Skip to main content

Política de Privacidad

Acá te contamos exactamente qué datos tomamos, para qué, con quién los compartimos y qué podés hacer con ellos. Sin letra chica.

Quiénes somos

Vetta Trainer es un servicio de planificación de entrenamiento operado por Renso Ontiveros (sole proprietor / monotributista, Argentina). Contacto general: rensont@gmail.com. Contacto de privacidad / DPO: rensont@gmail.com (para consultas formales sobre datos personales). Sitio: vettatrainer.com.

Bases legales del procesamiento (GDPR Art. 6)

Procesamos tus datos sobre estas bases legales: (a) Ejecución del contrato que firmás al crear la cuenta — para operar la app, generar tu plan, sincronizar Strava, cobrarte si elegís Pro o Coach. (b) Consentimiento — para conectar Strava, recibir emails de newsletter o notificaciones contextuales. Podés retirarlo cuando quieras. (c) Intereses legítimos — métricas agregadas y anónimas de uso para mejorar el servicio. (d) Obligación legal — facturación, AFIP, antifraude.

Qué datos recolectamos

Datos de cuenta: email, nombre, contraseña (hasheada con bcrypt — nunca vemos la real). Datos de entrenamiento: actividades, ritmo, frecuencia cardíaca, potencia, rutas — solo lo que Strava nos autoriza al loguearte (vos elegís el alcance). Datos de uso: visitas a páginas, idioma, IP (truncada, no la guardamos completa), user-agent. Datos de pago: Vetta NO almacena tarjetas; los pagos los procesan Lemon Squeezy (USD/EUR) y Mercado Pago (ARS), que tienen sus propias políticas certificadas PCI-DSS. Nosotros solo guardamos el ID de tu suscripción para saber qué plan tenés activo.

Datos sensibles — qué NO recolectamos

No recolectamos datos de salud médica protegida en el sentido de HIPAA (US) o el Art. 9 GDPR (categorías especiales). Vetta no es un servicio médico; los datos de actividad física que sí tomamos (pulsaciones, ritmo, etc.) no constituyen datos médicos. Si tenés alguna condición médica, consultá a tu médico antes de seguir cualquier plan generado por Vetta. Ver Términos § Aviso médico.

Para qué los usamos

Operar la app: generar tu plan, mostrarte el dashboard, conectar Strava, cobrar tu suscripción. Mejorar el servicio: métricas agregadas (nunca individuales) de uso. Comunicarnos: emails transaccionales (welcome, alerta ACWR alto, recuperación de contraseña). No vendemos tus datos. No los compartimos con anunciantes de terceros. No los usamos para perfilado publicitario. Si algún día decidiéramos hacerlo (no es el plan), te avisaríamos por email y pediríamos consentimiento explícito antes.

Con quién los compartimos (subprocesadores)

Tu data viaja a estos servicios porque sin ellos la app no funciona. Cada uno tiene su política y su DPA. Lista completa siempre actualizada en /legal/subprocesadores: Strava (sync de actividades, vos lo autorizás al conectar) · Supabase (auth Google OAuth y storage de sesión) · Lemon Squeezy y Mercado Pago (pagos) · Resend (emails transaccionales) · Railway (hosting) · Cloudflare (CDN/DNS) · Sentry (telemetría de errores, sin datos personales en los stack traces). Ningún otro tercero tiene acceso.

Transferencias internacionales

El servidor de Vetta está hosteado en Railway (US). Vos podés estar en cualquier país. Si estás en la UE: Argentina, donde opera Vetta, tiene decisión de adecuación de la Comisión Europea desde 2003, reconfirmada en 2026 — eso significa que los datos viajan entre la UE y Argentina sin necesidad de cláusulas contractuales adicionales (SCCs). Para los datos que tocan Railway/Supabase (US), aplicamos las SCCs estándar de la Comisión Europea y/o el EU-US Data Privacy Framework cuando aplique. Cualquier transferencia tiene el mismo nivel de protección que tendría en tu país.

