El Titular del tratamiento es:

Email: founders@keysessions.ai

Para cualquier solicitud relativa al tratamiento de datos personales o al ejercicio de los derechos GDPR, el usuario puede contactar con el Titular en la dirección de correo electrónico indicada anteriormente.

La presente Política de Privacidad se aplica al tratamiento de datos personales realizado a través de keysessions.ai, incluidos:

• navegación por el sitio y la webapp;
• creación y gestión de la cuenta de usuario;
• autenticación mediante magic link;
• uso del servicio;
• gestión de pagos y suscripciones, cuando proceda;
• seguridad, prevención de abusos, spam, bots y fraudes;
• comunicaciones operativas y asistencia;
• cumplimiento de obligaciones legales y protección de los derechos del Titular.

Esta Política de Privacidad no se aplica a sitios, servicios o plataformas de terceros accesibles mediante enlaces o integraciones externas, cuyos tratamientos se rigen por sus respectivas políticas de privacidad.

Según el uso del servicio, keysessions.ai puede tratar las siguientes categorías de datos personales.

3.1 Datos identificativos y de cuenta

• dirección de correo electrónico;
• nombre y apellidos, cuando se requieran;
• identificador de cuenta;
• estado de la cuenta;
• información relativa al registro, acceso y cierre de la cuenta.

3.2 Datos de autenticación

El acceso al servicio se realiza mediante un magic link enviado a la dirección de correo electrónico del usuario.

El Titular puede tratar:

• dirección de correo electrónico;
• tokens o identificadores técnicos temporales;
• fecha y hora de solicitud y uso del magic link;
• logs técnicos relativos a la autenticación.

keysessions.ai no requiere contraseña, salvo indicación distinta dentro del servicio.

3.3 Datos de facturación y pago

En caso de servicios de pago, pueden tratarse:

• nombre y apellidos o denominación;
• dirección de facturación;
• ciudad, código postal, provincia, estado y país;
• los datos fiscales exigidos por la normativa aplicable;
• identificadores de pago, cliente, transacción, plan o suscripción;
• estado del pago.

La información completa de la tarjeta de pago no es tratada directamente por el Titular, sino por el proveedor externo del servicio de pago.

3.4 Datos técnicos y de uso

Durante el uso del servicio pueden recopilarse automáticamente:

• dirección IP;
• fecha y hora de las solicitudes;
• URL o rutas visitadas;
• método de la solicitud;
• código de estado de la respuesta;
• información sobre navegador, sistema operativo y dispositivo;
• datos técnicos relativos a sesiones, errores, seguridad y rendimiento;
• logs de sistema y mantenimiento.

3.5 Datos contenidos en las comunicaciones

Cuando el usuario contacta con el Titular, pueden tratarse:

• dirección de correo electrónico;
• contenido de la comunicación;
• los archivos adjuntos o la información facilitada voluntariamente por el usuario;
• metadatos técnicos de la comunicación.

3.6 Datos de entrenamiento y perfil deportivo

El servicio permite al usuario introducir, generar y guardar datos relativos a su perfil deportivo y a su actividad de entrenamiento. En particular, el Titular puede tratar:

• edad, peso y altura del atleta;
• FTP (Functional Threshold Power) y fecha del último test FTP;
• nivel del atleta y horas semanales de entrenamiento disponibles;
• configuración de la bicicleta (disciplina, setup);
• mesociclos de entrenamiento generados por la plataforma (fase de la temporada, enfoque fisiológico, trayectoria de carga, curva de progresión);
• sesiones de entrenamiento diarias (objetivos de potencia, cadencia, duración, zonas de intensidad);
• datos de ejecución de las sesiones (potencia efectiva, duración, TSS, RPE, notas y comentarios del atleta);
• estado de readiness y parámetros de recuperación;
• sesiones de entrenamiento de gimnasio y su impacto sistémico;
• interacciones con el coach de IA (briefings, análisis de sesiones, preguntas y respuestas);
• datos de localización del atleta, utilizados exclusivamente para la integración meteorológica con el fin de contextualizar el entrenamiento.

Estos datos pueden incluir información relativa a la salud, la condición física o parámetros fisiológicos del usuario. El tratamiento se realiza sobre la base de la ejecución del contrato para la prestación del servicio solicitado en virtud del Art. 6(1)(b) GDPR y, cuando los datos pertenezcan a categorías especiales de datos, sobre la base del consentimiento explícito del usuario en virtud del Art. 9(2)(a) GDPR.

La falta de aportación o la revocación del consentimiento explícito para el tratamiento de dichos datos puede impedir al Titular prestar las funcionalidades principales del servicio, incluidas la generación de los planes de entrenamiento, la adaptación del plan y los análisis del coach de IA.

El Titular trata los datos personales para las finalidades indicadas en la siguiente tabla.

keysessions.ai utiliza, cuando es posible, una localización aproximada o indicada manualmente por el usuario, evitando la recopilación de datos de ubicación precisa cuando no son necesarios.

