POLÍTICA DE PRIVACIDAD DE HYBRIDWOD

Última revisión: 17 de octubre de 2025

1. IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO

1.1. Datos del responsable

De conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (RGPD), y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), el responsable del tratamiento de los datos personales recabados en la plataforma HybridWOD es:

HYBRID MEDIA GROUP, S.L.
CIF: B-75498378
Domicilio social: Calle Juan de Verdeguer 2-B, 46024 Valencia, España
Correo electrónico: info@hybridwod.fit
Correo de privacidad: privacy@hybridwod.fit
Teléfono: +34 633 80 94 40
Dominio web:hybridwod.fit

1.2. Delegado de Protección de Datos (DPO)

Para el ejercicio de derechos en materia de protección de datos y consultas relacionadas con el tratamiento de información personal, el usuario puede dirigirse a:

Contacto DPO: privacy@hybridwod.fit
Asunto: "Protección de Datos - [Naturaleza de la consulta]"

1.3. Compromiso con la privacidad

Hybrid Media Group S.L. se compromete a proteger la privacidad de los usuarios y a tratar sus datos personales con la máxima diligencia, transparencia y seguridad, cumpliendo estrictamente con la normativa europea y española de protección de datos.

2. PRINCIPIOS DEL TRATAMIENTO

El tratamiento de datos personales en HybridWOD se fundamenta en los siguientes principios rectores establecidos en el artículo 5 del RGPD:

2.1. Licitud, lealtad y transparencia

Los datos se tratan de forma lícita, leal y transparente. Informamos clara y completamente sobre cómo recabamos, utilizamos y protegemos la información personal.

2.2. Limitación de la finalidad

Los datos se recogen con fines específicos, explícitos y legítimos, y no se tratan posteriormente de manera incompatible con dichos fines.

2.3. Minimización de datos

Solo recabamos los datos personales que son estrictamente necesarios para las finalidades indicadas. No solicitamos información innecesaria o excesiva.

2.4. Exactitud

Adoptamos medidas razonables para que los datos sean exactos y, en su caso, estén actualizados. Los datos inexactos se suprimen o rectifican sin dilación.

2.5. Limitación del plazo de conservación

Los datos se conservan únicamente durante el tiempo necesario para cumplir las finalidades del tratamiento o durante los plazos legalmente exigibles.

2.6. Integridad y confidencialidad

Implementamos medidas técnicas y organizativas apropiadas para garantizar la seguridad, integridad y confidencialidad de los datos, protegiéndolos contra tratamiento no autorizado, pérdida, destrucción o daño accidental.

3. FINALIDADES DEL TRATAMIENTO

Los datos personales recabados en HybridWOD se tratan con las siguientes finalidades específicas:

3.1. Gestión de registro y acceso

  • Creación y gestión de cuentas de usuario (atletas, coaches, boxes)
  • Autenticación y control de acceso a la Plataforma
  • Verificación de identidad y edad (+18 años)
  • Gestión de credenciales y seguridad de sesiones

3.2. Prestación del servicio SaaS

  • Permitir la creación, edición y gestión de programas de entrenamiento (coaches)
  • Facilitar la suscripción y acceso a programas (atletas)
  • Almacenamiento de workouts, planificaciones y contenidos
  • Registro de métricas deportivas, récords personales (RMs) y resultados de tests
  • Registro de feedback y valoraciones de entrenamientos
  • Seguimiento de progreso y estadísticas personales
  • Funcionalidad de mensajería directa entre usuarios

3.3. Gestión de suscripciones y pagos

  • Procesamiento de suscripciones (gratuitas y de pago)
  • Gestión de renovaciones automáticas
  • Procesamiento de pagos mediante Stripe Connect
  • Emisión de facturas y documentación fiscal
  • Gestión de cancelaciones y reembolsos
  • Control de comisiones de plataforma

3.4. Comunicaciones transaccionales

Envío de comunicaciones estrictamente necesarias relacionadas con el servicio:

  • Confirmación de registro y verificación de email
  • Notificaciones de suscripción, renovación y cancelación
  • Avisos de vencimiento y fallos de pago
  • Confirmaciones de pago y facturas
  • Alertas de seguridad (cambio de contraseña, accesos sospechosos)
  • Respuestas a consultas de soporte técnico
  • Notificaciones de cambios en Términos o Política de Privacidad

IMPORTANTE: HybridWOD NO envía comunicaciones comerciales ni marketing salvo que el usuario haya otorgado consentimiento expreso para ello (actualmente no implementado).

