Política de Privacidad
Última actualización: 26 de mayo de 2026
GymHub ("nosotros", "la plataforma") se compromete a proteger la privacidad de los datos de nuestros usuarios (dueños y administradores de gimnasios) y de los clientes de dichos gimnasios. Esta política describe qué datos recopilamos, cómo los usamos y cómo los protegemos.
1. Responsable del tratamiento
GymHub es una plataforma SaaS operada desde Santiago, Chile. Para consultas sobre privacidad puedes escribirnos a cristian.diazcuadra@gmail.com.
2. Datos que recopilamos
2.1 Datos del administrador del gimnasio
- Nombre, correo electrónico y contraseña (mediante Supabase Auth)
- Nombre del gimnasio, dirección, teléfono, logo y colores de marca
- Información de suscripción y facturación procesada por MercadoPago
2.2 Datos de los clientes del gimnasio
Los siguientes datos son ingresados por el administrador del gimnasio o por el propio cliente al registrarse en el portal del gimnasio:
- Nombre completo, RUT, correo electrónico, teléfono
- Fotografía de perfil (opcional, almacenada en Supabase Storage)
- Fecha de nacimiento y contacto de emergencia (opcionales)
- Historial de asistencia (check-ins con QR/PIN)
- Membresías, planes contratados y fechas de vigencia
- Historial de pagos y método de pago utilizado
- Reservas de clases y sesiones
- Logros y medallas obtenidas (sistema de badges)
2.3 Datos técnicos
- Cookies de sesión (autenticación con Supabase Auth)
- Dirección IP y tipo de navegador (logs del servidor)
- Datos de uso anónimos recopilados por Vercel Analytics
2.4 Datos de seguimiento de entrenamiento
Cuando un gimnasio activa el módulo de seguimiento de entrenamiento y el cliente otorga su consentimiento explícito, recopilamos los siguientes datos adicionales:
| Dato | Propósito | Retención |
|---|---|---|
| Sesiones de entrenamiento | Registro de ejercicios, series, repeticiones y pesos | Mientras la cuenta esté activa |
| Medidas corporales | Peso, % grasa corporal, perímetros — para tracking de progreso | Mientras la cuenta esté activa |
| Tests de fuerza | 1RM, plancha, dominadas — para medir mejora | Mientras la cuenta esté activa |
| Restricciones médicas | Lesiones y limitaciones — para adaptar ejercicios de forma segura | Mientras la cuenta esté activa |
| Feedback de sesión | Estado de ánimo, energía, dolor muscular, sueño | Mientras la cuenta esté activa |
- Solo el entrenador asignado y el administrador del gimnasio pueden acceder a estos datos.
- El cliente puede ver todos sus datos desde su portal.
- El cliente puede solicitar la eliminación completa de sus datos de seguimiento en cualquier momento desde su portal.
- No compartimos estos datos con terceros.
- Al eliminar la cuenta del cliente, todos los datos de seguimiento se eliminan automáticamente.
2.5 Archivos y documentos del cliente
Cuando un gimnasio activa el módulo de seguimiento, el administrador puede subir archivos asociados al perfil de un cliente. Estos archivos se almacenan de forma segura en Supabase Storage y pueden incluir:
- Evaluaciones físicas y fichas de ingreso
- Mediciones corporales (informes en PDF o imágenes)
- Planes de entrenamiento personalizados
- Planes nutricionales
- Informes médicos y certificados
- Otros documentos relevantes para el servicio
Cada archivo tiene un límite de 10 MB y cada gimnasio puede almacenar hasta 500 MB en total. Los archivos pueden ser marcados como visibles o no visibles para el cliente desde su portal.
- Solo el administrador del gimnasio y el cliente (cuando se le da acceso) pueden ver estos archivos.
- Los archivos se eliminan automáticamente al eliminar la cuenta del cliente.
- El cliente puede ver y descargar sus archivos desde el portal del gimnasio.
- No compartimos estos archivos con terceros.
- Algunos archivos pueden contener datos de salud (informes médicos, evaluaciones). Estos se tratan como datos sensibles conforme a la Ley 21.719 y requieren consentimiento explícito del cliente.
3. Finalidad del tratamiento
Usamos los datos exclusivamente para:
- Proveer el servicio de gestión del gimnasio (clientes, pagos, asistencia, clases)
- Procesar pagos online mediante Flow.cl
- Enviar notificaciones transaccionales por correo electrónico (confirmaciones de reserva, recordatorios de pago, vencimientos de membresía)
- Generar análisis y métricas del negocio para el administrador del gimnasio
- Proveer el servicio de asistente de IA (JARVIS), que procesa consultas sobre datos del gimnasio
- Registrar y personalizar programas de entrenamiento personal (cuando el módulo de tracking está activo y el cliente ha dado su consentimiento)
- Almacenar documentos del cliente (evaluaciones, planes, informes médicos) para consulta del gimnasio y del propio cliente
- Detectar clientes en riesgo de deserción (retención predictiva)
- Mejorar la plataforma mediante métricas de uso agregadas y anónimas
4. Base legal
El tratamiento de datos se realiza conforme a la Ley 19.628 sobre Protección de la Vida Privada y la Ley 21.719 que la modifica y fortalece (publicada en diciembre de 2024, con entrada en vigencia progresiva hasta diciembre de 2026), bajo las siguientes bases legales:
- Ejecución de contrato: los datos son necesarios para proveer el servicio contratado por el gimnasio.
