Bolty

Política de privacidad

Fecha de efecto: 4 de marzo de 2026

1. Responsable del tratamiento

Bolty es editado por Robin Baret, persona física.

Email de contacto: [email protected]

Alojamiento: Railway (servidores ubicados en Europa).

2. Datos recopilados

Bolty recopila los siguientes datos en el marco de la prestación del servicio:

2.1 Cuenta de usuario

  • Dirección de email
  • Contraseña (hasheada con bcrypt — nunca almacenada en texto plano)
  • Identificadores de Apple Sign-In o Google Sign-In (identificador único proporcionado por el proveedor)

2.2 Perfil de corredor

  • Nombre
  • Edad
  • Peso
  • Nivel y experiencia en running
  • Motivaciones y objetivo de carrera
  • Zonas de frecuencia cardíaca
  • Días de entrenamiento preferidos

2.3 Actividades deportivas

  • Metadatos: distancia, duración, ritmo medio, frecuencia cardíaca, cadencia, desnivel
  • Streams segundo a segundo: GPS, frecuencia cardíaca, ritmo, altitud, cadencia
  • Trazado GPS (polyline codificada)
  • Datos de vueltas (laps)
  • Datos de localización GPS en tiempo real (al usar el tracking integrado desde el teléfono)

2.4 Sensaciones post-carrera

  • Evaluación del esfuerzo percibido (RPE)
  • Sensaciones físicas
  • Notas libres del usuario

2.5 Planes de entrenamiento

  • Planes generados por inteligencia artificial
  • Sesiones planificadas y su estado

2.6 Análisis del coach IA

  • Textos y datos estructurados generados por la IA
  • Historial de preguntas y respuestas con el coach

2.7 Datos técnicos

  • Tokens de autenticación Strava (cifrados en base de datos)
  • Tokens de autenticación Garmin Connect (cifrados en base de datos)
  • Token de notificación push (Expo)

2.8 Datos de uso y analytics

  • Eventos de navegación en la aplicación (pantallas visitadas, etapas del onboarding completadas)
  • Acciones clave: suscripción, conexión de una fuente de actividades, consulta de un análisis
  • Plataforma (iOS/Android) y versión de la aplicación

Estos datos se recopilan de forma seudonimizada a través de PostHog (alojado en Europa) y nunca se revenden a terceros. Sirven únicamente para mejorar la experiencia del usuario e identificar los puntos de fricción en la aplicación.

3. Base legal del tratamiento

  • Ejecución del contrato (artículo 6.1.b del RGPD): el tratamiento de datos es necesario para la prestación del servicio Bolty (análisis de carreras, generación de planes, seguimiento de la progresión).
  • Consentimiento (artículo 6.1.a del RGPD): para las notificaciones push, el acceso a la localización GPS (tracking integrado) y la conexión a servicios de terceros (Strava, Garmin Connect, Apple Salud). Puedes retirar tu consentimiento en cualquier momento.

4. Subcontratistas y terceros

Ciertos datos se comparten con los siguientes proveedores, en el marco estricto de la prestación del servicio:

Proveedor de inteligencia artificial (EE. UU.)

Finalidad : análisis IA de las actividades y generación de planes de entrenamiento.

Datos transmitidos : perfil de usuario y métricas agregadas. Los streams brutos GPS no se transmiten.

Strava (EE. UU.)

Finalidad : importación de actividades mediante OAuth 2.0 en modo de solo lectura (scope activity:read_all).

Datos transmitidos hacia Strava : ninguno. Bolty únicamente importa los datos desde Strava.

Datos importados : actividades de carrera (metadatos, streams GPS/FC/ritmo/altitud/cadencia, identificador de atleta Strava, trazados GPS, laps).

La conexión se puede revocar en cualquier momento desde la aplicación Bolty o desde la configuración de Strava.

Garmin Connect (EE. UU.)

Finalidad : importación de actividades mediante OAuth 2.0. Bolty accede a las actividades de carrera en modo de solo lectura.

Datos transmitidos hacia Garmin : ninguno. Bolty únicamente importa los datos desde Garmin Connect.

Datos importados : actividades de carrera (metadatos, streams GPS/FC/ritmo/altitud/cadencia, trazados GPS, laps).

La conexión se puede revocar en cualquier momento desde la aplicación Bolty o desde la configuración de Garmin Connect.

Apple / Google (EE. UU.)

Finalidad : autenticación únicamente (verificación de los tokens de identidad).

Expo / EAS (EE. UU.)

Finalidad : servicio de notificaciones push.

Datos transmitidos : push token y contenido de la notificación.

RevenueCat (EE. UU.)

Finalidad : gestión de las suscripciones in-app.