El Titular no utiliza los datos con fines de marketing, perfilado publicitario o envío de comunicaciones promocionales, salvo que ello se introduzca en el futuro con una información actualizada y, cuando sea necesario, el consentimiento del usuario.

keysessions.ai utiliza los datos facilitados por el usuario y los datos generados durante el uso del servicio para crear perfiles deportivos, generar planes de entrenamiento, adaptar los mesociclos, evaluar la ejecución de las sesiones y proporcionar análisis mediante el coach de IA.

Dichos tratamientos tienen como única finalidad la prestación del servicio solicitado por el usuario y no se utilizan con fines de marketing, publicidad comportamental o scoring comercial.

El servicio puede producir recomendaciones automatizadas relativas al entrenamiento, pero dichas recomendaciones no constituyen decisiones con efectos jurídicos sobre el usuario. El usuario sigue siendo responsable de valorar de forma crítica las indicaciones recibidas y de interrumpir la actividad física o consultar a un profesional cualificado en caso de dudas, síntomas o condiciones médicas.

El Titular no utiliza los datos del usuario para entrenar modelos de IA generales de terceros, salvo consentimiento del usuario u otra base jurídica indicada en la presente Política de Privacidad.

La aportación de los datos necesarios para el registro, la autenticación, la prestación del servicio y la gestión de los pagos es necesaria para utilizar keysessions.ai.

La falta de aportación de dichos datos puede hacer imposible crear una cuenta, acceder a la webapp o disfrutar de funcionalidades específicas.

La aportación de datos adicionales, cuando se soliciten como facultativos, es libre y no perjudica el uso del servicio, salvo que dichos datos sean necesarios para una funcionalidad específica solicitada por el usuario.

El tratamiento se realiza con herramientas informáticas y telemáticas, según lógicas coherentes con las finalidades indicadas en la presente política.

El Titular adopta medidas técnicas y organizativas adecuadas para proteger los datos personales frente al acceso no autorizado, la divulgación, la modificación, la pérdida o la destrucción, teniendo en cuenta la naturaleza de los datos, el contexto, las finalidades del tratamiento y los riesgos para los interesados.

El acceso a los datos está limitado a las personas autorizadas por el Titular y a los proveedores que tratan datos personales por cuenta del Titular o como titulares autónomos, según su respectivo rol.

Para prestar el servicio, keysessions.ai utiliza proveedores técnicos y comerciales. Dichas personas pueden actuar, según el caso, como encargados del tratamiento, subencargados, titulares autónomos o titulares distintos.

El Titular también puede comunicar datos personales a:

• asesores legales, fiscales, contables o técnicos;
• autoridades públicas, judiciales o administrativas, cuando lo exija la ley;
• personas implicadas en operaciones societarias u organizativas, dentro de los límites permitidos por la ley;
• proveedores de seguridad, mantenimiento, asistencia técnica e infraestructura.

El Titular mantiene, cuando es necesario, acuerdos de nombramiento de encargado del tratamiento en virtud del Art. 28 GDPR u otros acuerdos de privacidad aplicables.

Algunos proveedores utilizados por keysessions.ai tienen su sede o infraestructuras fuera del Espacio Económico Europeo, en particular en los Estados Unidos.

Cuando ello implica una transferencia de datos personales a terceros países, el Titular adopta uno de los instrumentos previstos por el GDPR, entre ellos, cuando proceda:

• decisiones de adecuación de la Comisión Europea;
• adhesión válida del proveedor al EU-US Data Privacy Framework (DPF), cuando esté disponible — Vercel, Cloudflare, Stripe y Resend están adheridos al EU-US Data Privacy Framework en el momento de la redacción de esta política;
• Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea, incluidas en los DPA de los proveedores;
• medidas suplementarias técnicas, contractuales y organizativas, cuando sean necesarias;
• otras garantías o excepciones previstas por el Capítulo V del GDPR, en los casos permitidos.

En cuanto a la base de datos (Neon), la base de datos principal está configurada en una región situada dentro del Espacio Económico Europeo, actualmente Fráncfort, Alemania (aws-eu-central-1), con el fin de limitar las transferencias fuera del EEE de los datos de aplicación principales.

El usuario puede solicitar más información sobre las transferencias escribiendo al Titular.

keysessions.ai utiliza exclusivamente cookies y tecnologías similares estrictamente necesarias para el funcionamiento del servicio.

En particular, se utilizan:

• cookies de sesión (Auth.js), necesarias para mantener la sesión y permitir la autenticación del usuario;
• cookie de preferencia de idioma (ksn-locale), necesaria para almacenar la elección lingüística del usuario entre los idiomas disponibles (inglés, italiano, español, francés);
• cookies técnicas de Cloudflare (por ejemplo __cf_bm), necesarias para el funcionamiento del servicio de protección contra bots y tráfico malicioso.

