Política de Privacidad

Última actualización: 17 de abril de 2026

Esta Política de Privacidad explica cómo CivilTek Ingenieria SLU (en adelante, «Cals2Gains», «nosotros» o «nuestro»), con domicilio en España y CIF correspondiente, recopila, usa, almacena y protege tus datos personales cuando utilizas nuestra aplicación móvil Cals2Gains y nuestro sitio web cals2gains.com. Esta política cumple con el Reglamento General de Protección de Datos (RGPD/GDPR — Reglamento UE 2016/679), la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de Derechos Digitales (LOPD-GDD) de España, la Ley de Privacidad del Consumidor de California (CCPA/CPRA), la Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI-CE) y el Reglamento UE 2024/1689 (AI Act).

Cals2Gains NO es un producto sanitario en el sentido del Reglamento UE 2017/745 (MDR). No es un dispositivo médico, no diagnostica, no prescribe, no trata ni previene enfermedades. Es una herramienta de estilo de vida y bienestar nutricional destinada a personas adultas sanas. Las recomendaciones y estimaciones son orientativas y no sustituyen el consejo de un profesional sanitario cualificado.

1. Responsable del tratamiento

Responsable: CivilTek Ingenieria SLU

Nombre comercial: Cals2Gains

País: España

Email de contacto (DPO): info@cals2gains.com

Email corporativo: info@civiltek.es

Sitio web: https://cals2gains.com

2. Datos que recopilamos

2.1 Datos de cuenta

Cuando te registras mediante Google Sign-In o Apple Sign-In, recopilamos: nombre, dirección de correo electrónico y foto de perfil proporcionados por el proveedor de autenticación.

2.2 Datos de perfil y salud

Recopilamos datos que proporcionas voluntariamente durante el onboarding y el uso de la app: edad, peso, altura, género, nivel de actividad física, objetivos nutricionales y datos de composición corporal. Estos datos se consideran datos relativos a la salud según el artículo 9 del RGPD y son tratados con medidas de protección reforzadas. La base legal para su tratamiento es tu consentimiento explícito (art. 9.2.a RGPD).

2.3 Datos de salud declarados (medicalFlags)

De forma totalmente voluntaria, durante el onboarding o en Ajustes puedes declarar ciertas situaciones de salud que nos permiten adaptar la aplicación a tu perfil y desactivar modos agresivos o potencialmente inadecuados para ti. Concretamente recopilamos, si tu decides declararlos, los siguientes indicadores (denominados internamente medicalFlags):

Embarazo o lactancia: desactivamos modos con déficit calórico y ajustamos recomendaciones a rangos de energía y proteína compatibles con gestación/lactancia orientativos.
Relación sensible con la comida: si nos indicas que tu relación con la comida es un tema sensible o que prefieres no ver números de calorías, activamos un modo intuitivo (sin números visibles, sin déficit agresivo) y desactivamos modos lose_fat y mini_cut. Esta bandera se usa únicamente para adaptar la interfaz y nunca constituye un diagnóstico ni una evaluación clínica de trastorno de conducta alimentaria.
Diabetes (tipo 1 o tipo 2): recomendamos expresamente supervisión profesional y mostramos disclaimers específicos en resultado del cálculo, plan semanal y notificaciones de ajuste.
Enfermedad renal diagnosticada: ajustamos limites de proteína a rangos orientativos conservadores y recomendamos supervisión profesional.
Edad: la edad declarada se usa para aplicar la política de edad descrita en la sección 16 y para adaptar los rangos de cálculo energetico.

Categoría especial Artículo 9 RGPD. Los datos de medicalFlags constituyen datos relativos a la salud (Art. 4.15 y Art. 9.1 RGPD). Su tratamiento se basa en tu consentimiento explícito y granular conforme al Art. 9.2.a RGPD y al Art. 9 LOPD-GDD. El consentimiento es totalmente libre: puedes usar la app sin declarar ningún dato de salud (en ese caso, simplemente no se activan las adaptaciones descritas). Puedes retirar el consentimiento o modificar cualquier valor en Ajustes > Datos de salud en cualquier momento, sin que ello afecte a la licitud del tratamiento previo ni a la continuidad del servicio general.

