La presente Política de Privacidad se ha elaborado conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (RGPD); la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD); la Ley 34/2002 (LSSI-CE); la Directiva 2002/58/CE (ePrivacy); y los estándares aplicables de la UK GDPR, Suiza (LPD), Brasil (LGPD), California (CCPA/CPRA) y Canadá (PIPEDA) cuando resulten procedentes.
1. Responsable del tratamiento
- Responsable: Santiago Velasco (Zero to Hero Fit Club · Papi Zero)
- Domicilio: 15190 Prestonwood Blvd, Apt 1015, Dallas, TX 75248, Estados Unidos
- Email: info@zerotoherofitclub.com
- Delegado de Protección de Datos (DPO): No designado obligatoriamente. Para consultas de privacidad, dirigirse al email indicado.
2. Datos que tratamos
Según la interacción del Usuario con nuestros Servicios, tratamos las siguientes categorías:
- Datos identificativos y de contacto: nombre, apellidos, email, teléfono, país.
- Datos de cuenta: identificador único, contraseña cifrada, preferencias, rol.
- Datos de reserva y transacción: plan contratado, fecha preferida, importe, moneda, identificadores de sesión y pago (Stripe), estado de la reserva.
- Datos de navegación: dirección IP, tipo de dispositivo, sistema operativo, navegador, país inferido por geo-IP (Cloudflare), páginas visitadas, referrer, timestamps.
- Comunicaciones: mensajes enviados a través de formularios o email.
No solicitamos ni tratamos deliberadamente categorías especiales de datos (art. 9 RGPD).
3. Finalidades y base jurídica
| Finalidad | Base jurídica (art. 6 RGPD) | Conservación |
|---|---|---|
| Gestión de la cuenta de usuario y autenticación. | Ejecución de contrato (art. 6.1.b). | Mientras la cuenta esté activa; 6 años tras baja por obligaciones legales. |
| Reserva, cobro y prestación de los Servicios (mentoría, Zero Project, Black Room). | Ejecución de contrato (art. 6.1.b). | Duración del servicio + plazos fiscales (hasta 6 años, art. 30 C.Com.). |
| Envío de comunicaciones transaccionales (recibos, confirmaciones). | Ejecución de contrato (art. 6.1.b). | Vida del contrato + plazos legales. |
| Envío de newsletter y comunicaciones comerciales. | Consentimiento (art. 6.1.a) o interés legítimo para clientes (art. 21.2 LSSI). | Hasta que el Usuario retire su consentimiento o se dé de baja. |
| Cumplimiento de obligaciones legales, fiscales y contables. | Obligación legal (art. 6.1.c). | Plazos previstos en la normativa fiscal, mercantil y de blanqueo de capitales. |
| Analítica web, mejora del servicio y prevención de fraude. | Interés legítimo (art. 6.1.f) y consentimiento para cookies no esenciales. | Hasta 26 meses para métricas agregadas. |
| Píxeles publicitarios (Meta, Google) y remarketing. | Consentimiento explícito (art. 6.1.a) obtenido mediante banner de cookies. | Hasta que se retire el consentimiento. |
| Atención de derechos y reclamaciones. | Obligación legal (art. 6.1.c) e interés legítimo (art. 6.1.f). | 3 años desde la resolución, salvo litigio. |
4. Destinatarios y encargados del tratamiento
Los datos podrán ser comunicados a los siguientes destinatarios o encargados de tratamiento, con los que se han suscrito los correspondientes contratos ex art. 28 RGPD:
- Supabase / Lovable Cloud — infraestructura de base de datos, autenticación y funciones de servidor.
- Cloudflare, Inc. — CDN, protección frente a ataques y detección de país por IP.
- Stripe Payments Europe, Ltd. — procesamiento de pagos con tarjeta.
- Google Ireland Ltd. — Google Analytics, Google Ads, Google Meet.
- Meta Platforms Ireland Ltd. — píxel de Facebook / Instagram (solo con consentimiento).
- Proveedores de envío de email transaccional vinculados a nuestro dominio notify.zerotoherofitclub.com.
- Administraciones públicas cuando exista obligación legal (AEAT, órganos judiciales, Fuerzas y Cuerpos de Seguridad).
5. Transferencias internacionales
Algunos encargados están establecidos fuera del Espacio Económico Europeo (por ejemplo, Estados Unidos). En tales casos, las transferencias se amparan en:
- Decisiones de adecuación (por ejemplo, el EU-US Data Privacy Framework para proveedores certificados en Estados Unidos).
- Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914).
- Medidas técnicas y organizativas suplementarias (cifrado en tránsito y en reposo, pseudonimización, control de acceso).
6. Plazos de conservación
Conservamos los datos únicamente durante el tiempo estrictamente necesario para cumplir con las finalidades para las que fueron recabados y, con posterioridad, debidamente bloqueados durante los plazos legales (fiscales, contables, prevención de blanqueo) que resulten aplicables, tras lo cual se procede a su supresión segura.
7. Derechos del interesado
Cualquier persona puede ejercer, de forma gratuita y en cualquier momento, los siguientes derechos reconocidos por el RGPD y la LOPDGDD:
- Acceso a sus datos personales.
- Rectificación de datos inexactos o incompletos.
- Supresión («derecho al olvido»).
- Oposición al tratamiento por motivos relacionados con su situación particular.
- Limitación del tratamiento.
- Portabilidad de los datos en formato estructurado y legible por máquina.
- No ser objeto de decisiones automatizadas, incluida la elaboración de perfiles.
- Retirar el consentimiento en cualquier momento, sin efectos retroactivos.
Para ejercerlos, envíe una comunicación a info@zerotoherofitclub.com indicando su solicitud y adjuntando copia de un documento identificativo válido. Responderemos en el plazo máximo de un mes, ampliable dos meses en función de la complejidad y número de solicitudes.
Si considera que sus derechos no han sido debidamente atendidos, puede presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es) o ante la autoridad de control de su país de residencia.
8. Seguridad
Aplicamos medidas técnicas y organizativas apropiadas conforme al artículo 32 RGPD y a los estándares ISO/IEC 27001 y SOC 2, incluyendo cifrado TLS en tránsito, cifrado en reposo, control estricto de acceso basado en roles, autenticación reforzada, políticas de contraseñas robustas, registro de auditoría, copias de seguridad periódicas, pruebas de recuperación y evaluación continua de riesgos. En caso de violación de seguridad que suponga un riesgo para los derechos y libertades, notificaremos a la autoridad competente en un plazo máximo de 72 horas y, cuando proceda, a los interesados afectados.
9. Menores
Nuestros Servicios están dirigidos a mayores de 18 años. No recabamos conscientemente datos de menores. Si un padre, madre o tutor legal detecta que un menor nos ha facilitado datos, puede solicitarnos su supresión inmediata al email de contacto.
10. Cambios en la política
Podremos actualizar esta Política para reflejar cambios normativos, técnicos o del servicio. Publicaremos la versión vigente en esta URL con la fecha de última actualización. Los cambios sustanciales serán notificados por email o mediante aviso destacado en el sitio.
