Política de Privacidad

En Loosen («nosotros», «nos» o «nuestro»), su privacidad es nuestra máxima prioridad. Nos comprometemos a tratar sus datos personales de forma transparente, segura y en pleno cumplimiento de las leyes aplicables. Dado que nuestro lanzamiento inicial se centra en la Unión Europea (UE), priorizamos el Reglamento General de Protección de Datos (RGPD) y el RGPD del Reino Unido para los usuarios del Espacio Económico Europeo (EEE) y del Reino Unido. También cumplimos con la California Consumer Privacy Act según la enmienda del California Privacy Rights Act (CCPA/CPRA) para usuarios de Estados Unidos, y con otras normativas relevantes en todo el mundo. Esta Política de Privacidad explica en términos claros y sencillos qué datos recogemos, por qué los recogemos, cómo los utilizamos y protegemos, con quién los compartimos y cuáles son sus derechos para controlarlos.

Nos adherimos a los principios de privacidad desde el diseño (privacy by design) y minimización de datos: solo recogemos lo estrictamente necesario para ofrecer un entrenador de flexibilidad personalizado, seguir su progreso y mejorar la Aplicación. No le rastreamos a través de otras aplicaciones o sitios web, no utilizamos sus datos para publicidad, y nunca vendemos ni compartimos sus datos personales para publicidad comportamental entre contextos (tal como se define en el CCPA). La Aplicación sí realiza personalización automatizada (p. ej., calculando su Puntuación de Flexibilidad diaria y recomendando una sesión) — esto se describe en la Sección 3, no tiene efecto jurídico o similarmente significativo sobre usted y puede desactivar las partes impulsadas por IA en cualquier momento. Si tiene preguntas o necesita ayuda para ejercer sus derechos, nuestro equipo está disponible en hi@stretcha.co.

Al utilizar la aplicación móvil Loosen (la «Aplicación»), usted consiente las prácticas aquí descritas. Si no está de acuerdo, por favor no utilice la Aplicación. Revisamos y actualizamos esta Política al menos una vez al año o cuando sea necesario para reflejar cambios en nuestras prácticas, funciones o leyes. Le notificaremos los cambios materiales a través de un aviso en la aplicación o por correo electrónico.

1. Quiénes somos y ámbito de aplicación

Operamos la Aplicación Loosen: una herramienta móvil multiplataforma (iOS/Android) para rutinas guiadas de estiramientos, seguimiento de progreso y creación de rutinas personalizadas, con lanzamiento inicial en la UE. Esta Política se aplica a todos los datos personales que procesamos a través de la Aplicación. No cubre servicios de terceros enlazados desde la Aplicación (por ejemplo, sitios web externos o las políticas propias de los procesadores de pago).

Contacto:
Correo electrónico: hi@stretcha.co
Sitio web: loosen.app

Para usuarios del EEE/Reino Unido, actuamos como responsables del tratamiento según el RGPD. Para residentes de California, somos una «empresa» según el CCPA/CPRA. Procesamos los datos con prioridad en los usuarios de la UE y utilizamos servidores ubicados en la UE siempre que sea posible para minimizar transferencias.

2. Datos personales que recogemos

Solo recogemos el mínimo de datos necesario para proporcionar, personalizar y mejorar la Aplicación. «Datos personales» significa cualquier información relativa a una persona física identificada o identificable. Obtenemos su consentimiento explícito para la recogida de datos sensibles (por ejemplo, información relacionada con la salud) durante el onboarding, y puede retirarlo en cualquier momento. Para usuarios de la UE, ponemos especial énfasis en el consentimiento y los intereses legítimos como bases de tratamiento.

3. Cómo utilizamos sus datos personales

Procesamos los datos solo para finalidades específicas y legítimas, con su consentimiento cuando sea necesario (por ejemplo, datos de salud sensibles). Aplicamos minimización de datos y seudonimización siempre que sea posible, con especial atención a los usuarios de la UE según el RGPD.

