Política de Privacidad de Atlyo
Última actualización: 2026-07-02
Esta Política de Privacidad describe cómo Atlyo ("Atlyo", "la Plataforma", "nosotros") recopila, usa, conserva, protege y transfiere los datos personales de las personas que utilizan la aplicación web y móvil de Atlyo ("los Usuarios", "vos"), de conformidad con la Ley 25.326 de Protección de los Datos Personales, su Decreto Reglamentario 1558/2001 y las disposiciones complementarias de la Agencia de Acceso a la Información Pública (AAIP). Atlyo es una plataforma SaaS multi-tenant para la gestión integral de gimnasios, estudios y negocios de fitness, orientada al mercado argentino con proyección regional en LATAM.
Al crear una cuenta, prestar tu consentimiento y utilizar la Plataforma, aceptás las prácticas descriptas en esta Política. Te recomendamos leerla en su totalidad.
1. Responsable del tratamiento y rol multi-tenant
El responsable del tratamiento de la base de datos es Gastón Rieiro Soñez, CUIT 20-39831659-3, con domicilio legal en Saavedra 172, Quilmes, Buenos Aires, Argentina, República Argentina. Para consultas sobre privacidad o para ejercer tus derechos, escribinos a soporte@atlyo-fitness.com.
Atlyo opera como una plataforma multi-tenant: cada gimnasio, estudio o entrenador independiente que contrata el servicio ("el Establecimiento" o "el Tenant") configura su propio espacio, con su marca, sus políticas y sus alumnos. Esto genera una doble relación respecto de tus datos:
- Cuando Atlyo determina las finalidades y medios del tratamiento (por ejemplo, la gestión de tu cuenta a nivel plataforma, la seguridad, la facturación del servicio SaaS a los Establecimientos), Atlyo actúa como responsable del tratamiento.
- Cuando el tratamiento se realiza por cuenta y bajo las instrucciones de un Establecimiento (por ejemplo, la ficha de alumno, la asistencia a clases, las notas de tu entrenador), ese Establecimiento actúa como responsable y Atlyo como encargado del tratamiento (prestador de servicios de tratamiento de datos, en los términos de la Ley 25.326 y de las cláusulas modelo aprobadas por la Disp. DNPDP 60/2016, Anexo II). En ese caso, el responsable primario de tus datos es el Establecimiento a través del cual accedés, y podés dirigir tus reclamos tanto a él como a Atlyo.
Un mismo Usuario puede pertenecer a varios Establecimientos con una única cuenta; en tal caso, cada Establecimiento accede únicamente a los datos vinculados a su propia relación con vos, en virtud del aislamiento multi-tenant de la Plataforma.
2. Qué datos recopilamos
2.1. Datos que nos proporcionás
- Datos de cuenta e identidad: nombre y apellido, correo electrónico, contraseña (que almacenamos siempre hasheada, nunca en texto plano), fecha de nacimiento (utilizada para verificar que tenés la edad mínima requerida —ver Sección 11—), idioma y preferencias de notificación.
- Datos de perfil (opcionales): número de teléfono, foto de perfil y fotos de progreso que decidas cargar. Estas imágenes constituyen contenido generado por vos (User Content).
- Datos de uso de la Plataforma: reservas de clases, cancelaciones, asistencias, check-ins, historial de clases y actividad, y las mediciones o registros de progreso que vos o tu entrenador carguen.
- Comunicaciones: los mensajes que envíes a soporte y los datos asociados a tickets internos. Los anuncios (broadcasts) que un Establecimiento te envíe son comunicaciones unidireccionales del negocio hacia el alumno; Atlyo no ofrece chat entre alumnos.
2.2. Datos sensibles de salud (tratamiento reforzado — Ley 25.326, arts. 2, 7 y 8)
Determinadas funcionalidades de la Plataforma implican el tratamiento de datos personales sensibles relativos a la salud y la condición física de los alumnos, en particular:
- Notas médicas del alumno (por ejemplo, lesiones, condiciones preexistentes, restricciones o indicaciones médicas), cargadas por vos o por el Establecimiento en tu ficha.
- Notas de sesión de los entrenadores (registro de la evolución, observaciones de entrenamiento y recomendaciones vinculadas a tu estado físico).
Estos datos reciben un tratamiento reforzado: (i) se recopilan y tratan únicamente con tu consentimiento expreso y por escrito o medio equiparable, o cuando exista otra base legal que lo habilite; (ii) se destinan exclusivamente a la prestación del servicio de entrenamiento y al cuidado de tu seguridad durante la actividad física; (iii) su acceso está restringido al Establecimiento y a los entrenadores estrictamente vinculados a tu relación; y (iv) nunca se comercializan ni se ceden con fines publicitarios. Podés optar por no cargar estos datos, teniendo en cuenta que ciertos servicios de entrenamiento personalizado podrían no prestarse adecuadamente sin ellos.