3.5. Mejora del servicio y analítica interna

  • Análisis agregado y anónimo de uso de la Plataforma
  • Estadísticas de rendimiento técnico y experiencia de usuario
  • Detección y corrección de errores técnicos
  • Desarrollo de nuevas funcionalidades
  • Investigación y análisis de tendencias deportivas (datos anonimizados)

3.6. Cumplimiento de obligaciones legales

  • Conservación de datos de facturación durante 6 años (normativa fiscal española)
  • Atención de requerimientos judiciales o administrativos
  • Prevención y detección de fraude
  • Cumplimiento de obligaciones contables y tributarias
  • Colaboración con autoridades competentes cuando legalmente proceda

4. BASE JURÍDICA Y LEGITIMACIÓN

El tratamiento de datos personales en HybridWOD se fundamenta en las siguientes bases jurídicas reconocidas en el artículo 6 del RGPD:

4.1. Ejecución de contrato (Art. 6.1.b RGPD)

El tratamiento es necesario para la ejecución del contrato de prestación de servicios (Términos y Condiciones) suscrito entre el usuario y Hybrid Media Group S.L.

Aplica a:

  • Gestión de cuenta de usuario
  • Prestación de funcionalidades de la Plataforma
  • Gestión de suscripciones
  • Comunicaciones transaccionales esenciales

Consecuencia de la negativa: Sin estos datos, no es posible prestar el servicio.

4.2. Consentimiento explícito (Art. 6.1.a RGPD)

El usuario otorga consentimiento expreso, libre, específico, informado e inequívoco para determinados tratamientos.

Aplica a:

  • Cookies analíticas (Google Analytics)
  • Integraciones opcionales con terceros (Garmin Connect, Strava API)
  • Comunicaciones comerciales (cuando se implemente esta funcionalidad)

Consecuencia de la negativa: El usuario puede denegar o revocar el consentimiento sin que ello afecte a las funcionalidades esenciales del servicio.

4.3. Interés legítimo (Art. 6.1.f RGPD)

El tratamiento es necesario para la satisfacción de intereses legítimos de Hybrid Media Group S.L., siempre que no prevalezcan los derechos y libertades fundamentales del usuario.

Aplica a:

  • Seguridad de la Plataforma y prevención de fraude
  • Detección de uso indebido o actividades ilícitas
  • Mejora técnica del servicio mediante analítica interna
  • Respaldo y recuperación de datos (backups)
  • Gestión de reclamaciones y ejercicio de derechos

4.4. Obligación legal (Art. 6.1.c RGPD)

El tratamiento es necesario para cumplir obligaciones legales aplicables al responsable.

Aplica a:

  • Conservación de datos de facturación (Ley General Tributaria: 6 años)
  • Atención de requerimientos judiciales o administrativos
  • Comunicación de infracciones a autoridades competentes
  • Cumplimiento de normativa contable y fiscal

5. DATOS PERSONALES RECOGIDOS

5.1. Datos de identificación

Obligatorios:

  • Nombre y apellidos
  • Dirección de correo electrónico
  • Nickname de usuario (único)
  • Contraseña (almacenada cifrada con BCRYPT)
  • Fecha de nacimiento (verificación de mayoría de edad)

Opcionales:

  • Fotografía de perfil
  • Género
  • Ubicación geográfica (ciudad/país, no GPS exacto)
  • Biografía o descripción personal

5.2. Datos de contacto y comunicación

  • Dirección IP (logs de acceso con fines de seguridad)
  • Dispositivo y navegador utilizado (user-agent)
  • Historial de mensajes directos con otros usuarios
  • Contenido de comunicaciones con soporte técnico

5.3. Datos deportivos y de rendimiento

Generados por el atleta:

  • Métricas de entrenamientos (tiempos, repeticiones, pesos)
  • Récords personales (RMs) por ejercicio
  • Resultados de tests físicos
  • Valoraciones y feedback de sesiones (escala de esfuerzo percibido)
  • Estadísticas de progreso semanal/mensual

Generados por el coach:

  • Programas de entrenamiento creados
  • Workouts, planificaciones y contenidos
  • Plantillas y materiales didácticos

5.4. Datos de uso de la Plataforma

  • Fechas y horarios de acceso
  • Funcionalidades utilizadas
  • Suscripciones activas e historial de suscripciones
  • Interacciones con contenido (visualizaciones, completados)
  • Preferencias de configuración de interfaz

