Política de Privacidad y Condiciones de Uso

1. Objeto, Ámbito de Aplicación y Responsable del Tratamiento

El presente documento constituye la Política de Privacidad, las Condiciones de Uso y el Aviso Legal de la aplicación móvil MPT — My Personal Trainer (en adelante, «la Aplicación»). La descarga, instalación o uso de la Aplicación implica la aceptación íntegra e incondicional del presente documento por parte del usuario.

Este documento se redacta de conformidad con:

• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD).
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
• Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI-CE).
• Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios (TRLGDCU).
• Directiva (UE) 2019/770 del Parlamento Europeo y del Consejo, relativa a los contratos de suministro de contenidos y servicios digitales, transpuesta al ordenamiento español.

El responsable del tratamiento y titular de la Aplicación es:

• Denominación social: [NOMBRE_EMPRESA, S.L.]
• NIF/CIF: [B-XXXXXXXX]
• Domicilio social: [DIRECCIÓN_COMPLETA, CÓDIGO_POSTAL, CIUDAD, ESPAÑA]
• Correo electrónico de contacto: [contacto@getmpt.app]
• Correo electrónico de privacidad: [privacy@getmpt.app]
• Delegado de Protección de Datos (DPD/DPO): [NOMBRE_DPD] — [dpd@getmpt.app] (en caso de que resulte exigible conforme al artículo 37 del RGPD y artículo 34 de la LOPDGDD)

A los efectos previstos en el artículo 10 de la LSSI-CE, los datos identificativos del prestador de servicios constan en el presente apartado.

2. Principio Fundamental: Privacidad por Diseño y por Defecto

MPT ha sido diseñada bajo los principios de privacidad por diseño y por defecto (artículo 25 del RGPD). Esto significa que:

• Todos tus datos de salud, nutrición, entrenamiento y biometría se almacenan exclusivamente en tu dispositivo. MPT no envía, transmite ni almacena dichos datos personales en servidores externos ni en la nube.
• La Aplicación funciona en modo offline-first: no requiere conexión a internet para su funcionamiento.
• La base de datos local está cifrada mediante SQLCipher (AES-256).
• Las copias de seguridad que el usuario genera voluntariamente están cifradas de extremo a extremo.
• No existen servidores propios ni de terceros que procesen tu información personal de salud o fitness.

No obstante, con el fin de garantizar la estabilidad técnica y mejorar la experiencia de uso, la Aplicación utiliza servicios de terceros para la recopilación de datos analíticos de uso (PostHog) y datos técnicos de errores (Sentry). Estos servicios no tienen acceso a tus datos de salud, nutrición, entrenamiento ni biometría, que permanecen exclusivamente en tu dispositivo. Los datos enviados a estos servicios se describen en detalle en la sección 3 bis de esta política.

3. Datos Personales Tratados

La Aplicación permite al usuario registrar voluntariamente los siguientes tipos de datos, que se almacenan únicamente en el dispositivo del usuario:

• Datos de perfil: nombre, fecha de nacimiento, sexo, altura, objetivos personales.
• Datos nutricionales: alimentos consumidos, macronutrientes, micronutrientes, recetas, ingesta hídrica.
• Datos de entrenamiento: ejercicios realizados, series, repeticiones, cargas, duración.
• Datos biométricos: peso corporal, medidas corporales, composición corporal estimada.
• Datos de salud (categoría especial, art. 9 RGPD): los datos de nutrición, entrenamiento y biometría pueden constituir datos relativos a la salud. Su tratamiento se basa en el consentimiento explícito del usuario (art. 9.2.a RGPD) manifestado al introducir voluntariamente dichos datos en la Aplicación.

3 bis. Datos Analíticos y Técnicos Enviados a Terceros

Además de los datos almacenados localmente, la Aplicación envía a servicios externos los siguientes datos no vinculados a tu información de salud o fitness:

a) Datos de uso — PostHog (analítica de producto)

Con la finalidad de comprender cómo se utiliza la Aplicación y mejorar sus funcionalidades, se recopilan datos analíticos a través de PostHog (posthog.com). Los datos recopilados pueden incluir:

• Identificador anónimo de sesión (no vinculado a la identidad real del usuario).
• Eventos de interacción con la interfaz: pantallas visitadas, funcionalidades utilizadas, flujos de navegación.
• Información técnica del dispositivo: sistema operativo, versión de la Aplicación, tipo de dispositivo, resolución de pantalla, idioma del sistema.
• País aproximado derivado de la dirección IP (la dirección IP se anonimiza y no se almacena en su forma completa).

En ningún caso se envían a PostHog datos de salud, nutricionales, de entrenamiento, biométricos ni contenido introducido por el usuario.

b) Datos técnicos de errores — Sentry (monitorización de estabilidad)

Con la finalidad de detectar, diagnosticar y corregir errores técnicos que afecten al funcionamiento de la Aplicación, se utiliza el servicio Sentry (sentry.io). Los datos recopilados en caso de error pueden incluir:

• Traza del error (stack trace): información técnica sobre la excepción producida.
• Información del dispositivo: modelo, sistema operativo, versión, memoria disponible.
• Versión de la Aplicación y entorno de ejecución.
• Breadcrumbs (migas de pan): secuencia de acciones técnicas previas al error (sin contenido del usuario).
• Dirección IP: procesada transitoriamente para la transmisión y eliminada según la política de retención configurada.

Sentry no recibe datos de salud, nutricionales, de entrenamiento ni biométricos del usuario. Los informes de error se limitan a información técnica necesaria para la resolución de incidencias.