2.3. Datos de verificación de identidad de dueños e independientes (KYC)
Cuando una persona se registra como dueño de un Establecimiento o como entrenador independiente, y con la finalidad de habilitar la operación del negocio y, en su caso, la facturación fiscal, le solicitamos documentación de verificación de identidad ("KYC"), que puede incluir: DNI (frente y dorso), CUIT/CUIL, constancia de inscripción ante AFIP/ARCA, constancia de monotributo, credencial de entrenador y una selfie de verificación. Este proceso NO se aplica a los alumnos.
De la documentación de identidad conservamos la referencia de almacenamiento cifrado y una huella de integridad (hash), y purgamos los documentos dentro de los 90 días posteriores a la decisión de verificación, salvo obligación legal de conservación.
2.4. Datos de sede (no geolocalización)
La Plataforma registra la o las sedes de cada Establecimiento y la sede activa que el alumno selecciona dentro de su negocio, con el fin de organizar clases, reservas y asistencia. Atlyo NO recopila la geolocalización precisa (GPS) de tu dispositivo ni solicita permisos de ubicación: se trata únicamente de la sede operativa que vos o el Establecimiento eligen, no de tu posición física.
2.5. Identificadores técnicos y de dispositivo
- Token de notificaciones push e identificador de dispositivo, necesarios para enviarte avisos operativos (recordatorios de clase, vencimientos, estado de pagos). Podés desactivar las notificaciones desde los ajustes de tu dispositivo.
- Datos técnicos y de seguridad: dirección IP, agente de usuario (user-agent), fecha y hora de acceso, identificadores de sesión, y registros de errores y de auditoría necesarios para el funcionamiento, la seguridad y la prevención de fraude.
2.6. Datos de pago
Los métodos de pago se procesan en forma tokenizada a través de MercadoPago (ver Sección 5). Atlyo conserva el estado y el comprobante de cada operación, el historial de facturación y de compras (suscripciones y paquetes), pero nunca almacena el número completo de tu tarjeta (PAN), el código de seguridad (CVV) ni tus credenciales bancarias.
2.7. Bloqueo biométrico local
Si activás el bloqueo de la aplicación con huella dactilar o reconocimiento facial (Face ID / Touch ID), la verificación biométrica ocurre de forma local, en tu propio dispositivo, a través del sistema operativo. Atlyo no recibe, no ve ni almacena ningún dato biométrico: la Plataforma solo recibe del sistema operativo la confirmación de que el desbloqueo fue exitoso o fallido.
3. Base legal y consentimiento (Ley 25.326, art. 5)
El tratamiento de tus datos se funda en tu consentimiento libre, expreso e informado (art. 5, Ley 25.326), que prestás al aceptar esta Política —mediante la aceptación explícita al momento del alta y con la Política accesible en forma previa— y, según el caso, en las siguientes bases adicionales:
- Ejecución de la relación contractual: la prestación de las funcionalidades que contratás o que utilizás a través de un Establecimiento.
- Cumplimiento de obligaciones legales: obligaciones fiscales, contables y de conservación (por ejemplo, comprobantes AFIP/ARCA) y respuesta a requerimientos judiciales o de autoridad competente.
- Interés legítimo: seguridad de la Plataforma, prevención del fraude y garantía de la integridad del servicio.
Para los datos sensibles de salud (Sección 2.2), la base es tu consentimiento expreso y por escrito o medio equiparable, específicamente informado para esa finalidad (Ley 25.326, arts. 7 y 8).
Podés retirar tu consentimiento en cualquier momento, sin efecto retroactivo y sin que ello afecte la licitud del tratamiento previo. El retiro del consentimiento para ciertos datos puede implicar la imposibilidad de continuar prestándote determinadas funcionalidades.
4. Finalidades del tratamiento
Tratamos tus datos personales para las siguientes finalidades:
- Crear y administrar tu cuenta, verificar tu edad y gestionar tu pertenencia a uno o más Establecimientos.
- Prestar las funcionalidades contratadas: gestión de clases, reservas, listas de espera, asistencia y check-in.
- Registrar y gestionar tu progreso físico y las indicaciones de tu entrenador, cuando corresponda.
- Procesar pagos, suscripciones y paquetes, y emitir la facturación conforme a la normativa fiscal aplicable.
- Enviarte notificaciones operativas sobre tu actividad (recordatorios, vencimientos, estado de pagos) y los anuncios del Establecimiento.
- Verificar la identidad de dueños y entrenadores independientes (KYC).
- Detectar y prevenir abusos, fraudes e incidentes de seguridad.
