Política de Privacidad

Última actualización: mayo de 2026

1. Responsable del tratamiento

Denominación Movexo
Sitio web movexo.es
Correo electrónico soporte@movexo.es
Normativa aplicable Reglamento (UE) 2016/679 (RGPD), Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)

2. Datos personales que recogemos

Movexo recoge los siguientes datos personales en función de cómo uses el servicio:

a) Datos de registro y cuenta

Cuando te registras, recogemos: nombre, apellido (opcional), dirección de correo electrónico, contraseña (almacenada en formato hash irreversible bcrypt, nunca en texto claro), fecha de nacimiento (opcional, para adaptar la intensidad del ejercicio), sexo (opcional: masculino, femenino, otro, prefiero no decir), teléfono (opcional), número de DNI (opcional) y código de país (detectado automáticamente por geolocalización de IP, con tu consentimiento).

Si usas el inicio de sesión con Google, recogemos el identificador único de Google y la URL de tu foto de perfil proporcionados por el servicio de OAuth de Google.

b) Datos del perfil físico y laboral (onboarding)

Durante la configuración inicial, y para poder generar rutinas personalizadas, recogemos:

  • Tipo de trabajo (construcción, manufactura, almacén, logística, enfermería, retail, servicios, granja, hostelería)
  • Actividades físicas del trabajo (levantar cargas, estar de pie, agacharse, movimientos repetitivos, etc.)
  • Zona corporal de dolor principal (espalda baja, rodillas, hombros, cuello, caderas, manos/brazos)
  • Nivel de dolor inicial (escala 1-10)
  • Duración del dolor (menos de 1 mes, 1-3 meses, 3-6 meses, más de 6 meses)
  • Momentos en que aparece el dolor
  • Nivel de experiencia con el ejercicio
  • Tiempo disponible diario para ejercicio
  • Equipamiento disponible en casa
  • Objetivo principal (reducir dolor, ganar fuerza, resistencia o masa muscular)
  • Condiciones médicas existentes (flag sí/no) y, si las hay, descripción en texto libre
  • Estatura y peso (para cálculo de IMC y personalización)
  • Días de la semana disponibles y horario preferido
Datos de salud (Art. 9 RGPD). Los datos sobre dolor, condiciones médicas, zonas de molestia y capacidad física son datos relativos a la salud según el Art. 9 RGPD. Su tratamiento requiere consentimiento explícito, que solicitamos de forma separada durante el registro.

c) Seguimiento diario de progreso

Opcionalmente, puedes registrar a diario: nivel de dolor (1-10), nivel de energía (1-10), peso actual y notas libres sobre cómo te has sentido.

d) Mensajes del coach de IA

Todas las conversaciones con el coach de IA (texto libre que escribes) son almacenadas en nuestra base de datos y transmitidas a los servicios de IA para generar la respuesta. Esto incluye cualquier información personal o de salud que decidas compartir en el chat.

e) Datos de pago

El procesamiento de pagos se realiza íntegramente a través de Stripe. Movexo no almacena datos de tarjetas de crédito. Sí almacenamos el identificador de cliente de Stripe, el identificador de la transacción, el importe, la moneda y el estado del pago, con fines de gestión de suscripción y facturación.

f) Formulario de contacto

Si nos escribes a través del formulario de contacto, recogemos: nombre, correo electrónico, asunto, contenido del mensaje, dirección IP y agente de usuario (navegador/dispositivo) con fines de seguridad y anti-spam.

g) Datos técnicos de navegación y analítica

Para el funcionamiento seguro de la plataforma, procesamos la dirección IP en el momento de la aceptación del consentimiento sanitario (registro de auditoría RGPD) y en el formulario de contacto.

Utilizamos herramientas de analítica y publicidad de terceros que pueden recoger datos de navegación mediante cookies y tecnologías similares. Estas herramientas solo se cargan en la zona pública del sitio web (páginas de marketing, blog y registro). Una vez que el usuario inicia sesión, ninguna de estas herramientas se activa, de modo que los datos de salud y actividad de la zona privada no se transmiten a terceros con fines analíticos o publicitarios:

  • Google Analytics (Google LLC): análisis de tráfico, comportamiento de usuarios y rendimiento del sitio. Solo en páginas públicas (visitantes no autenticados).
  • Meta Pixel (Meta Platforms, Inc.): medición de conversiones y creación de audiencias publicitarias en Facebook e Instagram. Solo en páginas públicas (visitantes no autenticados).
  • Microsoft Clarity (Microsoft Corporation): análisis de comportamiento y mapas de calor. Solo en páginas públicas (visitantes no autenticados).