4. Base Jurídica del Tratamiento

El tratamiento de los datos personales se fundamenta en las siguientes bases jurídicas (artículo 6 del RGPD):

• Ejecución del contrato (art. 6.1.b RGPD): el tratamiento local de los datos introducidos por el usuario es necesario para la prestación del servicio que constituye el objeto de la relación contractual establecida al descargar y utilizar la Aplicación. En el caso de servicios digitales gratuitos en los que el usuario proporciona datos personales (art. 3.1 de la Directiva (UE) 2019/770), la utilización de la Aplicación constituye la aceptación de las condiciones del servicio.
• Consentimiento explícito (art. 6.1.a y art. 9.2.a RGPD): para el tratamiento de datos de categorías especiales (datos relativos a la salud), el usuario presta su consentimiento explícito, libre, específico, informado e inequívoco al introducir voluntariamente dichos datos en la Aplicación. Conforme al artículo 7.3 del RGPD, el usuario puede retirar su consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada. La retirada del consentimiento se ejerce eliminando los datos de la Aplicación o desinstalándola.
• Interés legítimo (art. 6.1.f RGPD): para la recopilación de datos analíticos de uso (PostHog) y datos técnicos de errores (Sentry), conforme al considerando 47 del RGPD. El Responsable ha realizado la correspondiente evaluación de ponderación de intereses (Legitimate Interest Assessment — LIA), documentada internamente, concluyendo que: (i) el interés perseguido es legítimo (mejora de la estabilidad y experiencia de uso); (ii) el tratamiento es necesario y proporcionado; (iii) el impacto en los derechos y libertades del usuario es mínimo (datos exclusivamente técnicos, no de salud ni de categorías especiales); y (iv) las expectativas razonables del usuario en el contexto de una aplicación de software incluyen la monitorización técnica para su correcto funcionamiento. El usuario puede oponerse a este tratamiento en cualquier momento (véase la sección 10).

5. Finalidades del Tratamiento

Los datos personales se tratan exclusivamente para las siguientes finalidades:

• Proporcionar las funcionalidades de la Aplicación: seguimiento nutricional, registro de entrenamientos, control biométrico e hidratación.
• Calcular métricas personalizadas como balance calórico, macronutrientes y composición corporal.
• Generar visualizaciones y estadísticas para el usuario sobre su progreso.
• Permitir la exportación e importación de datos en formato JSON, a voluntad del usuario.
• Generar copias de seguridad cifradas, a voluntad del usuario.
• Analítica de producto (PostHog): comprender patrones de uso agregados para priorizar mejoras, identificar problemas de usabilidad y optimizar funcionalidades.
• Estabilidad técnica (Sentry): detectar, diagnosticar y corregir errores de la Aplicación que afecten a la experiencia del usuario.

En ningún caso los datos se utilizan para elaboración de perfiles individuales, decisiones automatizadas, publicidad segmentada ni cesión comercial a terceros.

6. Almacenamiento y Seguridad de los Datos

De conformidad con el artículo 32 del RGPD, se han implementado las siguientes medidas técnicas y organizativas:

• Almacenamiento local exclusivo: todos los datos residen en el dispositivo del usuario, no en servidores ni en la nube.
• Cifrado de base de datos: la base de datos local utiliza cifrado AES-256 mediante SQLCipher.
• Cifrado de copias de seguridad: las exportaciones de datos se cifran de extremo a extremo.
• Minimización de transmisión: la Aplicación no transmite datos personales de salud o fitness a través de internet. Únicamente se transmiten datos analíticos de uso y datos técnicos de errores a los encargados de tratamiento descritos en la sección 7.
• Control total del usuario: el usuario puede eliminar todos sus datos en cualquier momento desinstalando la Aplicación o utilizando la función de borrado de datos.

7. Comunicación de Datos a Terceros y Encargados de Tratamiento

MPT no comparte, cede, vende ni transfiere datos personales de salud o fitness a terceros. Los datos introducidos por el usuario (nutrición, entrenamientos, biometría) permanecen exclusivamente en el dispositivo.

No obstante, la Aplicación utiliza los siguientes encargados de tratamiento (art. 28 RGPD) para el procesamiento de datos analíticos y técnicos:

• PostHog, Inc. — Analítica de producto.
  Sede: Estados Unidos.
  Datos tratados: eventos de uso anonimizados, datos técnicos del dispositivo (véase sección 3 bis.a).
  Base de transferencia internacional: Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea (Decisión 2021/914).
  Política de privacidad: posthog.com/privacy
• Functional Software, Inc. (Sentry) — Monitorización de errores.
  Sede: Estados Unidos.
  Datos tratados: informes de error, datos técnicos del dispositivo (véase sección 3 bis.b).
  Base de transferencia internacional: Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea (Decisión 2021/914).
  Política de privacidad: sentry.io/privacy

Ambos encargados de tratamiento disponen de los correspondientes acuerdos de tratamiento de datos (DPA — Data Processing Agreement) que garantizan el cumplimiento del RGPD.

Adicionalmente, la Aplicación puede utilizar los siguientes servicios:

• Google Play Store / Apple App Store: para la distribución de la Aplicación. Estos proveedores tienen sus propias políticas de privacidad.
• Google Sign-In (opcional): si el usuario opta por iniciar sesión con su cuenta de Google, se recibirá únicamente el identificador necesario para la autenticación. No se accede a datos adicionales de la cuenta.

8. Transferencias Internacionales de Datos

Los datos de salud, nutrición, entrenamiento y biometría del usuario no son objeto de transferencia internacional alguna, ya que se almacenan exclusivamente en el dispositivo.

Los datos analíticos de uso y los datos técnicos de errores descritos en la sección 3 bis son transferidos a encargados de tratamiento ubicados en Estados Unidos. Dichas transferencias se realizan al amparo de los siguientes mecanismos de garantía (arts. 44–49 del RGPD):

• Marco de Privacidad de Datos UE-EE.UU. (EU-U.S. Data Privacy Framework — DPF): en la medida en que los encargados de tratamiento estén certificados bajo el DPF conforme a la Decisión de Adecuación de la Comisión Europea de 10 de julio de 2023 (art. 45 del RGPD).
• Cláusulas Contractuales Tipo (CCT) adoptadas por la Comisión Europea mediante Decisión de Ejecución (UE) 2021/914, de 4 de junio de 2021 (art. 46.2.c del RGPD), como mecanismo complementario o alternativo.
• Evaluaciones de impacto de transferencia (TIA — Transfer Impact Assessment) realizadas conforme a las Recomendaciones 01/2020 del Comité Europeo de Protección de Datos (CEPD/EDPB), que incluyen el análisis de la legislación del país de destino y las medidas suplementarias aplicadas.

