Política de privacidad
1. Introducción
En IMAGYM nos tomamos en serio la privacidad de nuestros socios y de las personas que se relacionan con nosotros. Esta Política de Privacidad explica con qué finalidad tratamos sus datos personales, en qué bases legales nos apoyamos para hacerlo, durante cuánto tiempo los conservamos, con qué prestadores los compartimos y cómo puede ejercer sus derechos en cualquier momento.
Esta política da cumplimiento a las obligaciones de información establecidas en el Reglamento (UE) 2016/679 (RGPD) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
1. Información general
1.1 Responsable del tratamiento
| Razón social | IMAGYM FITNESS SERVICES SL |
| C.I.F. | B-86665957 |
| Domicilio social | Calle Hermano Gárate, 8 / 5A · 28020 Madrid |
| Email general | info@imagym.es |
| Email de protección de datos | protecciondedatos@imagym.es |
| Web | https://imagym.es |
1.2 Delegado de Protección de Datos (DPO)
IMAGYM se encuentra en proceso de designación de Delegado de Protección de Datos, dada la dimensión de la operación y la naturaleza de los tratamientos que realiza.
Hasta la designación efectiva, las consultas, solicitudes y reclamaciones en materia de protección de datos se canalizan a través de la dirección protecciondedatos@imagym.es. Una vez designado el DPO, esta política será actualizada con sus datos de contacto.
1.3 Compromiso de IMAGYM
IMAGYM trata los datos personales conforme a los principios de licitud, lealtad y transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad, y responsabilidad proactiva (artículo 5 RGPD).
Sólo solicitamos los datos estrictamente necesarios para prestar los servicios que el Cliente nos contrata, para cumplir nuestras obligaciones legales y para garantizar la seguridad de las instalaciones.
2. Datos personales que tratamos
IMAGYM trata las siguientes categorías de datos personales:
2.1 Datos identificativos y de contacto
Nombre, apellidos, número de documento de identidad (DNI, NIE o pasaporte), fecha de nacimiento, dirección de correo electrónico, número de teléfono móvil. Recogidos en el formulario de inscripción y, parcialmente, mediante OCR del documento de identidad.
2.2 Datos extraídos del documento de identidad
Mediante el sistema OCR habilitado en el flujo de inscripción, IMAGYM extrae del anverso del documento de identidad presentado por el Cliente los datos identificativos referidos en el apartado anterior, junto con la fotografía del rostro que figura en el documento. Esta fotografía se utiliza exclusivamente para la verificación visual de la identidad del titular en el acceso al gimnasio, sin tratamiento biométrico automatizado.
IMAGYM no almacena copia íntegra del documento de identidad. Únicamente conserva los datos identificativos extraídos y la fotografía facial. La imagen completa del documento se descarta una vez extraídos los datos.
2.3 Datos económicos y bancarios
Datos de la tarjeta bancaria asociada a la cuenta del Cliente, tokenizados a través de la pasarela de pago. IMAGYM no almacena el número completo de la tarjeta ni el código CVV; conserva únicamente la referencia tokenizada que permite efectuar los cargos recurrentes y el identificador parcial de la tarjeta a efectos de visualización por el Cliente en su área personal.
En aquellos casos en los que el medio de pago acordado sea la domiciliación bancaria, IMAGYM conserva el número de cuenta IBAN del Cliente.
2.4 Declaración de aptitud física
En el flujo de inscripción, el Cliente debe marcar un checkbox específico mediante el cual declara, bajo su responsabilidad, que se encuentra en condiciones físicas adecuadas para la práctica deportiva. Esta declaración funciona como condición técnica de continuación del proceso: si el Cliente no marca el checkbox, el sistema no permite finalizar la inscripción.
IMAGYM no conserva la declaración ni ningún dato relativo al estado de salud del Cliente. No se almacena el contenido de la declaración, no se recogen diagnósticos médicos ni historial clínico ni ninguna otra información sanitaria. Por tanto, IMAGYM no realiza ningún tratamiento posterior de datos relativos a la salud derivado de esta declaración.
2.5 Datos de uso de las instalaciones
Fecha y hora de cada acceso al gimnasio, sala utilizada cuando aplique, reservas de actividades dirigidas y asistencia efectiva, uso de servicios complementarios (custodia de valores, aparcamiento, etc.). Estos datos son necesarios para verificar la prestación efectiva del servicio contratado y para la gestión operativa del centro.
