Política de Privacidad
1. Identidad del responsable del tratamiento
Esta Política de Privacidad regula el tratamiento de datos personales realizado por:
- Razón social: Wellbeinn Performance, S.L. (en adelante, «Wellbeinn»). Opera bajo el nombre comercial Wellbeinn.
- CIF: B-16407355
- Domicilio social: Calle Reyes Católicos 37B, 03630 Sax (Alicante), España
- Inscripción registral: Inscrita en Registro Mercantil de Alicante, Hoja A-199979, IRUS 1000444260360, Folio electrónico Inscripción 3
- Correo electrónico de contacto en materia de privacidad: privacy@wellbeinn.com
- Delegado de Protección de Datos (DPD): Miguel Ortín Gómez, 20051933G
Wellbeinn cumple lo dispuesto en el Reglamento (UE) 2016/679 («RGPD») y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales («LOPDGDD»).
2. Ámbito y carácter informativo
Esta Política de Privacidad tiene carácter informativo y describe cómo Wellbeinn trata los datos personales en el marco de:
- La aplicación móvil Wellbeinn para iOS y Android (en adelante, la «App»).
- El uso del wearable Wellbeinn V8 como dispositivo complementario que se conecta a la App por Bluetooth Low Energy (BLE).
- El sitio web wellbeinn.com en lo relativo a registro, soporte y comunicaciones de cuenta.
La lectura de esta Política no sustituye ni integra, por sí sola, el consentimiento explícito necesario para el tratamiento de datos de salud. Dicho consentimiento se recaba mediante una acción afirmativa separada, específica e inequívoca dentro de la App. Wellbeinn conservará evidencia verificable del consentimiento prestado y de su retirada, incluyendo identificador de usuario, fecha y hora, versión del texto aceptado, idioma y finalidades autorizadas (Art. 7.1 RGPD).
3. Datos personales que tratamos
Tratamos las siguientes categorías de datos:
3.1 Datos de identidad y cuenta
Datos básicos para crear y mantener su cuenta personal: nombre y apellidos, dirección de correo electrónico, contraseña (almacenada con un hash unidireccional gestionado por nuestro proveedor de identidad; Wellbeinn no accede al texto en claro), foto de perfil opcional, identificadores de inicio de sesión federada cuando elige registrarse con Google y un identificador único interno asignado por nuestro sistema.
Tratamos asimismo el estado de las opciones de personalización que el usuario pueda activar (comunicaciones comerciales y personalización del producto, ver §4 bis), que pueden activarse o desactivarse en cualquier momento desde Mi Cuenta.
3.2 Datos relativos a la salud — categoría especial (Art. 9 RGPD)
A través del wearable Wellbeinn V8 y de los datos que el usuario aporta para calibrar el servicio, Wellbeinn trata información biofisiológica y de actividad: en particular, métricas cardiovasculares (frecuencia cardíaca y variabilidad, HRV/RMSSD), datos de sueño y descanso, indicadores de oxigenación y temperatura cutánea, parámetros de actividad física, así como un perfil básico de salud (fecha de nacimiento, sexo biológico, peso y talla). Esta enumeración es indicativa: la App puede tratar estos y otros datos similares de bienestar y salud dentro de las finalidades descritas en esta Política, manteniendo la misma calificación legal y nivel de protección.
Los indicadores derivados que la App calcula a partir de estos datos brutos —en particular calidad del sueño, recuperación, vitalidad, activación, estrés, eficiencia del sueño y otros indicadores agregados de estado fisiológico— se consideran igualmente datos relativos a la salud (categoría especial del Art. 9 RGPD) y reciben el mismo nivel reforzado de protección, base legal de consentimiento explícito y plazos de conservación que los datos brutos.
Estos datos se conservan con alta resolución temporal porque es necesaria para el cálculo de los indicadores que la App le ofrece. La conservación se efectúa exclusivamente en su cuenta personal, no se comparte con terceros y se elimina conforme a la sección 6.
