La presente política (en adelante, la «Política») se emite en cumplimiento de lo dispuesto en los artículos 13 y 14 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante «RGPD») y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales («LOPDGDD»).
1. Identificación del Responsable del Tratamiento
- Responsable: FITIZENS, S.L.
- CIF: B‑09627944
- Domicilio: Avenida de Francia 17, Esc. Izq., 8º A, 28916 Leganés (Madrid, España).
- Contacto general:
info@fitizens.io. - Contacto Delegado de Protección de Datos (DPD):
rgpd@fitizens.io.
2. Ámbito objetivo y subjetivo
- La presente Política es de aplicación a:
a) El sitio web accesible enhttps://fitizens.ioy subdominios (en adelante, la «Web»).
b) Las aplicaciones móviles FITIZENS Mobile (Android/iOS) y de escritorio FITIZENS Desktop (en adelante, conjuntamente, las «Apps»). - A los efectos de esta Política, «Interesado» es toda persona física que utilice la Web o las Apps (en adelante, los «Servicios»).
3. Base jurídica, finalidades y plazos de conservación
| Nº | Finalidad del tratamiento | Categorías de datos | Base jurídica (art. 6 y 9 RGPD) | Plazo de conservación¹ |
|---|---|---|---|---|
| 3.1 | Creación y gestión de la cuenta | Identificativos, credenciales | Ejecución de un contrato (art. 6.1 b) | Vigencia de la relación más 5 años |
| 3.2 | Perfilado y análisis de métricas de rendimiento | Datos de salud y de rendimiento: parámetros biométricos y de actividad captados por sensores físicos integrados (p. ej. acelerómetros, pulsómetros, cámaras) | Consentimiento expreso (art. 9.2 a) | Hasta revocación o 12 meses de inactividad |
| 3.3 | Facturación y obligaciones contables-fiscales | Identificativos, transacciones | Obligación legal (art. 6.1 c) | 6 años (art. 30 Código Comercio) |
| 3.4 | Comunicaciones comerciales electrónicas | E-mail, preferencias | Consentimiento (art. 6.1 a) | Hasta revocación o 24 meses de inactividad |
| 3.5 | Analítica web y de Apps | IP abreviada, eventos de navegación, Device-ID pseudonimizado | Consentimiento (art. 6.1 a) | 24 meses |
| 3.6 | Prevención de fraude y seguridad para proteger la integridad de los Servicios y los datos de los usuarios | Registros de acceso, logs | Interés legítimo ponderado (art. 6.1 f) | 12 meses |
| 3.7 | Gestión y compartición de contenidos audiovisuales generados por el usuario | Imágenes y vídeos aportados por el usuario, metadatos asociados | Ejecución de un contrato (art. 6.1 b) | Hasta que el usuario elimine el contenido o solicite su supresión |
| 3.8 | Investigación y desarrollo de funcionalidades mediante datos anonimizados | Datos anonimizados o agregados | No aplicable (datos no personales) | Indefinido |
| 3.9 | Gestión de consultas y solicitudes de información (Formulario de contacto) | Identificativos (nombre, e-mail), contenido de la consulta | Consentimiento del interesado (art. 6.1 a) | Hasta resolución de la consulta o 12 meses |
¹Cumplidos los plazos indicados, los datos serán bloqueados y conservados únicamente para la atención de responsabilidades legales, tras lo cual serán suprimidos o anonimizados de forma irreversible. Los datos que hayan sido anonimizados o agregados quedarán fuera del ámbito de aplicación del RGPD y podrán conservarse indefinidamente para fines estadísticos, de investigación o de mejora de servicios.
4. Consentimiento relativo a datos de salud, métricas de rendimiento y otros datos captados por sensores
La aportación de datos pertenecientes a categorías especiales (art. 9 RGPD) —incluidos los parámetros biométricos y de actividad captados mediante sensores físicos integrados (por ejemplo, acelerómetros, pulsómetros, sensores ópticos, cámaras u otros dispositivos equivalentes)— es voluntaria y requiere la marcación de una casilla específica que documenta el consentimiento expreso del Interesado. La retirada del consentimiento no afecta a la licitud del tratamiento previo y puede realizarse en cualquier momento desde el perfil de la App o mediante comunicación al DPD.
