En Garoé nos tomamos la privacidad en serio. Esta política explica de forma clara qué datos tratamos, con qué finalidad, durante cuánto tiempo y cuáles son tus derechos, conforme al Reglamento (UE) 2016/679 (RGPD) y a la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
1. Responsable del tratamiento
El responsable del tratamiento de tus datos personales es Emanuel Rodríguez Beltrán, con domicilio en Islas Canarias, España y NIF/CIF TODO-NIF-O-CIF, operando bajo la marca Garoé.
Puedes contactarnos en cualquier momento para ejercer tus derechos o resolver dudas:
- Privacidad y protección de datos: privacy@garoe.app
- Delegado de protección de datos (DPO): dpo@garoe.app
- Soporte general: support@garoe.app
2. Ámbito de aplicación
Esta política se aplica a la aplicación móvil Garoé para iOS, al sitio web https://garoe.app y a cualquier otro servicio que enlacemos explícitamente a ella. No cubre servicios de terceros cuyos enlaces puedan aparecer en la app (Instagram, TikTok, YouTube), que se rigen por sus propias políticas.
3. Datos que tratamos y finalidades
La siguiente tabla es coherente con nuestro Privacy Manifest declarado a Apple (PrivacyInfo.xcprivacy). Marcamos como vinculada la información asociada a tu identidad y como no vinculada la información anónima o seudonimizada:
| Categoría | Datos concretos | Finalidad | Vinculada a ti |
|---|---|---|---|
| Identidad | Email, nombre, nombre de usuario, ID interno de usuario | Crear y gestionar tu cuenta, autenticarte, mostrar tu perfil | Sí |
| Contenido generado | Entrenos publicados, resultados, notas, reacciones, seguidos | Funcionamiento de la red social y del feed | Sí |
| Fotos y vídeos | Imágenes que adjuntas voluntariamente a un entreno | Mostrar la WorkoutCard en tu feed y en los feeds de tus seguidores | Sí |
| Interacciones de producto | Eventos agregados de uso de la app (p. ej. "workout_published") | Mejorar el producto, medir funcionalidades y priorizar bugs | Sí (mediante UUID opaco) |
| Datos de rendimiento | Tiempos de carga, memoria, errores de red | Garantizar la estabilidad técnica del servicio | No |
| Informes de fallos | Stack traces anónimos cuando la app se cierra inesperadamente | Diagnosticar y corregir errores | No |
Qué NO hacemos:
- No rastreamos tu actividad fuera de Garoé ni enlazamos tus datos con identificadores publicitarios. El valor
NSPrivacyTrackingde la app esfalse. - No vendemos tus datos a terceros.
- No compartimos tus datos con redes publicitarias o data brokers.
- No usamos tus fotos para entrenar modelos de IA.
4. Base legal del tratamiento (art. 6 RGPD)
- Ejecución de un contrato (art. 6.1.b): todos los tratamientos necesarios para prestarte el servicio al que te has suscrito (crear cuenta, publicar entrenos, seguir a otros atletas).
- Consentimiento (art. 6.1.a): envío de notificaciones push, acceso a cámara o galería, alta en la lista de espera o en comunicaciones opcionales. Puedes retirarlo en cualquier momento.
- Interés legítimo (art. 6.1.f): analítica agregada, seguridad de la cuenta y prevención de abuso. Hemos realizado la ponderación correspondiente y prevalecen tus derechos cuando hay conflicto.
- Obligación legal (art. 6.1.c): conservación de ciertos datos fiscales o de facturación cuando aplique.
5. Encargados y subencargados del tratamiento
Para prestar el servicio recurrimos a los siguientes proveedores, todos ellos vinculados mediante contratos de tratamiento de datos (art. 28 RGPD) y con medidas de seguridad auditadas:
| Proveedor | Finalidad | Ubicación |
|---|---|---|
| Supabase (Supabase Inc.) | Base de datos, autenticación y almacenamiento de archivos | Región UE (Frankfurt) |
| PostHog (PostHog Inc.) | Analítica de producto agregada | Región UE |
| Sentry (Functional Software Inc.) | Informes de fallos y monitorización | Región UE |
| Resend (Resend Inc.) | Envío de emails transaccionales y lista de espera | EE. UU. (DPA + SCC) |
| Vercel (Vercel Inc.) | Hosting del sitio web y métricas de rendimiento | EE. UU. / UE (DPA + SCC) |
| Apple (Apple Inc.) | App Store, pagos in-app, Sign in with Apple y notificaciones | EE. UU. / UE |
6. Transferencias internacionales
Cuando un proveedor trata datos fuera del Espacio Económico Europeo, garantizamos el nivel de protección exigido por el RGPD mediante una o varias de las siguientes salvaguardias: decisión de adecuación de la Comisión Europea, cláusulas contractuales tipo (SCC) y medidas suplementarias técnicas y organizativas. Puedes solicitar copia de estas garantías escribiendo a privacy@garoe.app.