El Responsable revisará periódicamente la vigencia y adecuación de estos mecanismos de transferencia. El usuario puede solicitar copia de las garantías adecuadas aplicadas dirigiéndose a [privacy@getmpt.app].

9. Plazo de Conservación de los Datos

Los datos personales se conservan en el dispositivo del usuario mientras este mantenga la Aplicación instalada y no proceda a su eliminación. El usuario tiene control absoluto sobre la conservación y eliminación de sus datos.

• Al desinstalar la Aplicación, todos los datos almacenados se eliminan automáticamente.
• El usuario puede eliminar datos específicos o la totalidad de sus datos desde la propia Aplicación en cualquier momento.
• Las copias de seguridad exportadas permanecen bajo custodia exclusiva del usuario.
• Los datos analíticos enviados a PostHog se retienen durante un máximo de [12/24] meses, transcurridos los cuales se eliminan automáticamente.
• Los informes de errores enviados a Sentry se retienen durante un máximo de 90 días, transcurridos los cuales se eliminan automáticamente.

10. Derechos del Usuario (arts. 15–22 RGPD y arts. 12–18 LOPDGDD)

De conformidad con la normativa vigente, el usuario dispone de los siguientes derechos:

• Derecho de acceso (art. 15 RGPD): todos los datos almacenados localmente son visibles y accesibles directamente desde la Aplicación. Para los datos tratados por PostHog y Sentry, el usuario puede solicitar acceso dirigiéndose a [privacy@getmpt.app].
• Derecho de rectificación (art. 16 RGPD): el usuario puede modificar cualquier dato directamente desde la Aplicación.
• Derecho de supresión («derecho al olvido») (art. 17 RGPD): el usuario puede eliminar cualquier dato o la totalidad de los datos desde la Aplicación, o desinstalándola. Para solicitar la supresión de datos analíticos o técnicos en poder de los encargados de tratamiento, el usuario puede dirigirse a [privacy@getmpt.app].
• Derecho a la limitación del tratamiento (art. 18 RGPD): el usuario puede solicitar la limitación del tratamiento en los supuestos previstos legalmente.
• Derecho a la portabilidad (art. 20 RGPD): la Aplicación permite exportar todos los datos en formato JSON estructurado e interoperable.
• Derecho de oposición (art. 21 RGPD): en particular, el usuario puede oponerse al tratamiento de datos analíticos y técnicos basado en interés legítimo contactando a [privacy@getmpt.app]. El Responsable cesará el tratamiento salvo que acredite motivos legítimos imperiosos que prevalezcan sobre los intereses del usuario.
• Derecho a retirar el consentimiento (art. 7.3 RGPD): el usuario puede retirar en cualquier momento el consentimiento prestado para el tratamiento de datos de categorías especiales (datos de salud), sin que ello afecte a la licitud del tratamiento previo. La retirada se ejerce eliminando los datos desde la Aplicación.
• Derecho a no ser objeto de decisiones automatizadas (art. 22 RGPD): la Aplicación no realiza decisiones individuales automatizadas ni elaboración de perfiles con efectos jurídicos o significativos para el usuario.

Procedimiento para el ejercicio de derechos: el usuario puede ejercer sus derechos dirigiéndose a [privacy@getmpt.app], acompañando copia de su DNI, pasaporte u otro documento identificativo válido. El Responsable responderá en el plazo máximo de un mes desde la recepción de la solicitud (art. 12.3 RGPD), prorrogable por dos meses adicionales en caso de complejidad o volumen de solicitudes, previa notificación motivada al usuario.

El ejercicio de estos derechos es gratuito, salvo que las solicitudes sean manifiestamente infundadas o excesivas (art. 12.5 RGPD).

Asimismo, el usuario tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), C/ Jorge Juan 6, 28001 Madrid — www.aepd.es — o ante la autoridad de control competente de su Estado miembro de residencia habitual (art. 77 RGPD), si considera que el tratamiento de sus datos vulnera la normativa vigente.

11. Uso por Menores de Edad

De conformidad con el artículo 8 del RGPD y el artículo 7 de la LOPDGDD, la Aplicación no está dirigida a menores de 14 años y no recopila deliberadamente datos de personas que no alcancen dicha edad.

En caso de que un menor de 14 años desee utilizar la Aplicación, será necesario el consentimiento verificable de sus padres, tutores o representantes legales. Si el Responsable tuviera conocimiento de que se han recopilado datos de un menor sin el consentimiento parental requerido, procederá a la eliminación de dichos datos sin dilación indebida.

Para los usuarios residentes en otros Estados miembros de la Unión Europea, se aplicará la edad mínima establecida por la legislación nacional correspondiente conforme al artículo 8.1 del RGPD (entre 13 y 16 años según el Estado miembro).

12. Cookies y Tecnologías de Rastreo

La Aplicación móvil no utiliza cookies, píxeles de seguimiento ni tecnologías de rastreo de ningún tipo.

La página web informativa (landing page) de MPT no utiliza cookies ni tecnologías de rastreo. Se limita a almacenar la preferencia de idioma del usuario en el almacenamiento local (localStorage) del navegador, lo cual no constituye un dato personal.

13. Modificaciones de este Documento

El Responsable se reserva el derecho de modificar el presente documento para adaptarlo a novedades legislativas, jurisprudenciales, criterios de la AEPD o del CEPD/EDPB, cambios tecnológicos o evoluciones de la propia Aplicación.

Las modificaciones se publicarán en la página web de la Aplicación y, en caso de cambios sustanciales que afecten a los derechos del usuario, se notificarán a través de la Aplicación o por los medios que resulten más adecuados. Se indicará siempre la fecha de la última actualización.

El uso continuado de la Aplicación tras la publicación de las modificaciones constituirá la aceptación de las mismas. Si el usuario no estuviese de acuerdo con las modificaciones, deberá cesar en el uso de la Aplicación y proceder a su desinstalación. En caso de que las modificaciones requieran un nuevo consentimiento conforme al artículo 7 del RGPD, se solicitará de forma expresa antes de su aplicación.