- Consentimiento: el cliente del gimnasio consiente al registrarse en el portal del gimnasio o cuando el administrador lo da de alta con su autorización. Para datos sensibles (restricciones médicas, medidas corporales), se requiere consentimiento explícito y reforzado.
- Interés legítimo: métricas agregadas y anónimas para mejorar la plataforma.
5. Compartición de datos
No vendemos datos personales. Los datos se comparten únicamente con los siguientes terceros necesarios para operar el servicio:
- Supabase (infraestructura de base de datos y autenticación) — servidores en AWS, región US
- Flow.cl (procesamiento de pagos online) — solo datos de transacciones de pago
- MercadoPago (suscripciones de gimnasios) — solo datos de facturación del gimnasio
- Resend (envío de correos transaccionales) — correo del destinatario y contenido del email
- Vercel (hosting y analytics anónimos)
- Anthropic (procesamiento de consultas del asistente JARVIS) — solo datos del gimnasio que son necesarios para responder la consulta
6. Transferencia internacional de datos
Para proveer el servicio, algunos datos se procesan fuera de Chile a través de los proveedores indicados en la sección anterior (Supabase en AWS región US, Vercel, Resend, Anthropic). Estas transferencias se realizan conforme a la Ley 21.719, asegurando que los proveedores mantengan niveles adecuados de protección de datos.
7. Modelo multi-tenant
Cada gimnasio tiene sus datos completamente aislados. Un administrador solo puede ver y gestionar los datos de su propio gimnasio. La plataforma implementa Row Level Security (RLS) a nivel de base de datos para garantizar este aislamiento.
Los datos de clientes pertenecen al gimnasio que los recopiló. GymHub actúa como encargado del tratamiento; el gimnasio es el responsable.
8. Retención de datos
- Los datos se conservan mientras la cuenta del gimnasio esté activa.
- Si un gimnasio cancela su suscripción, los datos se mantienen por 90 días y luego se eliminan permanentemente.
- Los clientes pueden solicitar la eliminación de sus datos contactando al gimnasio o directamente a GymHub.
9. Seguridad
- Comunicaciones cifradas con HTTPS/TLS en todo momento
- Base de datos con Row Level Security (RLS) y acceso autenticado
- Contraseñas hasheadas por Supabase Auth (bcrypt)
- Datos de pago procesados por Flow.cl y MercadoPago (no almacenamos tarjetas)
- Archivos almacenados en Supabase Storage con acceso autenticado y URLs firmadas de expiración corta (5 minutos)
- Cookies de sesión con flags HttpOnly y Secure
10. Notificación de brechas de seguridad
En caso de una brecha de seguridad que comprometa datos personales, GymHub se compromete a:
- Notificar a la Agencia de Protección de Datos Personales dentro de los plazos establecidos por la Ley 21.719.
- Informar a los gimnasios afectados y, cuando corresponda, a los titulares de los datos comprometidos.
- Implementar medidas correctivas para contener el incidente y prevenir su recurrencia.
11. Derechos del usuario
Conforme a la Ley 19.628 y la Ley 21.719, los usuarios y clientes tienen derecho a:
- Acceso: conocer qué datos personales tenemos y cómo los usamos
- Rectificación: corregir datos inexactos o desactualizados
- Supresión: solicitar la eliminación de sus datos cuando ya no sean necesarios o se retire el consentimiento
- Oposición: oponerse al tratamiento de sus datos en ciertos casos
- Portabilidad: solicitar la entrega de sus datos en un formato estándar y legible
Para ejercer estos derechos, contacta al gimnasio que administra tus datos o escríbenos a cristian.diazcuadra@gmail.com. También puedes dirigirte a la Agencia de Protección de Datos Personales como autoridad competente en materia de protección de datos en Chile.
12. Cambios a esta política
Podemos actualizar esta política periódicamente. Notificaremos cambios significativos por correo electrónico a los administradores de gimnasios registrados. La fecha de última actualización se indica al inicio de este documento.
13. Contacto
Para cualquier consulta sobre esta política de privacidad:
- Email: cristian.diazcuadra@gmail.com
- WhatsApp: +56 9 8651 9432
- Santiago, Chile