Wellbeinn no trata datos biométricos en el sentido del Art. 4.14 RGPD (datos personales obtenidos a partir de un tratamiento técnico específico relativos a las características físicas de una persona física que permitan o confirmen la identificación única).
3.3 Datos del dispositivo wearable
Identificador, modelo y versión de firmware del wearable, identificador Bluetooth (en Android puede ser una dirección MAC pública persistente; en iOS suele ser un UUID rotativo emitido por el sistema operativo y vinculado a la instalación de la App), estado de la batería y eventos de conexión/desconexión.
3.4 Datos técnicos y de uso
Identificador de instalación de la App, sistema operativo y versión, modelo del teléfono e idioma del dispositivo, registros (logs) técnicos de errores y eventos gestionados a través del servicio Cloud Logging del proveedor de infraestructura (ver §7) y marcas temporales de las acciones realizadas dentro de la App.
Nota sobre seguimiento publicitario: la App no integra SDKs de analítica de terceros. No realizamos perfilado publicitario, no compartimos datos con redes publicitarias y no utilizamos cookies de terceros.
4. Bases legales del tratamiento
| Categoría de datos | Base legal | Referencia |
|---|---|---|
| Identidad, cuenta, dispositivo, técnicos | Ejecución de contrato | Art. 6.1.b RGPD |
| Datos de salud (Art. 9), incluidos los indicadores derivados — uso para prestar el servicio principal | Consentimiento explícito del interesado | Arts. 6.1.a y 9.2.a RGPD |
| Comunicaciones comerciales (opcional) | Consentimiento separado y revocable | Art. 6.1.a RGPD + Art. 21 LSSI |
| Personalización del producto y mejora analítica (opcional) | Consentimiento separado y revocable | Arts. 6.1.a y 9.2.a RGPD |
| Soporte y obligaciones legales | Cumplimiento de obligación legal / interés legítimo | Arts. 6.1.c y 6.1.f RGPD |
El consentimiento explícito para el tratamiento de datos de salud se solicita de forma separada e inequívoca dentro de la App, distinto de la aceptación general de Términos y Condiciones. Puede retirarlo en cualquier momento, sin que ello implique cerrar su cuenta y sin afectar a la licitud del tratamiento previo a la retirada (Art. 7.3 RGPD). La retirada del consentimiento conllevará la suspensión inmediata de la captura de nuevos datos de salud y, a su elección, la conservación o eliminación de los datos previamente almacenados.
Estructura de consentimiento. Wellbeinn distingue entre aceptaciones obligatorias, sin las cuales la App no puede funcionar, y opciones de personalización, que el usuario puede activar o desactivar libremente sin que ello condicione el acceso a la funcionalidad principal. El detalle se desarrolla en §4 bis.
4 bis. Aceptaciones obligatorias y opciones de personalización
Wellbeinn implementa los principios del Art. 4.11 y del Art. 7.4 RGPD: el consentimiento debe ser libre, específico, informado e inequívoco, y los consentimientos para finalidades distintas deben recabarse por separado.
4 bis.1 Aceptaciones obligatorias
Para utilizar la App es imprescindible aceptar las tres siguientes piezas. Sin ellas, la App no se podrá emplear:
| # | Aceptación | Naturaleza | Base legal |
|---|---|---|---|
| 1 | Términos y Condiciones del Servicio | Aceptación contractual del servicio digital | Art. 6.1.b RGPD (ejecución de contrato) |
| 2 | Política de Privacidad | Información sobre el tratamiento (no es por sí misma consentimiento, pero su lectura previa es necesaria) | Arts. 13 y 14 RGPD |
| 3 | Consentimiento explícito para el tratamiento de datos de salud | Wellbeinn es una companion app del wearable Wellbeinn V8; sin el consentimiento del Art. 9.2.a la App carece de base legal para procesar la información biofisiológica que constituye su funcionalidad principal | Arts. 6.1.a y 9.2.a RGPD |
La negativa a cualquiera de estas tres aceptaciones impide el uso de la App. No se trata de un condicionamiento abusivo: la naturaleza del servicio (companion app de un dispositivo de medición fisiológica) hace materialmente imposible su funcionamiento sin el tratamiento de los datos de salud.