14. Legislación Aplicable

La presente Política de Privacidad se rige por:

• Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos — RGPD).
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
• Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI-CE), en lo que resulte aplicable.

15. Naturaleza del Servicio, Exención de Responsabilidad y Limitación de Garantías

a) Naturaleza gratuita del servicio

MPT es una aplicación gratuita y de uso libre, proporcionada «tal cual» (as is) y «según disponibilidad» (as available). El usuario reconoce y acepta que la Aplicación se pone a su disposición a título gratuito, sin contraprestación económica, lo cual es un factor determinante en la definición del alcance de las garantías y responsabilidades asumidas por el Responsable.

No obstante, de conformidad con la Directiva (UE) 2019/770 y su transposición al ordenamiento español, el suministro de contenidos o servicios digitales a cambio de datos personales (en este caso, datos analíticos de uso) constituye un contrato sujeto a las disposiciones de dicha norma. En consecuencia, el Responsable garantiza la conformidad del servicio digital en los términos establecidos por la normativa aplicable.

b) Exención de responsabilidad médica y sanitaria

• La Aplicación es una herramienta de registro y seguimiento personal destinada exclusivamente al uso privado y no profesional. No constituye un producto sanitario ni un dispositivo médico en el sentido del Reglamento (UE) 2017/745 sobre productos sanitarios, ni un servicio sanitario conforme a la Ley 14/1986, de 25 de abril, General de Sanidad, ni a la Ley 44/2003, de 21 de noviembre, de ordenación de las profesiones sanitarias.
• La información, cálculos, métricas y estimaciones proporcionadas por la Aplicación (incluyendo, a título enunciativo y no limitativo, balance calórico, macronutrientes, micronutrientes, composición corporal, gasto energético y cualquier otra métrica derivada) tienen carácter meramente informativo, orientativo y no vinculante. Dichos cálculos se basan en fórmulas generales de la literatura científica y no tienen en cuenta las circunstancias individuales de salud de cada usuario.
• La Aplicación no realiza diagnósticos, prescripciones, recomendaciones terapéuticas ni actos propios de profesión sanitaria alguna. En ningún caso la información proporcionada sustituye el diagnóstico, consejo, tratamiento o supervisión de un médico, nutricionista-dietista colegiado, licenciado en ciencias de la actividad física y del deporte u otro profesional sanitario cualificado.
• El usuario declara y acepta ser el único y exclusivo responsable del uso que haga de la información proporcionada por la Aplicación y de cualesquiera decisiones que tome en relación con su salud, alimentación, nutrición, hidratación, actividad física o bienestar general.
• Se recomienda encarecidamente al usuario consultar con un profesional sanitario cualificado antes de iniciar, modificar o interrumpir cualquier programa de nutrición, entrenamiento, suplementación o modificación de hábitos de salud, especialmente si padece alguna patología, condición médica preexistente, alergia alimentaria, trastorno de la conducta alimentaria, se encuentra en estado de gestación o lactancia, o toma medicación.

c) Exclusión de garantías

En la máxima medida permitida por la legislación aplicable, el Responsable declina toda garantía, expresa o implícita, sobre la Aplicación, incluyendo, a título enunciativo y no limitativo:

• Garantías de exactitud, integridad, fiabilidad, actualización o adecuación de los cálculos, estimaciones, métricas, valores nutricionales, bases de datos de alimentos o ejercicios proporcionados.
• Garantías de disponibilidad ininterrumpida, ausencia de errores o de funcionamiento continuo de la Aplicación.
• Garantías de idoneidad para un fin particular, incluyendo fines de salud, rendimiento deportivo, pérdida o ganancia de peso, o cualquier objetivo específico del usuario.
• Garantías de compatibilidad con todos los dispositivos, sistemas operativos o configuraciones de hardware.

Esta exclusión de garantías se entiende sin perjuicio de los requisitos de conformidad del contenido digital establecidos por la Directiva (UE) 2019/770, que resultan aplicables e irrenunciables en lo que proceda.

d) Limitación de responsabilidad

• En la máxima medida permitida por la legislación aplicable, el Responsable no será responsable de cualesquiera daños directos, indirectos, incidentales, especiales, consecuentes, punitivos o de cualquier naturaleza derivados de o relacionados con: (i) el uso o la imposibilidad de uso de la Aplicación; (ii) decisiones tomadas por el usuario basándose en la información proporcionada por la Aplicación; (iii) lesiones personales, perjuicios a la salud o fallecimiento; (iv) pérdida, corrupción o inaccesibilidad de datos; (v) errores en los cálculos, estimaciones o datos proporcionados; o (vi) cualquier actuación u omisión del usuario en relación con su salud, nutrición o actividad física.
• Esta limitación de responsabilidad no se aplicará en los supuestos en que la legislación imperativa no permita su exclusión, incluyendo: (i) responsabilidad por dolo o culpa grave (art. 1.102 del Código Civil); (ii) responsabilidad por muerte o daños personales causados por negligencia del Responsable; (iii) los derechos irrenunciables reconocidos al consumidor por el TRLGDCU (Real Decreto Legislativo 1/2007); y (iv) los requisitos de conformidad de la Directiva (UE) 2019/770.
• En todo caso, y en la máxima medida permitida por la ley, la responsabilidad total acumulada del Responsable frente al usuario por cualquier concepto relacionado con la Aplicación no podrá exceder la cantidad que el usuario haya abonado efectivamente por la Aplicación, que en el caso presente es de cero euros (0 €).

e) Asunción de riesgo

El usuario reconoce expresamente que la práctica de actividad física y la modificación de hábitos alimentarios conllevan riesgos inherentes, incluyendo, sin limitación, el riesgo de lesión, enfermedad, agravamiento de condiciones preexistentes o, en casos extremos, fallecimiento. El usuario asume plena y voluntariamente dichos riesgos y exonera al Responsable de cualquier responsabilidad derivada de los mismos, en la máxima medida permitida por la ley.

f) Indemnización

El usuario se compromete a indemnizar y mantener indemne al Responsable, sus administradores, empleados, colaboradores y agentes, frente a cualesquiera reclamaciones, daños, pérdidas, responsabilidades, costes y gastos (incluidos honorarios razonables de abogados y procuradores) derivados de o relacionados con: (i) el incumplimiento por parte del usuario de las presentes condiciones; (ii) el uso indebido o negligente de la Aplicación; o (iii) la infracción por parte del usuario de cualesquiera derechos de terceros.