2.4 Fotos de comida (procesamiento por IA)

Cuando utilizas la función de escaneo de platos, tus fotos se envían de forma segura a la API de OpenAI (GPT-4o / GPT-5.4 con capacidad de visión) para el análisis nutricional. Las fotos NO se almacenan de forma permanente en nuestros servidores ni en los de OpenAI. OpenAI procesa la imagen en tiempo real y devuelve únicamente las estimaciones de macronutrientes. Según la política de datos de OpenAI para API, las imágenes enviadas a través de la API no se utilizan para entrenar sus modelos.

2.5 Notas de voz (Whisper)

Si utilizas el registro de comida por voz, la grabación se envía a la API de OpenAI (Whisper) para transcripción automática. La grabación se usa exclusivamente para generar el texto correspondiente y no se almacena de forma permanente. Base legal: ejecución del contrato (Art. 6.1.b) y consentimiento para datos de salud derivados (Art. 9.2.a).

2.6 Datos nutricionales

Los resultados del análisis de IA (estimaciones de calorías, proteínas, carbohidratos y grasas), tu historial de comidas y estadísticas de progreso se almacenan en Firebase (Google Cloud, región UE europe-west1) asociados a tu cuenta.

2.7 Datos de Apple HealthKit / Google Health Connect

Si decides vincular Cals2Gains con Apple HealthKit (iOS) o Google Health Connect (Android), podemos leer y/o escribir datos de salud (peso, porcentaje de grasa, masa muscular, actividad, etc.) únicamente con los permisos específicos que tu autorices. Estos datos se utilizan exclusivamente para alimentar las funcionalidades de seguimiento de la app y NO se comparten con terceros con fines publicitarios. De conformidad con Apple App Store 5.1.1(ix) y Health Connect Terms, no usamos datos de HealthKit/Health Connect para publicidad, profiling comercial, ni para ningún fin distinto al estrictamente declarado. Puedes revocar los permisos en cualquier momento desde los ajustes de tu sistema operativo.

2.8 Datos de email marketing

Si proporcionas tu email a través de nuestros lead magnets (Calculadora de Macros, plan de 7 días, mini-curso de nutrición), utilizamos tu email para enviarte contenido nutricional relevante a través de Brevo (anteriormente Sendinblue). Puedes darte de baja en cualquier momento haciendo clic en el enlace del pie de cualquier email o escribiendo a info@cals2gains.com.

2.9 Datos de uso y analítica

Recopilamos datos anonimizados de uso a través de Google Analytics 4 (ID: G-97MNMCDEG2 en web; G-WMHZQ52NS2 en propiedad de app) en nuestro sitio web y en la aplicación, incluyendo: páginas/pantallas visitadas, duración de la sesión, tipo de dispositivo, país y fuente de tráfico. Estos datos son anonimizados y no permiten identificarte personalmente. IP anonimizada activada por defecto.

3. Base legal del tratamiento (RGPD Art. 6 y 9)

Finalidad	Base legal
Proporcionar el servicio (análisis IA, tracking, sugerencias)	Ejecución del contrato (Art. 6.1.b)
Procesar datos de salud (peso, composición corporal, objetivos, historial)	Consentimiento explícito (Art. 9.2.a RGPD)
Procesar datos declarados en medicalFlags (embarazo, sensibilidad alimentaria, diabetes, enf. renal, edad)	Consentimiento explícito granular (Art. 9.2.a RGPD)
Adaptaciones automatizadas del coach y alerta de pérdida >1 %/semana	Consentimiento (Art. 6.1.a + Art. 9.2.a) — reversible en Ajustes
Gestionar suscripciones y pagos	Ejecución del contrato (Art. 6.1.b)
Email marketing (lead magnets, newsletter)	Consentimiento (Art. 6.1.a)
Analítica web y de app (Google Analytics)	Consentimiento (cookies/SDK) y/o interes legitimo (Art. 6.1.a / 6.1.f)
Obligaciones legales (fiscales, contables, regulatorias)	Cumplimiento legal (Art. 6.1.c)