4 bis.2 Opciones de personalización
Las siguientes opciones son estrictamente voluntarias y no condicionan el uso de la App. Se presentan al usuario como casillas separadas, en su propio bloque, después de las aceptaciones obligatorias. Pueden activarse o desactivarse en cualquier momento desde Mi Cuenta → Privacidad y datos, sin penalización ni pérdida de funcionalidad.
Opción 1 — Comunicaciones de marketing
«Quiero recibir consejos personalizados de bienestar y novedades de Wellbeinn por correo electrónico.»
- Base legal: Art. 6.1.a RGPD (consentimiento específico) + Art. 21 LSSI.
- Finalidad: envío de comunicaciones comerciales con consejos de bienestar, novedades de producto y ofertas relacionadas con el ecosistema Wellbeinn.
- Datos utilizados: únicamente identificadores de cuenta y correo electrónico. No se utilizan datos de salud para segmentar estos envíos.
- Retirada: revocable en cualquier momento desde Mi Cuenta o mediante el enlace de baja que figura en cada comunicación.
- Efecto en el servicio: ninguno. La App seguirá funcionando con normalidad si la opción está desactivada.
Opción 2 — Personalización y mejora del producto
«Quiero ayudar a Wellbeinn a mejorar mi experiencia analizando cómo uso la App, de forma agregada y anónima, sin compartir mis datos con terceros.»
- Base legal: Arts. 6.1.a y 9.2.a RGPD (consentimiento explícito específico, dado que el análisis puede involucrar datos derivados de salud).
- Finalidad: análisis agregado y anonimizado del uso de la App y del comportamiento de los indicadores derivados con el fin de mejorar el servicio, calibrar los algoritmos y estudiar cohortes internas.
- Datos utilizados: indicadores derivados (calidad del sueño, recuperación, vitalidad, activación, estrés y otros indicadores agregados de estado fisiológico) y patrones de uso de la App. No se comparten con terceros. Los análisis se realizan exclusivamente en cohortes internas.
- Retirada: revocable en cualquier momento desde Mi Cuenta. La retirada detendrá la inclusión de nuevos datos en los análisis; los análisis estadísticos ya producidos pueden conservarse en formato anónimo conforme al Considerando 26 RGPD.
- Efecto en el servicio: ninguno. La App seguirá funcionando con normalidad si la opción está desactivada.
4 bis.3 Sin opciones de personalización activas
Si el usuario no activa ninguna de las dos opciones de personalización, sus datos de salud se procesarán únicamente para prestar el servicio principal: recibir, almacenar y mostrar sus métricas y los indicadores derivados que la App ofrece. La base legal de este tratamiento mínimo combina el Art. 6.1.b RGPD (ejecución del contrato del servicio digital) y el Art. 9.2.a RGPD (consentimiento explícito para datos de categoría especial — aceptación obligatoria nº 3 de §4 bis.1).
5. Finalidades del tratamiento
Tratamos sus datos para:
- Prestar el servicio principal: recibir, almacenar y mostrarle sus métricas fisiológicas, de salud y de actividad.
- Calcular indicadores derivados (calidad del sueño, recuperación, vitalidad, activación, estrés y otros indicadores agregados de estado fisiológico) a partir de los datos brutos del wearable. Estos indicadores se consideran datos de salud (ver §5 bis).
- Vincular y mantener la conexión con su wearable Wellbeinn V8.
- Gestionar su cuenta: registro, autenticación, recuperación de contraseña.
- Atender sus solicitudes de soporte e incidencias.
