REKO Volver

Política de Privacidad

POLÍTICA DE PRIVACIDAD – REKO

Versión: 1.0
Fecha: 23/02/2026
Idioma: Español (España)

Identidad del responsable y contacto

Responsable del tratamiento: RAFMIQ DIGITAL SPORTS S.L. (NIF B25891656).

Domicilio: Tres torres 44-50, 2-1, Barcelona, 08017, España.

Correo de privacidad/soporte: support@reko-app.com.

Esta Política describe cómo tratamos datos personales en la app REKO (iOS/Android) y en el portal de organizadores y canales de soporte asociados.

También incluye información exigida cuando los datos se obtienen del usuario y sobre el ejercicio de derechos.

Qué cubre y qué no cubre

Cubre

  • Uso de la app móvil (cuenta, perfil, feed social, interacción, calendario, eventos, integraciones).
  • Uso del portal de organizadores (registro B2B, gestión de eventos, comunicaciones operativas).
  • Comunicaciones con soporte, incidencias y seguridad.

No cubre

Tratamientos realizados por terceros cuando abandonas REKO o contratas/te inscribes en plataformas externas (ellos aplican sus propias políticas).

Definiciones básicas

  • Usuario: persona física usuaria de la app.
  • Organizador: persona física o jurídica que usa el portal B2B y publica/gestiona eventos.
  • UGC/Contenido: publicaciones, comentarios, “me gusta”, fotos u otros contenidos subidos por usuarios.
  • Integraciones deportivas: conexión con servicios de terceros para importar actividades/estadísticas.
  • SDK/Tecnologías similares: librerías (p. ej., analítica, push, crash) que pueden almacenar/leer información del dispositivo o generar identificadores, de forma comparable a “cookies” en terminales.

Categorías de datos que tratamos

Según funcionalidades activas y lo que el usuario complete, REKO puede tratar:

1. Datos de cuenta y autenticación

Email, teléfono (si OTP), credenciales (si registro con email/contraseña), tokens de sesión.

Identificadores de login social (p. ej., “Iniciar sesión con” proveedores).

2. Datos de perfil

Nombre/alias, foto, preferencias deportivas, bio, ciudad/región, ajustes de visibilidad.

Datos para facilitar inscripciones (p. ej., talla camiseta, DNI u otros campos) solo si el usuario los introduce y solo si existe esa funcionalidad.

3. Datos de uso y dispositivo

Eventos vistos/guardados, interacciones (likes, comentarios), calendario, clicks, búsquedas/filtros, rendimiento.

Datos técnicos: modelo de dispositivo, sistema operativo, idioma, identificadores técnicos, logs/diagnóstico.

4. Datos de ubicación

Ubicación aproximada o precisa (si el usuario concede permiso) para mapa/eventos cercanos u otras funciones que la requieran.

5. Contactos

Agenda/Contactos solo si el usuario lo autoriza explícitamente (para sugerencias/amigos).

6. UGC y actividad social

Publicaciones/fotos/comentarios, reacciones, listas de amigos/seguidores, reportes/bloqueos.

7. Datos de integraciones deportivas

Actividades importadas (distancia, tiempo, ritmo, tipo de actividad) y, si el usuario lo habilita, rutas/mapas.

Estos datos pueden revelar información de salud o hábitos (y, en algunos casos, entrar en categorías especiales). Requiere un enfoque de consentimiento reforzado.

8. Datos de organizadores (B2B)

Datos de contacto profesional, acreditación/relación con el evento, comunicaciones y actividad en el portal.

9. Datos de pagos y facturación

Estado de suscripción, producto contratado, facturas.

REKO no debería almacenar datos completos de tarjeta si se usa pasarela (se delega en proveedor).

De dónde proceden los datos

  • Del propio usuario (registro, perfil, UGC, preferencias).
  • Del dispositivo (permisos concedidos, tokens push, datos técnicos).
  • De terceros cuando el usuario lo solicita (login social e integraciones).
  • De organizadores o fuentes externas en lo relativo a información de eventos (normalmente no es dato personal del usuario).

Para qué finalidades tratamos los datos y con qué base legal

Las bases jurídicas aplicables incluyen ejecución de contrato, consentimiento, interés legítimo y obligación legal, según el caso.

1. Prestación del servicio y gestión de cuenta (core)

Crear cuenta, iniciar sesión, mantener la sesión, habilitar funcionalidades principales.

Base legal: ejecución del contrato (términos aceptados) o medidas precontractuales.

2. Funcionalidades sociales y comunidad

Publicar y mostrar UGC, comentarios, likes, perfil, feed, ranking/“highlights”, relaciones sociales (seguidores/amigos).

Moderación básica y aplicación de normas de uso.

Base legal: ejecución del contrato (servicio social) e interés legítimo en mantener una comunidad segura y funcional (con controles y derecho de oposición cuando aplique).

3. Descubrimiento de eventos, calendario y recordatorios

Mostrar eventos, favoritos, calendarización, notificaciones operativas.

Base legal: ejecución del contrato.

4. Geolocalización

Mostrar eventos cercanos/mapa y otras funciones basadas en ubicación.

Base legal: consentimiento (permiso del sistema + activación de la función). Se puede retirar desde ajustes del sistema/app.

5. Importación de contactos

Sugerir amigos/invitaciones.

Base legal: consentimiento explícito del usuario (permiso del sistema + acción afirmativa).

6. Integraciones deportivas y datos potencialmente sensibles

Importar actividades y datos asociados; crear publicaciones automáticas si el usuario lo habilita.

Base legal: consentimiento explícito y granular (con opción de desconectar). Si incluye categorías especiales, se requiere consentimiento explícito reforzado y minimización (p. ej., no importar campos no necesarios).

7. Notificaciones push

Enviar avisos operativos (cambios, recordatorios) y sociales (reacciones, comentarios) según configuración.

Base legal: ejecución del contrato (operativas) y/o consentimiento (si se usan con fines promocionales no esenciales), además del permiso del sistema.

8. Comunicaciones comerciales por email u otros medios equivalentes

Newsletters, novedades, promociones (B2C/B2B).

Base legal: consentimiento previo, y en su caso la excepción de “relación contractual previa + productos/servicios similares + opt-out sencillo” cuando la normativa lo permita.

9. Analítica, mejora de producto y estabilidad

Medición de uso, funnels, rendimiento, crash reporting, pruebas A/B.

Base legal: interés legítimo para analítica estrictamente necesaria y proporcional (p. ej., seguridad, rendimiento) o consentimiento si implica tecnologías/identificadores no necesarios o perfiles/atribución publicitaria. La implementación debe seguir un enfoque “privacy by design/default”.

10. Seguridad, fraude y abusos

Prevención de spam, bots, accesos no autorizados, investigación de incidencias, enforcement de términos.

Base legal: interés legítimo y, cuando proceda, obligación legal/colaboración con autoridades.

11. Cumplimiento legal

Atender ejercicio de derechos, reclamaciones, requerimientos de autoridades, obligaciones contables/fiscales si hay pagos.

Base legal: obligación legal.

Permisos del dispositivo y controles del usuario

REKO solicita permisos solo cuando el usuario activa funciones que los requieren. Reglas recomendadas (y asumidas en este texto):

  • Pedir permisos “just-in-time” (cuando se usan).
  • Explicar el para qué antes del pop-up del sistema.
  • Ofrecer una alternativa si no se conceden (si es posible).

Permisos típicos y finalidad

  • Ubicación: mapa/eventos cercanos.
  • Contactos: sugerencias de amigos.
  • Cámara/fotos/almacenamiento: foto de perfil y publicaciones.
  • Notificaciones: avisos operativos y sociales.

Tecnologías similares a cookies y SDKs en app y portal

El art. 22.2 de LSSI-CE aplica a “dispositivos de almacenamiento y recuperación” en equipos terminales (incluye móvil/tablet) y también a técnicas como fingerprinting, por lo que en app los SDKs/identificadores deben tratarse con el mismo rigor de transparencia y, cuando corresponda, consentimiento.

Qué podemos usar

  • Identificadores técnicos necesarios (sesión, seguridad).
  • SDKs de analítica/crash/push.
  • Atribución/medición de campañas (cuando exista) y, si implicase “tracking” publicitario, debe haber consentimiento específico y mecanismos OS (p. ej., iOS).

Tracking publicitario (si se activa en el futuro)

En iOS, cualquier “tracking” en el sentido de Apple requiere el prompt de App Tracking Transparency.

En Android, la Advertising ID es controlable por el usuario (reseteable/eliminable) y su uso debe respetar políticas y base legal.

Destinatarios de datos y roles

REKO puede compartir datos con:

1. Encargados del tratamiento

Proveedores que tratan datos por cuenta de REKO. Ejemplos previstos:

  • Firebase (backend, base de datos, push, analítica/crash según configuración).
  • Mixpanel (analítica de producto).
  • OneSignal (notificaciones push).
  • Stripe (pagos/suscripciones si se usa fuera de stores).

Con estos proveedores debe existir contrato de encargo (art. 28 RGPD) y garantías adecuadas.

2. Responsables independientes

  • Proveedores de login (p. ej., Apple y Google) tratan datos bajo sus propias políticas; REKO recibe los datos mínimos para autenticación.
  • Plataformas de inscripción/pago externas cuando el usuario sale de REKO o contrata con ellas (REKO no controla ese tratamiento).

3. Organizadores y plataformas de inscripción

Si REKO únicamente redirige mediante enlace, no comunica datos por defecto.

Si REKO habilita “preinscripción” o “prefill” y el usuario lo solicita, se comunicarán los datos estrictamente necesarios al organizador o a su plataforma, quienes actuarán normalmente como responsables independientes (gestionan dorsal, listas, clasificaciones, incidencias, facturación, etc.). Requiere transparencia clara antes de enviar.

Ejemplos típicos de plataformas enlazadas (según tu contexto):

  • Runedia (fuente/servicio relacionado con eventos).
  • RockTheSport
  • Deporticket
  • Sportmaniacs

4. Autoridades

Cuando exista requerimiento legal válido.

Transferencias internacionales

REKO intentará priorizar tratamiento en el EEE. Si algún proveedor trata datos fuera del EEE, se aplicarán mecanismos del Capítulo V RGPD (decisión de adecuación, SCC u otros).

Sobre transferencias a EE.UU.

  • Existe una decisión de adecuación para el EU–US Data Privacy Framework (Decisión de Ejecución (UE) 2023/1795).
  • Debe verificarse si el proveedor está cubierto por dicho marco o, si no, usar SCC y medidas adicionales cuando proceda.

Plazos de conservación

Principio general: conservamos datos solo el tiempo necesario para las finalidades indicadas y para atender responsabilidades legales.

Criterios propuestos (ajustables):

  • Cuenta activa: mientras el usuario mantenga la cuenta.
  • Baja/eliminación de cuenta: supresión o anonimización; conservación “bloqueada” únicamente para obligaciones legales/reclamaciones durante plazos de prescripción aplicables.
  • Logs de seguridad: conservación limitada (p. ej., 6–24 meses) según necesidad y proporcionalidad.
  • Backups: ventana técnica limitada (p. ej., 30–90 días) antes de purga completa, salvo obligaciones.
  • UGC: al eliminar cuenta, eliminar o anonimizar UGC; cuando sea necesario conservar integridad de conversaciones (p. ej., hilos), se recomienda anonimizar (p. ej., “Usuario eliminado”) manteniendo el contenido cuando no sea ilegal y no haya solicitud fundada de supresión.

Derechos de las personas usuarias y cómo ejercerlos

Derechos: acceso, rectificación, supresión, oposición, limitación, portabilidad y retirada del consentimiento (cuando aplique).

Cómo ejercerlos

Enviar solicitud a support@reko-app.com indicando el derecho y suficientes detalles para localizar los datos. Podremos solicitar información adicional solo si es necesaria para verificar identidad/evitar accesos indebidos.

Plazos: 1 mes (ampliable a 2 en casos complejos), con información al solicitante.

Reclamación: el usuario puede reclamar ante la Agencia Española de Protección de Datos.

Seguridad y gestión de brechas

Aplicamos medidas técnicas y organizativas razonables según estado del arte: control de accesos, cifrado en tránsito, minimización, segregación de entornos, registro de accesos, hardening, políticas internas, y gestión de vulnerabilidades.

En caso de brecha

  • Notificación a autoridad en 72h cuando proceda.
  • Comunicación a afectados cuando exista alto riesgo.
  • Documentación interna del incidente.

Menores de edad

El servicio no se dirige a menores y no permite registro por debajo de una edad mínima definida en Términos.

En España, la edad de consentimiento digital para tratamientos basados en consentimiento es 14 años.

Si se detecta un usuario por debajo del umbral aplicable

  • Se bloqueará/eliminará la cuenta y se suprimirán los datos, salvo obligación legal.
  • Si se habilita acceso a <14 en el futuro, se exigirá consentimiento parental verificable.

Cambios en la Política

Podremos actualizar la Política por cambios legales o del servicio. Se informará de cambios materiales dentro de la app y/o por email.

Versión 1.0 · Fecha: 23/02/2026

Volver al sitio