16. Propiedad Intelectual e Industrial

Todos los derechos de propiedad intelectual e industrial sobre la Aplicación, incluyendo, a título enunciativo y no limitativo, el código fuente, la interfaz gráfica, los diseños, logotipos, marcas, nombres comerciales, textos, imágenes, bases de datos de ejercicios y alimentos, algoritmos y demás elementos creativos, son titularidad exclusiva del Responsable o de sus legítimos licenciantes, y se encuentran protegidos por la legislación española e internacional en materia de propiedad intelectual (Real Decreto Legislativo 1/1996 — Ley de Propiedad Intelectual) y propiedad industrial (Ley 17/2001 de Marcas y Ley 24/2015 de Patentes).

El usuario obtiene una licencia de uso personal, intransferible, no exclusiva y revocable para utilizar la Aplicación conforme a las presentes condiciones. Queda expresamente prohibida la reproducción, distribución, comunicación pública, transformación, ingeniería inversa, descompilación o cualquier otra forma de explotación no autorizada.

17. Fuerza Mayor

El Responsable no será responsable del incumplimiento o retraso en el cumplimiento de cualquiera de sus obligaciones cuando dicho incumplimiento o retraso sea consecuencia de circunstancias de fuerza mayor conforme al artículo 1.105 del Código Civil español, incluyendo, sin limitación: catástrofes naturales, pandemias, conflictos bélicos, huelgas, fallos de infraestructura tecnológica de terceros, modificaciones legislativas sobrevenidas, actuaciones de autoridades públicas o cualesquiera otras circunstancias imprevisibles o inevitables ajenas al control razonable del Responsable.

18. Ley Aplicable y Jurisdicción Competente

El presente documento se rige e interpreta de conformidad con la legislación española y la normativa de la Unión Europea directamente aplicable.

Para la resolución de cualesquiera controversias derivadas de o relacionadas con el presente documento o con el uso de la Aplicación, las partes se someten a los Juzgados y Tribunales de [CIUDAD, ESPAÑA], sin perjuicio del fuero que corresponda al usuario en su condición de consumidor conforme al artículo 90.2 del TRLGDCU, que atribuye la competencia a los juzgados del domicilio del consumidor.

En aplicación del Reglamento (UE) 524/2013, se informa al usuario de la existencia de la plataforma europea de resolución de litigios en línea (ODR), accesible en: ec.europa.eu/consumers/odr.

19. Integridad del Documento y Cláusula de Divisibilidad

El presente documento constituye el acuerdo íntegro entre el usuario y el Responsable en relación con la materia objeto del mismo, y sustituye a cualesquiera acuerdos, comunicaciones o propuestas anteriores, ya sean orales o escritas.

Si cualquier cláusula del presente documento fuera declarada nula, inválida o inaplicable por un tribunal competente, dicha declaración no afectará a la validez y eficacia de las restantes cláusulas, que seguirán siendo plenamente vinculantes. La cláusula afectada será sustituida por otra que, siendo válida, cumpla en la mayor medida posible la finalidad económica y jurídica de la cláusula sustituida.

20. Contacto

Para cualquier consulta relativa a la protección de datos personales o al ejercicio de tus derechos, puedes contactarnos en:

• Correo electrónico: [privacy@getmpt.app]
• Dirección postal: [NOMBRE_EMPRESA, S.L.] — [DIRECCIÓN_COMPLETA, CÓDIGO_POSTAL, CIUDAD, ESPAÑA]
• Delegado de Protección de Datos: [dpd@getmpt.app]

1. Purpose, Scope and Data Controller

This document constitutes the Privacy Policy, Terms of Use and Legal Notice of the mobile application MPT — My Personal Trainer (hereinafter, "the Application"). The download, installation or use of the Application implies the full and unconditional acceptance of this document by the user.

This document is drafted in accordance with:

• Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 (GDPR).
• Organic Law 3/2018, of 5 December, on the Protection of Personal Data and guarantee of digital rights (LOPDGDD).
• Law 34/2002, of 11 July, on information society services and electronic commerce (LSSI-CE).
• Royal Legislative Decree 1/2007, of 16 November, approving the consolidated text of the General Law for the Defence of Consumers and Users (TRLGDCU).
• Directive (EU) 2019/770 of the European Parliament and of the Council, on contracts for the supply of digital content and digital services, transposed into Spanish law.

The data controller and owner of the Application is:

• Company name: [COMPANY_NAME, S.L.]
• Tax ID (NIF/CIF): [B-XXXXXXXX]
• Registered office: [FULL_ADDRESS, POSTAL_CODE, CITY, SPAIN]
• Contact email: [contacto@getmpt.app]
• Privacy email: [privacy@getmpt.app]
• Data Protection Officer (DPO): [DPO_NAME] — [dpd@getmpt.app] (where required under Article 37 GDPR and Article 34 LOPDGDD)

For the purposes of Article 10 of the LSSI-CE, the identification data of the service provider are set out in this section.

2. Core Principle: Privacy by Design and by Default

MPT has been designed under the principles of privacy by design and by default (Article 25 GDPR). This means:

• All your health, nutrition, training and biometric data are stored exclusively on your device. MPT does not send, transmit or store such personal data on external servers or in the cloud.
• The Application works in offline-first mode: it does not require an internet connection to function.
• The local database is encrypted using SQLCipher (AES-256).
• Backups voluntarily generated by the user are end-to-end encrypted.
• There are no proprietary or third-party servers that process your personal health or fitness information.

However, in order to ensure technical stability and improve the user experience, the Application uses third-party services for the collection of usage analytics data (PostHog) and technical error data (Sentry). These services do not have access to your health, nutrition, training or biometric data, which remain exclusively on your device. The data sent to these services is described in detail in section 3 bis of this policy.