Datos transmitidos : identificador de usuario anonimizado. Ningún dato bancario se comparte con RevenueCat ni se almacena por parte de Bolty.

PostHog (Europa)

Finalidad : analytics de producto para entender el uso de la aplicación y mejorar la experiencia del usuario.

Datos transmitidos : eventos de uso seudonimizados (etapas del onboarding, acciones clave), plataforma y versión de la app. Ningún dato personal sensible se transmite.

Alojamiento : instancia europea (eu.posthog.com). Los datos no salen de Europa.

Railway (Europa)

Finalidad : alojamiento del backend y de la base de datos PostgreSQL. Los servidores están ubicados en Europa.

5. Apple Salud (HealthKit), Garmin Connect y tracking GPS integrado

Bolty puede acceder a los datos de carrera a través de Apple Salud (HealthKit) en iOS. Este acceso es local: los datos se leen directamente desde el dispositivo tras la autorización explícita del usuario a través del sistema de permisos de iOS.

Los datos importados desde Apple Salud (carreras, frecuencia cardíaca, cadencia, desnivel) se tratan de la misma manera que los datos importados desde Strava.

Bolty también permite conectar una cuenta Garmin Connect para importar automáticamente las actividades registradas en un reloj Garmin. Esta conexión utiliza el protocolo OAuth 2.0 y es revocable en cualquier momento.

Además, Bolty ofrece un tracking GPS integrado que permite registrar una carrera directamente desde el teléfono. Esta funcionalidad requiere el acceso a la localización del dispositivo, otorgado a través de los permisos del sistema operativo. Los datos de localización se utilizan exclusivamente para registrar el recorrido de la carrera y nunca se comparten con fines publicitarios.

6. Transferencias internacionales

Algunos subcontratistas están ubicados en Estados Unidos. Estas empresas están certificadas en el marco del EU-US Data Privacy Framework (DPF), que garantiza un nivel de protección adecuado reconocido por la Comisión Europea.

7. Duración de la conservación

Tus datos se conservan durante toda la existencia de tu cuenta.

Al eliminar tu cuenta, todos los datos asociados se eliminan de forma completa e irreversible (eliminación en cascada del conjunto de actividades, análisis, planes, perfil y tokens).

8. Tus derechos (RGPD)

De conformidad con el Reglamento General de Protección de Datos (RGPD), dispones de los siguientes derechos:

  • Derecho de acceso: obtener una copia de tus datos personales.
  • Derecho de rectificación: corregir datos inexactos o incompletos.
  • Derecho de supresión: solicitar la eliminación de tus datos. La supresión de la cuenta está disponible directamente en la app (Perfil > Eliminar mi cuenta).
  • Derecho a la portabilidad: recibir tus datos en un formato estructurado y legible.
  • Derecho de oposición: oponerte al tratamiento de tus datos.
  • Derecho a la limitación: solicitar la limitación del tratamiento.

Para ejercer estos derechos, contáctanos en [email protected].

9. Derechos específicos para California (CCPA)

Si resides en California, dispones de los siguientes derechos en virtud del California Consumer Privacy Act (CCPA):

  • Derecho a saber: conocer las categorías y los elementos específicos de datos personales recopilados.
  • Derecho de supresión: solicitar la eliminación de tus datos personales.
  • Derecho a la no discriminación: no ser tratado de forma diferente por haber ejercido tus derechos.

Bolty no vende datos personales.

10. Seguridad

Implementamos las siguientes medidas para proteger tus datos:

  • Cifrado HTTPS para todas las comunicaciones
  • Contraseñas hasheadas con bcrypt (nunca almacenadas en texto plano)
  • Tokens Strava cifrados en base de datos
  • Autenticación mediante tokens con duración de vida limitada

11. Edad mínima

Bolty está dirigido a personas de 16 años o más. No recopilamos conscientemente datos personales de menores de 16 años. Si eres padre, madre o tutor y crees que tu hijo nos ha proporcionado datos personales, contáctanos para que podamos eliminarlos.

12. Cookies y analytics

La landing page de Bolty (bolty.run) no utiliza cookies de seguimiento ni herramientas de analytics de terceros. Solo se pueden utilizar cookies técnicas estrictamente necesarias para el funcionamiento.

La aplicación móvil Bolty utiliza PostHog (instancia europea) para recopilar eventos de uso anonimizados. Estos datos sirven exclusivamente para mejorar el producto. No se utilizan cookies en la aplicación móvil — PostHog funciona a través del SDK integrado en la aplicación.

13. Modificaciones de esta política

Nos reservamos el derecho de modificar esta política de privacidad. En caso de modificaciones sustanciales, serás informado mediante una notificación en la aplicación o por email.

14. Contacto

Para cualquier pregunta relativa a esta política de privacidad o a tus datos personales, contáctanos en [email protected].