Versión 1.2.0 · Vigente desde 2026-06-08

Política de Privacidad

Plataforma: Crew5 — Gestión para Boxes de CrossFit Versión: 1.2.0 Fecha efectiva: 8 de junio de 2026

Resumen: En Crew5 nos comprometemos a proteger tu privacidad. Solo recopilamos los datos necesarios para ofrecerte el servicio, nunca vendemos tu información a terceros, y te damos control sobre tus datos mediante derechos ARCO self-service desde la propia aplicación.

1. Responsable del tratamiento

El responsable del tratamiento de tus datos personales es:

• Nombre: Crew5
• Email de contacto: crew5app.software@gmail.com
• Web: https://crew5.app

2. Datos que recopilamos

2.1 Datos de cuenta (obligatorios)

• Email: para identificarte y comunicarnos contigo.
• Contraseña: almacenada de forma segura con hash bcrypt (nunca en texto plano).
• Nombre: para identificarte dentro de tu box.

2.2 Datos de perfil (opcionales)

• Teléfono: para que tu box pueda contactarte si es necesario.
• Foto de perfil: para personalizar tu experiencia.
• Fecha de nacimiento: para estadísticas y categorías por edad.
• Contacto de emergencia: nombre y teléfono para emergencias durante el entrenamiento.
• Redes sociales: enlaces a Instagram, TikTok, X, YouTube, Strava, LinkedIn o Facebook. Aportados voluntariamente por ti, visibles para otros atletas autenticados de tu mismo box.

2.3 Datos de actividad

• Reservas de clases: historial de reservas y asistencia.
• Resultados de WODs: puntuaciones y tiempos que registras voluntariamente.
• Récords personales (PRs): los PRs que decides guardar.
• Suscripciones y bonos: estado de tu membresía y clases disponibles.

2.4 Datos de facturación (si aplica)

• Datos fiscales: nombre o razón social, NIF/CIF, dirección de facturación.
• Historial de pagos: facturas y recibos emitidos por tu box.

2.5 Datos técnicos de pago

Cuando realizas un pago, Crew5 recibe únicamente los siguientes identificadores no sensibles devueltos por Stripe, nunca los datos de tu tarjeta:

• Últimos 4 dígitos de la tarjeta (last4) y marca (brand), para que puedas identificar qué tarjeta has usado.
• Identificador de método de pago de Stripe (payment_method_id), para reutilizarlo en pagos posteriores si lo autorizas.

Los datos sensibles de tarjeta (número completo, fecha de caducidad, CVC) se tokenizan directamente dentro del SDK nativo de Stripe (Payment Sheet) y nunca pasan por los servidores de Crew5 ni son accesibles para el box. Esta arquitectura mantiene a Crew5 en el ámbito PCI DSS SAQ A (el menos restrictivo).

2.6 Datos técnicos generales

• Expo Push Token: para enviarte notificaciones push (si las activas).
• Logs de acceso y errores: direcciones IP, user agent, timestamps, para seguridad y detección de problemas. Los logs de error se envían a Sentry con un scrubber que elimina prefijos de claves (Stripe, Supabase, etc.) antes de persistir.

2.7 Datos de comunicaciones internas

Cuando usas el chat de Crew5 (atleta↔atleta, atleta↔box o box↔atleta), almacenamos:

• Contenido del mensaje: texto que envías, hasta 5000 caracteres por mensaje.
• Metadatos: identificadores del emisor, receptor, conversación, marca de tiempo y, si el mensaje es enviado por un box, el nombre del miembro del staff que lo firma.
• Estado de lectura: marca de tiempo de la última lectura por participante.

Estos datos son necesarios para prestar el servicio de mensajería y son visibles únicamente para los participantes de la conversación.

2.8 Reportes de moderación

Cuando reportas un mensaje a través del botón "Reportar mensaje", almacenamos:

• Categoría del reporte: una de las opciones predefinidas (spam, abuso, acoso, contenido inapropiado, otro).
• Detalle opcional: texto libre que añadas para describir el problema (máx. 500 caracteres).
• Snapshot del mensaje reportado: copia del contenido y metadatos del mensaje en el momento del reporte. Este snapshot se conserva aunque el mensaje original sea borrado, para garantizar la trazabilidad de la moderación.
• Identificador del reportante y fecha del reporte.

2.9 Bloqueo de usuarios

Crew5 te permite bloquear a otro usuario desde su perfil para cortar el contacto. Cuando bloqueas a alguien, almacenamos:

• La relación de bloqueo: el identificador del usuario que bloquea, el del usuario bloqueado y la fecha del bloqueo.