3. Personal Data Processed

The Application allows the user to voluntarily record the following types of data, which are stored exclusively on the user's device:

• Profile data: name, date of birth, sex, height, personal goals.
• Nutritional data: foods consumed, macronutrients, micronutrients, recipes, water intake.
• Training data: exercises performed, sets, repetitions, loads, duration.
• Biometric data: body weight, body measurements, estimated body composition.
• Health data (special category, Art. 9 GDPR): nutrition, training and biometric data may constitute health-related data. Their processing is based on the user's explicit consent (Art. 9.2.a GDPR) manifested by voluntarily entering such data into the Application.

3 bis. Analytics and Technical Data Sent to Third Parties

In addition to data stored locally, the Application sends the following data to external services, not linked to your health or fitness information:

a) Usage data — PostHog (product analytics)

In order to understand how the Application is used and to improve its features, analytics data is collected through PostHog (posthog.com). The data collected may include:

• Anonymous session identifier (not linked to the user's real identity).
• Interface interaction events: screens visited, features used, navigation flows.
• Technical device information: operating system, Application version, device type, screen resolution, system language.
• Approximate country derived from IP address (the IP address is anonymised and not stored in full).

Under no circumstances are health, nutritional, training, biometric data or user-entered content sent to PostHog.

b) Technical error data — Sentry (stability monitoring)

In order to detect, diagnose and fix technical errors affecting the Application's operation, the Sentry service is used (sentry.io). Data collected in the event of an error may include:

• Stack trace: technical information about the exception produced.
• Device information: model, operating system, version, available memory.
• Application version and runtime environment.
• Breadcrumbs: sequence of technical actions prior to the error (without user content).
• IP address: transiently processed for transmission and deleted according to the configured retention policy.

Sentry does not receive health, nutritional, training or biometric data from the user. Error reports are limited to technical information necessary for incident resolution.

4. Legal Basis for Processing

The processing of personal data is based on the following legal grounds (Article 6 GDPR):

• Performance of a contract (Art. 6.1.b GDPR): the local processing of data entered by the user is necessary for the provision of the service that constitutes the object of the contractual relationship established when downloading and using the Application. For free digital services where the user provides personal data (Art. 3.1 of Directive (EU) 2019/770), use of the Application constitutes acceptance of the terms of service.
• Explicit consent (Art. 6.1.a and Art. 9.2.a GDPR): for the processing of special category data (health-related data), the user gives explicit, free, specific, informed and unambiguous consent by voluntarily entering such data into the Application. In accordance with Article 7.3 GDPR, the user may withdraw consent at any time, without affecting the lawfulness of processing based on consent prior to its withdrawal. Withdrawal of consent is exercised by deleting data from the Application or uninstalling it.
• Legitimate interest (Art. 6.1.f GDPR): for the collection of usage analytics data (PostHog) and technical error data (Sentry), pursuant to Recital 47 GDPR. The Controller has carried out the corresponding Legitimate Interest Assessment (LIA), documented internally, concluding that: (i) the interest pursued is legitimate (improving stability and user experience); (ii) the processing is necessary and proportionate; (iii) the impact on the user's rights and freedoms is minimal (exclusively technical data, not health or special category data); and (iv) the reasonable expectations of the user in the context of a software application include technical monitoring for proper functioning. The user may object to this processing at any time (see section 10).

5. Purposes of Processing

Personal data is processed exclusively for the following purposes:

• Provide the Application's features: nutritional tracking, training logging, biometric monitoring and hydration.
• Calculate personalised metrics such as caloric balance, macronutrients and body composition.
• Generate visualisations and statistics for the user about their progress.
• Allow data export and import in JSON format, at the user's discretion.
• Generate encrypted backups, at the user's discretion.
• Product analytics (PostHog): understand aggregate usage patterns to prioritise improvements, identify usability issues and optimise features.
• Technical stability (Sentry): detect, diagnose and fix Application errors affecting the user experience.

Data is never used for individual profiling, automated decision-making, targeted advertising or commercial disclosure to third parties.

6. Data Storage and Security

In accordance with Article 32 GDPR, the following technical and organisational measures have been implemented:

• Exclusive local storage: all data resides on the user's device, not on servers or in the cloud.
• Database encryption: the local database uses AES-256 encryption via SQLCipher.
• Backup encryption: data exports are end-to-end encrypted.
• Transmission minimisation: the Application does not transmit personal health or fitness data over the internet. Only usage analytics data and technical error data are transmitted to the data processors described in section 7.
• Full user control: the user can delete all their data at any time by uninstalling the Application or using the data deletion function.

7. Disclosure of Data to Third Parties and Data Processors

MPT does not share, disclose, sell or transfer personal health or fitness data to third parties. Data entered by the user (nutrition, training, biometrics) remains exclusively on the device.

However, the Application uses the following data processors (Art. 28 GDPR) for the processing of analytics and technical data:

• PostHog, Inc. — Product analytics.
  Headquarters: United States.
  Data processed: anonymised usage events, technical device data (see section 3 bis.a).
  International transfer basis: Standard Contractual Clauses (SCCs) approved by the European Commission (Decision 2021/914).
  Privacy policy: posthog.com/privacy
• Functional Software, Inc. (Sentry) — Error monitoring.
  Headquarters: United States.
  Data processed: error reports, technical device data (see section 3 bis.b).
  International transfer basis: Standard Contractual Clauses (SCCs) approved by the European Commission (Decision 2021/914).
  Privacy policy: sentry.io/privacy

Both data processors have the corresponding Data Processing Agreements (DPAs) ensuring GDPR compliance.

Additionally, the Application may use the following services:

• Google Play Store / Apple App Store: for Application distribution. These providers have their own privacy policies.
• Google Sign-In (optional): if the user chooses to sign in with their Google account, only the identifier necessary for authentication will be received. No additional account data is accessed.

8. International Data Transfers

The user's health, nutrition, training and biometric data are not subject to any international transfer, as they are stored exclusively on the device.