4. Cómo usamos tu información

Proporcionar el servicio de análisis nutricional con IA (escaneo de platos, estimación de macros, transcripción de voz).
Calcular y rastrear tus objetivos nutricionales personalizados con TDEE adaptativo.
Adaptar la aplicación a tu perfil declarado en medicalFlags (desactivar modos agresivos, activar modo intuitivo, mostrar disclaimers específicos).
Generar coaching semanal personalizado mediante inteligencia artificial.
Gestionar tu suscripción y acceso a funciones premium a través de RevenueCat.
Enviarte contenido nutricional relevante si te has suscrito a nuestros lead magnets.
Mejorar la precisión y funcionalidad del servicio sobre datos agregados y anonimizados.
Cumplir con obligaciones legales y regulatorias.

5. Transparencia de la inteligencia artificial (AI Act Art. 50)

En cumplimiento del artículo 50 del Reglamento UE 2024/1689 (AI Act), te informamos de que varias funcionalidades de Cals2Gains estan generadas o asistidas por sistemas de inteligencia artificial de terceros (principalmente OpenAI, con modelos de la familia GPT-4o / GPT-5.4 y Whisper para transcripción):

Escaneo de platos: GPT-4o / GPT-5.4 con capacidad de visión analiza fotografías de comida y estima macronutrientes. La precisión varía según la calidad de la imagen, el tipo de alimento y las porciones.
Registro por voz: Whisper (OpenAI) transcribe notas de voz sobre comidas para convertirlas en entradas nutricionales.
Coaching semanal: IA generativa produce recomendaciones nutricionales personalizadas basadas en tu historial y objetivos.
Sugerencias de comida: la IA propone opciones de comida basadas en tus macros restantes del día.

Importante: las estimaciones proporcionadas por la IA son aproximaciones orientativas con un error típico de ±10-15 % y no deben considerarse médicamente precisas. Puedes editarlas manualmente en todo momento. No almacenamos tus fotos ni tus notas de voz de forma permanente: se procesan en tiempo real y se descartan inmediatamente después del análisis. Tus datos no se utilizan para entrenar modelos de IA de terceros (según ToS de OpenAI API).

6. Decisiones automatizadas (RGPD Art. 22)

Cals2Gains contiene dos procesos que pueden considerarse decisiones automatizadas en el sentido del artículo 22 del RGPD:

Coach adaptativo semanal: en función de tu historial de adherencia y de la evolución de tu peso, el sistema puede recomendar ajustes de tus objetivos calórico y de macronutrientes (por ejemplo, subir 100-150 kcal si la adherencia es alta y la perdida es demasiado agresiva, o mantener si el ritmo es el esperado). Estas recomendaciones se aplican a menos que tu las desactives en Ajustes.
Alerta automática de pérdida de peso acelerada (>1 %/semana): si la aplicación detecta un ritmo de pérdida de peso sostenido superior al 1 % del peso corporal por semana durante varias semanas, propone automáticamente un ajuste al alza del objetivo calórico (+150 kcal/día) y muestra información educativa sobre los riesgos del déficit agresivo. Siempre es reversible desde la misma notificación.

Naturaleza orientativa. Estas decisiones automatizadas son orientativas, educativas y reversibles. No producen efectos jurídicos sobre ti ni te afectan de modo similarmente significativo en el sentido del Art. 22.1 RGPD (no deciden sobre acceso a servicios esenciales, empleo, crédito, seguros, servicios sanitarios, etc.). No obstante, y por máxima garantía del usuario, te reconocemos expresamente los derechos siguientes:

Oposición en cualquier momento a la adaptación automática (toggle en Ajustes > Coach adaptativo > Desactivar ajustes automáticos).
Solicitar no ser objeto de decisiones basadas únicamente en tratamiento automatizado, escribiendo a info@cals2gains.com.
Intervencion humana: podemos revisar manualmente cualquier ajuste automático si nos lo pides.
Explicación: puedes solicitarnos una explicación de la lógica aplicada (umbrales, señales usadas) y de las consecuencias previstas.