Características de este tratamiento:

• La lista de usuarios bloqueados solo es visible para ti. La persona bloqueada no recibe ninguna notificación y no puede saber que la has bloqueado.
• Mientras el bloqueo esté activo, ni tú ni la persona bloqueada podéis acceder al perfil del otro ni intercambiar mensajes por el chat. La asistencia a clases y los rankings de entrenamiento siguen siendo visibles.
• Al bloquear se elimina, en ambos sentidos, la relación de seguimiento (follow) que pudiera existir entre ambos.
• Puedes consultar y deshacer tus bloqueos en cualquier momento desde "Configuración > Privacidad > Usuarios bloqueados".

Esta funcionalidad existe para protegerte y para cumplir con las políticas de las tiendas de aplicaciones (Google Play / App Store) sobre contenido generado por usuarios.

3. Finalidad del tratamiento y base legal

Finalidad	Base legal (art. 6 RGPD)
Gestionar tu cuenta y acceso	Ejecución del contrato (art. 6.1.b)
Permitir reservas de clases	Ejecución del contrato (art. 6.1.b)
Registrar tus entrenamientos y PRs	Ejecución del contrato (art. 6.1.b)
Procesar pagos mediante Stripe Connect	Ejecución del contrato (art. 6.1.b)
Emitir facturas y cumplir obligaciones fiscales	Obligación legal (art. 6.1.c) — Ley 58/2003 General Tributaria
Enviarte notificaciones del servicio	Interés legítimo (art. 6.1.f)
Contacto de emergencia	Interés vital (art. 6.1.d)
Detectar fraude y proteger el sistema	Interés legítimo (art. 6.1.f)
Mejorar el servicio mediante analítica anonimizada	Interés legítimo (art. 6.1.f)
Mantener el chat entre usuarios	Ejecución del contrato (art. 6.1.b)
Moderar contenido reportado	Interés legítimo (art. 6.1.f) — protección de usuarios y cumplimiento de políticas de plataforma
Permitir bloquear usuarios para cortar contacto no deseado	Interés legítimo (art. 6.1.f) — protección del usuario y cumplimiento de políticas de plataforma

4. Compartición de datos

4.1 Con tu box de CrossFit

Los administradores y coaches de tu box pueden ver:

• Tu nombre, email y teléfono.
• Tu historial de reservas y asistencia.
• Tu estado de suscripción y bonos.
• Tus resultados de WODs (si los registras).
• Identificadores no sensibles de tu método de pago (últimos 4 dígitos, marca) cuando procesas un cobro con ellos.

Esto es necesario para la gestión de clases, membresías y cobros.

4.2 Con otros atletas

Los demás atletas de tu box pueden ver:

• Tu nombre.
• Tus resultados de WODs (para rankings y motivación).
• Tus enlaces de redes sociales, si los has añadido voluntariamente a tu perfil.

4.3 Con proveedores de servicios (sub-processors)

Véase sección 5 para la lista detallada.

4.4 Con el equipo de moderación de Crew5

El personal autorizado de Crew5 (rol "superadmin") puede acceder al contenido de los mensajes reportados con la única finalidad de revisar el reporte y decidir si aplica alguna acción off-platform (advertencia, contacto con el box, suspensión).

• El acceso a cada reporte queda registrado en un log de auditoría con el identificador del operador, la fecha y la acción.
• Crew5 no accede al contenido de mensajes no reportados.
• Esta finalidad se basa en el interés legítimo (art. 6.1.f RGPD) de proteger a los usuarios y cumplir con la normativa de las tiendas de aplicaciones (Google Play / App Store) sobre moderación de contenido generado por usuarios.

Importante: Nunca vendemos tus datos a terceros ni los usamos para publicidad.

5. Sub-processors

Crew5 utiliza los siguientes sub-encargados del tratamiento. Cada uno ha firmado con nosotros un Acuerdo de Tratamiento de Datos (DPA) conforme al artículo 28 RGPD.

