En ONA Fitness CLUB ("nosotros", "el responsable"), accesible a través de la aplicación web y móvil, nos comprometemos a proteger la privacidad de nuestros usuarios ("tú", "el interesado"). Esta Política de Privacidad explica cómo recopilamos, usamos, almacenamos y protegemos tus datos personales, de acuerdo con el Reglamento General de Protección de Datos (RGPD) – Reglamento (UE) 2016/679 y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
1. Datos que recopilamos
1.1 Datos proporcionados por el usuario
- Datos de identificación: nombre, apellidos, fecha de nacimiento
- Datos de contacto: correo electrónico, número de teléfono
- Datos físicos: peso, altura, lesiones o condiciones físicas (opcionales, para seguimiento de progreso y adaptación de clases)
- Dirección: domicilio (para gestión de servicios a domicilio)
- Preferencias: objetivo fitness, horario preferido, estilo de clase
- Fotografía: imagen de perfil (opcional)
1.2 Datos generados automáticamente
- Datos de uso: reservas de clases, asistencias, compras, bonos activados, puntos acumulados
- Datos técnicos: tipo de navegador, sistema operativo, resolución de pantalla, dirección IP (solo para seguridad y diagnóstico)
- Cookies y tecnologías similares: según nuestra Política de Cookies
1.3 Datos de comunicaciones
- Mensajes enviados a través de WhatsApp Business API (cuando el usuario opta por recibir comunicaciones)
- Comentarios en el blog y galería
- Comunicaciones por correo electrónico
2. Base legal del tratamiento
Tratamos tus datos personales bajo las siguientes bases legales, conforme al artículo 6 del RGPD:
- Ejecución contractual (art. 6.1.b): gestión de tu cuenta, bonos, reservas de clases, compras y seguimiento de progreso.
- Consentimiento (art. 6.1.a): envío de comunicaciones comerciales por WhatsApp, email o notificaciones push; uso de datos físicos para recomendaciones; uso de cookies no esenciales.
- Interés legítimo (art. 6.1.f): mejora del servicio, prevención de fraudes, seguridad de la plataforma, estadísticas internas anonimizadas.
- Obligación legal (art. 6.1.c): cumplimiento de obligaciones fiscales y legales aplicables.
3. Finalidad del tratamiento
Utilizamos tus datos para:
- Gestionar tu cuenta de usuario y autenticación
- Procesar y gestionar reservas de clases, bonos y compras
- Realizar seguimiento de progreso físico (peso, altura) cuando lo solicites
- Enviar recordatorios de clases, confirmaciones de reserva y notificaciones operativas
- Enviar comunicaciones comerciales y promocionales (solo con tu consentimiento previo)
- Enviar mensajes a través de WhatsApp Business API (solo con tu consentimiento expreso)
- Generar códigos QR de acceso y gestión de asistencias
- Gestionar el programa de puntos e incentivos
- Personalizar tu experiencia y recomendarte clases según tus preferencias
- Garantizar la seguridad de la plataforma
- Cumplir con obligaciones legales aplicables
4. Comunicaciones a través de WhatsApp
Importante – WhatsApp Business API: ONA Fitness CLUB utiliza la API de WhatsApp Business, proporcionada por Meta Platforms, Inc. para enviar mensajes a los usuarios que han prestado su consentimiento expreso.
Cuando aceptas recibir mensajes por WhatsApp:
- Tu número de teléfono y el contenido de los mensajes se procesan a través de los servidores de Meta/WhatsApp.
- Meta puede utilizar estos datos conforme a su propia política de privacidad, incluyendo para fines de seguridad y mejora del servicio de WhatsApp.
- Los datos pueden transferirse a Estados Unidos, donde se encuentran los servidores de Meta.
- Puedes retirar tu consentimiento en cualquier momento desde tu perfil en la aplicación.
Para más información sobre cómo Meta trata tus datos, consulta:
Tipos de mensajes enviados por WhatsApp:
- Recordatorios de clase (operativo, parte del servicio contratado)
- Confirmaciones y cambios de reserva (operativo)
- Novedades y nuevas clases (comercial, requiere consentimiento)
- Ofertas y promociones (comercial, requiere consentimiento)
- Frases motivacionales (requiere consentimiento)
5. Destinatarios de los datos
Tus datos personales pueden compartirse con:
- Meta Platforms, Inc. / WhatsApp: para el envío de mensajes a través de la WhatsApp Business API.