• Personalización y Seguridad: Usar datos de perfil, evaluación, comentarios y (si se conceden) señales de Salud/Health Connect para calcular su Puntuación de Flexibilidad diaria, recomendar una sesión adecuada para hoy, filtrar posturas por seguridad (por ejemplo, evitar tensiones en la espalda si se han indicado) y adaptar su plan a lo largo del tiempo.
• Gestión de Suscripciones: Seguir suscripciones activas, procesar derechos, activar funciones premium y restaurar compras a través de RevenueCat. Base legal: Ejecución del contrato (artículo 6(1)(b) del RGPD).
• Progreso y Motivación: Seguir sesiones para mostrar rachas, totales y logros dentro de la aplicación.
• Comunicaciones: Enviar notificaciones push opcionales (por ejemplo, recordatorios diarios a su hora preferida) o correos electrónicos (por ejemplo, restablecimientos de contraseña).
• Operaciones y Mejoras: Analizar patrones de uso anónimos mediante PostHog para corregir errores, mejorar funciones y optimizar el rendimiento. PostHog genera automáticamente IDs de dispositivo anónimos para seguimiento de sesiones; no se procesan datos identificables para análisis. No realizamos perfiles publicitarios ni creamos perfiles de comportamiento entre aplicaciones. Base legal: Interés legítimo (artículo 6(1)(f) del RGPD).
• Cumplimiento Legal: Conservar datos según lo exija la ley (por ejemplo, auditorías); eliminar a petición.

Personalización automatizada

La Aplicación calcula resultados automáticamente — su Puntuación de Flexibilidad, la sesión diaria recomendada y (si ha aceptado el consentimiento de IA) rutinas y narrativas de plan generadas por IA. Estos resultados personalizan su experiencia en la aplicación. No se utilizan para conceder o denegar acceso a ningún servicio, fijar precios ni producir ningún efecto jurídico o similarmente significativo sobre usted según el artículo 22 del RGPD. Puede:

• Anular la recomendación diaria eligiendo una rutina diferente del catálogo o creando una usted mismo.
• Retirar el consentimiento de IA en Perfil > IA y Datos, lo que cambia silenciosamente la Aplicación a plantillas sin IA y texto estático.
• Revocar el permiso de Salud en los Ajustes de iOS o Health Connect, lo que elimina esas señales del cálculo.
• Contactar a hi@stretcha.co para preguntar cómo se produjo una recomendación específica o para solicitar revisión humana.

Bases legales (RGPD/RGPD UK): Consentimiento para datos sensibles; intereses legítimos para funciones esenciales (por ejemplo, seguimiento de progreso); ejecución del contrato para servicios de cuenta. Para usuarios de EE. UU., nos alineamos con los requisitos del CCPA.

Conservación de datos: Conservamos los datos solo el tiempo necesario: datos de cuenta hasta su eliminación; datos de progreso durante 2 años tras la última actividad (o antes si se solicita). Los agregados anonimizados pueden conservarse más tiempo para mejoras.

Funciones impulsadas por IA

La Aplicación utiliza el modelo de IA Claude de Anthropic (mediante procesamiento seguro en el servidor a través de Supabase Edge Functions) para impulsar cuatro funciones de IA opcionales. Todo el procesamiento ocurre en nuestros servidores — ninguna IA se ejecuta en su dispositivo.

Consentimiento (puerta estricta, defensa en profundidad): Antes de que se envíen datos a Anthropic para cualquiera de estas funciones, se le presenta un aviso de consentimiento en la aplicación que identifica claramente qué datos se compartirán, con quién se compartirán, y requiere su aprobación explícita. El estado del consentimiento se almacena en su cuenta (plan_ai_consent) y se verifica tanto en el dispositivo como de nuevo en nuestros servidores como primera operación de cada llamada de IA — si el consentimiento no está presente, la llamada se rechaza antes de construir ningún prompt y la Aplicación vuelve a plantillas sin IA y texto estático. Puede revocar este consentimiento en cualquier momento a través de Perfil > IA y Datos; la revocación surte efecto inmediatamente en las cuatro funciones.

Las cuatro funciones de IA y los datos que cada una envía:

Lo que nunca se envía: los identificadores de cuenta (correo electrónico, contraseña, tokens de inicio de sesión con Apple/Google) nunca se envían a Anthropic; las muestras brutas de HealthKit / Health Connect (lecturas individuales de frecuencia cardíaca, registros de sueño, etc.) nunca se envían — solo los pequeños agregados derivados enumerados anteriormente. Los datos se procesan en tiempo real y no son almacenados por Anthropic tras generar la respuesta. Sus datos nunca se utilizan para entrenar modelos de IA. Para más detalles, consulte la política de privacidad de Anthropic.