- Mejorar nuestros productos mediante análisis estadístico estrictamente agregado y anónimo (esta finalidad sólo se ejecuta si el usuario activa la Opción 2 «Personalización y mejora del producto», ver §4 bis.2 y §5.6).
- Cumplir obligaciones legales aplicables.
5 bis. Indicadores derivados, elaboración de perfiles y carácter no sanitario
Los indicadores de calidad del sueño, recuperación, vitalidad, activación, estrés y otros indicadores agregados de estado fisiológico se calculan mediante un tratamiento automatizado de sus datos de salud que constituye elaboración de perfiles sobre el estado fisiológico (Art. 4.4 RGPD). Estos indicadores derivados se consideran igualmente datos relativos a la salud (Art. 9 RGPD) y se rigen por la misma base legal (consentimiento explícito, Arts. 6.1.a y 9.2.a) que los datos brutos del wearable.
Estos cálculos no toman decisiones jurídicas que le afecten significativamente (Art. 22 RGPD): son información personal mostrada en su dispositivo, sin perfilado publicitario.
Sobre el cese de este tratamiento. El tratamiento de los datos derivados no es separable de la prestación del servicio: sin él, la App no puede ofrecer su funcionalidad principal (ver aceptación obligatoria nº 3 en §4 bis.1). Si desea cesar este tratamiento, las vías a su disposición son dejar de utilizar la App o eliminar su cuenta desde Mi Cuenta, lo que llevará aparejada la eliminación efectiva de los datos asociados conforme a §6.
La App y el wearable Wellbeinn V8 no son producto sanitario en el sentido del Reglamento (UE) 2017/745 (MDR). No están destinados a diagnosticar, prevenir, monitorizar clínicamente, tratar ni aliviar enfermedades, y no sustituyen el criterio de un profesional sanitario. Ante cualquier síntoma o duda de salud, consulte a un médico.
5.6. Anonimización vs pseudonimización
El análisis estadístico al que se refiere la finalidad 6 de §5 —y que sólo se ejecuta cuando el usuario activa la Opción 2 «Personalización y mejora del producto» (§4 bis.2)— se realiza estrictamente agregado y anónimo, en el sentido del Considerando 26 RGPD, sin posibilidad razonable de re-identificación. No conservamos copias pseudonimizadas vinculables a usuarios concretos tras el ejercicio del derecho de supresión.
Si en el futuro Wellbeinn quisiera tratar datos pseudonimizados con fines secundarios de investigación o estadística, lo hará únicamente sobre la base de un consentimiento específico adicional o de las salvaguardas del Art. 89 RGPD, previa Evaluación de Impacto y con plazo de retención definido, y se lo comunicaremos previamente.
6. Plazos de conservación
| Dato | Plazo |
|---|---|
| Datos de cuenta activa | Mientras mantenga la cuenta abierta |
| Datos de salud y dispositivo asociados a la cuenta | Mientras mantenga la cuenta abierta |
| Tras solicitud de baja | Eliminación en un plazo máximo de 30 días naturales |
| Logs técnicos y registros de acceso | 12 meses sobre la base del interés legítimo en mantener la seguridad e integridad del servicio (Art. 6.1.f RGPD), conforme también al deber de retención de la Ley 25/2007 cuando resulte aplicable a comunicaciones electrónicas |
Pasados los plazos, los datos se eliminarán o se anonimizarán de forma irreversible.
Nota sobre el modelo de servicio. El servicio es actualmente gratuito y sin compras integradas. En el futuro Wellbeinn podrá introducir un modelo de suscripción de pago para parte o la totalidad de la funcionalidad. La introducción de un modelo de pago no modifica los plazos de retención de datos personales aquí descritos; cualquier obligación contable o fiscal que pudiera resultar aplicable a partir de ese momento se documentará y comunicará al usuario antes de su entrada en vigor (Cco §30 sólo aplicaría a las transacciones concretas, no a los datos del servicio).