5.5. Datos económicos y de facturación

Directamente recabados:

  • Nombre y apellidos (facturación)
  • Domicilio fiscal (solo si requerido por normativa)
  • NIF/CIF (coaches que emiten facturas)

Gestionados por Stripe Connect (NO almacenados por HybridWOD):

  • Datos de tarjeta bancaria (tokenizados por Stripe)
  • Método de pago seleccionado
  • Historial de transacciones (referencia y estado)

Importante: HybridWOD NO almacena ni tiene acceso a números de tarjeta completos, CVV ni datos bancarios sensibles. Todo el procesamiento de pagos lo gestiona Stripe mediante tokens seguros.

5.6. Datos NO recogidos

HybridWOD NO recaba:

  • Datos médicos, de salud o historial clínico
  • Información genética o biométrica (salvo foto de perfil voluntaria)
  • Ubicación GPS exacta en tiempo real
  • Números de tarjeta bancaria (gestionados por Stripe)
  • Datos de menores de edad (servicio +18 únicamente)
  • Orientación sexual, ideología política, afiliación sindical (datos especialmente protegidos)

6. DESTINATARIOS Y TRANSFERENCIAS

6.1. No cesión a terceros

Hybrid Media Group S.L. NO vende, alquila ni cede datos personales a terceros con fines comerciales.

Los datos solo se comunican a terceros en los siguientes casos:

a) Obligación legal:
Cuando sea requerido por autoridad judicial, administrativa o policial competente.

b) Encargados de tratamiento:
Proveedores de servicios técnicos que tratan datos en nombre y por cuenta de Hybrid Media Group S.L., bajo estrictas cláusulas de confidencialidad y cumplimiento del RGPD.

6.2. Encargados de tratamiento

a) Clouding.io (Proveedor de hosting y servidores)

  • Finalidad: Alojamiento de la Plataforma, bases de datos y copias de seguridad
  • Ubicación: Unión Europea (España)
  • Garantías: Servidores en territorio UE, cumplimiento RGPD
  • Datos tratados: Todos los almacenados en la Plataforma

b) Stripe, Inc. (Procesamiento de pagos)

  • Finalidad: Gestión de pagos, suscripciones y transferencias mediante Stripe Connect
  • Ubicación: Estados Unidos (con operaciones en UE)
  • Garantías: Cláusulas Contractuales Tipo aprobadas por la Comisión Europea, certificación PCI-DSS
  • Datos tratados: Datos de facturación, métodos de pago (tokenizados), historial de transacciones
  • Política de privacidad:https://stripe.com/es/privacy

c) Google LLC (Analítica web)

  • Finalidad: Análisis estadístico de uso de la Plataforma (solo con consentimiento)
  • Ubicación: Estados Unidos
  • Garantías: Google Analytics 4 con IP anonimizada, Cláusulas Contractuales Tipo
  • Datos tratados: Datos de navegación anonimizados, cookies analíticas
  • Política de privacidad:https://policies.google.com/privacy

d) Garmin Connect / Strava API (Integraciones deportivas opcionales)

  • Finalidad: Sincronización de métricas deportivas (solo si el usuario lo autoriza expresamente)
  • Ubicación: Estados Unidos / Internacional
  • Garantías: Consentimiento explícito del usuario, acceso revocable en cualquier momento
  • Datos tratados: Métricas de entrenamiento, actividades deportivas

e) Proveedores de correo electrónico (SMTP)

  • Finalidad: Envío de emails transaccionales (confirmaciones, notificaciones)
  • Ubicación: Unión Europea
  • Garantías: Servidores en territorio UE, cifrado TLS
  • Datos tratados: Dirección de email, nombre, contenido de comunicaciones

6.3. Transferencias internacionales de datos

Principio general: Los datos se almacenan prioritariamente en servidores ubicados en la Unión Europea (España).