- Cumplir obligaciones legales, fiscales, contables, de auditoría y requerimientos de autoridad competente.
- Mejorar el producto mediante métricas agregadas y anonimizadas. No utilizamos tus datos personales para entrenar modelos de inteligencia artificial de terceros.
5. Con quién compartimos tus datos (encargados de tratamiento)
Compartimos datos únicamente con los prestadores estrictamente necesarios para operar la Plataforma, que actúan como encargados del tratamiento por cuenta de Atlyo, bajo acuerdos de tratamiento de datos y, cuando corresponde, con las cláusulas contractuales modelo para transferencias internacionales:
- MercadoPago — procesamiento de pagos (único proveedor de pagos en la versión actual). Es un Proveedor de Servicios PCI-DSS; recibe y tokeniza los datos de tu tarjeta bajo su propia política de privacidad.
- SendGrid — envío de correos electrónicos transaccionales (comprobantes, notificaciones, recuperación de contraseña).
- Cloudflare — almacenamiento de archivos (imágenes, documentos de verificación) y entrega de video mediante Cloudflare Stream, además de servicios de red y seguridad perimetral.
- Railway — infraestructura de hosting de la aplicación web y de la base de datos PostgreSQL.
- Sentry — monitoreo de errores y observabilidad técnica. Solo se activa si la configuración de producción lo habilita; en caso de estar activo, puede procesar datos técnicos y de diagnóstico.
Además, compartimos datos con el Establecimiento a través del cual accedés (limitados a lo necesario para prestarte el servicio) y con autoridades públicas cuando lo exija la ley o una orden competente.
No vendemos tus datos personales a terceros ni los cedemos con fines publicitarios.
6. Transferencia internacional de datos (Ley 25.326, art. 12)
Parte de nuestra infraestructura de hosting (Railway y su base de datos PostgreSQL) y el proveedor de correo (SendGrid) operan desde servidores ubicados presumiblemente en Estados Unidos, y algunos servicios de red y video (Cloudflare) utilizan una red de distribución global. Esto implica una transferencia internacional de datos personales.
Estados Unidos NO integra la lista de países considerados con nivel de protección adecuado por la autoridad argentina (la nómina de países adecuados comprende, entre otros, a los Estados de la UE/EEE, Suiza, Guernsey, Jersey, Isla de Man, Islas Feroe, Andorra, Canadá —sector privado—, Nueva Zelanda, Uruguay e Israel; conforme Disp. DNPDP 60/2016 y sus actualizaciones). En consecuencia, dichas transferencias se amparan en las cláusulas contractuales modelo aprobadas por la normativa vigente (Disp. DNPDP 60/2016, Anexo II —prestación de servicios—, actualizada por Res. AAIP 198/2023), que garantizan un nivel de protección equivalente al exigido por la Ley 25.326.
Al aceptar esta Política, prestás tu consentimiento a estas transferencias internacionales para las finalidades aquí descriptas.
7. Conservación de los datos
Conservamos tus datos personales durante los plazos necesarios para cumplir las finalidades descriptas y las obligaciones legales aplicables:
- Datos de cuenta activa: mientras dure la relación con la Plataforma o con el Establecimiento.
- Datos transaccionales (reservas, asistencias): tras la baja de la cuenta, se conservan durante un período de gracia de 30 días y luego se anonimizan, preservando la integridad referencial.
- Documentos de verificación de identidad (KYC): se purgan dentro de los 90 días posteriores a la decisión de verificación, salvo obligación legal.
- Datos fiscales (comprobantes, pagos): durante el plazo exigido por la normativa fiscal aplicable (conservación de comprobantes y libros).
- Registros de auditoría y seguridad: durante el plazo razonable necesario para fines de seguridad y prueba.
- Copias de respaldo (backups): dentro de una ventana móvil de retención, tras la cual se eliminan o sobrescriben.
Cumplidos los plazos, los datos se eliminan o anonimizan en forma irreversible.
8. Tus derechos: acceso, rectificación, actualización y supresión (ARCO — Ley 25.326, art. 14)
Como titular de los datos, tenés derecho a:
- Acceder a los datos personales que tenemos sobre vos y conocer su finalidad y destinatarios.
- Rectificar los datos inexactos y actualizar los desactualizados.
- Suprimir tus datos ("derecho al olvido") cuando corresponda.
- Oponerte a determinados tratamientos y solicitar la limitación del tratamiento mientras se resuelve un reclamo.
Plazos y gratuidad (art. 14, Ley 25.326): el ejercicio del derecho de acceso es gratuito a intervalos no menores a seis (6) meses, y lo respondemos dentro de los diez (10) días corridos de recibida la solicitud. Los pedidos de rectificación, actualización o supresión se resuelven dentro de los plazos legales aplicables (como regla, cinco días hábiles).