7. Plazos de conservación
- Cuenta de usuario: mientras mantengas la cuenta activa. Tras la eliminación, los datos personales se borran en 30 días; los datos de facturación se conservan el plazo legal exigido (6 años, art. 30 C. Com.).
- Entrenos publicados y fotos: hasta que los elimines o elimines tu cuenta.
- Analítica de producto: máximo 24 meses en formato agregado.
- Logs de seguridad y fallos: máximo 90 días.
- Lista de espera (waitlist): hasta el lanzamiento o hasta que pidas la baja, lo que ocurra antes.
8. Tus derechos
Como titular de los datos puedes ejercer en cualquier momento los siguientes derechos escribiéndonos a privacy@garoe.app:
- Acceso — saber qué datos tenemos sobre ti.
- Rectificación — corregir datos inexactos.
- Supresión — pedir que borremos tus datos ("derecho al olvido").
- Oposición — oponerte al tratamiento por motivos legítimos.
- Limitación — restringir el tratamiento mientras se resuelve una reclamación.
- Portabilidad — recibir tus datos en un formato estructurado (JSON) y reutilizable.
- Retirada del consentimiento — con efecto únicamente para el futuro.
Además, puedes eliminar tu cuenta directamente desde la propia app (Ajustes → Cuenta → Eliminar cuenta). Si por cualquier motivo no puedes hacerlo desde la app, consulta la página /delete-account.
Si consideras que tus datos no han sido tratados adecuadamente, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos: www.aepd.es.
9. Menores
Garoé está dirigida a personas mayores de 16 años. No recogemos conscientemente datos de menores de esa edad. Si detectamos que una cuenta ha sido creada por un menor sin consentimiento parental, la eliminaremos inmediatamente. Si eres madre/padre o tutor y crees que tu hijo/a nos ha facilitado datos, escríbenos a privacy@garoe.app.
10. Seguridad
Aplicamos cifrado en tránsito (TLS 1.2+) y en reposo, autenticación fuerte, control de acceso por roles y revisiones periódicas. Los secretos nunca se almacenan en texto plano ni se exponen al cliente; los tokens de sesión se guardan en Keychain. Supabase Row Level Security garantiza que solo ves los datos que te corresponden.
11. Cookies y almacenamiento local
El sitio https://garoe.app solo utiliza almacenamiento local técnico imprescindible (por ejemplo, recordar el idioma seleccionado) y analítica de rendimiento sin cookies personales de Vercel Speed Insights y Vercel Analytics, que usan señales anónimas y no establecen identificadores persistentes para publicidad. La app iOS no utiliza cookies y almacena únicamente el token de sesión en el llavero del dispositivo.
12. Cambios en esta política
Si modificamos esta política materialmente, te avisaremos en la propia app y/o por email al menos 15 días antes de que los cambios entren en vigor. El historial está disponible bajo petición.
13. Contacto
Para cualquier cuestión relacionada con esta política puedes escribirnos a privacy@garoe.app o a dpo@garoe.app. Nos comprometemos a responder en un plazo máximo de 30 días naturales, conforme al art. 12 RGPD.
Fecha de entrada en vigor: .
At Garoé we take privacy seriously. This policy explains, in plain language, what data we process, why, for how long, and what rights you have — in accordance with Regulation (EU) 2016/679 (GDPR) and Spanish Organic Law 3/2018 (LOPDGDD).
1. Data controller
The data controller is Emanuel Rodríguez Beltrán, domiciled in Canary Islands, Spain, tax ID TODO-NIF-O-CIF, trading as Garoé.
Get in touch any time:
- Privacy: privacy@garoe.app
- Data Protection Officer: dpo@garoe.app
- Support: support@garoe.app
2. Scope
This policy covers the Garoé iOS app, the website https://garoe.app and any service we explicitly link to. Third-party services linked from the app (Instagram, TikTok, YouTube) have their own privacy policies.