No se utilizan cookies de perfilado, seguimiento publicitario o marketing.

Para las cookies técnicas estrictamente necesarias no se requiere consentimiento previo, pero el usuario puede gestionarlas mediante la configuración del navegador. La desactivación de las cookies técnicas puede impedir el correcto funcionamiento de la webapp.

El usuario no debe introducir, cargar o compartir datos personales de terceros a través de keysessions.ai salvo que disponga de una base jurídica adecuada y haya facilitado la información exigida por la normativa aplicable.

El usuario sigue siendo responsable de los datos personales de terceros que decida introducir o tratar a través del servicio.

keysessions.ai trata datos relativos a la condición física y al rendimiento deportivo del usuario, incluidos peso, potencia, parámetros fisiológicos, datos de entrenamiento, readiness, recuperación, notas y comentarios del atleta. Dichos datos pueden pertenecer a los datos relativos a la salud en virtud del Art. 9 GDPR.

Para dichos datos, el tratamiento se basa en la ejecución del contrato en virtud del Art. 6(1)(b) GDPR, en cuanto necesario para prestar el servicio solicitado por el usuario, y en el consentimiento explícito del usuario en virtud del Art. 9(2)(a) GDPR, cuando los datos tratados pertenezcan a categorías especiales de datos.

El usuario puede revocar el consentimiento explícito en cualquier momento contactando con el Titular o, cuando esté disponible, mediante la configuración de la cuenta.

El servicio no está destinado a menores de 18 años. Si el Titular tiene conocimiento de datos personales tratados en infracción de dicho límite, adoptará medidas razonables para eliminarlos o limitar su tratamiento.

El usuario, dentro de los límites y en las condiciones previstos por el GDPR, tiene derecho a:

• obtener confirmación de si se está realizando o no un tratamiento de datos personales que le conciernen;
• acceder a sus datos personales;
• obtener la rectificación de los datos inexactos o la integración de los datos incompletos;
• obtener la supresión de los datos personales;
• obtener la limitación del tratamiento;
• oponerse al tratamiento basado en el interés legítimo;
• recibir los datos en un formato estructurado, de uso común y de lectura mecánica, cuando proceda;
• solicitar la transmisión de los datos a otro titular, cuando sea técnicamente posible y aplicable;
• revocar el consentimiento, cuando el tratamiento se base en el consentimiento;
• presentar una reclamación ante una autoridad de control competente.

En Italia, la autoridad de control competente es el Garante per la protezione dei dati personali.

Las solicitudes relativas a los derechos de privacidad pueden enviarse a:

founders@keysessions.ai

El Titular responderá sin dilación indebida y, en todo caso, en el plazo de un mes desde la recepción de la solicitud, salvo prórroga en los casos previstos por el GDPR.

El Titular puede solicitar información adicional para verificar la identidad del usuario, respetando el principio de minimización.

El ejercicio de los derechos es gratuito, salvo solicitudes manifiestamente infundadas, excesivas o repetitivas, en los casos previstos por la normativa aplicable.

El Titular adopta medidas técnicas y organizativas adecuadas, entre ellas, cuando proceda:

• control de los accesos;
• autenticación mediante enlaces temporales;
• uso de proveedores de infraestructura con medidas de seguridad documentadas;
• protección contra bots, spam y tráfico malicioso;
• logging técnico y monitorización de seguridad;
• copias de seguridad y procedimientos de mantenimiento;
• limitación del acceso a los datos solo a las personas autorizadas.

Ningún sistema informático puede considerarse absolutamente seguro. El usuario debe adoptar medidas adecuadas para proteger su dispositivo, su dirección de correo electrónico y el acceso a la cuenta.

En caso de violación de datos personales, el Titular evaluará el evento y, cuando sea necesario, realizará las notificaciones a la autoridad de control y a los interesados conforme a los Artículos 33 y 34 GDPR.

El Titular puede modificar la presente Política de Privacidad para reflejar cambios normativos, técnicos, organizativos o del servicio.

Las modificaciones se publicarán en esta página con indicación de la fecha de última modificación. Cuando las modificaciones incidan de forma significativa en los derechos de los usuarios o en tratamientos basados en el consentimiento, el Titular proporcionará una comunicación adecuada y, cuando sea necesario, recabará un nuevo consentimiento.

Datos personales: cualquier información relativa a una persona física identificada o identificable.

Interesado: la persona física a la que se refieren los datos personales.

Tratamiento: cualquier operación realizada sobre datos personales, como recopilación, registro, conservación, consulta, uso, comunicación, supresión o destrucción.

Titular del tratamiento: la persona que determina las finalidades y los medios del tratamiento.

Encargado del tratamiento: la persona que trata datos personales por cuenta del titular.

Servicio: la webapp y las funcionalidades ofrecidas a través de keysessions.ai.

GDPR: Reglamento (UE) 2016/679.