Excepciones (transferencias fuera de la UE):

a) Stripe (Estados Unidos):
La transferencia a Stripe se realiza bajo las siguientes garantías:

  • Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914)
  • Stripe está certificado bajo el EU-U.S. Data Privacy Framework
  • Cumplimiento estricto del RGPD en operaciones europeas

b) Google Analytics (Estados Unidos):
Solo con consentimiento del usuario:

  • Uso de Google Analytics 4 con anonimización de IP
  • Cláusulas Contractuales Tipo con Google
  • El usuario puede rechazar estas cookies sin afectar al servicio

c) Garmin / Strava (opcional):
Solo si el usuario autoriza expresamente la integración:

  • Consentimiento explícito revocable
  • Acceso limitado a datos estrictamente necesarios
  • El usuario controla desde su cuenta de Garmin/Strava qué datos comparte

Derecho de información: El usuario puede solicitar información detallada sobre las garantías específicas de cada transferencia internacional contactando con privacy@hybridwod.fit.

7. PLAZO DE CONSERVACIÓN

Los datos personales se conservan durante los siguientes plazos:

7.1. Durante la relación contractual

Mientras la cuenta esté activa:
Los datos necesarios para la prestación del servicio se conservan de forma indefinida mientras el usuario mantenga su cuenta activa y no solicite su supresión.

7.2. Cuentas inactivas (sin actividad >12 meses)

Procedimiento:

  1. Tras 12 meses sin actividad (login o uso del servicio), se envía aviso por email informando de la inactividad
  2. El usuario tiene 30 días para reactivar la cuenta o confirmar su mantenimiento
  3. Transcurrido ese plazo sin respuesta, la cuenta se marca para eliminación programada
  4. Tras 60 días adicionales (total: 14 meses de inactividad), se procede a la eliminación definitiva de datos personales

Excepciones (datos que se conservan):

  • Datos de facturación (6 años por obligación legal)
  • Logs de auditoría críticos (fines de seguridad y defensa legal)
  • Datos anonimizados para estadísticas agregadas

7.3. Tras cancelación de cuenta

Eliminación inmediata:

  • Datos de perfil (nombre, email, foto, biografía)
  • Credenciales de acceso
  • Mensajes directos (salvo obligación legal de conservación)
  • Métricas deportivas personales (RMs, resultados, feedback)

Conservación temporal (bloqueados, no accesibles):

  • 6 años: Datos de facturación y documentación fiscal (obligación legal - Ley General Tributaria)
  • 3 años: Logs de seguridad y auditoría (defensa legal ante posibles reclamaciones)
  • Indefinido: Datos completamente anonimizados (estadísticas agregadas sin posibilidad de reidentificación)

7.4. Datos de facturación y obligaciones legales

Conforme al artículo 30 de la Ley General Tributaria, los datos relacionados con obligaciones fiscales se conservan durante 6 años desde el último movimiento contable, incluyendo:

  • Facturas emitidas y recibidas
  • Datos de identificación fiscal (NIF/CIF)
  • Justificantes de pago y transacciones

7.5. Logs de seguridad y auditoría

Los logs de acceso, actividad y eventos de seguridad se conservan durante un plazo razonable (máximo 3 años) para:

  • Detectar, prevenir e investigar incidentes de seguridad
  • Cumplir con obligaciones de auditoría
  • Defensa legal ante posibles reclamaciones

Estos logs se almacenan de forma segura, con acceso restringido y se eliminan automáticamente al cumplirse el plazo.

7.6. Datos anonimizados

Los datos completamente anonimizados (sin posibilidad de reidentificación del usuario) pueden conservarse indefinidamente para:

  • Estadísticas agregadas de uso de la Plataforma
  • Investigación de tendencias deportivas
  • Mejora del servicio

Estos datos no constituyen "datos personales" conforme al RGPD, ya que no permiten identificar a personas físicas.

8. DERECHOS DE LOS USUARIOS (ARCO+)

Conforme al RGPD y la LOPDGDD, el usuario tiene derecho a ejercer los siguientes derechos sobre sus datos personales:

8.1. Derecho de acceso (Art. 15 RGPD)

El usuario tiene derecho a obtener confirmación de si estamos tratando sus datos personales y, en tal caso, a acceder a:

  • Los datos personales que conservamos
  • Las finalidades del tratamiento
  • Las categorías de datos tratados
  • Los destinatarios a quienes se comunican
  • El plazo de conservación previsto
  • La existencia de decisiones automatizadas (si las hubiera)

8.2. Derecho de rectificación (Art. 16 RGPD)

El usuario tiene derecho a solicitar la rectificación de datos inexactos o incompletos.