Proveedor	Datos tratados	Ubicación	Garantías
Supabase, Inc.	Todos los datos de la plataforma (base de datos, storage, auth)	UE (Frankfurt, AWS eu-central-1)	DPA + RLS a nivel de fila
Stripe, Inc.	Datos de pago, facturación	Estados Unidos	DPA + Standard Contractual Clauses
Expo Application Services (650 Industries, Inc.)	Expo Push Token para notificaciones	Estados Unidos	DPA + SCC
Google LLC (OAuth)	Email, únicamente si usas login con Google	Estados Unidos	SCC
Resend, Inc.	Emails transaccionales (facturas, invitaciones)	Estados Unidos	DPA + SCC
Functional Software, Inc. (Sentry)	Logs de error (con PII scrubber activo)	Estados Unidos	DPA + SCC
Vercel, Inc.	Hosting del panel de administración web	Edge global (con datos en EE. UU.)	DPA + SCC

6. Transferencia internacional de datos

Algunos de los sub-processors listados en la sección 5 están ubicados fuera del Espacio Económico Europeo (EEE), principalmente en Estados Unidos. Para garantizar un nivel de protección adecuado:

• Hemos firmado Standard Contractual Clauses (SCC) conforme a la Decisión de Ejecución (UE) 2021/914 con cada proveedor US.
• Para Stripe, Inc. en particular, el tratamiento se rige por el DPA de Stripe y su Política de Privacidad, que incluyen las SCC.
• Estamos revisando la adhesión de nuestros proveedores al EU-US Data Privacy Framework (DPF) para complementar las SCC.

Si deseas más información sobre estas garantías o una copia de las SCC aplicables, puedes solicitarlo al contacto de la sección 1.

7. Modelo multi-tenant

Crew5 es una plataforma multi-tenant donde cada box de CrossFit es un "tenant" independiente:

• Tus datos están asociados al box o boxes a los que perteneces.
• Cada box solo puede acceder a los datos de sus propios miembros.
• Si perteneces a varios boxes, cada uno solo ve sus propios datos.
• Las políticas de Row Level Security (RLS) en la base de datos garantizan el aislamiento a nivel técnico.

8. Seguridad de los datos

Implementamos las siguientes medidas técnicas y organizativas (art. 32 RGPD):

• Cifrado en tránsito: todas las comunicaciones usan HTTPS/TLS 1.2 o superior.
• Cifrado en reposo: los datos están cifrados en la base de datos con AES-256.
• Contraseñas hasheadas: usamos bcrypt; nunca almacenamos contraseñas en texto plano.
• Row Level Security (RLS): cada usuario solo puede acceder a sus propios datos.
• Autenticación segura: tokens JWT con expiración, soporte para OAuth.
• Backups automáticos: copias de seguridad diarias con retención configurable.
• Monitorización: logs de error con Sentry, scrubber PII activo, auditoría de acciones administrativas.
• Minimización PCI: los datos sensibles de tarjeta nunca tocan nuestros servidores (arquitectura PCI DSS SAQ A).

9. Conservación de datos

Categoría	Periodo	Base
Cuenta activa	Mientras mantengas tu cuenta	Ejecución del contrato
Cuenta eliminada (datos no-fiscales)	Anonimización en 30 días	Art. 17 RGPD
Facturas y justificantes de pago	5 años desde emisión	Ley 58/2003 art. 66 y 70 (AEAT)
Registros de auditoría (billing, gdpr, security)	5 años	Obligación de trazabilidad fiscal y de seguridad
Otros registros de auditoría y logs técnicos	90 días	Interés legítimo de seguridad
Mensajes del chat	Mientras la conversación esté activa o el usuario lo solicite	Ejecución del contrato
Reportes de moderación	24 meses desde la creación del reporte	Interés legítimo + obligación de trazabilidad de moderación
Snapshot del mensaje reportado	24 meses o hasta resolución del reporte (lo que sea mayor)	Interés legítimo de moderación
Bloqueos de usuario	Hasta que lo deshagas (desbloqueo) o hasta que se elimine alguna de las cuentas implicadas	Ejecución del contrato + interés legítimo de protección
Datos objeto de procedimiento legal en curso	Hasta resolución firme	Obligación legal

Tras la eliminación de tu cuenta, anonimizamos tus datos identificativos (email, nombre, teléfono, fecha de nacimiento) pero conservamos las facturas y justificantes de pago durante 5 años por exigencia fiscal. Estas facturas contienen solo datos fiscales mínimos (NIF/CIF, importe, fecha, concepto) sin tus datos personales sensibles.

