Política de Privacidad
Última actualización: [FECHA — completar]
1. Responsable del tratamiento
[NOMBRE / RAZÓN SOCIAL], con domicilio en [DIRECCIÓN] y NIF [NIF], es el responsable del tratamiento de los datos personales recogidos a través de la plataforma Mithox (en adelante, “el Servicio”).
Contacto: privacy@nexora.app
2. Datos que recogemos
- Datos de cuenta: nombre, email, contraseña hasheada, rol (nutricionista, paciente, profesor, alumno, administrador).
- Datos de pacientes (introducidos por los profesionales): edad, sexo, peso, altura, composición corporal, antropometría, historial dietético y deportivo.
- Datos de uso: logs de acceso, IP, navegador, eventos de la app (con fines de seguridad y mejora).
- Datos de salud (categoría especial RGPD art. 9): mediciones antropométricas, planes nutricionales, datos de actividad física integrados desde Strava/Garmin/Google Fit si el usuario lo autoriza.
- Cookies técnicas: token de autenticación (localStorage), preferencias de UI. No usamos cookies de tracking publicitario.
3. Finalidad y base legal
- Prestación del Servicio (ejecución de contrato — RGPD art. 6.1.b).
- Tratamiento de datos de salud: consentimiento explícito del paciente (RGPD art. 9.2.a) y/o asistencia sanitaria por profesional sujeto a secreto profesional (RGPD art. 9.2.h).
- Seguridad e integridad del Servicio (interés legítimo — RGPD art. 6.1.f).
- Cumplimiento de obligaciones legales fiscales y contables.
4. Conservación
Los datos se conservan mientras el usuario mantenga su cuenta activa y, tras la baja, durante el plazo legal aplicable (hasta 5 años para datos clínicos según normativa sanitaria; 6 años para datos contables).
5. Destinatarios
No cedemos datos a terceros salvo:
- Encargados del tratamiento que prestan servicios técnicos: hosting (Vercel Inc., Render Services Inc.), email transaccional (Resend), monitorización de errores (Sentry), IA (Google Gemini).
- Integraciones opcionales activadas por el usuario (Strava, Garmin Connect, Google Calendar).
- Autoridades competentes cuando exista obligación legal.
Algunos encargados están ubicados fuera del EEE (EE.UU.). Las transferencias se amparan en las Cláusulas Contractuales Tipo de la Comisión Europea o en decisiones de adecuación.
6. Derechos del usuario (RGPD)
El usuario puede ejercer en cualquier momento los derechos de:
- Acceso, rectificación y supresión de sus datos.
- Limitación y oposición al tratamiento.
- Portabilidad de los datos en formato estructurado.
- Retirar el consentimiento prestado, sin efectos retroactivos.
- Reclamar ante la Agencia Española de Protección de Datos (www.aepd.es).
Solicitudes a: privacy@nexora.app.
7. Seguridad
Aplicamos medidas técnicas y organizativas: cifrado en tránsito (TLS 1.2+), cifrado de contraseñas (bcrypt), control de accesos por rol, auditoría de operaciones sensibles, backups diarios cifrados.
8. Menores
El Servicio está destinado a profesionales sanitarios y deportivos mayores de 18 años. Los datos de pacientes menores son introducidos por el profesional bajo su responsabilidad y con el consentimiento informado de los tutores legales.
9. Modo universidad — pacientes simulados
Las cuentas de tipo “alumno” (modo universidad) sólo pueden gestionar pacientes simulados con fines didácticos. Está expresamente prohibido introducir datos reales de personas en cuentas de alumno.
10. Cambios en esta política
Notificaremos cualquier modificación sustancial mediante aviso en la app y/o email al menos 15 días antes de su entrada en vigor.