- Proveedores de servicios de email: para el envío de comunicaciones por correo electrónico.
- Proveedores de almacenamiento en la nube: para almacenar imágenes (avatares, galería).
- Proveedores de hosting: para la prestación del servicio web.
- Autoridades públicas: cuando sea requerido por ley.
No vendemos ni cedemos tus datos personales a terceros con fines comerciales.
6. Transferencias internacionales
Algunos de los destinatarios mencionados pueden estar ubicados fuera del Espacio Económico Europeo (EEE), principalmente en Estados Unidos (Meta/WhatsApp). Estas transferencias se realizan bajo:
- Decisión de adecuación de la Comisión Europea (Data Privacy Framework, cuando aplique)
- Cláusulas contractuales tipo aprobadas por la Comisión Europea
- Consentimiento expreso del usuario (para el caso específico de WhatsApp)
7. Plazos de conservación de los datos
- Datos de cuenta: mientras mantengas la cuenta activa. Se conservarán hasta 3 años después de la última actividad, salvo obligación legal.
- Datos de reservas y bonos: durante la vigencia del bono y hasta 2 años después para gestión de incidencias.
- Datos de facturación: el plazo legal aplicable (generalmente 4 años conforme a la normativa fiscal española).
- Datos de comunicaciones por WhatsApp: se almacenan según la política de retención de Meta.
- Consentimientos: mientras no sean retirados.
8. Medidas de seguridad
Implementamos medidas técnicas y organizativas para proteger tus datos:
- Cifrado: los datos sensibles (teléfono, peso, altura, dirección) están cifrados en la base de datos mediante AES-256-CBC.
- Autenticación segura: contraseñas almacenadas con hash bcrypt (cost factor 12).
- Comunicaciones cifradas: HTTPS/TLS para todas las comunicaciones.
- Control de acceso: acceso restringido a datos personales solo al personal autorizado.
- Protección contra ataques: medidas anti-inyección SQL, XSS, CSRF y otros vectores de ataque.
9. Derechos del interesado
Conforme al RGPD y la LOPDGDD, tienes los siguientes derechos:
- Derecho de acceso (art. 15 RGPD): obtener confirmación sobre si tratamos tus datos y acceder a ellos.
- Derecho de rectificación (art. 16 RGPD): solicitar la corrección de datos inexactos.
- Derecho de supresión (art. 17 RGPD): solicitar la eliminación de tus datos personales.
- Derecho a la limitación del tratamiento (art. 18 RGPD): solicitar la restricción del tratamiento de tus datos.
- Derecho a la portabilidad (art. 20 RGPD): recibir tus datos en formato estructurado y transferibles.
- Derecho de oposición (art. 21 RGPD): oponerte al tratamiento basado en interés legítimo.
- Derecho a retirar el consentimiento (art. 7.3 RGPD): retirar en cualquier momento el consentimiento prestado, sin afectar la licitud del tratamiento previo.
- Derecho a no ser objeto de decisiones automatizadas (art. 22 RGPD): no aplicamos decisiones automatizadas con efectos jurídicos.
Cómo ejercer tus derechos
Puedes ejercer tus derechos de las siguientes formas:
- A través de la sección "Mi Perfil" en la aplicación ONA Fitness CLUB
- Enviando un correo electrónico a: hola@ona.club
Responderemos a tu solicitud en un plazo máximo de 30 días naturales (prorrogables a 60 días en casos complejos). Podremos solicitar verificación de tu identidad.
10. Datos de menores
Nuestro servicio está dirigido a personas mayores de 16 años. No recopilamos conscientemente datos de menores de 16 años. Si detectamos que un menor de 16 años se ha registrado, eliminaremos sus datos de forma inmediata.
11. Modificaciones
Nos reservamos el derecho de modificar esta Política de Privacidad para adaptarla a cambios legislativos o a nuevas funcionalidades del servicio. Cualquier cambio significativo será notificado a través de la plataforma y/o por correo electrónico.
12. Contacto
Para cualquier cuestión relacionada con la protección de datos: