Responsable

Alejandro Lorenzo Rodríguez, titular del Sitio Web zokuathletics.com y de la aplicación móvil Zoku Athletics. Actúa como persona física empresaria (autónomo/a).

NIF

Pendiente de declarar.

Domicilio

Lanzarote, Islas Canarias (España).

Correo de privacidad

privacidad@zokuathletics.com

Delegado de Protección de Datos

No designado. La actividad del Responsable no se encuentra en los supuestos del art. 37 RGPD que obligan a designar DPO (autoridad pública, monitorización sistemática a gran escala o tratamiento a gran escala de categorías especiales de datos).

En función de las funcionalidades que utilices, podemos tratar las siguientes categorías de datos:

• Datos de cuenta: nombre, apellidos, nombre de usuario, dirección de correo electrónico, contraseña cifrada, idioma preferido y rol (atleta, soporte, moderador o administrador).
• Datos de perfil y configuración: fotografía de avatar (original y recorte), país y localidad declarados, ajustes de privacidad («Privacidad del perfil», visibilidad de entrenos, kudos), preferencias de notificación.
• Datos de actividad deportiva: sesiones de entrenamiento (WOD), benchmarks completados, marcas personales (PR), rutas y distancias outdoor, datos de «Vital Flow» (carga interna, fatiga estimada), logros desbloqueados, puntos de gamificación.
• Datos físicos opcionales: altura, peso, lesiones declaradas y otras condiciones aportadas voluntariamente a través del perfil físico para personalizar entrenamientos y métricas. Estos datos tienen consideración de categorías especiales de datos del artículo 9 RGPD y requieren tu consentimiento explícito.
• Datos de geolocalización: únicamente cuando actives expresamente SafeTrack, funcionalidad de seguridad para entrenos outdoor, o el indicador de ubicación en la Tribu. La geolocalización no se recoge en segundo plano sin tu autorización.
• Contactos de emergencia: los nombres y números de teléfono que registres voluntariamente para ser notificados por SafeTrack ante una alerta SOS. Esta información se trata como dato confidencial.
• Datos de salud de terceros (opcional): si conectas Health Connect u otros servicios integrables, podemos importar métricas como frecuencia cardíaca, calorías, pasos o sueño. La conexión se basa en tu autorización expresa y puede revocarse en cualquier momento desde los ajustes de la app.
• Datos sociales: publicaciones en el feed, comentarios, kudos, relaciones de seguidor / seguido, participación en campañas «Solidary Reps» y eventos «Rival Live».
• Datos de soporte: tickets de soporte abiertos por ti, asunto, categoría, prioridad e historial de mensajes intercambiados con el equipo.
• Datos de suscripción y facturación: plan contratado, estado de la suscripción, fecha de inicio y de próximo cobro. El número de tarjeta y los datos bancarios completos los procesa Stripe Payments Europe Ltd.: nunca se almacenan en nuestros servidores.
• Datos técnicos: direcciones IP, identificadores de dispositivo, tipo de navegador, sistema operativo, marcas de tiempo de inicio de sesión, versiones de la app y registros mínimos de errores necesarios para diagnóstico y seguridad.

Tratamos tus datos para las siguientes finalidades, cada una con su base legítima:

Prestar los Servicios

Crear y mantener tu cuenta, autenticarte, ofrecer las funcionalidades de entrenamiento, métricas, feed social y soporte. Base legal: ejecución del contrato (art. 6.1.b RGPD).

Gestión de la suscripción

Activar y mantener tu plan, procesar los cobros recurrentes a través de Stripe, expedir facturas y atender cancelaciones. Base legal: ejecución del contrato y obligación legal (arts. 6.1.b y 6.1.c RGPD).

Personalización con datos físicos

Ajustar la prescripción de cargas, el AI Coach y los pesos Rx por género en función de tu perfil físico. Base legal: consentimiento explícito (arts. 6.1.a y 9.2.a RGPD), revocable en cualquier momento.

SafeTrack y emergencias

Detectar inactividad o desviaciones de ruta durante entrenos outdoor y notificar a tus contactos de emergencia. Base legal: consentimiento explícito y, en su caso, interés vital (arts. 6.1.a, 6.1.d y 9.2.c RGPD).

Notificaciones push e in-app

Avisarte de respuestas de soporte, kudos recibidos, recordatorios de entreno e información operativa del servicio. Base legal: ejecución del contrato (art. 6.1.b) y consentimiento para finalidades promocionales (art. 6.1.a).

Comunicaciones comerciales

Enviarte información sobre novedades, descuentos o productos de Zoku, solo si lo has aceptado expresamente. Base legal: consentimiento (art. 6.1.a RGPD). Puedes retirarlo en cualquier momento sin afectar al resto de tratamientos.

Seguridad y prevención de fraude

Detectar accesos no autorizados, ataques automatizados o uso abusivo. Base legal: interés legítimo (art. 6.1.f RGPD) y obligaciones legales en materia de seguridad.

Cumplimiento de obligaciones legales

Conservar documentación fiscal y atender requerimientos de autoridades competentes. Base legal: obligación legal (art. 6.1.c RGPD).

Estadística y mejora del Servicio

Analizar datos agregados y anonimizados para mejorar funcionalidades, rendimiento técnico y experiencia. Base legal: interés legítimo (art. 6.1.f RGPD).

Conservamos tus datos durante el tiempo estrictamente necesario para cumplir las finalidades para las que fueron recogidos y, en su caso, durante los plazos exigidos por la normativa aplicable:

• Datos de cuenta y actividad: durante la vigencia de la relación contractual y hasta la solicitud de baja. Tras la baja, se procede al borrado salvo bloqueo legal.
• Datos físicos y de salud: hasta la revocación del consentimiento o la baja de la cuenta. Tras la revocación se eliminan en un plazo máximo de 30 días.
• Geolocalización de SafeTrack: se conserva exclusivamente durante el tiempo necesario para la prestación del servicio de seguridad y se elimina automáticamente transcurridos 7 días desde la finalización del entreno, salvo apertura de un caso de emergencia.
• Datos de facturación y obligaciones fiscales: 6 años, conforme al artículo 30 del Código de Comercio.
• Logs de seguridad y conexión: 12 meses, salvo necesidad superior para investigación de incidentes.
• Datos anonimizados utilizados con fines estadísticos: sin plazo, al perder la condición de datos personales.

No vendemos tus datos. Compartimos datos personales exclusivamente con los proveedores que prestan servicios necesarios para operar Zoku Athletics, en calidad de encargados del tratamiento y bajo contrato conforme al artículo 28 RGPD:

• Supabase (almacenamiento de base de datos y autenticación, infraestructura en la Unión Europea).
• Google Cloud Platform (alojamiento del backend Spring Boot en Cloud Run, región europe-west1).
• Vercel Inc. (alojamiento y CDN del Sitio Web Next.js). Vercel actúa como encargado y dispone de cláusulas contractuales tipo de la UE para transferencias internacionales.
• Stripe Payments Europe, Ltd. (procesamiento de pagos y emisión de facturas).
• Firebase Cloud Messaging (envío de notificaciones push a la app Android).
• Spotify AB (cuando autorizas la integración OAuth para reproducción musical y metadatos básicos de cuenta).
• Asesorías legales, fiscales o auditoras, y autoridades públicas, cuando exista obligación legal de comunicación.

Adicionalmente, otras personas usuarias podrán ver tu perfil, tus publicaciones del feed y tus marcas de clasificación en función de la configuración de privacidad que tú hayas elegido. Esta visibilidad puedes ajustarla en cualquier momento desde la app móvil, en Ajustes → Privacidad y Seguridad.

Nuestros servidores y los de nuestros principales encargados se ubican dentro del Espacio Económico Europeo. No obstante, algunos proveedores (por ejemplo, Stripe, Vercel o Firebase) pueden realizar tratamientos puntuales fuera del EEE. En tales casos, garantizamos un nivel de protección adecuado mediante:

• Decisiones de adecuación de la Comisión Europea, cuando el país de destino disponga de una.
• Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914), complementadas con medidas adicionales cuando proceda.
• Mecanismos de certificación o códigos de conducta vinculantes, en su caso.

Puedes solicitar copia de las garantías aplicadas a través de privacidad@zokuathletics.com.