Cómo ejercer tus derechos
- Acceso y portabilidad (auto-servicio): podés generar y descargar una copia de tus datos en formato estructurado y legible por máquina (JSON) desde
/me/data-export, sin costo. - Supresión / baja de cuenta (auto-servicio): podés iniciar la eliminación de tu cuenta desde
/me/delete-account. Aplicamos un período de gracia de 30 días reversibles; transcurrido dicho plazo, tus datos personales se anonimizan (correo, nombre, teléfono y foto se eliminan o se reemplazan por tokens), preservando únicamente lo que la ley obliga a conservar. La opción de baja también está disponible desde la aplicación móvil. - Otros derechos y consultas: escribinos a soporte@atlyo-fitness.com con el detalle de tu pedido.
Si accedés a través de un Establecimiento que actúa como responsable, podés dirigir tu solicitud a ese Establecimiento o a Atlyo; en este último caso, colaboraremos con el Establecimiento para atender tu pedido.
Autoridad de control
La AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA (AAIP), órgano de control de la Ley 25.326, tiene la atribución de atender las denuncias y reclamos vinculados al incumplimiento de las normas sobre protección de datos personales. Podés presentar un reclamo ante la AAIP si considerás que el tratamiento vulnera tus derechos.
9. Medidas de seguridad (Res. AAIP 47/2018)
Aplicamos medidas técnicas y organizativas razonables y acordes a la normativa vigente (Res. AAIP 47/2018) para proteger tus datos, entre ellas: cifrado en tránsito (TLS), cifrado en reposo de la información sensible y de los documentos almacenados, hasheo de contraseñas, control de acceso basado en roles (RBAC), aislamiento multi-tenant a nivel de base de datos (row-level security), registros de auditoría y monitoreo de eventos, y accesos restringidos según el principio de necesidad. Ningún sistema es completamente infalible; trabajamos de forma continua para mantener y mejorar estas medidas.
10. Notificación de incidentes de seguridad
Ante un incidente de seguridad que afecte tus datos personales, actuaremos conforme a la normativa aplicable y a las guías de la AAIP: evaluaremos el alcance del incidente, adoptaremos las medidas de contención y remediación correspondientes y, cuando la naturaleza y gravedad del incidente lo requiera, notificaremos a la autoridad de control y a los titulares afectados en un plazo razonable, informando la naturaleza del incidente y las medidas adoptadas.
11. Menores de edad
La Plataforma admite el registro de personas a partir de los 16 años, edad a partir de la cual la normativa reconoce capacidad para prestar consentimiento válido respecto del tratamiento de sus propios datos personales. No recopilamos a sabiendas datos de personas menores de 16 años. Si detectamos una cuenta de una persona que no alcanza la edad mínima, procederemos a darla de baja. Cuando un Establecimiento gestione datos de menores en el marco de su actividad, será responsable de recabar el consentimiento de quien ejerza la responsabilidad parental cuando la normativa así lo exija.
12. Contenido generado por usuarios y mecanismo de reporte
La Plataforma permite cargar contenido generado por usuarios (fotos de perfil y de progreso, anuncios de los Establecimientos y contenido de los entrenadores). Dicho contenido es responsabilidad de quien lo publica. Atlyo actúa como intermediario tecnológico y, conforme a la doctrina de la Corte Suprema de Justicia de la Nación en el caso "Rodríguez, María Belén c/ Google Inc." (2014), no tiene un deber general de monitoreo previo, pero actuará ante una notificación fehaciente de contenido manifiestamente ilícito o lesivo (procedimiento de notice-and-takedown), reservándose el derecho de moderar, limitar o eliminar contenido y de suspender cuentas. Para reportar contenido, escribí a soporte@atlyo-fitness.com.
13. Cookies y tecnologías similares
Utilizamos cookies y tecnologías de almacenamiento estrictamente necesarias para la sesión y la seguridad de la Plataforma. No utilizamos cookies de terceros con fines publicitarios ni de seguimiento (tracking) en la aplicación autenticada. En el sitio público de marketing podríamos utilizar analítica agregada y anonimizada, respetando la señal Do Not Track de tu navegador cuando esté disponible.
14. Cambios en esta Política
Podemos actualizar esta Política para reflejar cambios en el producto, en los encargados de tratamiento o en la normativa aplicable. Publicaremos la versión vigente con su fecha de actualización y notificaremos las modificaciones sustanciales por correo electrónico y mediante aviso en la Plataforma.
15. Contacto
Por cualquier consulta sobre privacidad o para ejercer tus derechos: soporte@atlyo-fitness.com.
— ESTE DOCUMENTO NO CONSTITUYE ASESORAMIENTO LEGAL. Requiere la revisión y validación de un abogado matriculado antes de su publicación. —