2.6 Datos generados por videovigilancia
Imágenes captadas por las cámaras de seguridad instaladas en los gimnasios, con la finalidad exclusiva de seguridad de personas y bienes y de identificación de incidencias. Dada la naturaleza del modelo de IMAGYM (apertura 24 horas con presencia limitada de personal), la cobertura de videovigilancia abarca las zonas en las que se desarrolla la actividad del centro, excepto aquellas donde la expectativa de intimidad de las personas es máxima.
2.7 Datos de navegación y cookies
IMAGYM utiliza cookies y tecnologías similares en su sitio web y aplicación móvil. La política específica de cookies se publica de forma separada en https://imagym.es/atencion-al-cliente/politica-de-cookies/, donde se detalla cada cookie utilizada, su finalidad y los procedimientos para configurar las preferencias del usuario.
2.8 Datos de comunicaciones
Correos electrónicos, llamadas telefónicas y videollamadas mantenidas con el Cliente, así como los registros asociados (fecha, duración, contenido cuando proceda) generados por las herramientas de comunicación de IMAGYM.
3. Finalidades y bases legales del tratamiento
IMAGYM trata los datos personales del Cliente con las siguientes finalidades, cada una de ellas amparada en su correspondiente base legal:
| # | Finalidad | Base legal |
|---|---|---|
| 1 | Gestión de la relación contractual de membresía: alta, mantenimiento, modificación y baja | Ejecución del contrato (art. 6.1.b RGPD) |
| 2 | Cobro de cuotas, servicios complementarios y cargos administrativos | Ejecución del contrato (art. 6.1.b RGPD) |
| 3 | Facturación, contabilidad y cumplimiento de obligaciones tributarias y mercantiles | Cumplimiento de obligación legal (art. 6.1.c RGPD) |
| 4 | Verificación de la identidad del Cliente en el acceso al gimnasio | Ejecución del contrato (art. 6.1.b RGPD) e interés legítimo en garantizar el uso personal e intransferible de la membresía (art. 6.1.f RGPD) |
| 5 | Seguridad de personas y bienes, mediante videovigilancia | Interés legítimo en la seguridad (art. 6.1.f RGPD) y, en su caso, cumplimiento de obligaciones de seguridad (art. 6.1.c RGPD) |
| 6 | Atención al socio y resolución de incidencias | Ejecución del contrato (art. 6.1.b RGPD) |
| 7 | Comunicaciones operativas (avisos de cierre, cambios de horario, mantenimientos, novedades del centro) | Ejecución del contrato (art. 6.1.b RGPD) |
| 8 | Comunicaciones comerciales sobre servicios similares a los contratados | Interés legítimo (art. 6.1.f RGPD) y artículo 21.2 LSSI |
| 9 | Comunicaciones comerciales más amplias (campañas a no clientes, marketing directo de productos no relacionados) | Consentimiento explícito (art. 6.1.a RGPD) |
| 10 | Atención de requerimientos de autoridades, juzgados y tribunales | Cumplimiento de obligación legal (art. 6.1.c RGPD) |
| 11 | Defensa de IMAGYM frente a reclamaciones | Interés legítimo (art. 6.1.f RGPD) |
3.1 Carácter de los datos solicitados
Los datos solicitados en los formularios de inscripción son necesarios para la prestación del servicio contratado. La negativa a facilitarlos impide a IMAGYM formalizar el contrato.
El consentimiento para el envío de comunicaciones comerciales más amplias es de cumplimentación expresa por el Cliente y puede ser revocado en cualquier momento, sin que ello afecte a la prestación del servicio.
La declaración de aptitud física es una condición obligatoria para completar el proceso de inscripción: sin marcarla, el sistema no permite finalizar el alta. No constituye un consentimiento revocable ni genera un dato relativo a la salud que IMAGYM conserve, conforme a lo indicado en el apartado 2.4.