Las recomendaciones de entrenamiento, el ajuste del Vital Flow, las sugerencias del AI Coach y los pesos Rx personalizados constituyen tratamientos automatizados que utilizan tus datos de perfil físico y actividad. Estos tratamientos no producen efectos jurídicos en tu persona ni te afectan significativamente: su finalidad es estrictamente orientativa y deportiva. En cualquier caso, puedes oponerte a estas decisiones, solicitar intervención humana o impugnar el resultado contactando con nosotros.

En tu condición de persona interesada, el RGPD te reconoce los siguientes derechos, ejercitables de forma gratuita:

• Acceso: conocer qué datos tuyos tratamos.
• Rectificación: corregir datos inexactos o incompletos.
• Supresión («derecho al olvido»): solicitar el borrado cuando ya no sean necesarios.
• Oposición: oponerte a determinados tratamientos basados en interés legítimo o marketing.
• Limitación del tratamiento: bloquear el uso de tus datos mientras se resuelve una solicitud.
• Portabilidad: recibir tus datos en un formato estructurado, de uso común y legible por máquina, y transmitirlos a otro responsable.
• Retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento previo basado en él.
• No ser objeto de decisiones automatizadas con efectos jurídicos significativos.

Puedes ejercer tus derechos enviando una solicitud a privacidad@zokuathletics.com o por correo postal a la dirección indicada en el apartado Responsable, identificándote convenientemente. Resolveremos tu petición en el plazo máximo de un mes, prorrogable hasta dos meses adicionales en casos complejos (art. 12.3 RGPD).

Si consideras que el tratamiento no se ajusta a la normativa o que tu solicitud no ha sido atendida correctamente, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).

Aplicamos medidas técnicas y organizativas apropiadas al riesgo, en línea con el artículo 32 RGPD. En particular:

• Cifrado en tránsito (TLS 1.2 o superior) en todas las comunicaciones entre cliente, web, app y backend.
• Cifrado en reposo de las bases de datos y de los archivos de avatar mediante los mecanismos nativos del proveedor de infraestructura.
• Almacenamiento de credenciales mediante algoritmos de derivación de clave seguros (bcrypt o equivalente). El token de sesión se gestiona en cookie HttpOnly y nunca se expone al código JavaScript del cliente.
• Políticas de Row-Level Security en la base de datos para evitar accesos cruzados entre atletas.
• Control de acceso por roles (Atleta, Soporte, Moderador, Administrador) y registros de auditoría de acciones administrativas.
• Procedimientos de respaldo y recuperación ante desastres, así como pruebas periódicas de restauración.
• Procedimiento de notificación de brechas a la AEPD y a las personas afectadas en los plazos del art. 33 y 34 RGPD cuando resulte aplicable.

El Sitio Web utiliza cookies estrictamente necesarias para funcionar (sesión, idioma, preferencias técnicas) y, en su caso, cookies analíticas anónimas para medir el rendimiento del Servicio. Antes de utilizar cookies no esenciales se solicita tu consentimiento mediante el banner correspondiente, que puedes revisar o revocar en cualquier momento. Para más información consulta la Política de Cookies enlazada desde el banner. La app móvil no utiliza cookies de navegador.

Los Servicios están dirigidos a personas mayores de 14 años, edad mínima de consentimiento conforme al artículo 7 LOPDGDD. El alta de menores de 14 años requiere consentimiento expreso de quien ostente la patria potestad o tutela. Si detectamos que se han recogido datos de un menor de 14 años sin dicho consentimiento, procederemos a su supresión inmediata.

Esta Política podrá actualizarse para reflejar cambios normativos, técnicos u operativos. Cuando la modificación afecte sustancialmente al tratamiento de tus datos, te informaremos por correo electrónico o mediante aviso destacado en los Servicios con la antelación razonable. Conservamos el historial de versiones para fines de trazabilidad y auditoría.

Controller

Alejandro Lorenzo Rodríguez, owner of the website zokuathletics.com and of the Zoku Athletics mobile application. Operates as a self-employed natural person.

Tax ID (NIF)

Pendiente de declarar.

Address

Lanzarote, Islas Canarias (Spain).

Privacy email

privacidad@zokuathletics.com

Data Protection Officer

Not appointed. The Controller's activity does not fall within the cases of Article 37 GDPR requiring a DPO (public authority, systematic large-scale monitoring, or large-scale processing of special categories of data).

Depending on the features you use, we may process the following categories of data:

• Account data: name, surnames, username, email address, encrypted password, preferred language and role (athlete, support, moderator or administrator).
• Profile and configuration data: avatar photo (original and crop), declared country and city, privacy settings ("Profile privacy", training visibility, kudos), notification preferences.
• Sports activity data: training sessions (WOD), completed benchmarks, personal records (PR), outdoor routes and distances, "Vital Flow" data (internal load, estimated fatigue), unlocked achievements, gamification points.
• Optional physical data: height, weight, declared injuries and other conditions voluntarily provided through the physical profile to personalize training and metrics. This data qualifies as special categories of data under Article 9 GDPR and requires your explicit consent.
• Geolocation data: only when you actively enable SafeTrack, the safety feature for outdoor training, or the location indicator in the Tribe. Geolocation is not collected in the background without your authorization.
• Emergency contacts: the names and phone numbers you voluntarily register to be notified by SafeTrack in the event of an SOS alert. This information is treated as confidential data.
• Third-party health data (optional): if you connect Health Connect or other integrable services, we may import metrics such as heart rate, calories, steps or sleep. The connection is based on your explicit authorization and may be revoked at any time from the app settings.
• Social data: feed posts, comments, kudos, follower/following relationships, participation in "Solidary Reps" campaigns and "Rival Live" events.
• Support data: support tickets opened by you, subject, category, priority and history of messages exchanged with the team.
• Subscription and billing data: contracted plan, subscription status, start date and next billing date. The card number and full banking data are processed by Stripe Payments Europe Ltd.: they are never stored on our servers.
• Technical data: IP addresses, device identifiers, browser type, operating system, login timestamps, app versions and minimum error logs necessary for diagnostics and security.

We process your data for the following purposes, each with its legal basis:

Providing the Services

Creating and maintaining your account, authenticating you, offering training, metrics, social feed and support features. Legal basis: contract performance (Art. 6.1.b GDPR).

Subscription management

Activating and maintaining your plan, processing recurring payments via Stripe, issuing invoices and handling cancellations. Legal basis: contract performance and legal obligation (Arts. 6.1.b and 6.1.c GDPR).

Personalization with physical data

Adjusting load prescription, the AI Coach and gender-based Rx weights based on your physical profile. Legal basis: explicit consent (Arts. 6.1.a and 9.2.a GDPR), revocable at any time.

SafeTrack and emergencies

Detecting inactivity or route deviations during outdoor training and notifying your emergency contacts. Legal basis: explicit consent and, where applicable, vital interest (Arts. 6.1.a, 6.1.d and 9.2.c GDPR).

Push and in-app notifications

Notifying you of support replies, kudos received, training reminders and operational service information. Legal basis: contract performance (Art. 6.1.b) and consent for promotional purposes (Art. 6.1.a).

Commercial communications

Sending you information about news, discounts or Zoku products, only if you have expressly accepted. Legal basis: consent (Art. 6.1.a GDPR). You may withdraw it at any time without affecting other processing.

Security and fraud prevention

Detecting unauthorized access, automated attacks or abusive use. Legal basis: legitimate interest (Art. 6.1.f GDPR) and legal security obligations.

Compliance with legal obligations

Retaining tax documentation and responding to requests from competent authorities. Legal basis: legal obligation (Art. 6.1.c GDPR).

Statistics and Service improvement

Analyzing aggregated and anonymized data to improve features, technical performance and experience. Legal basis: legitimate interest (Art. 6.1.f GDPR).

We keep your data only for as long as strictly necessary to fulfill the purposes for which it was collected and, where applicable, during the periods required by applicable regulations:

• Account and activity data: for the duration of the contractual relationship and until the cancellation request. After cancellation, data is deleted unless legally blocked.
• Physical and health data: until consent is revoked or the account is cancelled. After revocation, data is deleted within a maximum of 30 days.
• SafeTrack geolocation: retained exclusively for the time necessary to provide the safety service and automatically deleted 7 days after the end of the training, unless an emergency case is opened.
• Billing data and tax obligations: 6 years, in accordance with Article 30 of the Spanish Commercial Code.
• Security and connection logs: 12 months, unless longer retention is required for incident investigation.
• Anonymized data used for statistical purposes: no time limit, as it loses the status of personal data.