10. Tus derechos (RGPD)

Conforme al Reglamento General de Protección de Datos, tienes derecho a:

• Acceso (art. 15): solicitar una copia de tus datos personales.
• Rectificación (art. 16): corregir datos inexactos o incompletos.
• Supresión (art. 17): solicitar la eliminación de tus datos ("derecho al olvido"), con las excepciones legales aplicables (sección 9).
• Portabilidad (art. 20): recibir tus datos en un formato estructurado y legible por máquina (JSON).
• Oposición (art. 21): oponerte al tratamiento basado en interés legítimo.
• Limitación (art. 18): solicitar la restricción del tratamiento en determinadas circunstancias.
• Retirada del consentimiento (art. 7.3): retirar cualquier consentimiento otorgado, con efectos futuros.
• No ser objeto de decisiones automatizadas (art. 22): Crew5 no toma decisiones automatizadas con efectos jurídicos sobre ti.

11. Cómo ejercer tus derechos

Derechos ejercibles desde la propia app

Desde "Mi cuenta > Privacidad" en la app Crew5 puedes ejercer directamente:

• Eliminar mi cuenta (art. 17 supresión): cancela tus suscripciones activas en Stripe, anonimiza tus datos personales y te cierra sesión. Las facturas se conservan según la sección 9 por obligación fiscal.

Derechos ejercibles por email

Para los derechos de acceso (art. 15), rectificación (art. 16), portabilidad (art. 20), oposición (art. 21), limitación (art. 18) y retirada del consentimiento (art. 7.3), envía tu solicitud a crew5app.software@gmail.com indicando:

• El derecho que quieres ejercer.
• Tu identificación (email de tu cuenta).
• Si procede, copia de DNI/NIE para verificar tu identidad.

Plazo de respuesta: 1 mes desde la recepción, ampliable otros 2 meses en casos complejos (art. 12.3 RGPD). Te notificaremos la ampliación y su motivo.

En caso de que más adelante habilitemos más derechos self-service desde la app, actualizaremos esta sección y lo comunicaremos conforme a la sección 15.

12. Cookies

Utilizamos cookies técnicas esenciales para:

• Mantener tu sesión iniciada.
• Recordar tus preferencias (por ejemplo, el box seleccionado).

No utilizamos cookies de seguimiento, analítica ni publicidad.

13. Menores de edad

Crew5 está dirigido a mayores de 16 años. Si eres menor de 16 años, necesitas el consentimiento de tu padre, madre o tutor legal para usar la plataforma. Los boxes pueden requerir autorización parental para atletas menores.

14. Extensión de Chrome "Crew5 — TrueCoach Importer"

Resumen: la extensión NO recopila, almacena ni transmite datos personales a terceros. Todos los datos se procesan localmente en tu navegador.

14.1 Información que procesa

La extensión accede a la siguiente información únicamente cuando tú inicias manualmente la acción de importar:

• Datos de workouts de TrueCoach: nombre, descripción, ejercicios y fechas de los workouts programados en tu cuenta de TrueCoach.
• Token de sesión de TrueCoach: se utiliza temporalmente para autenticar las peticiones a la API de TrueCoach. No se almacena ni se transmite fuera de tu navegador.

14.2 Cómo usa la información

Los datos de los workouts se utilizan exclusivamente para:

• Copiar la información al portapapeles de tu dispositivo.
• Permitirte importar los workouts a tu cuenta de Crew5.

Los datos se procesan localmente y se transfieren a Crew5 a través del portapapeles, sin servidores intermedios.

14.3 Almacenamiento (extensión)

La extensión NO almacena datos personales de forma persistente, NO utiliza cookies propias, NO envía datos a servidores de terceros y NO realiza seguimiento ni análisis de uso.

14.4 Permisos

• activeTab: permite comunicarse con la página activa de TrueCoach para leer los datos de workouts cuando inicias la importación.
• Acceso a truecoach.co: permite inyectar el script que lee tus workouts desde la API de TrueCoach. Solo se activa en páginas de truecoach.co.

15. Cambios en esta política

Esta política sigue versionado SemVer (ver docs/legal/README.md):

• Correcciones menores (PATCH): actualizamos la fecha efectiva sin solicitar nuevo consentimiento.
• Cambios sustantivos (MAJOR): te notificaremos por email o in-app con al menos 30 días de antelación. Al siguiente inicio de sesión o pago, te pediremos aceptación explícita de la nueva versión.

16. Contacto y reclamaciones

Si tienes preguntas sobre esta política o quieres ejercer tus derechos, puedes contactarnos en:

• Email: crew5app.software@gmail.com
• Web: https://crew5.app

También puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es si consideras que no hemos tratado adecuadamente tus datos.

---

Última actualización: 8 de junio de 2026 — versión 1.2.0