7. Encargados del tratamiento y subencargados

Compartimos tus datos con los siguientes encargados del tratamiento, todos ellos con acuerdos de procesamiento de datos (DPA) vigentes:

Proveedor	Finalidad	Datos procesados	Ubicación
OpenAI	Analisis IA de fotos (Vision), transcripción de voz (Whisper), coaching (Chat)	Fotos de comida (temporal), audio de voz (temporal), datos nutricionales, texto de coaching	EE.UU. (DPF)
Firebase / Google Cloud	Autenticacion, base de datos, almacenamiento, funciones	Datos de cuenta, perfil, medicalFlags, historial nutricional	UE (europe-west1) + EE.UU. (DPF)
RevenueCat	Gestión de suscripciones	ID usuario, estado suscripción, historial de compras	EE.UU. (DPF)
Brevo	Email marketing y transaccional	Email, nombre, preferencias de comunicacion	UE (Francia)
ElevenLabs	Generación de audio IA (coaching por voz)	Texto de coaching (sin datos personales directos)	EE.UU.
Higgsfield AI	Generación de video IA (contenido marketing)	Datos de contenido (sin datos personales de usuarios)	EE.UU.
Google Analytics (GA4)	Analítica web y de app	Datos de navegacion anonimizados, cookies, eventos	EE.UU. (DPF) / UE
Apple / Google	Procesamiento de pagos, distribucion de la app, HealthKit / Health Connect	Datos de transacciones, datos de salud si autorizas	EE.UU. / Global

8. Transferencias internacionales de datos

Algunos de nuestros encargados del tratamiento (OpenAI, Google/Firebase/GA4, RevenueCat, Brevo cuando proceda) se encuentran en Estados Unidos o tienen infraestructura global. Estas transferencias estan amparadas por:

Marco de Privacidad de Datos UE-EE.UU. (EU-US Data Privacy Framework, DPF): Decisión de Adecuación de la Comisión Europea de 10 de julio de 2023 (C(2023) 4745). OpenAI, Google LLC, RevenueCat Inc. y Brevo están certificados o aplican garantías equivalentes bajo este marco.
Cláusulas Contractuales Tipo (SCCs) complementarias: cuando resulta procedente, firmamos las cláusulas aprobadas por la Comisión Europea (Decisiones 2021/914 y 2021/915) como salvaguarda adicional, incluidas en los DPA con cada proveedor.
Medidas técnicas y organizativas complementarias: cifrado en tránsito (TLS 1.2+) y en reposo, minimización de datos, seudonimización cuando es posible, evaluaciones de impacto de transferencias (TIA) y auditorías periódicas.

9. Cookies y tecnologias similares

Nuestro sitio web utiliza cookies. De conformidad con la LSSI-CE y la normativa europea de cookies (Directiva 2002/58/CE y guía AEPD), solicitamos tu consentimiento antes de instalar cookies no esenciales.

Cookie	Tipo	Finalidad	Duracion
_ga	Analítica	Google Analytics 4 — distinguir usuarios	2 años
_ga_97MNMCDEG2	Analítica	GA4 — mantener estado de sesión	2 años
c2g-lang	Funcional	Recordar preferencia de idioma	Permanente (localStorage)
c2g-cookie-consent	Estrictamente necesaria	Recordar tu eleccion de cookies	1 año

Puedes gestionar tus preferencias de cookies en cualquier momento a través de la configuración de tu navegador o del banner de cookies de nuestro sitio web.

10. Plazos de conservación de datos

Tipo de dato	Periodo de conservación
Datos de cuenta y perfil	Mientras la cuenta esté activa + 30 días tras eliminación
Datos de salud (incluidos medicalFlags)	Mientras la cuenta esté activa + 30 días tras eliminación. Exportación (portabilidad) y borrado inmediato disponibles en cualquier momento desde Ajustes.
Historial nutricional	Mientras la cuenta esté activa + 30 días tras eliminación
Fotos de comida y audio de voz	No almacenadas — procesadas en tiempo real y descartadas
Logs técnicos anonimizados (crash reports, rendimiento)	12 meses
Datos de suscripción	Mientras la suscripción esté activa + período legal de conservación
Email marketing	Hasta que te des de baja
Datos analiticos (cookies)	26 meses (configuración GA4)
Facturación y documentación contable/fiscal	6 años (Art. 30 Código de Comercio y Art. 66 Ley General Tributaria)