7. Encargados, responsables independientes y subprocesadores
Los siguientes proveedores tratan datos personales en el marco de la App, conforme al rol que se indica en cada caso:
| Proveedor | Servicio | Rol | Ubicación |
|---|---|---|---|
| Google Ireland Limited (Firebase / Google Cloud) | Autenticación, Firestore, Storage, Cloud Functions (onUserDelete) y Cloud Logging |
Encargado del tratamiento (Art. 28 RGPD) | Espacio Económico Europeo — región europe-west3
|
| Google LLC | «Iniciar sesión con Google» | Responsable independiente del servicio de identidad | EE. UU. — Decisión de Adecuación 2023/1795 (EU-US Data Privacy Framework) |
Nota sobre la región de infraestructura. La región exacta es
europe-west3(Espacio Económico Europeo), confirmada por consola Firebase. Toda la infraestructura cloud (Firestore, Cloud Functions, Storage, Cloud Logging) opera en esta misma región para minimizar latencia y costes de cross-region data transfer.Nota sobre Cloud Logging. Si la verificación confirmase alojamiento en una región multi-regional
global, declararíamos expresamente la transferencia a EE. UU. al amparo del EU-US Data Privacy Framework (Decisión 2023/1795) + medidas suplementarias técnicas y contractuales.
Subsidiariamente, para transferencias a terceros países sin decisión de adecuación, aplicaremos las Cláusulas Contractuales Tipo (Decisión 2021/914) junto con las medidas suplementarias necesarias conforme a las Recommendations 01/2020 del Comité Europeo de Protección de Datos.
Los datos enviados por el wearable Wellbeinn V8 viajan localmente por Bluetooth entre el reloj y el teléfono. El fabricante OEM del wearable no recibe sus datos de salud a través de servidores en la nube.
8. Transferencias internacionales
Con carácter general, sus datos se almacenan en servidores ubicados en el Espacio Económico Europeo.
Cuando un proveedor (p. ej., Google LLC como proveedor de identidad federada o Cloud Logging si su región efectiva es global) realice un tratamiento desde EE. UU., la base de transferencia será, con carácter preferente, la Decisión de Adecuación 2023/1795 (EU-US Data Privacy Framework), en los términos en que el proveedor esté adherido al marco. Subsidiariamente, y para terceros países sin decisión de adecuación, se aplicarán las Cláusulas Contractuales Tipo (Decisión 2021/914) junto con las medidas suplementarias necesarias.
9. Sus derechos
En su condición de interesado puede ejercer los siguientes derechos:
- Acceso a los datos que tratamos sobre usted.
- Rectificación de datos inexactos o incompletos.
- Supresión («derecho al olvido»), con las salvedades del Art. 17.3 RGPD.
- Oposición al tratamiento. Para los indicadores derivados (recuperación, vitalidad, calidad del sueño, etc.), véase §5 bis sobre las vías específicas de cese.
- Limitación del tratamiento.
- Portabilidad de los datos en formato estructurado y de uso común.
- No ser objeto de decisiones individuales automatizadas con efectos significativos (Art. 22 RGPD).
- Retirar el consentimiento prestado para el tratamiento de datos de salud, sin efectos retroactivos.
9.1 Cómo ejercer los derechos
El ejercicio de los derechos es gratuito (Art. 12.5 RGPD).
Puede ejercerlos:
- Desde la App: pantalla Mi Cuenta → Privacidad y datos (cuando esté disponible).
- Por correo electrónico a privacy@wellbeinn.com, indicando el derecho que ejercita. Para verificar su identidad utilizaremos preferentemente la dirección de correo electrónico asociada a su cuenta. Sólo si existieran dudas razonables sobre la identidad del solicitante (Art. 12.6 RGPD) podremos solicitar información adicional proporcionada y limitada al mínimo necesario; no se exige por defecto copia de DNI.
Le responderemos en un plazo máximo de un mes, prorrogable a dos meses adicionales en casos complejos (Art. 12.3 RGPD).
