Este Aviso explica, en español sencillo, qué datos recabamos, para qué los usamos y cómo los protegemos. Tratamos tus datos con el respeto que esperas de una plataforma deportiva seria.

Responsable del tratamiento

Nuvnext, operador de SPORTIQ, es el responsable de tus datos. Contacto del oficial: [email protected].

Qué datos recopilamos

Datos que tú nos das

De cuenta: nombre, email, teléfono, contraseña hasheada.
Identificación y biométricos: INE frente y reverso, selfie de frente y una prueba de vida (liveness) en video/foto, fecha de nacimiento. Se usan para verificar que eres una persona real y que coincides con tu identificación.
Deportivos: posición, número, equipo(s), estadísticas de partidos, evaluaciones técnico/físico/táctico/mental.
Salud (opcional): tipo de sangre, alergias, condiciones médicas, lesiones reportadas, contacto de emergencia.
Financieros: pagos (solo últimos 4 dígitos de la tarjeta — el resto lo procesa Stripe/Mercado Pago).
Actividad externa: si conectas Strava, Apple Health o Google Fit, tus entrenamientos, rutas, frecuencia cardiaca.

Datos que recogemos automáticamente

Logs de acceso (IP, user agent, timestamp) para seguridad y auditoría.
Eventos de uso (páginas visitadas, reservas, inscripciones).
Ubicación aproximada del dispositivo solo si activas el aviso de llegada por geofence (ver sección 07).
Identificadores de dispositivo si usas la app móvil (para notificaciones push).

Para qué los usamos

Operar el Servicio: autenticación, reservas, ligas, academias, pagos, tarjetas digitales.
Verificar tu identidad con INE, selfie y prueba de vida.
Enviar notificaciones y emails transaccionales (reservas confirmadas, aprobación de registro, cobros).
Cumplir obligaciones legales (fiscales, facturación).
Detectar fraude, abuso y violaciones de seguridad.
Mejorar el Servicio mediante métricas agregadas y anonimizadas.

No vendemos tus datos. No entrenamos modelos de IA externos con tu INE, selfie, biométricos o datos de salud.

Base legal del tratamiento

Ejecución de contrato: cumplir con el servicio que contrataste.
Consentimiento explícito: para datos sensibles (salud, INE, biométricos, prueba de vida, geolocalización).
Interés legítimo: seguridad de la plataforma, prevención de fraude.
Obligación legal: facturación, requerimientos judiciales.

Verificación de identidad (KYC)

El área de jugador exige una verificación de identidad a nivel de tu usuario, independiente de cualquier club. Consiste en tu INE, una selfie y una prueba de vida (liveness) que confirma que hay una persona real frente a la cámara. Comparamos la selfie con la fotografía de tu identificación.

Tu INE y biométricos se suben a un bucket privado cifrado en Supabase. Solo pueden leerlos:

Tú (el dueño de la cuenta).
Staff autorizado de un club, únicamente cuando lo necesita para revisar tu alta o una inscripción.
El equipo de seguridad de SPORTIQ únicamente ante una investigación de fraude documentada o cuando una revisión manual sea necesaria.

Si revocas tu cuenta, estos archivos se eliminan definitivamente a los 90 días, salvo obligaciones legales de retención.

Datos de salud, menores y tutores

Tipo de sangre, alergias, lesiones y conexiones con Strava/Apple Health/ Google Fit son opcionales. Sirven para que el cuerpo médico del club pueda ayudarte mejor y para llevar tu progreso deportivo.

En las academias, un padre/madre o tutor vinculado a un menor puede consultar y editar la información médica y de contacto de emergencia de ese menor, así como ver sus pagos pendientes. Solo los tutores efectivamente vinculados al menor tienen ese acceso.

Puedes desconectar cualquier integración externa en Perfil → Integraciones. Al desconectarla, borramos los tokens de acceso pero los datos que ya sincronizaste siguen bajo tu control para exportar o borrar.

Geolocalización y aviso de llegada

Algunos clubes activan un aviso de llegada por geofence: tu dispositivo puede detectar cuando entras al perímetro del club para avisar de tu llegada. Es opt-in: solo ocurre si lo autorizas en tu dispositivo y el club lo tiene habilitado.