Cómo ejercerlo:

  • Directamente desde la configuración de perfil en la Plataforma (datos básicos)
  • Solicitándolo por email a privacy@hybridwod.fit (datos que no sean automodificables)

8.3. Derecho de supresión - "Derecho al olvido" (Art. 17 RGPD)

El usuario tiene derecho a solicitar la eliminación de sus datos personales cuando:

  • Ya no sean necesarios para las finalidades que motivaron su recogida
  • Retire el consentimiento y no exista otra base legal para el tratamiento
  • Se oponga al tratamiento y no prevalezcan motivos legítimos
  • Los datos se traten ilícitamente
  • Deban suprimirse por obligación legal

Limitaciones:
No procederá la supresión cuando el tratamiento sea necesario para:

  • Cumplir obligaciones legales (ej: conservación de datos fiscales 6 años)
  • Formular, ejercer o defender reclamaciones legales
  • Fines de archivo de interés público, investigación científica o estadística (datos anonimizados)

8.4. Derecho de oposición (Art. 21 RGPD)

El usuario tiene derecho a oponerse al tratamiento de sus datos personales cuando:

  • El tratamiento se base en interés legítimo y el usuario acredite motivos relacionados con su situación particular
  • Los datos se utilicen para marketing directo (incluida elaboración de perfiles)

Si la oposición es fundada, cesaremos el tratamiento salvo que acreditemos motivos imperiosos que prevalezcan sobre los derechos del usuario.

8.5. Derecho a la limitación del tratamiento (Art. 18 RGPD)

El usuario puede solicitar que se suspenda el tratamiento de sus datos (sin eliminarlos) cuando:

  • Impugne la exactitud de los datos (durante el plazo de verificación)
  • El tratamiento sea ilícito pero se oponga a la supresión
  • Ya no necesitemos los datos pero el usuario los requiera para reclamaciones legales
  • Se haya opuesto al tratamiento (mientras verificamos si prevalecen los motivos legítimos)

Durante la limitación, los datos solo se conservarán y tratarán con consentimiento del usuario, para reclamaciones legales o para protección de derechos de terceros.

8.6. Derecho a la portabilidad (Art. 20 RGPD)

El usuario tiene derecho a recibir sus datos personales en un formato estructurado, de uso común y lectura mecánica (ej: CSV, JSON) y a transmitirlos a otro responsable del tratamiento, cuando:

  • El tratamiento se base en el consentimiento o en un contrato
  • El tratamiento se efectúe por medios automatizados

Datos portables:

  • Datos de perfil (nombre, email, nickname)
  • Métricas deportivas (RMs, resultados de workouts, feedback)
  • Historial de suscripciones
  • Contenido creado (coaches: programas, workouts, planificaciones)

Formato de entrega: JSON o CSV, según solicitud del usuario.

8.7. Procedimiento para ejercer derechos

Cómo ejercer sus derechos:

Opción 1: Directamente desde la Plataforma
Algunos derechos pueden ejercerse directamente desde la configuración de perfil:

  • Modificar datos personales (rectificación)
  • Descargar datos personales (portabilidad)
  • Eliminar cuenta (supresión)

Opción 2: Por correo electrónico
Dirigirse a: privacy@hybridwod.fit

Contenido de la solicitud:

  • Asunto: "Ejercicio de derecho [ACCESO/RECTIFICACIÓN/SUPRESIÓN/etc.]"
  • Datos de identificación: Nombre, apellidos, email registrado, nickname
  • Derecho que desea ejercer y motivos (si procede)
  • Copia de DNI/NIE/Pasaporte (para verificar identidad)

Opción 3: Por correo postal
Hybrid Media Group S.L.
"Protección de Datos - Ejercicio de Derechos"
Calle Juan de Verdeguer 2-B
46024 Valencia, España

8.8. Plazo de respuesta

Hybrid Media Group S.L. responderá a las solicitudes de ejercicio de derechos en un plazo máximo de 1 mes desde la recepción de la solicitud.

Este plazo podrá prorrogarse 2 meses adicionales si la solicitud es compleja o hay un elevado volumen de peticiones, informando al usuario dentro del primer mes.

Solicitud manifiestamente infundada o excesiva:
Si la solicitud es manifiestamente infundada o excesiva (por ejemplo, por su carácter repetitivo), podremos:

  • Cobrar un canon razonable atendiendo a los costes administrativos
  • Negarnos a actuar sobre la solicitud (justificando los motivos)

9. DERECHO A RECLAMACIÓN

9.1. Autoridad de control: AEPD (España)

Si el usuario considera que el tratamiento de sus datos personales vulnera la normativa de protección de datos, tiene derecho a presentar una reclamación ante la autoridad de control competente.