We do not sell your data. We share personal data exclusively with providers that supply services necessary to operate Zoku Athletics, acting as processors under contract pursuant to Article 28 GDPR:

• Supabase (database storage and authentication, EU infrastructure).
• Google Cloud Platform (Spring Boot backend hosting on Cloud Run, europe-west1 region).
• Vercel Inc. (hosting and CDN of the Next.js Website). Vercel acts as a processor and has EU standard contractual clauses for international transfers.
• Stripe Payments Europe, Ltd. (payment processing and invoice issuance).
• Firebase Cloud Messaging (push notifications for the Android app).
• Spotify AB (when you authorize the OAuth integration for music playback and basic account metadata).
• Legal, tax or audit advisors, and public authorities, when there is a legal obligation to communicate.

Additionally, other users may see your profile, your feed posts and your ranking scores depending on the privacy settings you have chosen. You can adjust this visibility at any time from the mobile app, in Settings → Privacy and Security.

Our servers and those of our main processors are located within the European Economic Area. However, some providers (for example, Stripe, Vercel or Firebase) may carry out occasional processing outside the EEA. In such cases, we guarantee an adequate level of protection through:

• Adequacy decisions of the European Commission, when the destination country has one.
• Standard Contractual Clauses approved by the European Commission (Decision 2021/914), supplemented with additional measures where appropriate.
• Certification mechanisms or binding codes of conduct, where applicable.

You can request a copy of the safeguards applied through privacidad@zokuathletics.com.

Training recommendations, Vital Flow adjustments, AI Coach suggestions and personalized Rx weights constitute automated processing using your physical profile and activity data. These processes do not produce legal effects on you nor significantly affect you: their purpose is strictly informational and sporting. In any case, you may object to these decisions, request human intervention or challenge the result by contacting us.

As a data subject, the GDPR grants you the following rights, exercisable free of charge:

• Access: know what data of yours we process.
• Rectification: correct inaccurate or incomplete data.
• Erasure ("right to be forgotten"): request deletion when data is no longer necessary.
• Objection: object to certain processing based on legitimate interest or marketing.
• Restriction of processing: block the use of your data while a request is resolved.
• Portability: receive your data in a structured, commonly used, machine-readable format and transmit it to another controller.
• Withdraw consent at any time, without affecting the lawfulness of prior processing based on it.
• Not be subject to automated decisions with significant legal effects.

You can exercise your rights by sending a request to privacidad@zokuathletics.com or by postal mail to the address indicated in the Controller section, identifying yourself appropriately. We will resolve your request within a maximum of one month, extendable by up to two additional months in complex cases (Art. 12.3 GDPR).

If you believe the processing does not comply with regulations or that your request has not been properly handled, you can file a complaint with the Spanish Data Protection Agency (www.aepd.es).

We apply technical and organizational measures appropriate to the risk, in line with Article 32 GDPR. In particular:

• Encryption in transit (TLS 1.2 or higher) on all communications between client, web, app and backend.
• Encryption at rest of databases and avatar files using the native mechanisms of the infrastructure provider.
• Credential storage using secure key derivation algorithms (bcrypt or equivalent). The session token is managed in an HttpOnly cookie and is never exposed to client JavaScript code.
• Row-Level Security policies in the database to prevent cross-access between athletes.
• Role-based access control (Athlete, Support, Moderator, Administrator) and audit logs of administrative actions.
• Backup and disaster recovery procedures, as well as periodic restore tests.
• Breach notification procedure to the AEPD and affected individuals within the deadlines of Arts. 33 and 34 GDPR when applicable.

The Website uses strictly necessary cookies to function (session, language, technical preferences) and, where applicable, anonymous analytics cookies to measure Service performance. Before using non-essential cookies, your consent is requested through the corresponding banner, which you can review or revoke at any time. For more information see the Cookie Policy linked from the banner. The mobile app does not use browser cookies.

The Services are intended for persons over 14 years of age, the minimum age of consent under Article 7 LOPDGDD. Registration of minors under 14 requires the express consent of the holder of parental authority or guardianship. If we detect that data of a minor under 14 has been collected without such consent, we will proceed to its immediate deletion.

This Policy may be updated to reflect regulatory, technical or operational changes. When the modification substantially affects the processing of your data, we will inform you by email or by prominent notice within the Services with reasonable advance notice. We keep version history for traceability and audit purposes.