01 · Política de privacidad
Cómo tratamos tus datos
Versión 1.0 · Última actualización: 23 de abril de 2026
1. Responsable del tratamiento
El responsable del tratamiento de tus datos personales es:
Titular: ⚠ LEGAL_COMPANY_NAME no configurado
NIF / CIF: ⚠ LEGAL_NIF no configurado
Domicilio: ⚠ LEGAL_ADDRESS no configurado
Correo de contacto: privacidad@tenplanner.app
2. Datos que tratamos
2.1. Datos del entrenador (usuario registrado)
| Categoría | Datos concretos | Origen |
|---|---|---|
| Identificación | Nombre, correo electrónico, imagen de perfil. | Registro en la plataforma. |
| Perfil profesional | Rol (entrenador/jugador), nivel, años de experiencia, ciudad, preferencia de superficie, objetivos, biografía. | Entrada manual. |
| Contenido generado | Sesiones creadas, ejercicios de biblioteca propia, conversaciones con Dr. Planner. | Uso de la plataforma. |
| Técnicos | Dirección IP, logs de acceso, identificadores de sesión (Supabase Auth). | Generados automáticamente. |
2.2. Datos del alumno (tercero invitado por el entrenador)
| Categoría | Datos concretos | Origen |
|---|---|---|
| Identificación | Nombre, correo electrónico (opcional). | El entrenador al crear la ficha. |
| Perfil físico | Género, fecha de nacimiento, altura, peso, mano dominante. | El alumno al completar el formulario público /s/[token]. |
| Perfil deportivo | Nivel de juego, años de experiencia, foto. | Entrenador y/o alumno. |
| Registro de consentimiento | Marca temporal y versión del aviso aceptado. | Automático al marcar el checkbox. |
| Histórico de sesiones | Asistencia, valoraciones, notas del entrenador. | Uso de la plataforma por el entrenador. |
Nota sobre datos de salud. Altura, peso y observaciones libres del entrenador pueden constituir categorías especiales de datos (art. 9 RGPD) si permiten inferir información sobre el estado físico. Solo se tratan con consentimiento explícito del alumno (art. 9.2.a RGPD) y exclusivamente para la finalidad deportiva.
3. Finalidades y bases jurídicas
| Finalidad | Base jurídica | Dato afectado |
|---|---|---|
| Prestar el servicio de planificación al entrenador. | Ejecución de contrato (art. 6.1.b RGPD). | Datos del entrenador. |
| Permitir al entrenador gestionar fichas de sus alumnos. | Interés legítimo del entrenador como responsable sobre los datos del alumno (art. 6.1.f). TenPlanner actúa como encargado (art. 28 RGPD). | Datos del alumno. |
| Recoger el perfil físico del alumno vía enlace /s/[token]. | Consentimiento explícito del alumno (art. 6.1.a y art. 9.2.a). | Altura, peso, fecha de nacimiento, género, mano dominante. |
| Procesar consultas en el asistente Dr. Planner (IA). | Ejecución de contrato con el entrenador. | Contenido escrito en el chat. |
| Seguridad, prevención de fraude, logs técnicos. | Interés legítimo (art. 6.1.f). | IP, logs de autenticación. |
4. Menores de edad
La edad mínima para consentir el tratamiento de datos en España es 14 años (art. 7 LOPDGDD y art. 8 RGPD). El formulario público del alumno bloquea cualquier fecha de nacimiento que corresponda a una edad inferior a 14 años.
Si un entrenador introduce manualmente datos de una persona menor de 14 años debe contar con el consentimiento previo de quienes ejerzan la patria potestad o tutela, y es responsable de acreditarlo.
5. Encargados del tratamiento y destinatarios
Para prestar el servicio contratamos a los siguientes proveedores, que acceden a datos personales exclusivamente siguiendo nuestras instrucciones documentadas (art. 28 RGPD):
| Proveedor | Servicio | Ubicación | Garantías |
|---|---|---|---|
| Supabase Inc. | Base de datos, autenticación, almacenamiento de archivos. | Región UE / infraestructura en EE. UU. | DPA firmado + Cláusulas Contractuales Tipo (SCC) UE 2021/914. |
| Anthropic, PBC | Modelo de lenguaje Claude para el asistente Dr. Planner. | EE. UU. | DPA + SCC + Zero Data Retention solicitado (sin retención por el proveedor). |
| Vercel Inc. | Hosting y entrega de la aplicación web. | EE. UU. (red global CDN). | DPA + SCC. |
| Pexels GmbH | API pública de imágenes de stock. | Alemania (UE). | No recibe datos personales: solo consultas de búsqueda. |
No cedemos tus datos a terceros con fines comerciales. Solo los comunicamos a autoridades competentes cuando exista obligación legal.
6. Transferencias internacionales
Anthropic y Vercel tratan datos en Estados Unidos. La transferencia está amparada por las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión de Ejecución 2021/914), firmadas en los contratos (DPA) con cada proveedor. Puedes solicitarnos una copia de las garantías en el correo de contacto.
7. Plazos de conservación
| Dato | Plazo |
|---|---|
| Cuenta de entrenador activa. | Mientras no se solicite la supresión. |
| Sesiones, ejercicios, alumnos. | Mientras la cuenta del entrenador esté activa. |
| Conversaciones con Dr. Planner. | 180 días desde la última actividad del chat; luego se eliminan automáticamente. |
| Enlaces /s/[token]. | 7 días desde la generación; luego se invalidan. |
| Logs de acceso y seguridad. | 12 meses (proveedor de infraestructura). |
| Datos tras supresión de cuenta. | Se eliminan en ≤ 30 días de los sistemas activos; copias de seguridad cifradas se purgan en el ciclo habitual (≤ 90 días). |
8. Tus derechos
En cualquier momento puedes ejercer los siguientes derechos sobre tus datos:
- Acceso: obtener una copia de los datos que tratamos.
- Rectificación: corregir datos inexactos.
- Supresión: eliminar tu cuenta y todos tus datos.
- Portabilidad: descargar tus datos en formato JSON (desde Perfil → Datos).
- Oposición y limitación: oponerte a tratamientos basados en interés legítimo o limitarlos.
- Retirada del consentimiento: cuando la base sea el consentimiento, sin efecto retroactivo.
Para ejercerlos, escribe a privacidad@tenplanner.app acreditando tu identidad. Responderemos en un plazo máximo de 30 días.
Si consideras que no hemos atendido correctamente tu solicitud, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).
9. Medidas de seguridad
- Cifrado TLS en tránsito y cifrado en reposo en la base de datos.
- Row Level Security (RLS) de PostgreSQL: cada entrenador solo accede a sus propios registros.
- Tokens de alumno firmados y con expiración de 7 días.
- Autenticación gestionada por Supabase Auth (JWT + OAuth).
- Control de acceso por rol y registro de auditoría en logs del proveedor.
10. Notificación de brechas
En caso de brecha de seguridad que suponga un riesgo para tus derechos y libertades, la notificaremos a la AEPD en un plazo máximo de 72 horas (art. 33 RGPD) y, cuando el riesgo sea alto, también a las personas afectadas (art. 34).
11. Cambios en esta política
Podemos actualizar esta política para reflejar cambios legales o técnicos. Publicaremos la versión vigente en esta página con la fecha de actualización. Los cambios sustanciales se comunicarán por correo a los usuarios registrados.