No rastreamos tu ubicación de forma continua ni la usamos para publicidad. Puedes revocar el permiso de ubicación en cualquier momento desde los ajustes de tu dispositivo o de la app.

Visibilidad entre clubes

Una misma cuenta puede pertenecer a varios clubes. Cuando te unes a un club o participas en un partido abierto (“cascareo”) de otro club, tu perfil básico queda visible para el staff autorizado de ese club.

Para proteger la integridad de las comunidades deportivas, los clubes a los que perteneces pueden recibir alertas de conducta entre clubes (por ejemplo, señalamientos de comportamiento). En listados públicos de partidos tu identidad se muestra de forma reducida (nombre e inicial). Tienes derecho a acceder, rectificar y oponerte a este tratamiento conforme a la sección 13.

Con quién compartimos

Compartimos el mínimo necesario con proveedores que nos permiten operar:

Supabase — base de datos y autenticación.
Vercel — hospedaje de la aplicación web.
Stripe / Mercado Pago — procesamiento de pagos.
Resend — envío de correos transaccionales.
Cloudflare — DNS y mitigación de ataques.
Strava / Apple / Google — solo si tú conectas esas integraciones.
Proveedores de WhatsApp e IA — solo si tu club activa el bot de WhatsApp; el club aporta su propia llave de IA encriptada (BYOK).

Nunca entregamos tus datos a redes sociales, brokers de datos o terceros sin tu consentimiento. Si una autoridad nos los requiere por orden formal, lo haremos en lo estrictamente obligado y te notificaremos cuando la ley lo permita.

Cookies y rastreo

Usamos solo cookies esenciales:

Autenticación (sesión Supabase). Obligatoria para estar logueado.
Preferencias (tema, idioma). Puedes bloquearlas y seguirás usando el Servicio con defaults.

No usamos cookies de publicidad ni pixels de Meta/Google. Las métricas de uso las procesamos nosotros mismos de forma agregada.

Seguridad

TLS 1.3 en todo el tráfico, HSTS con preload.
Contenido cifrado en reposo (Supabase Storage con AES-256).
Contraseñas hasheadas con bcrypt y sal única.
Row Level Security multi-tenant: cada club solo ve sus datos; ningún usuario ve datos de otro sin permiso explícito.
Auditoría completa en audit_logs para acciones sensibles.
Rate limiting y defensa anti-scraping.
Rotación periódica de llaves y secretos.

Retención

Mientras tu cuenta esté activa: conservamos todo lo necesario para operar.
Al cerrar cuenta: 90 días de gracia por si fue error; después se elimina.
Datos fiscales (facturas, pagos): 5 años por obligación legal.
Logs de seguridad: 12 meses.

Tus derechos

Tienes derecho a:

Acceder a los datos que guardamos sobre ti.
Rectificar datos incorrectos o desactualizados.
Cancelar (borrar) tu cuenta y tus datos asociados.
Oponerte a ciertos tratamientos (marketing, integraciones, visibilidad entre clubes).
Portabilidad: descargar tus datos en formato JSON/CSV.
Limitar el tratamiento mientras se resuelve una queja.
Revocar consentimientos dados previamente (biométricos, geolocalización, salud).

Pídelo escribiendo a [email protected]. Respondemos dentro de 20 días hábiles.

Menores de edad

Si tienes entre 13 y 18 años necesitas autorización de padre/madre/tutor para crear una cuenta, normalmente a través del club o la academia que te registra. No recabamos datos de menores de 13 años.

Transferencias internacionales

Parte de nuestros proveedores (Vercel, Stripe, Resend) procesan datos en servidores fuera de tu país. Exigimos cláusulas estándar de protección de datos con cada uno y solo enviamos el mínimo necesario.

Cambios a este aviso

Si cambiamos este aviso de forma material, te lo avisaremos por email y en un banner dentro de la app con 30 días de antelación.

Contacto del oficial de datos

Oficial de protección de datos: [email protected].
Privacidad: [email protected].
Seguridad: [email protected].

Cómo cuidamos tus datos.