4. Plazos de conservación
IMAGYM conserva los datos personales durante el tiempo estrictamente necesario para cumplir con las finalidades para las que fueron recogidos, y siempre en cumplimiento con los plazos legales aplicables.
| Categoría de datos | Plazo de conservación |
|---|---|
| Datos identificativos y de contacto durante la membresía activa | Mientras se mantenga la condición de socio |
| Datos identificativos y de contacto tras la baja | 6 años desde la baja (Código de Comercio, art. 30) |
| Datos contables y económicos | 6 años (Código de Comercio, art. 30) |
| Datos fiscales | El plazo más largo entre 4 años (LGT, art. 66) y 6 años (Código de Comercio) |
| Fotografía del rostro y datos extraídos del documento de identidad | Durante la membresía activa. Tras la baja, bloqueo durante 6 años para atender posibles reclamaciones, y supresión definitiva al finalizar el plazo |
| Imágenes de videovigilancia | Máximo 30 días desde su captación (art. 22 LOPDGDD). El plazo efectivo puede ser inferior, sobrescribiéndose automáticamente las grabaciones. Cuando una grabación sea necesaria para acreditar un incidente, se conservará durante el tiempo necesario para la tramitación |
| Datos de comunicaciones comerciales | Hasta la retirada del consentimiento o el ejercicio del derecho de oposición |
| Reclamaciones y litigios | Durante la sustanciación del procedimiento más los plazos legales aplicables a cada tipo |
4.1 Bloqueo, anonimización y supresión definitiva
Conforme al artículo 32 LOPDGDD, una vez transcurrida la finalidad para la que se recogieron los datos, IMAGYM procederá al bloqueo de los mismos durante el plazo durante el cual pudieran derivarse responsabilidades de su tratamiento. Durante el bloqueo, los datos quedan a disposición exclusiva de Jueces y Tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular la Agencia Española de Protección de Datos. Transcurrido el plazo de bloqueo, los datos se eliminan de forma definitiva.
Ejercicio del derecho de supresión por el Cliente. Cuando el Cliente ejerce su derecho de supresión, IMAGYM procede a la anonimización de sus datos: el dato deja de ser identificable y queda disociado de cualquier referencia a la persona. Los datos anonimizados se conservan durante los plazos legales aplicables (6 años, Código de Comercio art. 30, y plazos fiscales de la LGT art. 66) y, transcurridos éstos, se eliminan de forma definitiva.
Con carácter complementario, el prestador que gestiona la base de datos conserva, por imperativo legal, una copia interna del registro original que no resulta accesible para IMAGYM y que se rige por los mismos plazos legales. Esta conservación no afecta al derecho efectivo de supresión del Cliente, que recibe confirmación de la anonimización por parte de IMAGYM.
Implicación para el Cliente: una vez anonimizados sus datos, IMAGYM deja de poder acceder a ellos y, por tanto, no puede reactivar la membresía anterior. Si el Cliente desea volver a inscribirse, lo hará como cliente nuevo, sin continuidad con la membresía previa.
5. Tratamientos específicos
5.1 Sistema de videovigilancia
Dada la especial característica del modelo de IMAGYM, que opera 24 horas con presencia limitada de personal durante una parte significativa del horario, los gimnasios cuentan con un sistema de videovigilancia con grabación permanente que cubre las zonas en las que se desarrolla la actividad, excepto aquellas donde la expectativa de intimidad de las personas es máxima. La finalidad es garantizar la seguridad de personas y bienes, identificar incidencias e incumplimientos del Reglamento de Uso, y atender requerimientos de autoridades competentes.
- Cartelería informativa: en cada gimnasio se exhibe la cartelería exigida por la AEPD, identificando la existencia del sistema, el responsable del tratamiento y los canales de ejercicio de derechos.
- Acceso a las grabaciones: accesibles únicamente al personal autorizado de IMAGYM y, en su caso, a las autoridades públicas que las requieran.
- Plazo: máximo 30 días desde la captación, con sobrescritura automática. Cuando una grabación sea necesaria para acreditar un incidente, se conserva durante el tiempo necesario para la tramitación.
5.2 Sistema OCR del documento de identidad y fotografía del rostro
En el flujo de inscripción, IMAGYM utiliza un sistema OCR para extraer del documento de identidad los datos identificativos necesarios y la fotografía facial.
- Lo que se extrae y conserva: nombre, apellidos, número de documento, fecha de nacimiento, fotografía del rostro.
- Lo que NO se conserva: imagen completa del documento de identidad (anverso o reverso), firma manuscrita, ningún otro dato del documento.
- Finalidad de la fotografía facial: verificación visual de la identidad del titular en el acceso al gimnasio. No se utiliza ningún sistema de reconocimiento biométrico automatizado.
- Alternativa al OCR: el Cliente que prefiera no someterse al sistema OCR puede solicitar la tramitación presencial de la inscripción, aportando su documento de identidad para verificación manual por el personal.
