Subencargados del tratamiento de datos personales

1. Premisa

Strenqo es editado y gestionado por Andreas Mondo (empresario individual italiano, responsable del tratamiento).

Para cada subencargado indicamos: denominación legal, ubicación, país de alojamiento de los datos, finalidad del tratamiento, garantía para transferencias extra-UE. La lista refleja la situación a fecha de 24-05-2026. Cualquier nuevo subencargado será notificado a los usuarios con una antelación razonable.

2. Subencargados activos

2.1 Supabase

• Denominación legal: Supabase Inc.
• Ubicación: Estados Unidos (Delaware)
• País de alojamiento de los datos: Unión Europea (eu-west-1)
• Finalidad: base de datos PostgreSQL, autenticación, almacenamiento de archivos (Storage), ejecución de Edge Functions, sincronización en tiempo real
• Categorías de datos: todos los datos del usuario (perfil, entrenamientos, nutrición, check-in corporal, fotos, conversaciones del AI Coach)
• Mecanismo de transferencia: sin transferencia extra-UE en reposo. Acceso de soporte por parte de Supabase Inc. (EE. UU.) regulado por DPA con SCC
• Sitio: supabase.com · Docs: privacidad, condiciones

2.2 OpenAI

• Denominación legal: OpenAI, L.L.C. (EE. UU.) y OpenAI Ireland Ltd (UE)
• Ubicación: Estados Unidos / Irlanda
• País de alojamiento de los datos: Estados Unidos, con procesamiento inicial en Dublín para los usuarios de la UE
• Finalidad: generación de respuestas del AI Coach, análisis de fotos de alimentos, generación de planes de entrenamiento/nutrición
• Categorías de datos: texto de las conversaciones del AI Coach, fotos de alimentos, contexto del usuario (perfil, entrenamientos recientes, peso) — solo si ha prestado consentimiento explícito al AI Coach
• Mecanismo de transferencia: EU-US Data Privacy Framework + SCC. OpenAI figura en la DPF Participants List
• Sitio: openai.com · Docs: DPA, privacidad

Nota sobre coach-micro: a fecha de 24-05-2026, la función coach “micro hint” no envía datos a OpenAI; la función del lado servidor no está desplegada y la app utiliza una plantilla local de fallback.

2.3 RevenueCat

• Denominación legal: RevenueCat, Inc.
• Ubicación / alojamiento: Estados Unidos
• Finalidad: gestión de la suscripción Pro (sincronización del estado de la suscripción entre Apple App Store, Google Play y nuestros servidores). Al eliminar la cuenta, el suscriptor de RevenueCat se elimina en cascada mediante API
• Categorías de datos: UUID del usuario, estado de la suscripción, identificador del producto, eventos del ciclo de vida de la suscripción
• Mecanismo de transferencia: SCC en el DPA de RevenueCat
• Notas: RevenueCat no recibe datos de pago ni datos de salud
• Sitio: revenuecat.com · Docs: DPA, privacidad

2.4 Resend

• Denominación legal: Resend, Inc.
• Ubicación / alojamiento: Estados Unidos
• Finalidad: correos electrónicos transaccionales — confirmación de eliminación de cuenta, notificaciones de actualización de políticas. No se utiliza para marketing
• Categorías de datos: dirección de correo electrónico del destinatario, contenido de los correos electrónicos transaccionales
• Mecanismo de transferencia: EU-US DPF (+ UK Extension) + SCC. Resend está certificado en la DPF Participants List
• Sitio: resend.com · Docs: DPA, RGPD

2.5 Sentry

• Denominación legal: Functional Software, Inc. (operando en la UE como Sentry GmbH)
• Ubicación: Estados Unidos (matriz) / Alemania (entidad UE)
• País de alojamiento de los datos: Unión Europea — Alemania (ingest.de.sentry.io)
• Finalidad: informes de fallos y diagnóstico de errores — solo con consentimiento explícito
• Categorías de datos: stack traces, breadcrumbs, versión de la app, modelo del dispositivo, SO, identificador seudonimizado del usuario (UUID, no correo electrónico). PII redactada mediante el filtro beforeSend. La redacción es una mitigación, no una garantía
• Mecanismo de transferencia: sin transferencia extra-UE para informes de fallos
• Sitio: sentry.io · Docs: DPA, privacidad