The usage analytics data and technical error data described in section 3 bis are transferred to data processors located in the United States. Such transfers are made under the following safeguard mechanisms (Arts. 44–49 GDPR):

• EU-U.S. Data Privacy Framework (DPF): to the extent that data processors are certified under the DPF pursuant to the European Commission's Adequacy Decision of 10 July 2023 (Art. 45 GDPR).
• Standard Contractual Clauses (SCCs) adopted by the European Commission by Implementing Decision (EU) 2021/914 of 4 June 2021 (Art. 46.2.c GDPR), as a complementary or alternative mechanism.
• Transfer Impact Assessments (TIAs) carried out in accordance with Recommendations 01/2020 of the European Data Protection Board (EDPB), including analysis of the legislation of the destination country and supplementary measures applied.

The Controller will periodically review the validity and adequacy of these transfer mechanisms. The user may request a copy of the applicable safeguards by contacting [privacy@getmpt.app].

9. Data Retention Period

Personal data is retained on the user's device for as long as the user keeps the Application installed and does not delete them. The user has absolute control over the retention and deletion of their data.

• When the Application is uninstalled, all stored data is automatically deleted.
• The user can delete specific data or all their data from within the Application at any time.
• Exported backups remain under the user's exclusive custody.
• Analytics data sent to PostHog is retained for a maximum of [12/24] months, after which it is automatically deleted.
• Error reports sent to Sentry are retained for a maximum of 90 days, after which they are automatically deleted.

10. User Rights (Arts. 15–22 GDPR and Arts. 12–18 LOPDGDD)

In accordance with applicable regulations, the user has the following rights:

• Right of access (Art. 15 GDPR): all locally stored data is visible and directly accessible from the Application. For data processed by PostHog and Sentry, the user may request access by contacting [privacy@getmpt.app].
• Right to rectification (Art. 16 GDPR): the user can modify any data directly from the Application.
• Right to erasure ("right to be forgotten") (Art. 17 GDPR): the user can delete any or all data from the Application, or by uninstalling it. To request deletion of analytics or technical data held by data processors, the user may contact [privacy@getmpt.app].
• Right to restriction of processing (Art. 18 GDPR): the user may request restriction of processing in the legally established cases.
• Right to data portability (Art. 20 GDPR): the Application allows exporting all data in structured, interoperable JSON format.
• Right to object (Art. 21 GDPR): in particular, the user may object to the processing of analytics and technical data based on legitimate interest by contacting [privacy@getmpt.app]. The Controller will cease processing unless it demonstrates compelling legitimate grounds that override the user's interests.
• Right to withdraw consent (Art. 7.3 GDPR): the user may withdraw at any time the consent given for the processing of special category data (health data), without affecting the lawfulness of prior processing. Withdrawal is exercised by deleting data from the Application.
• Right not to be subject to automated decisions (Art. 22 GDPR): the Application does not carry out automated individual decisions or profiling with legal or significant effects on the user.

Procedure for exercising rights: the user may exercise their rights by contacting [privacy@getmpt.app], enclosing a copy of their national ID, passport or other valid identification document. The Controller will respond within a maximum of one month from receipt of the request (Art. 12.3 GDPR), extendable by a further two months in cases of complexity or volume of requests, subject to prior reasoned notification to the user.

The exercise of these rights is free of charge, unless requests are manifestly unfounded or excessive (Art. 12.5 GDPR).

The user also has the right to lodge a complaint with the Spanish Data Protection Agency (AEPD), C/ Jorge Juan 6, 28001 Madrid — www.aepd.es — or with the competent supervisory authority of their Member State of habitual residence (Art. 77 GDPR), if they consider that the processing of their data infringes applicable regulations.

11. Use by Minors

In accordance with Article 8 GDPR and Article 7 LOPDGDD, the Application is not intended for children under 14 years of age and does not deliberately collect data from persons who have not reached that age.

If a child under 14 wishes to use the Application, verifiable consent of their parents, guardians or legal representatives will be required. If the Controller becomes aware that data has been collected from a minor without the required parental consent, it will proceed to delete such data without undue delay.

For users residing in other EU Member States, the minimum age established by the corresponding national legislation under Article 8.1 GDPR shall apply (between 13 and 16 years depending on the Member State).

12. Cookies and Tracking Technologies

The mobile Application does not use cookies, tracking pixels or tracking technologies of any kind.

The MPT informational website (landing page) does not use cookies or tracking technologies. It is limited to storing the user's language preference in the browser's local storage (localStorage), which does not constitute personal data.

13. Amendments to this Document

The Controller reserves the right to amend this document to adapt it to legislative or case-law developments, criteria of the AEPD or the EDPB, technological changes or evolutions of the Application itself.

Amendments will be published on the Application's website and, in the case of substantial changes affecting the user's rights, will be notified through the Application or by the most appropriate means. The date of the last update will always be indicated.

Continued use of the Application after publication of amendments shall constitute acceptance thereof. If the user does not agree with the amendments, they must cease using the Application and proceed to uninstall it. Where amendments require new consent under Article 7 GDPR, it will be expressly requested before application.

14. Applicable Legislation

This Privacy Policy is governed by:

• Regulation (EU) 2016/679 (General Data Protection Regulation — GDPR).
• Organic Law 3/2018, of 5 December, on the Protection of Personal Data and guarantee of digital rights (LOPDGDD).
• Law 34/2002, of 11 July, on information society services and electronic commerce (LSSI-CE), where applicable.

15. Nature of Service, Disclaimer and Limitation of Warranties

a) Free nature of the service

MPT is a free-to-use application, provided "as is" and "as available". The user acknowledges and accepts that the Application is made available free of charge, without financial consideration, which is a determining factor in defining the scope of warranties and liabilities assumed by the Controller.