5.3 Datos de menores acompañados
El acceso al gimnasio de menores entre 16 y 18 años está condicionado a la inscripción presencial por parte del progenitor o tutor legal, en el horario de atención comercial, aportando el documento de identidad del menor. La ficha del menor queda vinculada a la del progenitor o tutor.
El tratamiento de los datos del menor se ampara en el consentimiento del titular de la patria potestad o tutela, conforme al artículo 7 LOPDGDD.
6. Destinatarios de los datos
IMAGYM no comunica ni cede datos personales a terceros para fines comerciales propios de éstos. Únicamente comparte datos en los siguientes supuestos:
6.1 Encargados del tratamiento
IMAGYM contrata a los siguientes prestadores de servicios que, en cumplimiento de sus funciones, acceden a datos personales del Cliente. Cada uno actúa como encargado del tratamiento y está sujeto a un contrato de encargo conforme al artículo 28 RGPD:
| Prestador | Función | Categorías de datos tratadas | Ubicación principal |
|---|---|---|---|
| Bookgy (Agendic, S.L.) | Plataforma de gestión integral de la operativa | Datos identificativos, de contacto, de uso de instalaciones, foto del rostro | España (UE) |
| Stripe (Stripe Payments Europe, Ltd.) | Procesamiento de pagos electrónicos | Datos de tarjeta tokenizados, identificación parcial, datos de transacciones | Irlanda (UE), con tratamiento en EE. UU. por Stripe, Inc. |
| IONOS (1&1 IONOS España, S.L.U.) | Alojamiento de correo electrónico y almacenamiento documental | Datos de correos, archivos administrativos | Alemania / España (UE) |
| Gruveo (Gruveo, s.r.o.) | Videollamada de atención al cliente | Metadatos de la llamada y, en su caso, contenido de la videollamada | Eslovaquia (UE) |
| Google (Google Ireland, Ltd.) | Analítica de tráfico web (Google Analytics) y publicidad digital | Datos de navegación, identificadores, ubicación aproximada | Irlanda (UE), con tratamiento en EE. UU. por Google LLC |
| ElevenLabs (ElevenLabs, Inc.) | Agentes de inteligencia artificial conversacional | Nombre y apellido del Cliente, a efectos de personalización | Estados Unidos |
| Anthropic (Anthropic, PBC) | Servicios de inteligencia artificial para la automatización de procesos internos | Acceso autorizado a datos según la finalidad concreta del análisis | Estados Unidos |
6.2 Comunicaciones a terceros con base legal
IMAGYM puede comunicar datos personales:
- A bancos y entidades de pago para la ejecución de los cobros y devoluciones.
- A la Agencia Estatal de Administración Tributaria, Seguridad Social y otras administraciones públicas competentes, en cumplimiento de obligaciones legales.
- A Jueces, Tribunales y Ministerio Fiscal que lo requieran en el ejercicio de sus funciones.
- A las Fuerzas y Cuerpos de Seguridad del Estado cuando sea legalmente requerido o cuando proceda para acreditar incidencias graves.
- A los abogados y procuradores de IMAGYM, en el contexto del asesoramiento legal o de la defensa de la empresa frente a reclamaciones.
6.3 Transferencias internacionales
Algunos de los prestadores indicados en el apartado 6.1 están establecidos o tratan datos fuera del Espacio Económico Europeo, principalmente en Estados Unidos. En concreto: Stripe, Google, ElevenLabs y Anthropic.
Cuando se produce una transferencia internacional de datos, ésta se realiza al amparo de las garantías previstas en el capítulo V del RGPD:
- Stripe, Google y ElevenLabs están adheridos al EU-US Data Privacy Framework (Decisión de Adecuación de la Comisión Europea de 10 de julio de 2023), complementado por las Cláusulas Contractuales Tipo aprobadas por la Decisión de Ejecución (UE) 2021/914.
- Anthropic realiza las transferencias sobre la base de las Cláusulas Contractuales Tipo (Decisión de Ejecución (UE) 2021/914).
En todos los casos, IMAGYM adopta las medidas complementarias razonables para garantizar que los datos gozan de un nivel de protección equivalente al exigido en el Espacio Económico Europeo.
7. Derechos del Cliente
7.1 Derechos reconocidos
Conforme al RGPD, el Cliente tiene derecho a:
- Acceso: conocer qué datos personales suyos trata IMAGYM y obtener una copia de los mismos.