Estas herramientas recogen, entre otros datos, la dirección IP, el identificador de dispositivo, las páginas visitadas y el comportamiento de navegación. Su uso está sujeto a tu consentimiento, que puedes gestionar o retirar en cualquier momento a través de tu configuración de cookies.

3. Finalidades del tratamiento y base jurídica

Finalidad Datos utilizados Base jurídica
Crear y gestionar tu cuenta de usuario Nombre, email, contraseña Art. 6.1.b RGPD — Ejecución de contrato
Autenticación y control de acceso Email, contraseña (hash), Google ID, token JWT Art. 6.1.b RGPD — Ejecución de contrato
Generar rutinas de ejercicio personalizadas mediante IA Tipo de trabajo, zona de dolor, nivel de dolor, condición física, edad, sexo, condiciones médicas Art. 6.1.b RGPD + Art. 9.2.a RGPD (consentimiento explícito para datos de salud)
Proporcionar el coach de IA conversacional Historial de conversaciones, datos de perfil de salud, progreso diario Art. 6.1.b RGPD + Art. 9.2.a RGPD (consentimiento explícito)
Seguimiento de tu evolución y progreso Dolor diario, energía, peso, rutinas completadas Art. 6.1.b RGPD + Art. 9.2.a RGPD (consentimiento explícito)
Procesamiento de pagos y gestión de suscripción Email, plan, identificadores de Stripe Art. 6.1.b RGPD — Ejecución de contrato
Envío de correos transaccionales (bienvenida, confirmaciones) Nombre, email Art. 6.1.b RGPD — Ejecución de contrato
Conservación de registros de facturación Datos de pago, identificadores de transacción Art. 6.1.c RGPD — Obligación legal (normativa fiscal española)
Gestión de consultas y atención al usuario Nombre, email, contenido del mensaje de contacto Art. 6.1.f RGPD — Interés legítimo (atención al cliente)
Seguridad, prevención de fraude y auditoría de consentimientos Dirección IP, agente de usuario, timestamps de consentimiento Art. 6.1.f RGPD — Interés legítimo (seguridad y cumplimiento legal)
Adaptar el idioma y moneda según tu país Código de país (geolocalización por IP, con consentimiento de cookies funcionales) Art. 6.1.a RGPD — Consentimiento (cookies funcionales)
Analítica de uso y mejora del servicio Datos de navegación, IP, páginas visitadas, comportamiento en la web (Google Analytics) Art. 6.1.a RGPD — Consentimiento (cookies de analítica)
Publicidad y medición de campañas de marketing Datos de navegación, eventos de conversión, identificadores de dispositivo (Meta Pixel, Bing Ads) Art. 6.1.a RGPD — Consentimiento (cookies de marketing)

4. Datos especialmente sensibles de salud (Art. 9 RGPD)

Los datos relativos al estado físico, zonas de dolor, condiciones médicas y progreso de salud constituyen datos de categoría especial según el Art. 9 del RGPD, ya que están relacionados con la salud de las personas.

El tratamiento de estos datos se realiza exclusivamente sobre la base de tu consentimiento explícito y separado, que otorgas durante el proceso de registro al aceptar el Consentimiento Sanitario. Este consentimiento:

  • Es libre, específico, informado e inequívoco.
  • Puede retirarse en cualquier momento sin que ello afecte a la licitud del tratamiento previo.
  • Queda registrado con marca de tiempo, dirección IP y versión del documento aceptado.

Si retiras el consentimiento para el tratamiento de datos de salud, no podremos prestarte el servicio principal de Movexo (generación de rutinas y coach de IA), ya que estos datos son imprescindibles para la personalización.

Importante. Movexo no es un servicio médico. Los datos de salud se usan únicamente para personalizar rutinas de ejercicio preventivo. Si tienes una condición médica seria, consulta siempre con un profesional sanitario.