2.6 Apple

• Denominación legal: Apple Inc. (EE. UU.) / Apple Distribution International Ltd (Irlanda, para usuarios UE)
• Ubicación: Estados Unidos / Irlanda
• Finalidad: distribución en App Store, compras integradas (IAP), notificaciones push (APNs), HealthKit en el dispositivo, Sign in with Apple
• Categorías de datos: Apple ID (para IAP), token push, datos de salud en el dispositivo (no transferidos a Apple por Strenqo)
• Mecanismo de transferencia: decisión de adecuación UE (Irlanda) / DPF (Apple Inc. inscrita) + garantías del Apple Developer Program
• Sitio: apple.com · privacidad

2.7 Google

• Denominación legal: Google LLC (EE. UU.) / Google Ireland Ltd (Irlanda, para usuarios UE)
• Ubicación: Estados Unidos / Irlanda
• Finalidad: distribución en Google Play, IAP, notificaciones push (FCM), Health Connect en el dispositivo, Google Maps SDK Android (renderizado de mosaicos de mapa para rutas de cardio al aire libre)
• Categorías de datos: cuenta de Google (para IAP), token push, datos de salud en el dispositivo, coordenadas GPS (solo si utiliza rutas de cardio al aire libre)
• Mecanismo de transferencia: EU-US DPF (Google LLC inscrita) + SCC
• Sitio: google.com · privacidad

2.8 OpenFoodFacts

• Denominación legal: Open Food Facts (asociación sin ánimo de lucro)
• Ubicación / alojamiento: Francia (UE)
• Finalidad: base de datos pública de alimentos (búsqueda por texto / código de barras)
• Categorías de datos: ningún dato personal del usuario de Strenqo — las consultas de búsqueda contienen únicamente texto libre o código de barras, anonimizados antes del envío
• Mecanismo de transferencia: sin transferencia extra-UE
• Sitio: openfoodfacts.org

2.9 ipwho.is

• Ubicación / alojamiento: Estados Unidos
• Finalidad: geolocalización por IP — fallback primario para derivar el país de residencia cuando los mecanismos locales (perfil, zona horaria, idioma del sistema) son insuficientes
• Categorías de datos: solo la dirección IP del usuario. Sin identificador de usuario, sin datos de salud, sin cookies
• Mecanismo de transferencia: SCC estándar del proveedor
• Sitio: ipwho.is

2.10 ipapi.co

• Denominación legal: Kickfire LLC
• Ubicación / alojamiento: Estados Unidos
• Finalidad: geolocalización por IP — fallback secundario, utilizado solo si ipwho.is falla
• Categorías de datos: solo la dirección IP del usuario
• Mecanismo de transferencia: SCC estándar del proveedor
• Sitio: ipapi.co

2.11 Expo (EAS + Auth Proxy)

• Denominación legal: Expo, Inc.
• Ubicación / alojamiento: Estados Unidos
• Finalidad:
  • Auth Proxy: durante “Sign in with Google”, el código de autorización OAuth transita por auth.expo.io antes de intercambiarse por el token final
  • Expo Application Services (EAS): infraestructura de build de la app y actualizaciones Over-The-Air
• Categorías de datos (auth proxy): código de autorización Google OAuth en tránsito, refresh token en tránsito. Ningún dato de salud recibido. La sesión final es gestionada directamente por Supabase Auth
• Mecanismo de transferencia: EU-US DPF + SCC
• Sitio: expo.dev

3. Fuentes de datos de terceros vía OAuth (responsables autónomos)

Los proveedores enumerados a continuación no son encargados del tratamiento de Strenqo conforme al art. 28 RGPD. Son responsables autónomos del tratamiento de los datos que recopilan desde su dispositivo wearable. Previa autorización suya vía OAuth, transmiten un subconjunto de esos datos a nuestro backend, donde Strenqo se convierte en responsable de la copia importada. Los enumeramos aquí, junto con nuestros subencargados, en aras de la plena transparencia sobre el flujo de datos.