En España, la autoridad competente es:

Agencia Española de Protección de Datos (AEPD)
Dirección: Calle Jorge Juan, 6, 28001 Madrid, España
Teléfono: +34 901 100 099 / +34 912 663 517
Web:https://www.aepd.es
Sede electrónica:https://sedeagpd.gob.es

9.2. Derecho efectivo reconocido por el RGPD

Este derecho está expresamente reconocido en el artículo 77 RGPD y el artículo 77 LOPDGDD.

El usuario puede presentar reclamación ante la AEPD sin necesidad de haber ejercido previamente sus derechos ante Hybrid Media Group S.L., aunque se recomienda intentar resolver la cuestión directamente con nosotros antes de acudir a la autoridad.

9.3. Procedimiento de reclamación ante AEPD

Formas de presentar reclamación:

  • Online: A través de la sede electrónica de la AEPD (requiere certificado digital o Cl@ve)
  • Presencial: En las oficinas de la AEPD o en registros públicos
  • Por correo postal: Dirigido a la dirección indicada arriba

Documentación necesaria:

  • Identificación del reclamante (DNI/NIE)
  • Descripción clara de los hechos
  • Documentación acreditativa (emails, capturas de pantalla, etc.)
  • Pruebas de haber intentado ejercer derechos (si aplica)

Plazo: La AEPD resolverá la reclamación en un plazo máximo de 6 meses.

10. MEDIDAS DE SEGURIDAD

Hybrid Media Group S.L. implementa medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al artículo 32 del RGPD:

10.1. Cifrado HTTPS obligatorio

Toda la comunicación entre el navegador del usuario y los servidores de HybridWOD se cifra mediante protocolo HTTPS con certificado SSL/TLS válido emitido por Let's Encrypt.

  • Cifrado TLS 1.2 o superior
  • Renovación automática de certificados
  • Bloqueo de acceso HTTP no seguro (redirección automática a HTTPS)

10.2. Contraseñas cifradas (BCRYPT)

Las contraseñas de usuario NUNCA se almacenan en texto plano.

  • Hashing mediante algoritmo BCRYPT con salt automático
  • Coste de cálculo configurado para resistir ataques de fuerza bruta
  • Imposibilidad de descifrar contraseñas (hashing unidireccional)
  • Política de contraseñas robustas (mínimo 8 caracteres, recomendación de complejidad)

10.3. Tokens de sesión seguros

Los tokens de sesión PHP y JWT se configuran con flags de seguridad:

  • HttpOnly: Impide acceso desde JavaScript (protección contra XSS)
  • Secure: Solo se transmiten por HTTPS
  • SameSite=Strict: Protección contra ataques CSRF
  • Expiración automática: Sesiones limitadas en tiempo (invalidación tras inactividad)
  • Token blacklist: Tokens revocados no pueden reutilizarse

10.4. Copias de seguridad cifradas

  • Backups automáticos diarios de bases de datos y archivos
  • Almacenamiento cifrado de copias de seguridad
  • Conservación de múltiples puntos de restauración
  • Servidor secundario para backups (redundancia geográfica)
  • Pruebas periódicas de restauración

10.5. Control de acceso basado en roles (RBAC)

  • Principio de mínimo privilegio: cada usuario solo accede a los datos estrictamente necesarios para su rol
  • Roles diferenciados: Atleta, Coach, Box, Administrador
  • Segregación de datos: cada usuario solo ve su propia información (salvo relaciones autorizadas)
  • Autenticación de dos factores (2FA) disponible (recomendada para coaches)

10.6. Logs de auditoría

Se registran eventos críticos en logs de auditoría:

  • Inicios de sesión (exitosos y fallidos)
  • Cambios de contraseña
  • Modificaciones de datos sensibles
  • Eliminación de cuentas
  • Ejercicio de derechos RGPD
  • Accesos de administradores a datos de usuarios

Los logs se conservan de forma segura durante 3 años con acceso restringido.