Nevertheless, in accordance with Directive (EU) 2019/770 and its transposition into Spanish law, the supply of digital content or services in exchange for personal data (in this case, usage analytics data) constitutes a contract subject to the provisions of said regulation. Accordingly, the Controller guarantees the conformity of the digital service in the terms established by the applicable legislation.

b) Medical and health disclaimer

• The Application is a personal tracking and logging tool intended exclusively for private, non-professional use. It does not constitute a medical product or medical device within the meaning of Regulation (EU) 2017/745 on medical devices, nor a health service under Law 14/1986 of 25 April (General Health Law), nor Law 44/2003 of 21 November (regulation of healthcare professions).
• The information, calculations, metrics and estimates provided by the Application (including, without limitation, caloric balance, macronutrients, micronutrients, body composition, energy expenditure and any other derived metric) are of a purely informative, indicative and non-binding nature. Such calculations are based on general formulas from scientific literature and do not take into account the individual health circumstances of each user.
• The Application does not perform diagnoses, prescriptions, therapeutic recommendations or acts proper to any healthcare profession. Under no circumstances does the information provided replace the diagnosis, advice, treatment or supervision of a physician, registered dietitian-nutritionist, sports science professional or other qualified healthcare practitioner.
• The user declares and accepts being the sole and exclusive responsible party for the use they make of the information provided by the Application and for any decisions they make regarding their health, diet, nutrition, hydration, physical activity or general well-being.
• The user is strongly recommended to consult a qualified healthcare professional before starting, modifying or discontinuing any nutrition, training, supplementation or health-habit modification programme, especially if they suffer from any pathology, pre-existing medical condition, food allergy, eating disorder, are pregnant or breastfeeding, or take medication.

c) Exclusion of warranties

To the maximum extent permitted by applicable law, the Controller disclaims all warranties, express or implied, regarding the Application, including, without limitation:

• Warranties of accuracy, completeness, reliability, currency or adequacy of calculations, estimates, metrics, nutritional values, food or exercise databases provided.
• Warranties of uninterrupted availability, absence of errors or continuous operation of the Application.
• Warranties of fitness for a particular purpose, including health purposes, sports performance, weight loss or gain, or any specific user goal.
• Warranties of compatibility with all devices, operating systems or hardware configurations.

This exclusion of warranties is understood without prejudice to the conformity requirements for digital content established by Directive (EU) 2019/770, which are applicable and non-waivable where appropriate.

d) Limitation of liability

• To the maximum extent permitted by applicable law, the Controller shall not be liable for any direct, indirect, incidental, special, consequential, punitive or other damages arising from or related to: (i) the use or inability to use the Application; (ii) decisions made by the user based on information provided by the Application; (iii) personal injury, health damage or death; (iv) loss, corruption or inaccessibility of data; (v) errors in calculations, estimates or data provided; or (vi) any act or omission by the user in relation to their health, nutrition or physical activity.
• This limitation of liability shall not apply where mandatory legislation does not permit its exclusion, including: (i) liability for wilful misconduct or gross negligence (Art. 1,102 of the Civil Code); (ii) liability for death or personal injury caused by the Controller's negligence; (iii) non-waivable consumer rights under the TRLGDCU (Royal Legislative Decree 1/2007); and (iv) conformity requirements of Directive (EU) 2019/770.
• In any event, and to the maximum extent permitted by law, the Controller's total aggregate liability to the user for any matter related to the Application shall not exceed the amount actually paid by the user for the Application, which in the present case is zero euros (€0).

e) Assumption of risk

The user expressly acknowledges that physical activity and dietary habit modification carry inherent risks, including, without limitation, the risk of injury, illness, aggravation of pre-existing conditions or, in extreme cases, death. The user fully and voluntarily assumes such risks and releases the Controller from any liability arising therefrom, to the maximum extent permitted by law.

f) Indemnification

The user agrees to indemnify and hold harmless the Controller, its directors, employees, collaborators and agents, against any claims, damages, losses, liabilities, costs and expenses (including reasonable attorney and solicitor fees) arising from or related to: (i) the user's breach of these terms; (ii) the improper or negligent use of the Application; or (iii) the user's infringement of any third-party rights.

16. Intellectual and Industrial Property

All intellectual and industrial property rights over the Application, including, without limitation, source code, graphical interface, designs, logos, trademarks, trade names, texts, images, exercise and food databases, algorithms and other creative elements, are the exclusive property of the Controller or its legitimate licensors, and are protected by Spanish and international intellectual property legislation (Royal Legislative Decree 1/1996 — Intellectual Property Law) and industrial property legislation (Law 17/2001 on Trademarks and Law 24/2015 on Patents).

The user obtains a personal, non-transferable, non-exclusive and revocable licence to use the Application in accordance with these terms. Reproduction, distribution, public communication, transformation, reverse engineering, decompilation or any other form of unauthorised exploitation is expressly prohibited.

17. Force Majeure

The Controller shall not be liable for failure or delay in the performance of any of its obligations when such failure or delay is due to force majeure circumstances pursuant to Article 1,105 of the Spanish Civil Code, including, without limitation: natural disasters, pandemics, armed conflicts, strikes, third-party technological infrastructure failures, supervening legislative changes, actions by public authorities or any other unforeseeable or unavoidable circumstances beyond the Controller's reasonable control.

18. Applicable Law and Jurisdiction

This document is governed by and construed in accordance with Spanish law and directly applicable European Union regulations.

For the resolution of any disputes arising from or related to this document or the use of the Application, the parties submit to the Courts and Tribunals of [CITY, SPAIN], without prejudice to the jurisdiction corresponding to the user as a consumer under Article 90.2 TRLGDCU, which grants jurisdiction to the courts of the consumer's domicile.

Pursuant to Regulation (EU) 524/2013, the user is informed of the existence of the European Online Dispute Resolution platform (ODR), accessible at: ec.europa.eu/consumers/odr.

19. Document Integrity and Severability Clause

This document constitutes the entire agreement between the user and the Controller in relation to the subject matter hereof, and supersedes any prior agreements, communications or proposals, whether oral or written.

If any provision of this document is declared null, invalid or unenforceable by a competent court, such declaration shall not affect the validity and enforceability of the remaining provisions, which shall remain fully binding. The affected provision shall be replaced by another which, being valid, fulfils to the greatest extent possible the economic and legal purpose of the replaced provision.

20. Contact

For any enquiry regarding the protection of personal data or the exercise of your rights, you may contact us at:

• Email: [privacy@getmpt.app]
• Postal address: [COMPANY_NAME, S.L.] — [FULL_ADDRESS, POSTAL_CODE, CITY, SPAIN]
• Data Protection Officer: [dpd@getmpt.app]