11. Tus derechos (ARSOLIP)

11.1 Derechos bajo el RGPD y la LOPD-GDD (usuarios UE/España)

De conformidad con los artículos 15-22 del RGPD y la LOPD-GDD, tienes los siguientes derechos (abreviados como ARSOLIP):

Acceso (Art. 15): obtener confirmación de si estamos tratando tus datos y acceder a ellos.
Rectificación (Art. 16): solicitar la corrección de datos inexactos.
Supresión (Art. 17): solicitar la eliminación de tus datos personales («derecho al olvido»).
Oposición (Art. 21): oponerte al tratamiento de tus datos en determinadas circunstancias, incluyendo oposición a las adaptaciones automatizadas del coach.
Limitación (Art. 18): solicitar la restricción del tratamiento de tus datos.
Portabilidad (Art. 20): recibir tus datos en un formato estructurado, de uso común y lectura mecánica (exportación disponible en Ajustes).
No ser objeto de decisiones automatizadas (Art. 22): a no ser objeto de decisiones basadas únicamente en tratamiento automatizado. Puedes desactivar el coach adaptativo en Ajustes.
Retirar el consentimiento: puedes retirar tu consentimiento en cualquier momento sin que ello afecte a la licitud del tratamiento previo.

11.2 Derechos adicionales bajo la LOPD-GDD

Conforme a la Disposición Final Undécima de la LOPD-GDD, también tienes derecho al testamento digital y a la designación de un representante para gestionar tus datos tras tu fallecimiento.

11.3 Derechos bajo la CCPA/CPRA (residentes de California)

Si eres residente de California, tienes derechos adicionales bajo la CCPA/CPRA:

Derecho a saber: que datos personales recopilamos, usamos, compartimos o vendemos.
Derecho a eliminar: solicitar la eliminación de tus datos personales.
Derecho a la no discriminacion: no ser discriminado por ejercer tus derechos de privacidad.
Derecho a optar por no participar en la venta: Cals2Gains no vende tus datos personales.
Derecho a corregir: solicitar la corrección de datos personales inexactos.
Derecho a limitar el uso de datos sensibles: incluyendo datos de salud procesados por la app.

Aviso CCPA: Cals2Gains no vende ni comparte datos personales con terceros para fines publicitarios cruzados. No utilizamos datos personales para la elaboración de perfiles con fines de publicidad comportamental.

11.4 Cómo ejercer tus derechos

Para ejercer cualquiera de estos derechos, envíanos un email a info@cals2gains.com con el asunto «Ejercicio de derechos de privacidad». Responderemos en un plazo máximo de 30 días (RGPD) o 45 días (CCPA). Podemos solicitar verificación de identidad antes de procesar tu solicitud.

12. Derecho a reclamar ante una autoridad de control

Si consideras que el tratamiento de tus datos personales vulnera la normativa vigente, puedes presentar una reclamación ante:

España: Agencia Española de Protección de Datos (AEPD) — www.aepd.es
UE: la autoridad de proteccion de datos de tu país de residencia.

13. Seguridad de los datos

Implementamos medidas técnicas y organizativas apropiadas para proteger tus datos personales (Art. 32 RGPD):

Cifrado en tránsito (HTTPS/TLS 1.2+) y en reposo.
Reglas de acceso estrictas en Firebase: cada usuario solo puede acceder a sus propios datos.
Autenticacion segura mediante proveedores OAuth 2.0 (Google, Apple).
Revisión periódica de seguridad y evaluaciones de vulnerabilidades.
Principio de minimización de datos: solo recopilamos los datos necesarios para proporcionar el servicio.
Exclusión de los datos sensibles (medicalFlags) de logs técnicos, crash reports y telemetría.