4. Compartición y divulgación

Compartimos datos de forma mínima, solo con proveedores cuidadosamente seleccionados y sujetos a estrictos contratos de procesamiento de datos que garantizan protección equivalente. Para usuarios de la UE, priorizamos el procesamiento en la UE para cumplir las normas de transferencia del RGPD.

• Supabase: Servidores UE para usuarios del EEE/Reino Unido (para evitar transferencias); gestiona almacenamiento, autenticación y sincronización en tiempo real. Servidores EE. UU. para usuarios fuera de la UE.
• RevenueCat: Gestiona suscripciones y compras dentro de la aplicación. Recoge y vincula identificadores de dispositivo a su cuenta para prevenir fraudes, restaurar compras y gestionar suscripciones. Procesa IDs de usuario (UUID anónimos) para asociar compras a cuentas. No almacenamos ni RevenueCat almacena detalles de tarjetas de pago.
• IDs de usuario: Los UUID anónimos se comparten con RevenueCat para vincular suscripciones a su cuenta y permitir restauración y acceso entre dispositivos.
• Apple/Google: Para compras dentro de la aplicación y notificaciones push (procesan tokens de dispositivo).
• PostHog: Gestiona análisis de producto anónimos y seguimiento de errores; procesa eventos de uso, metadatos de dispositivo y registros de fallos. Alojado en la UE (https://eu.i.posthog.com) para cumplimiento del RGPD. No se comparten datos identificables (nombre, correo electrónico, ID de usuario) — solo IDs de dispositivo anónimos generados automáticamente por PostHog. Se aplican Cláusulas Contractuales Tipo.
• Anthropic: Procesa los datos descritos en la Sección 3 («Funciones impulsadas por IA») a través del modelo de IA Claude para impulsar nuestras cuatro funciones de IA (Construir con IA, el generador de plan adaptativo, la explicación del estado corporal y la narrativa del plan). Los datos se envían solo después de que usted proporcione consentimiento explícito en la aplicación (plan_ai_consent = accepted) y solo mientras ese consentimiento esté activo. Anthropic no utiliza sus datos para entrenar sus modelos. Anthropic está vinculado por su política de privacidad publicada y nuestros términos de procesamiento de datos, que requieren protección equivalente de los datos del usuario, prohíben el uso independiente de los datos y prohíben el uso para entrenamiento de modelos.
• Apple HealthKit / Android Health Connect: No son terceros en el sentido de compartición de datos — son API de plataforma en su propio dispositivo. Usted concede a la Aplicación permiso de solo lectura y leemos las métricas descritas en la Sección 2. Apple y Google no reciben ningún dato nuevo de nuestra parte a través de estas API.

Transferencias internacionales (RGPD): Los datos de usuarios de la UE permanecen en la UE siempre que sea posible. Para cualquier transferencia (por ejemplo, a proveedores de EE. UU.), utilizamos Cláusulas Contractuales Tipo u otras garantías equivalentes. No compartimos datos con gobiernos salvo obligación legal (por ejemplo, citación válida).

Sin ventas ni comparticiones de marketing: No vendemos, alquilamos ni compartimos datos para fines publicitarios o de marketing. Según el CCPA, no se produce ninguna «venta» ni «compartición».

5. Seguridad e integridad de los datos

Aplicamos medidas de seguridad estándar del sector adaptadas a la sensibilidad de los datos (especialmente información de salud), con evaluaciones de riesgos conforme al RGPD:

• Cifrado: Datos en tránsito (TLS 1.3+) y en reposo; contraseñas hasheadas con algoritmos fuertes.
• Controles de acceso: Basados en roles; autenticación multifactor para el personal; ningún acceso innecesario.
• Prácticas de seguridad: Escaneos regulares de vulnerabilidades, pruebas de penetración y planes de respuesta a incidentes. Auditorías independientes anuales.
• Respuesta a brechas: Notificación inmediata a usuarios afectados y autoridades cuando sea obligatorio (por ejemplo, en 72 horas según el RGPD).