5. Destinatarios y encargados del tratamiento

Movexo no vende ni cede tus datos personales a terceros con fines comerciales. Solo los comparte con los siguientes encargados del tratamiento, que actúan bajo nuestras instrucciones y están sujetos a contratos de confidencialidad y protección de datos:

Encargado Función Datos compartidos País
Proveedores de servicios de inteligencia artificial
Modelos de lenguaje de terceros		 Generación de rutinas de ejercicio personalizadas y respuestas del coach de IA conversacional. Movexo utiliza uno o más proveedores de modelos de lenguaje de gran tamaño (LLM) radicados en Estados Unidos. La lista actualizada de sub-encargados está disponible previa solicitud a soporte@movexo.es. Mensajes del chat, datos del perfil de salud (tipo de trabajo, zonas de dolor, condiciones médicas, estatura, peso, edad, sexo), progreso diario, configuración del chatbot Estados Unidos
Stripe, Inc.
stripe.com		 Procesamiento seguro de pagos con tarjeta bancaria Email, plan contratado, importe, identificadores de transacción. Stripe gestiona directamente los datos de la tarjeta. Estados Unidos
Resend
resend.com		 Envío de correos transaccionales (bienvenida, confirmaciones) Nombre, dirección de correo electrónico Estados Unidos
Google LLC
accounts.google.com		 Inicio de sesión con Google (opcional, solo si el usuario lo activa) Código de autorización OAuth, email, nombre, URL de foto de perfil Estados Unidos
Google LLC
analytics.google.com		 Analítica web y medición del comportamiento de usuarios (Google Analytics). Solo se activa en la zona pública; no recibe datos de usuarios autenticados. Datos de navegación, IP anonimizada, identificadores de sesión y dispositivo, eventos. Únicamente de visitantes no autenticados. Estados Unidos
Meta Platforms, Inc.
facebook.com / connect.facebook.net		 Medición de conversiones y creación de audiencias publicitarias (Meta Pixel). Solo se activa en la zona pública; no recibe datos de usuarios autenticados. Datos de navegación, eventos de conversión, identificadores de dispositivo. Únicamente de visitantes no autenticados. Estados Unidos
Microsoft Corporation
clarity.microsoft.com		 Analítica de comportamiento y mapas de calor (Microsoft Clarity). Solo se activa en la zona pública; no recibe datos de usuarios autenticados. Datos de navegación, IP, identificadores de dispositivo, mapas de calor. Únicamente de visitantes no autenticados. Estados Unidos
Todos los encargados están contractualmente obligados a utilizar los datos únicamente para la prestación del servicio encomendado y a aplicar medidas técnicas y organizativas adecuadas de seguridad.

6. Transferencias internacionales de datos

Varios de los encargados del tratamiento (Anthropic, Stripe, Google, Resend, Meta y Microsoft) están radicados en Estados Unidos, lo que implica una transferencia internacional de datos fuera del Espacio Económico Europeo (EEE).

Estas transferencias se realizan bajo las siguientes garantías adecuadas:

  • Anthropic: Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Art. 46.2.c RGPD) incluidas en los Términos de Servicio de Anthropic. Más información en anthropic.com/legal/privacy.
  • Stripe: Cláusulas Contractuales Tipo (Art. 46.2.c RGPD) y adhesión al Marco de Privacidad de Datos UE-EE.UU. Más información en stripe.com/privacy.
  • Google (OAuth y Google Analytics): Certificación bajo el Marco de Privacidad de Datos UE-EE.UU. y Cláusulas Contractuales Tipo. Google Analytics solo recibe datos de visitantes no autenticados (zona pública). Más información en policies.google.com/privacy.
  • Resend: Cláusulas Contractuales Tipo (Art. 46.2.c RGPD). Más información en resend.com/legal/privacy-policy.
  • Meta Platforms (Meta Pixel): Certificación bajo el Marco de Privacidad de Datos UE-EE.UU. y Cláusulas Contractuales Tipo. El píxel solo se activa para visitantes no autenticados (zona pública). Más información en facebook.com/privacy/policy.
  • Microsoft (Clarity): Certificación bajo el Marco de Privacidad de Datos UE-EE.UU. y Cláusulas Contractuales Tipo. Clarity solo se activa para visitantes no autenticados (zona pública). Más información en privacy.microsoft.com.

Puedes solicitar información adicional sobre las garantías de estas transferencias contactando con nosotros en soporte@movexo.es.