3.1 Whoop

• Denominación legal: Whoop, Inc.
• Ubicación: Estados Unidos (Boston, Massachusetts)
• País de alojamiento de sus datos: Estados Unidos
• Su rol: responsable autónomo del tratamiento (recopila datos desde su correa Whoop conforme a su propia política de privacidad)
• Datos que recibimos tras su consentimiento OAuth: HRV en bruto (RMSSD), frecuencia cardíaca en reposo, fases del sueño (duraciones de sueño profundo/REM/ligero/despierto/in_bed/asleep), desviación de temperatura de la muñeca, muestras de frecuencia cardíaca por entrenamiento (cuando las expone su API), marcas de tiempo de inicio/fin del entrenamiento y tipo de deporte
• Datos que deliberadamente NO recibimos: Whoop recovery score, strain score (0–21), sleep performance score, day strain — es decir, ninguna de sus métricas derivadas propietarias
• Mecanismo de transferencia (proveedor → Strenqo): SCC en el acuerdo de intercambio de datos de la API de Whoop; la copia importada se almacena luego en nuestro backend Supabase (UE)
• Revocación: Perfil → Salud conectada → Desconectar (revoca el refresh token tanto en nuestro backend como en Whoop); también revocable desde el panel de su cuenta Whoop
• Sitio: whoop.com
• Política del proveedor: whoop.com/legal/privacy

3.2 Oura

• Denominación legal: Ōura Health Oy
• Ubicación: Finlandia (Oulu) — Unión Europea
• País de alojamiento de sus datos: Unión Europea (Finlandia)
• Su rol: responsable autónomo del tratamiento
• Datos que recibimos tras su consentimiento OAuth: HRV en bruto, frecuencia cardíaca en reposo, fases del sueño, lecturas de SpO₂, metadatos del entrenamiento, desviación de temperatura de la muñeca
• Datos que deliberadamente NO recibimos: Oura readiness score, sleep score, activity score
• Mecanismo de transferencia: intra-UE (Oura es un responsable UE). Nuestra copia se aloja en Supabase UE
• Revocación: Perfil → Salud conectada → Desconectar; también revocable desde el panel de su cuenta Oura
• Sitio: ouraring.com
• Política del proveedor: ouraring.com/privacy

3.3 Cláusula tipo — futuros proveedores cloud wearable

Strenqo podrá, en el futuro, integrar otras plataformas cloud wearable bajo el mismo modelo basado en OAuth (ejemplos: Garmin Connect, Polar Flow, Fitbit / Google Fit, Suunto, Coros, Withings, Samsung Health). Cuando esto ocurra:

1. El proveedor se añadirá a esta sección con el mismo nivel de detalle (denominación legal, ubicación, país de alojamiento de los datos, datos que recibimos, datos que no recibimos, mecanismo de transferencia, vía de revocación).
2. Se notificará a los usuarios con antelación a través de la Edge Function notify-policy-update y/o en la app.
3. Se aplica el mismo principio: Strenqo importa únicamente los datos biométricos en bruto estrictamente necesarios para sus propios algoritmos; no importamos las puntuaciones propietarias del proveedor.
4. Cada proveedor sigue siendo un responsable autónomo. No son subencargados conforme al art. 28.

4. Subencargados que NO utilizamos

Por transparencia, Strenqo no utiliza:

• SDK publicitarios de terceros (AdMob, Meta Audience Network, Unity Ads, AppLovin, IronSource)
• SDK de analítica de terceros (Google Analytics for Firebase, Mixpanel, Amplitude, PostHog, Heap)
• SDK de atribución / medición móvil (AppsFlyer, Adjust, Branch, Singular)
• Trackers comportamentales (Facebook SDK, TikTok SDK)
• Servicios de elaboración de perfiles entre contextos con fines de marketing

5. Resumen por tipo de dato

6. Notificación de cambios

Añadiremos, eliminaremos o sustituiremos subencargados únicamente por necesidades operativas legítimas. La fecha en la parte superior se actualizará. Para cambios sustanciales (p. ej. nuevo subencargado en un tercer país, nueva transferencia extra-UE, nuevo tipo de dato compartido), se notificará a los usuarios por correo electrónico mediante la Edge Function notify-policy-update y/o en la app. Siempre puede retirar el consentimiento a tratamientos opcionales o eliminar la cuenta.

7. Contactos

• Responsable: Andreas Mondo (empresario individual) — Via Pianezza 16, 10040 Givoletto (TO), Italia
• Correo electrónico: strenqo-support@strenqo.eu
• PEC: andreasmondo@ultracert.it
• DPO: no designado (véase Política de Privacidad §1 para la justificación)