6. Sus derechos y opciones de privacidad

Tiene control total: puede ejercer sus derechos sin tarifas, discriminación ni retrasos innecesarios (verificación por correo electrónico). Los usuarios de la UE se benefician de derechos reforzados del RGPD.

• Acceso/Portabilidad: Ver/exportar datos directamente en la Aplicación (Ajustes > Perfil > Exportar datos) o solicitarlo por correo electrónico a hi@stretcha.co (respuesta en 30 días; 15 días según CCPA). Incluye todo el historial desde la creación de la cuenta (según actualizaciones CCPA 2026).
• Actualización/Rectificación: Editar directamente la información de perfil/salud en la Aplicación.
• Supresión/Borrado («Derecho al olvido»): Eliminar cuenta desde Ajustes > Eliminar cuenta — todos los datos personales se borran en 30 días (salvo obligaciones legales de conservación).
• Opt-Out/Retirada del consentimiento: Desactivar recordatorios/notificaciones en ajustes; revocar consentimiento para datos de salud (restablece la personalización). No es necesario «Do Not Sell/Share» porque no vendemos ni compartimos. Respetamos las señales Global Privacy Control (GPC).
• Consentimiento de datos de IA: Puede revocar el consentimiento para el procesamiento de datos de IA en cualquier momento a través de Perfil > IA y Datos. La revocación surte efecto inmediatamente en las cuatro funciones de IA, tanto en el lado del cliente (no se emiten más llamadas) como en el lado del servidor (las llamadas entrantes se rechazan antes de construir ningún prompt). La Aplicación vuelve a plantillas sin IA y texto estático hasta que vuelva a dar su consentimiento.
• Permiso de Salud: Revoque el acceso a Apple Salud (iOS) o Android Health Connect en cualquier momento en los ajustes de su sistema operativo. La Aplicación continuará funcionando usando solo sus horas de sedentarismo autoinformadas y sus comentarios de sesión.
• Datos sensibles: Opt-in explícito para datos de salud; limitación del procesamiento a través de ajustes.
• Recursos: Si denegamos una solicitud, recurso por hi@stretcha.co — revisamos rápidamente.
• Opt-Out de análisis: PostHog utiliza análisis completamente anónimos (sin datos identificables). No se requiere mecanismo de opt-out según RGPD/CCPA. Si tiene dudas, contacte hi@stretcha.co.

Para CCPA: Agente designado para solicitudes: hi@stretcha.co. Publicamos métricas anualmente (por ejemplo, solicitudes recibidas/atendidas).

7. Privacidad de los niños

La Aplicación está dirigida a usuarios de 13 años o más (16 años o más en el EEE para consentimiento sin intervención parental). No recogemos conscientemente datos de niños menores de 13 años (o 16 en el EEE). Si descubrimos tales datos, los eliminamos inmediatamente. Padres/tutores: contacten hi@stretcha.co para consultas o solicitudes de eliminación.

8. Descargo de responsabilidad médico y de salud

Loosen es una herramienta de bienestar, no un dispositivo médico, servicio de diagnóstico ni sustituto de consejo profesional. Los datos de salud autoinformados se utilizan únicamente para personalizar rutinas y evitar riesgos potenciales — no están verificados ni constituyen orientación médica. Consulte siempre a un profesional de la salud antes de comenzar cualquier programa de ejercicio, especialmente si tiene condiciones médicas. No asumimos responsabilidad alguna por lesiones o problemas de salud derivados del uso de la Aplicación — participa bajo su propio riesgo.

9. Cambios en esta Política

Podemos actualizar esta Política para reflejar nuevas funciones, cambios legales o modificaciones en nuestras prácticas. Los cambios materiales (por ejemplo, nuevos usos de datos) se notificarán mediante un banner en la Aplicación o por correo electrónico con al menos 30 días de antelación; el uso continuado se considerará aceptación. Revísela periódicamente.

10. Contacto y reclamaciones

Para preguntas, solicitudes de derechos o reclamaciones: hi@stretcha.co (respuesta en 30 días; 15 días según CCPA). Si no se resuelve, puede contactar a su autoridad local de protección de datos (por ejemplo, su DPA nacional en la UE, ICO en el Reino Unido, CPPA en California) o presentar una queja.