Cuánto tiempo los guardamos (retención)

Mientras tu cuenta esté activa, más 30 días después de darte de baja (para finalizar trámites de facturación y soporte). Cuentas inactivas más de 24 meses reciben un email de aviso y se borran a los 30 días si no respondés. Logs de seguridad (intentos de login, IPs de error) se guardan máximo 90 días. Backups se rotan cada 90 días. Podés borrar todo cuando quieras desde Ajustes → Mi cuenta → Eliminar cuenta — efecto inmediato.

Tus derechos (GDPR / Ley 25.326 / CCPA-CPRA / LGPD)

Tenés todos estos derechos, sin importar el país: Acceso: descargá un ZIP con TODOS tus datos desde Ajustes → Mi cuenta → Exportar datos. Rectificación: editá tu perfil cuando quieras. Borrado / olvido: eliminá tu cuenta cuando quieras. Portabilidad: el ZIP de exportación es estándar (JSON + parquet) y se puede importar en otra herramienta. Oposición / limitación: escribinos a rensont@gmail.com y atendemos en 30 días o menos. Retirar consentimiento: cancelás el newsletter desde cualquier email o desactivás Strava desde strava.com/settings/apps. Si estás en California, también tenés derecho a opt-out de venta o share — y como Vetta no vende tus datos a nadie, ese derecho ya está cumplido por defecto.

Cookies y similares

Vetta usa solo cookies estrictamente necesarias: una cookie HttpOnly de sesión para mantenerte logueado. No usamos cookies de tracking publicitario. No usamos analytics de terceros que crucen datos (Google Analytics, Facebook Pixel, etc.). No mostramos un banner de cookies porque por ley GDPR no hace falta consentimiento para cookies técnicas. Si en el futuro sumamos analytics (privacy-friendly tipo Plausible), te avisamos.

Marketing y newsletter

Si marcaste el checkbox de newsletter al signup o lo activaste después, podemos mandarte novedades de producto (máximo 1 vez al mes). Podés darte de baja con un click en cualquier email — la baja es inmediata. CAN-SPAM (US): todos nuestros emails de marketing incluyen dirección física, motivo por el que los recibís y link de baja. GDPR: el consentimiento es específico, granular, retirable.

Menores

Vetta no está dirigido a menores. Para registrarte tenés que tener al menos 16 años (GDPR-UE) o 13 años (COPPA-US, con consentimiento parental por escrito al email rensont@gmail.com). Si nos enteramos que un menor de 13 se registró sin consentimiento, borramos la cuenta y los datos.

Seguridad

Detalle técnico completo en /legal/seguridad. Resumen: contraseñas hasheadas con bcrypt, HTTPS forzado en todo el sitio, headers de seguridad (HSTS, CSP, X-Frame-Options), rate limiting anti fuerza bruta, auditoría de dependencias automática, monitoreo de errores. Ningún sistema es perfecto — si descubrís un problema de seguridad, escribinos a rensont@gmail.com antes de hacerlo público y te lo reconocemos.

Cambios a esta política

Si cambiamos esta política te avisamos por email a la dirección de tu cuenta al menos 14 días antes de que entren en vigor, salvo cambios urgentes por orden legal. La fecha de "última actualización" está al pie de este documento.

Reclamos formales

Si pensás que estamos violando tu privacidad y queremos resolverlo sin pasar por la autoridad: rensont@gmail.com. Si igual querés reclamar formalmente: UE: tu autoridad local de protección de datos (lista en edpb.europa.eu). Argentina: AAIP (argentina.gob.ar/aaip). Alemania: BfDI (bfdi.bund.de). California: Privacy Protection Agency (cppa.ca.gov). Brasil: ANPD (gov.br/anpd). Canadá: OPC (priv.gc.ca).

Última actualización: 2026-05-28