizativas de seguridad

De conformidad con el artículo 32 del RGPD, el responsable aplica, en cooperación con los encargados, las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta el estado de la técnica, la naturaleza, el alcance, el contexto y los fines del tratamiento. Entre tales medidas se encuentran:

  • Cifrado de las comunicaciones en tránsito mediante TLS en su versión actualmente recomendada.
  • Almacenamiento de contraseñas mediante funciones criptográficas no reversibles (hashing) aplicadas por el subsistema de autenticación del proveedor.
  • Aplicación de políticas de control de acceso a nivel de registro (row-level security) en la base de datos, que impiden a un profesional acceder a la información de usuarios que no le hayan sido asignados.
  • Uso de credenciales reforzadas para la administración del sistema, principio de mínimo privilegio y revisión periódica de los permisos otorgados.
  • Realización de copias de seguridad por parte del proveedor del subsistema de base de datos, así como mantenimiento de registros de actividad para auditoría.
  • Procedimientos documentados de gestión de incidentes y respuesta ante eventuales brechas de seguridad de los datos personales, conforme a los artículos 33 y 34 del RGPD.

En caso de violación de la seguridad de los datos personales que pueda suponer un riesgo para los derechos y libertades de los interesados, el responsable la notificará a la autoridad de control competente sin dilación indebida y, de ser posible, a más tardar setenta y dos (72) horas después de haber tenido constancia de ella. Cuando la violación entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable comunicará la violación al interesado sin dilación indebida y en los términos previstos en el artículo 34 del RGPD.

12. Aislamiento entre profesionales y arquitectura de privacidad

La plataforma ha sido diseñada con el principio de protección de datos desde el diseño y por defecto, en aplicación del artículo 25 del RGPD. De forma específica:

  • Cada profesional dispone de su propia cartera de usuarios asignados y únicamente accede a los datos correspondientes a dicha cartera; los usuarios de otros profesionales son invisibles para él.
  • Esta segregación se aplica de forma técnica en la propia base de datos, no únicamente en la capa de presentación, mediante políticas de seguridad a nivel de registro.
  • La información clínica, las anotaciones internas y los documentos privados elaborados por el profesional sobre el usuario no se exponen al propio usuario a través de la aplicación móvil. El usuario, desde su propia área, accede únicamente a la información que el profesional comparte con él (plan de entrenamiento, marcas personales, cuestionarios asignados, mensajes y datos personales básicos del propio usuario).
  • Como interesado, el usuario tiene la posibilidad de editar sus propios datos básicos (teléfono, fotografía y campos limitados de perfil) y, en su caso, las marcas personales y cuestionarios que se le hayan asignado.

13. Cookies y tecnologías equivalentes

La aplicación utiliza, con carácter exclusivamente técnico, los almacenamientos de sesión y cookies estrictamente necesarios para el correcto funcionamiento del sistema, en particular para mantener la sesión iniciada por el usuario. No se utilizan cookies de seguimiento, publicitarias, de análisis avanzado ni de terceros con fines comerciales. Por su carácter técnico, la utilización de estas cookies no requiere consentimiento conforme al artículo 22 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSICE).

14. Tratamiento de datos de menores

De acuerdo con el artículo 7 de la LOPDGDD, el tratamiento de datos personales de un menor de edad únicamente podrá basarse en su consentimiento cuando sea mayor de catorce (14) años. En caso contrario, será preceptivo el consentimiento del titular de la patria potestad o tutela del menor.

La plataforma se dirige únicamente a personas mayores de catorce (14) años. Si se detectara que un usuario menor de dicha edad ha accedido al sistema sin la autorización de sus representantes legales, su cuenta sería suspendida y los datos eliminados a la mayor brevedad.

15. Constancia inmutable del consentimiento

A los efectos del principio de responsabilidad proactiva (accountability) y de la carga de la prueba del consentimiento prevista en el artículo 7.1 del RGPD, en el momento en que el usuario marca la casilla de aceptación de la presente política se almacena, en un registro técnico inmodificable de la plataforma, la siguiente información:

  • Fecha y hora exactas de la aceptación.
  • Versión de la política aceptada.
  • Identificador técnico del navegador desde el que se aceptó.
  • Estado de aceptación (sí/no) y motivo, en su caso.

Estos registros sólo son accesibles al equipo gestor de la plataforma y se aportan, en su caso, a requerimiento de la autoridad de control o de la autoridad judicial competente.

16. Modificación de la política

El responsable se reserva el derecho a modificar la presente política para adaptarla a novedades legislativas, técnicas o de negocio. Cuando las modificaciones sean sustanciales se comunicarán al usuario con antelación razonable, a través de la propia aplicación o por correo electrónico, recabándose, en su caso, un nuevo consentimiento expreso para los nuevos términos.

17. Resolución de dudas y atención al interesado

Para cualquier consulta, duda, problema técnico o reclamación relacionada con la presente política, con el funcionamiento de la plataforma o con la integridad de los datos personales del interesado, el canal de comunicación habilitado por el responsable es la dirección de correo electrónico miofase@hotmail.com.

Las comunicaciones recibidas a través de este canal son gestionadas por el equipo de Miofase, que asume la función de atención al interesado y se compromete a responder en el plazo razonable indicado en el apartado 1.

18. Normativa de referencia

La presente política toma como referencia, entre otras, las siguientes normas:

  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD).
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSICE).
  • Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
  • Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países.
  • Sentencia del Tribunal de Justicia de la Unión Europea de 16 de julio de 2020, asunto C-311/18 (Schrems II).

19. Aceptación

El marcado expreso de la casilla de aceptación habilitada en el formulario de registro implica la lectura y aceptación íntegra de la presente política de tratamiento de datos personales, así como del resto de condiciones aplicables al uso de la plataforma. Si el usuario no presta su consentimiento, no podrá completar el proceso de alta.

Política de privacidadTérminos y condicionesAviso legalPolítica de cookies

Contacto legal / protección de datos: miofase@hotmail.com · Soporte de la aplicación: miofase.gestion@gmail.com

© 2026 Miofase (marca registrada). Todos los derechos reservados.