Información legal

Política de privacidad

Última actualización:

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales recogidos a través del sitio web zorinlabs.com y de los servicios del ecosistema Zõrin (My Fit World, Medra y otros productos identificables con la marca) es:

  • Titular: Raúl García Díaz
  • NIF: 45348381V
  • Domicilio: Camino de la Cruz, 107, 35400 Arucas, Las Palmas, España
  • Email: hello@zorinlabs.com

Si tienes cualquier duda sobre el tratamiento de tus datos, puedes contactar por email indicando "Protección de datos" en el asunto.

2. ¿Qué datos recogemos?

2.1. Al navegar por nuestro sitio web

  • Datos técnicos mínimos: dirección IP, tipo de navegador, sistema operativo, páginas visitadas, tiempo de permanencia. Ver Política de Cookies para el detalle.
  • Reserva de reuniones (Cal.com): la sección "Agendar reunión" carga un formulario embebido de Cal.com, Inc. (EE.UU.). Cuando esa sección se muestra, tu navegador conecta con Cal.com y le envía tu dirección IP, user-agent y, si rellenas el formulario, los datos que introduzcas (nombre, email, motivo, hora reservada). Cal.com actúa como Encargado del Tratamiento por cuenta de Zõrin Labs.

2.2. Cuando nos contactas (formulario de contacto o email)

  • Nombre y apellidos
  • Email
  • Teléfono (opcional)
  • Empresa (opcional)
  • Contenido del mensaje

2.3. Cuando contratas un servicio (My Fit World, Medra u otro)

  • Datos identificativos: nombre, apellidos, email, teléfono.
  • Datos de facturación: NIF/CIF, razón social, dirección fiscal.
  • Datos de pago procesados por Stripe. Zõrin Labs no almacena números de tarjeta: Stripe es el responsable directo de esos datos, certificado PCI DSS.
  • Subdominio y configuración de marca elegidos al contratar.

2.4. Cuando usas los productos como usuario final

En productos como My Fit World, los usuarios (clientes de un coach, por ejemplo) pueden introducir datos adicionales según la funcionalidad: mediciones corporales (peso, % grasa, medidas), fotos de progreso, rutinas, planes nutricionales, mensajes de chat con su coach.

En estos casos, Zõrin Labs actúa como Encargado del Tratamiento por cuenta del profesional (el coach, clínica o estudio contratante), que es el Responsable del Tratamiento de los datos de sus propios clientes. El contrato de encargado de tratamiento (art. 28 RGPD) se formaliza al contratar el servicio.

3. Finalidades y base legal del tratamiento

Finalidad Base legal (art. 6 RGPD) Datos
Responder a consultas enviadas por el formulario de contacto Consentimiento del usuario — art. 6.1.a RGPD Nombre, email, teléfono (opc.), mensaje
Gestionar la contratación y ejecución de los servicios contratados Ejecución del contrato — art. 6.1.b RGPD Identificativos, facturación, configuración del tenant
Cumplir obligaciones legales (fiscales, contables, mercantiles) Obligación legal — art. 6.1.c RGPD Datos de facturación, transacciones
Enviar comunicaciones sobre el servicio (trial, facturas, incidencias) Ejecución del contrato / Interés legítimo — art. 6.1.b / 6.1.f RGPD Email
Enviar comunicaciones comerciales de productos similares Interés legítimo con opción de oposición — art. 21.2 LSSI-CE Email
Analítica mínima del sitio (sin perfilado publicitario) Interés legítimo / Consentimiento — según cookies empleadas Datos técnicos agregados

4. ¿Con quién compartimos tus datos?

Zõrin Labs no vende datos personales. Los datos se comparten únicamente con Encargados del Tratamiento (proveedores) estrictamente necesarios para prestar el servicio, sujetos a contrato que garantiza el nivel de protección exigido por el RGPD:

Proveedor Finalidad Ubicación
Vercel Inc. Hosting y ejecución del software (infraestructura serverless) UE (Frankfurt · fra1)
Cal.com, Inc. Reserva de reuniones desde el sitio web (formulario embebido) EE.UU. con cláusulas contractuales tipo
Neon Inc. Base de datos PostgreSQL gestionada UE (Frankfurt)
Vercel Blob Almacenamiento de fotos (ej. fotos de progreso en My Fit World) UE
Stripe Payments Europe, Ltd. Procesamiento de pagos y facturación UE (Irlanda) / EE.UU. con cláusulas contractuales tipo
Resend Envío de emails transaccionales (invitaciones, credenciales, notificaciones) UE / EE.UU. con cláusulas contractuales tipo
ImprovMX Reenvío de correos entrantes del dominio zorinlabs.com EE.UU. con cláusulas contractuales tipo
Anthropic PBC Modelo de IA (Claude) para generación de contenido interno EE.UU. con cláusulas contractuales tipo — sin uso de datos para entrenar el modelo
GitHub Inc. Repositorios de código fuente (no contiene datos de clientes) EE.UU. con cláusulas contractuales tipo
DonDominio Registro de dominios UE (España)

Adicionalmente, podrán compartirse datos con Administraciones Públicas, Juzgados o Tribunales cuando exista obligación legal.

5. Transferencias internacionales

Algunos proveedores (Cal.com, Stripe, Resend, ImprovMX, Anthropic, GitHub) tienen sede o infraestructura fuera del Espacio Económico Europeo. En estos casos, las transferencias están amparadas por:

  • Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea, o
  • Decisiones de adecuación vigentes (por ejemplo, el EU-US Data Privacy Framework cuando el proveedor esté certificado).

6. Plazo de conservación

  • Datos de contacto sin contratación posterior: se conservan máximo 2 años desde el último contacto, salvo que ejerzas antes tu derecho de supresión.
  • Datos de clientes activos: durante toda la vigencia del contrato y mientras sea necesario prestar el servicio.
  • Datos de facturación: se conservan durante 6 años por obligación legal (art. 30 Código de Comercio y LGT).
  • Tras cancelación del servicio: los datos operativos se conservan 30 días a efectos de posibles reactivaciones; transcurrido ese plazo, se eliminan o anonimizan, salvo obligaciones legales de conservación.

7. Tus derechos

Como titular de los datos, puedes ejercer los siguientes derechos:

  • Acceso: saber qué datos tuyos tratamos.
  • Rectificación: corregir datos inexactos o incompletos.
  • Supresión ("derecho al olvido"): solicitar el borrado de tus datos cuando ya no sean necesarios o retires el consentimiento.
  • Oposición: oponerte a ciertos tratamientos (especialmente comunicaciones comerciales).
  • Limitación: pedir que se limite el tratamiento mientras se resuelve una controversia.
  • Portabilidad: recibir tus datos en formato estructurado (CSV/JSON) para trasladarlos a otro responsable.
  • No ser objeto de decisiones automatizadas: Zõrin Labs no toma decisiones con efecto jurídico basadas exclusivamente en tratamientos automatizados.

Cómo ejercerlos: envía un email a hello@zorinlabs.com con el asunto "Derechos RGPD" indicando el derecho que quieres ejercer y adjuntando copia de un documento identificativo (DNI/NIE/pasaporte). Responderemos en un plazo máximo de un mes.

Reclamación ante la autoridad de control: si consideras que tus derechos no han sido atendidos, puedes presentar reclamación ante la Agencia Española de Protección de Datos (AEPD), C/ Jorge Juan, 6, 28001 Madrid.

8. Seguridad de los datos

Aplicamos medidas técnicas y organizativas para proteger la confidencialidad, integridad y disponibilidad de los datos personales, entre ellas:

  • Cifrado TLS en tránsito para todo el tráfico del sitio y las APIs.
  • Cifrado en reposo en la base de datos (Neon).
  • Contraseñas almacenadas con scrypt (nunca en texto plano).
  • Tokens de sesión HttpOnly y Secure.
  • Control de acceso basado en roles (RBAC) y aislamiento multi-tenant por tenant_id.
  • Copias de seguridad automáticas diarias.
  • Revisión periódica de dependencias para detectar vulnerabilidades.

9. Menores de edad

Los servicios están dirigidos a mayores de 18 años. En caso de que un profesional contratante (por ejemplo, un coach de My Fit World) quiera tratar datos de menores, es responsabilidad suya obtener el consentimiento de los tutores legales conforme al art. 8 RGPD y al art. 7 LOPDGDD.

10. Cambios en la política

Esta Política de Privacidad puede actualizarse cuando se añadan nuevos servicios, proveedores o se modifique la legislación aplicable. Cualquier cambio se publicará en esta misma URL con la fecha de "Última actualización" correspondiente. Si los cambios son sustanciales, se notificarán por email a los usuarios afectados.