3. Data we process and purposes
The table below matches the Privacy Manifest declared to Apple (PrivacyInfo.xcprivacy). Linked means tied to your identity; not linked means anonymous or pseudonymous:
| Category | Specific data | Purpose | Linked to you |
|---|---|---|---|
| Identity | Email, name, username, internal user ID | Create and manage your account, authenticate, display your profile | Yes |
| User-generated content | Published workouts, results, notes, reactions, follows | Core social functionality and feed | Yes |
| Photos and videos | Images you voluntarily attach to a workout | Render the WorkoutCard in your and your followers' feeds | Yes |
| Product interaction | Aggregated usage events (e.g. "workout_published") | Improve the product, measure features, prioritize bugs | Yes (via opaque UUID) |
| Performance data | Load times, memory, network errors | Ensure technical stability | No |
| Crash reports | Anonymous stack traces when the app crashes | Diagnose and fix bugs | No |
What we do NOT do:
- We do not track you outside of Garoé or tie your data to advertising IDs.
NSPrivacyTrackingisfalse. - We do not sell your data.
- We do not share your data with ad networks or data brokers.
- We do not use your photos to train AI models.
4. Legal basis (Art. 6 GDPR)
- Performance of a contract (6.1.b) — everything needed to deliver the service.
- Consent (6.1.a) — push notifications, camera/photo library access, waitlist and marketing emails. Revocable any time.
- Legitimate interest (6.1.f) — aggregate analytics, security and abuse prevention. Balancing tests available on request.
- Legal obligation (6.1.c) — retention of billing records where applicable.
5. Processors and sub-processors
We rely on the following providers, all bound by Data Processing Agreements (Art. 28 GDPR):
| Provider | Purpose | Location |
|---|---|---|
| Supabase (Supabase Inc.) | Database, auth, file storage | EU region (Frankfurt) |
| PostHog (PostHog Inc.) | Aggregate product analytics | EU region |
| Sentry (Functional Software Inc.) | Crash reporting and monitoring | EU region |
| Resend (Resend Inc.) | Transactional email and waitlist | US (DPA + SCC) |
| Vercel (Vercel Inc.) | Website hosting and performance metrics | US / EU (DPA + SCC) |
| Apple (Apple Inc.) | App Store, in-app purchases, Sign in with Apple, push | US / EU |
6. International transfers
Whenever a processor handles data outside the EEA, we guarantee GDPR-equivalent protection through one or more of: adequacy decisions, EU Standard Contractual Clauses (SCCs) and supplementary technical and organisational measures. Copies available on request at privacy@garoe.app.
7. Retention
- Account: while active. On deletion, personal data is purged within 30 days; billing records are kept for the legally required period (6 years, Spanish Commercial Code).
- Published workouts and photos: until you delete them or your account.
- Product analytics: up to 24 months, aggregated.
- Security and crash logs: up to 90 days.
- Waitlist: until launch or until you unsubscribe, whichever comes first.
8. Your rights
Write to privacy@garoe.app to exercise:
- Access — know what data we hold about you.
- Rectification — correct inaccurate data.
- Erasure — request deletion ("right to be forgotten").
- Objection — object to processing on legitimate grounds.
- Restriction — restrict processing while a claim is resolved.
- Portability — receive your data in a structured (JSON) format.
- Withdraw consent — prospective effect only.
You can also delete your account directly from the app (Settings → Account → Delete account). If that is not possible for any reason, see /delete-account.
You also have the right to lodge a complaint with the Spanish Data Protection Agency (AEPD) at www.aepd.es.
9. Children
Garoé is for people aged 16 or older. We do not knowingly collect data from children under that age. If we learn that a minor has created an account without parental consent, we will delete it immediately. Parents and guardians can write to privacy@garoe.app.
10. Security
TLS 1.2+ in transit, encryption at rest, strong authentication, role-based access control and periodic reviews. Secrets are never stored in plaintext or exposed to the client; session tokens live in the iOS Keychain. Supabase Row Level Security enforces per-user access on every query.
11. Cookies and local storage
The website https://garoe.app uses only strictly necessary local storage (e.g. remembering your language) and cookieless performance analytics via Vercel Speed Insights and Vercel Analytics — anonymous signals, no persistent ad identifiers. The iOS app does not use cookies and only stores the session token in the device Keychain.
12. Changes
If we materially change this policy, we will notify you in the app and/or by email at least 15 days before the change takes effect. Version history available on request.
13. Contact
For anything related to this policy write to privacy@garoe.app or dpo@garoe.app. We commit to replying within 30 calendar days as required by Art. 12 GDPR.
Effective date: .