14. Gestión de incidentes de seguridad (brechas de datos)

En caso de una violación de la seguridad de los datos personales (brecha) que pudiera afectarte, actuamos conforme a los artículos 33 y 34 del RGPD:

Notificación a la AEPD: en un plazo máximo de 72 horas desde que tenemos constancia de la violación, cuando exista riesgo para los derechos y libertades de las personas físicas.
Notificación a las personas afectadas: sin dilación indebida cuando la brecha entraña un alto riesgo para sus derechos y libertades (Art. 34 RGPD), por email y/o notificación destacada.
Registro interno: documentamos toda brecha, sus efectos y las medidas correctoras aplicadas.

15. Evaluación de Impacto sobre Protección de Datos (DPIA)

De conformidad con el artículo 35 del RGPD, y dado que Cals2Gains trata datos de salud de forma sistemática y realiza adaptaciones automatizadas, hemos efectuado una Evaluación de Impacto sobre Protección de Datos (DPIA). El documento analiza la necesidad y proporcionalidad del tratamiento, los riesgos para los derechos y libertades de los interesados y las medidas adoptadas para mitigarlos. Esta DPIA está a disposición de la Agencia Española de Protección de Datos (AEPD) a requerimiento, conforme al artículo 36 RGPD.

16. Política de edad

El artículo 7 de la LOPD-GDD fija en 14 años la edad mínima de consentimiento digital válido en España. No obstante, dado el carácter sensible de una aplicación de nutrición y salud, Cals2Gains eleva voluntariamente su edad mínima de uso por encima del mínimo legal, aplicando una protección reforzada:

Uso general: permitido desde los 16 años.
Modos con déficit calórico (lose_fat y mini_cut): restringidos a usuarios de 18 años o más. Las personas entre 16 y 17 años solo pueden usar modos de mantenimiento o ganancia, y no se les presenta UI de déficit.
Consentimiento parental (16-17): cuando la legislación nacional del usuario así lo exija, recabamos el consentimiento de los titulares de la patria potestad o tutela junto con el del menor. El uso por menores sin este consentimiento no está autorizado.
No publicidad a menores: no recopilamos datos con fines publicitarios ni mostramos publicidad a usuarios menores de 18 años (Ley 17/2011 Art. 44 y Codigo PAOS).
Detección y borrado: si tenemos constancia de que un usuario no cumple la edad mínima, procedemos a la eliminación inmediata de la cuenta y de los datos asociados. Si crees que tu hijo/a ha proporcionado datos a Cals2Gains, contactanos en info@cals2gains.com.

17. Cals2Gains NO es un producto sanitario

Declaracion inequivoca. Cals2Gains no es un producto sanitario ni un dispositivo médico en el sentido del Reglamento UE 2017/745 (MDR). No diagnostica, no prescribe, no trata ni previene enfermedades ni lesiones. No sustituye la consulta, el diagnóstico ni el tratamiento por parte de un profesional sanitario cualificado (médico, dietista-nutriciónista, enfermero, psicologo, etc.).

Cals2Gains es una herramienta de estilo de vida y bienestar nutricional. Sus estimaciones y recomendaciones son orientativas, basadas en literatura científica general, con un error típico de ±10-15 % en la estimación de macronutrientes. Consulta siempre con un profesional sanitario antes de realizar cambios significativos en tu dieta, especialmente si tienes alergias alimentarias, intolerancias, condiciones médicas preexistentes, antecedentes de trastorno de conducta alimentaria, o si estás embarazada o en período de lactancia.

18. Cambios en esta política

Podemos actualizar esta Política de Privacidad periódicamente para reflejar cambios en nuestras prácticas o en la legislación aplicable. Te notificaremos de cambios significativos a través de la aplicación, por email o mediante un aviso destacado en nuestro sitio web. La fecha de «Última actualización» en la parte superior de esta página indica cuando se realizó la última revisión. Te recomendamos revisarla periódicamente.

19. Contacto y Delegado de Protección de Datos

Para cualquier consulta relaciónada con esta Política de Privacidad, el tratamiento de tus datos personales o para ejercer tus derechos, puedes contactarnos en:

Responsable / DPO: CivilTek Ingenieria SLU

Email de privacidad: info@cals2gains.com

Email corporativo: info@civiltek.es

Sitio web: https://cals2gains.com