9.2 Reclamación ante la autoridad de control
Si considera que el tratamiento de sus datos no se ajusta a la normativa, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), Calle Jorge Juan 6, 28001 Madrid — www.aepd.es.
10. Menores de edad
Wellbeinn requiere edad mínima de 16 años para utilizar la App.
Aunque el Art. 7 LOPDGDD (España) fija el umbral legal por defecto en 14 años, Wellbeinn aplica una política más conservadora de 16 años, por consistencia con la normativa más restrictiva de otros estados miembros de la Unión Europea (Alemania, Francia y otros estados que han fijado el umbral del Art. 8.1 RGPD en 16) y por precaución empresarial dada la sensibilidad de los datos de salud tratados.
En el flujo de registro se solicita su fecha de nacimiento y una declaración expresa de edad. Si la fecha indicada o la declaración no cumplen el requisito mínimo, no se podrá completar el registro.
Si detectamos —ya sea por aviso de un tercero o por cualquier otro medio— que se ha registrado un menor por debajo del umbral aplicable, procederemos a:
(i) suspender la cuenta inmediatamente,
(ii) requerir verificación parental por un canal seguro,
(iii) eliminar la cuenta y los datos asociados si la verificación no se completa en 30 días.
En futuras versiones de la App reforzaremos los mecanismos de verificación con métodos adicionales (Art. 25 RGPD).
11. Seguridad de los datos
Aplicamos medidas técnicas y organizativas apropiadas al nivel de riesgo, entre otras:
- Cifrado de las comunicaciones en tránsito (TLS 1.2+).
- Cifrado en reposo en los servidores de almacenamiento (gestionado por nuestro proveedor de infraestructura).
- Reglas de seguridad granulares en Firestore y Storage que sólo permiten a cada usuario leer/escribir su propia información (control de acceso por UID y, en Storage, restricciones de tamaño y tipo MIME).
- Almacenamiento de credenciales con funciones de hash unidireccionales gestionadas por el proveedor de identidad.
- Auditorías de seguridad con periodicidad anual y procedimientos de respuesta ante incidentes documentados.
En caso de incidente de seguridad que afecte a sus datos y suponga un riesgo alto para sus derechos, le notificaremos sin dilación indebida (Art. 34 RGPD), por correo electrónico a la dirección asociada a su cuenta y/o mediante mensaje in-app, indicando la naturaleza de la brecha, las categorías y volúmenes aproximados de datos afectados, las consecuencias probables y las medidas adoptadas o propuestas. Comunicaremos asimismo la brecha a la AEPD en menos de 72 horas (Art. 33 RGPD).
12. Cookies e identificadores
La App no utiliza cookies ni tecnologías equivalentes de seguimiento publicitario. Sólo se emplean identificadores técnicos estrictamente necesarios para el funcionamiento del servicio (token de sesión, identificador de instalación). El sitio web wellbeinn.com puede utilizar cookies de sesión y, en su caso, de medición; ello se rige por la política de cookies específica del sitio.
13. Cambios en esta Política
Podremos actualizar esta Política para reflejar cambios legales o técnicos. La fecha y versión figuran al final del documento; el historial completo de versiones (con resumen de cambios sustanciales) se publica en wellbeinn.com/legal.
Se entenderán por cambios sustanciales —entre otros— la incorporación de nuevas categorías de datos tratadas, la introducción de nuevos encargados o subprocesadores en terceros países, la modificación de las finalidades o las bases legales y los cambios que afecten a los derechos del interesado. Los cambios sustanciales se notificarán por correo electrónico y/o a través de la App con una antelación razonable, recabando, cuando sea necesario, un nuevo consentimiento.
14. Versión y fecha
- Versión: 1.0.5
- Fecha de la última actualización: 29 de abril de 2026
- Idiomas disponibles: español, inglés. En caso de discrepancia, prevalece la versión en español.