4 bis. Datos anonimizados y uso con fines de mejora e investigación
FITIZENS aplica técnicas de anonimización y agregación acordes a las mejores prácticas del sector y a las orientaciones de la AEPD y del EDPB, garantizando que la información resultante no permita la identificación, directa o indirecta, de los usuarios.
Los datos anonimizados o agregados podrán utilizarse con fines estadísticos, de investigación y desarrollo, y para la mejora y optimización de las funcionalidades y tecnologías de nuestros Servicios.
5. Destinatarios y encargados de tratamiento
- FITIZENS no cederá datos a terceros salvo obligación legal o consentimiento previo del Interesado.
- Acceden a los datos, en calidad de encargados de tratamiento (art. 28 RGPD), proveedores pertenecientes a las categorías de la tabla indicada más abajo.
- El Responsable ha formalizado (o formalizará antes de cualquier tratamiento) los correspondientes contratos de encargado (art. 28 RGPD) y ha realizado (o realizará) Evaluaciones de Impacto de Transferencia (TIA) cuando proceda, conforme a las Directrices 05/2021 del EDPB.
| Categoría del Proveedor | Servicio Principal | Ubicación de tratamiento | Garantía de transferencia |
|---|---|---|---|
| Proveedores de Infraestructura y BBDD Cloud | Alojamiento de Servicios, Base de Datos | Principalmente EEE¹ | Cláusulas Contractuales Tipo (SCC) u otras garantías adecuadas (art. 46 RGPD)¹ |
| Proveedores de Analítica Web | Medición de uso web | EEE y/o terceros países¹ | SCC u otras garantías adecuadas + Consentimiento¹ |
| Proveedores de Analítica de Aplicaciones Móviles | Medición de uso de la App | EEE y/o terceros países¹ | SCC u otras garantías adecuadas + Consentimiento¹ |
| Proveedores de servicios de e-mail marketing | Envío de e‑mails | EEE y/o terceros países¹ | SCC u otras garantías adecuadas¹ |
¹ La ubicación específica del tratamiento y las garantías aplicables para las transferencias internacionales dependerán del proveedor concreto seleccionado dentro de cada categoría. FITIZENS se asegura de que todos los proveedores cumplan con los requisitos del RGPD, incluyendo la aplicación de salvaguardas adecuadas para transferencias internacionales (Capítulo V RGPD) cuando sean necesarias.
6. Derechos de los Interesados
El Interesado puede ejercitar ante FITIZENS los derechos de acceso, rectificación, supresión, limitación, portabilidad, oposición y a no ser objeto de decisiones automatizadas, mediante:
- Correo electrónico a
rgpd@fitizens.io, o - Comunicación escrita al domicilio indicado en la 1.
La solicitud se atenderá en el plazo máximo de un mes, prorrogable por dos meses adicionales en casos complejos, conforme al art. 12 RGPD. El Interesado podrá, además, presentar reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.
7. Cookies y tecnologías similares
La Web y las Apps utilizan cookies y SDK únicamente tras la obtención de un consentimiento granular conforme a la Guía de Cookies de la AEPD (2024). Puede consultarse la información detallada en la Política de Cookies.
8. Tratamiento de datos de menores
Los Servicios se dirigen a mayores de catorce (14) años. El registro de un menor requerirá la autorización de quien ostente la patria potestad o tutela, verificándose mediante los mecanismos establecidos por FITIZENS.
9. Medidas de seguridad (art. 32 RGPD)
FITIZENS aplica medidas técnicas y organizativas apropiadas, entre otras:
- Cifrado en tránsito: TLS 1.2+ / TLS 1.3.
- Cifrado en reposo: AES‑256 gestionado por el proveedor cloud.
- Control de acceso basado en roles (RBAC) mediante Firestore Rules e IAM de Google Cloud.
- Autenticación multifactor opcional para usuarios y obligatoria para empleados.
- Registros de auditoría conservados ≥ 12 meses.
- Plan de respuesta a incidentes que contempla notificación a la AEPD ≤ 72 h.
10. Registro de Actividades de Tratamiento
El Responsable mantiene actualizado el Registro de Actividades de Tratamiento previsto en el art. 30 RGPD, a disposición de la AEPD.
11. Vigencia y modificaciones
La presente Política permanecerá vigente mientras no se sustituya por una nueva versión debidamente publicada. FITIZENS notificará al Interesado, con 15 días de antelación, cualquier modificación que afecte materialmente a sus derechos o intereses.
FITIZENS, S.L.