- Rectificación: solicitar la corrección de datos inexactos o incompletos.
- Supresión: solicitar la eliminación de los datos cuando ya no sean necesarios o cuando se haya retirado el consentimiento, salvo que IMAGYM deba conservarlos por obligación legal.
- Limitación del tratamiento: solicitar que el tratamiento de sus datos quede temporalmente restringido en determinadas circunstancias.
- Portabilidad: solicitar que los datos facilitados le sean entregados en formato estructurado, de uso común y legible mecánicamente, y, cuando sea técnicamente posible, transmitirlos directamente a otro responsable.
- Oposición: oponerse al tratamiento de sus datos cuando se ampare en el interés legítimo de IMAGYM, en particular para el envío de comunicaciones comerciales.
- Revocación del consentimiento: retirar en cualquier momento los consentimientos prestados, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
7.2 Cómo ejercer los derechos
El Cliente puede ejercer sus derechos por las siguientes vías:
- Por correo electrónico a protecciondedatos@imagym.es, indicando el derecho que se ejercita. Para acreditar la identidad del solicitante, el correo debe enviarse desde la dirección de email registrada en el perfil de socio del Cliente.
- Desde el área personal de socio en la web o aplicación móvil, a medida que IMAGYM vaya habilitando procedimientos simplificados para los derechos más frecuentes.
IMAGYM responderá a las solicitudes en el plazo máximo de un (1) mes desde su recepción, ampliable a dos (2) meses cuando la complejidad o el número de solicitudes así lo justifique.
7.3 Reclamación ante la AEPD
Si el Cliente considera que IMAGYM no ha atendido adecuadamente su solicitud o que el tratamiento de sus datos no es conforme al RGPD, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD):
- Web: https://www.aepd.es
- Sede electrónica: https://sedeagpd.gob.es
- Dirección postal: C/ Jorge Juan, 6 · 28001 Madrid
- Teléfono: 901 100 099 / 912 663 517
8. Seguridad de los datos
IMAGYM aplica las medidas técnicas y organizativas razonables para garantizar la integridad, confidencialidad y disponibilidad de los datos personales que trata, de modo que se evite cualquier acceso, alteración, pérdida o uso no autorizado. Estas medidas incluyen, entre otras:
- Cifrado de las comunicaciones mediante protocolos estándar (HTTPS, TLS).
- Control de acceso por roles a las aplicaciones internas, con autenticación robusta.
- Tokenización de los datos de tarjeta bancaria a través de Stripe (PCI DSS).
- Copias de seguridad regulares y procedimientos de restauración probados.
- Registros de auditoría de los accesos a datos personales sensibles.
- Formación periódica del personal en materia de protección de datos.
8.1 Notificación de brechas de seguridad
En caso de producirse una brecha de seguridad que afecte a datos personales y suponga un riesgo para los derechos y libertades de los Clientes, IMAGYM lo comunicará a la AEPD en el plazo máximo de 72 horas desde su conocimiento, conforme al artículo 33 RGPD, y, cuando proceda, lo comunicará también a los Clientes afectados conforme al artículo 34 RGPD.
9. Política de cookies
El uso de cookies y tecnologías similares en el sitio web y en la aplicación móvil de IMAGYM se rige por la Política de Cookies publicada en https://imagym.es/atencion-al-cliente/politica-de-cookies/, donde el Cliente encontrará la información detallada sobre cada cookie utilizada, su finalidad y los procedimientos para configurar las preferencias.
10. Modificaciones de esta Política de Privacidad
IMAGYM se reserva el derecho de modificar esta Política de Privacidad para adaptarla a cambios normativos, jurisprudenciales o de los tratamientos efectuados.
Cuando una modificación afecte sustancialmente a los derechos del Cliente o a las finalidades del tratamiento, IMAGYM la comunicará con al menos quince (15) días de antelación a su entrada en vigor, mediante correo electrónico a la dirección registrada en el perfil del Cliente y mediante aviso destacado en el área personal de socio.
11. Contacto
Para cualquier consulta o solicitud relativa a esta Política de Privacidad o al tratamiento de los datos personales, el Cliente puede dirigirse a IMAGYM:
- Email general: info@imagym.es
- Email de protección de datos: protecciondedatos@imagym.es
Los datos societarios completos del responsable del tratamiento figuran en el apartado 1.1 de esta política.
Última actualización: 17 de julio de 2026