10.7. Monitoreo de seguridad

  • Detección de intentos de login sospechosos (múltiples fallos, IPs anómalas)
  • Rate limiting: Limitación de peticiones por IP para prevenir ataques de fuerza bruta y DDoS
  • Firewall de aplicaciones web (WAF): Protección contra inyecciones SQL, XSS, CSRF
  • Actualizaciones de seguridad: Parches de software y librerías aplicados con regularidad
  • Escaneos de vulnerabilidades periódicos

10.8. Formación del personal

El personal con acceso a datos personales recibe formación específica en:

  • Cumplimiento del RGPD y LOPDGDD
  • Manejo seguro de información personal
  • Detección de intentos de phishing y ataques sociales
  • Procedimientos de respuesta ante incidentes de seguridad

10.9. Plan de respuesta ante brechas de seguridad

En caso de detectarse una brecha de seguridad que suponga un riesgo para los derechos y libertades de los usuarios:

  • Notificación a la AEPD en máximo 72 horas desde que se tuvo conocimiento (Art. 33 RGPD)
  • Comunicación a usuarios afectados sin dilación indebida si existe alto riesgo para sus derechos (Art. 34 RGPD)
  • Medidas inmediatas de contención y remediación
  • Documentación completa del incidente y medidas adoptadas

11. MENORES DE EDAD

11.1. Servicio exclusivo para mayores de 18 años

HybridWOD es un servicio exclusivamente destinado a personas mayores de 18 años.

Conforme al artículo 8 del RGPD y al artículo 7 de la LOPDGDD, no se permite el registro ni uso de la Plataforma por parte de menores de edad.

11.2. Verificación de edad en registro

Durante el proceso de registro, el usuario debe declarar expresamente que tiene al menos 18 años cumplidos.

Hybrid Media Group S.L. se reserva el derecho de solicitar documentación acreditativa de la edad (DNI, pasaporte, etc.) en cualquier momento para verificar el cumplimiento de este requisito.

11.3. Detección y eliminación de cuentas de menores

Si tenemos conocimiento de que un menor de 18 años ha proporcionado datos personales sin el consentimiento de sus padres o tutores, procederemos a:

  1. Suspensión inmediata de la cuenta
  2. Eliminación de todos los datos personales del menor sin dilación
  3. Notificación a los padres/tutores (si es posible contactar con ellos)
  4. Bloqueo permanente para evitar nuevos registros

Si detecta que un menor está utilizando HybridWOD, notifíquelo inmediatamente a: privacy@hybridwod.fit

12. ACTUALIZACIÓN DE LA POLÍTICA

12.1. Derecho a modificar la política

Hybrid Media Group S.L. se reserva el derecho de modificar esta Política de Privacidad en cualquier momento para:

  • Adaptarla a cambios normativos
  • Incorporar nuevas funcionalidades o servicios
  • Mejorar la transparencia y claridad
  • Reflejar cambios en las prácticas de tratamiento

12.2. Notificación de cambios sustanciales

Los cambios sustanciales que afecten significativamente a los derechos de los usuarios serán notificados con al menos 15 días de antelación mediante:

  • Email a la dirección registrada del usuario
  • Aviso destacado en la Plataforma al iniciar sesión
  • Ventana emergente solicitando aceptación de la nueva política (si es legalmente necesario)

Se consideran cambios sustanciales:

  • Incorporación de nuevas finalidades de tratamiento
  • Comunicación de datos a nuevos destinatarios
  • Transferencias internacionales a países sin decisión de adecuación
  • Ampliación significativa de plazos de conservación

12.3. Fecha de última revisión

Esta Política de Privacidad fue revisada por última vez el: 17 de octubre de 2025

Versión: 1.0

El usuario puede consultar el historial de versiones anteriores solicitándolo a privacy@hybridwod.fit.

13. CONTACTO Y CONSULTAS

13.1. Contacto para cuestiones de privacidad

Para cualquier consulta, duda o ejercicio de derechos relacionados con la protección de datos personales:

Email de privacidad: privacy@hybridwod.fit
Email general: info@hybridwod.fit
Teléfono: +34 633 80 94 40

Dirección postal:
Hybrid Media Group S.L.
"Protección de Datos"
Calle Juan de Verdeguer 2-B
46024 Valencia, España

13.2. Horario de atención

  • Email: Respuesta en máximo 48 horas hábiles
  • Teléfono: Lunes a viernes de 9:00 a 18:00 (hora peninsular española)

13.3. Idioma de comunicación

Las comunicaciones relacionadas con protección de datos se atenderán preferentemente en español, aunque se aceptan consultas en inglés.

Fecha de última actualización: 17 de octubre de 2025

Versión: 1.0

Al utilizar HybridWOD, el usuario declara haber leído, comprendido y aceptado íntegramente la presente Política de Privacidad.