7. Plazos de conservación

Categoría de datos Plazo de conservación Justificación
Datos de cuenta (nombre, email, contraseña hash) Mientras la cuenta esté activa + 3 años tras la cancelación Prescripción de acciones civiles (Art. 1964 Código Civil español)
Datos de salud y perfil físico Mientras la cuenta esté activa Necesarios para la prestación del servicio; se eliminan con la cuenta
Historial de rutinas y progreso diario Mientras la cuenta esté activa Prestación del servicio y seguimiento del usuario
Conversaciones con el coach de IA Mientras la cuenta esté activa Prestación del servicio; se eliminan con la cuenta
Registros de facturación y pagos 5 años desde la transacción Obligación fiscal (Ley General Tributaria española, Art. 66)
Registros de consentimiento (timestamps, IP, versión) 3 años tras la retirada del consentimiento Acreditación del cumplimiento del RGPD (Art. 7.1)
Mensajes del formulario de contacto 1 año desde la recepción Gestión de la consulta y prevención de spam

Transcurridos los plazos indicados, los datos serán eliminados o anonimizados de forma irreversible.

8. Elaboración de perfiles y decisiones automatizadas

Movexo utiliza técnicas de elaboración de perfiles (profiling) para personalizar el servicio: combinamos tus datos de trabajo, zonas de dolor, condición física y objetivos para que el sistema de IA genere rutinas adaptadas a ti.

Sin embargo, esta personalización no constituye una decisión automatizada con efectos jurídicos o significativos en los términos del Art. 22 RGPD. Las rutinas generadas son sugerencias de ejercicio; tú decides libremente si las realizas, las modificas o las rechazas. El servicio no toma decisiones vinculantes sobre tu persona.

Si en el futuro implementásemos decisiones automatizadas con efectos significativos, lo comunicaríamos previamente y te daríamos la opción de intervención humana.

9. Tus derechos como usuario

La normativa de protección de datos te reconoce los siguientes derechos:

Acceso

Obtener confirmación de qué datos tuyos tratamos y una copia de ellos.

Rectificación

Corregir datos inexactos o incompletos. Puedes modificar muchos de ellos directamente en tu perfil.

Supresión ("derecho al olvido")

Solicitar la eliminación de tus datos cuando ya no sean necesarios o retires el consentimiento.

Oposición

Oponerte al tratamiento basado en interés legítimo por motivos relacionados con tu situación particular.

Limitación

Solicitar que suspendamos temporalmente el tratamiento de tus datos en ciertos supuestos.

Portabilidad

Recibir tus datos en formato estructurado, de uso común y legible por máquina, y transferirlos a otro responsable.

Retirar el consentimiento

Retirar en cualquier momento el consentimiento dado, sin que afecte a la licitud del tratamiento previo.

No ser objeto de decisiones automáticas

No ser sometido a decisiones basadas exclusivamente en tratamiento automatizado con efectos significativos.

Reclamación ante la AEPD

Si consideras que tratamos tus datos de forma incorrecta, puedes reclamar ante la Agencia Española de Protección de Datos (aepd.es).

10. Cómo ejercer tus derechos

Puedes ejercer cualquiera de los derechos anteriores a través de los siguientes canales:

Por correo electrónico: soporte@movexo.es

Por formulario web: Formulario de contacto

Indica en tu solicitud el derecho que deseas ejercer, adjunta una copia de tu documento de identidad para verificar tu identidad y proporciona el correo electrónico asociado a tu cuenta. Responderemos en el plazo máximo de 30 días desde la recepción de la solicitud (Art. 12 RGPD).

Asimismo, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) si consideras que el tratamiento de tus datos no se ajusta a la normativa: www.aepd.es.

11. Menores de edad

Movexo no está dirigido a personas menores de 14 años. De conformidad con el Art. 8 RGPD y el Art. 7 LOPDGDD, los menores de 14 años no pueden prestar consentimiento para el tratamiento de sus datos sin autorización de sus padres o tutores legales.

Si detectamos que hemos recogido datos de un menor de 14 años sin la autorización correspondiente, procederemos a eliminarlos de inmediato. Si tienes conocimiento de este caso, contacta con nosotros en soporte@movexo.es.

12. Cambios en esta política

Podemos actualizar esta Política de Privacidad para adaptarla a cambios legislativos, nuevas funcionalidades del servicio o modificaciones en los encargados del tratamiento.

Cuando realicemos cambios sustanciales, te lo notificaremos por correo electrónico o mediante un aviso destacado en la plataforma antes de que los cambios entren en vigor. La fecha de la última actualización siempre aparece al inicio de este documento.

13. Contacto

Para cualquier consulta sobre esta política o sobre el tratamiento de tus datos personales, puedes contactar con nosotros:

Correo electrónico: soporte@movexo.es

Formulario web: Formulario de contacto

Síguenos en redes sociales: