Cómo protegemos tus datos

ApexGolf es actualmente un proyecto personal operado por una persona natural, identificada en esta Política como Martin Schilkrut. Hoy no existe todavía una empresa constituida. El titular tiene la intención de constituir y operar el Servicio a futuro a través de una entidad en Delaware, Estados Unidos, momento en el cual los derechos y obligaciones de esta Política podrán cederse a dicha entidad. Te avisaremos si eso ocurre.

Para efectos de la legislación de protección de datos, Martin Schilkrut actúa como responsable del tratamiento de tus datos personales. Su domicilio de contacto es Santiago, Chile.

Puedes contactar al responsable en materia de privacidad escribiendo a privacy@apexgolf.pro o, para consultas generales, a support@apexgolf.pro.

Esta Política está redactada en español, que es el idioma que prevalece para los usuarios de Chile y América Latina.

Aunque el Servicio se opera con miras a una futura entidad en Delaware (EEUU) y se rige supletoriamente por la ley de ese estado, si resides en Chile o en otro país de América Latina conservas todos los derechos imperativos e irrenunciables de protección de datos de tu país de residencia. Nada en esta Política limita esos derechos.

En particular reconocemos la aplicación de:

• Chile: Ley 19.628 sobre Protección de la Vida Privada (vigente) y la Ley 21.719, que entra en vigencia el 1 de diciembre de 2026 y crea la Agencia de Protección de Datos Personales. La Ley 21.719 se aplica de forma extraterritorial a tratamientos dirigidos a ofrecer bienes o servicios a personas que están en Chile, por lo que nos obliga aunque la infraestructura esté en el extranjero.
• Estados Unidos: normas federales como COPPA (datos de menores) y, donde corresponda según el volumen de operaciones, la CCPA/CPRA de California.

Si eres usuario en Chile puedes presentar reclamos ante la Agencia de Protección de Datos Personales (una vez en funcionamiento) y, para aspectos de consumo, ante el SERNAC. En otros países puedes acudir a la autoridad de protección de datos o de consumo que corresponda.

Recolectamos las siguientes categorías de datos, según cómo uses el Servicio:

• Datos de cuenta: nombre, email y contraseña. La contraseña la gestiona y resguarda nuestro proveedor de autenticación (Supabase Auth) de forma cifrada; nosotros nunca almacenamos tu contraseña en texto plano. Si inicias sesión con Google, recibimos los datos de identidad de tu perfil de Google.
• Perfil de golfista (onboarding): edad, mano dominante, handicap, nivel de juego, frecuencia de práctica, horas que puedes y te comprometes a practicar, nivel competitivo, debilidades (incluido texto libre sobre tu mayor debilidad y tu fallo típico), objetivos y notas para el coach, foco/palos con los que tienes dificultad. El campo género existe en nuestra base de datos como dato opcional.
• Videos de swing y datos derivados: los videos que subes, sus miniaturas (thumbnails), los frames (fotogramas) extraídos de esos videos, los datos de pose biomecánica (puntos del cuerpo calculados a partir del video), el audio asociado, y metadatos que tú indicas (palo usado, tipo de tiro, ángulo de cámara, patrón de fallo y notas de hasta 1.000 caracteres).
• Check-ins de práctica y de rondas: la transcripción completa de tus conversaciones de check-in, su resumen, en qué te costó y qué te salió bien, foco para el coach, estado de ánimo, nombre de la cancha, fecha de la sesión y estadísticas de juego (score, putts, fairways y greens en regulación).
• Datos de progreso y coaching: métricas de progreso (velocidad de palo, smash factor, ángulos de lanzamiento/ataque, scores de precisión/consistencia/putting), registros de ejercicios completados, planes de entrenamiento asignados y su avance, análisis generados por IA, y el feedback del coach (texto, voz, video, anotaciones, transcripciones y ejercicios asignados).
• Datos de pago: el pago lo procesa Stripe. No almacenamos el número completo de tu tarjeta; guardamos un identificador de cliente de Stripe y metadatos de suscripción (plan, estado, período de facturación y uso del período).
• Datos de uso y técnicos: páginas visitadas y eventos de interacción (a través de PostHog), datos de errores y rendimiento (a través de Sentry), dirección IP, navegador/sistema operativo y contadores para límites de uso (rate limiting).

Datos sensibles. Tus videos de swing, los frames extraídos y los datos de pose son imágenes de una persona identificable. Los tratamos con un estándar reforzado, como datos sensibles/biométricos. La Ley 21.719 clasifica los datos biométricos como sensibles y la CPRA los trata como información personal sensible. Por eso su tratamiento, y muy especialmente su uso para entrenar IA (ver sección 5), se basa en tu consentimiento explícito.

Usamos tus datos para los siguientes fines:

• Prestar el Servicio (analizar tus swings, entregarte el feedback del coach, generar recomendaciones y planes de práctica, mostrar tu progreso). Base legal: ejecución del contrato que tienes con nosotros.
• Procesar tu suscripción y pagos. Base legal: ejecución del contrato y cumplimiento de obligaciones legales (contables/tributarias).
• Enviarte emails transaccionales (bienvenida, aviso de que tu swing fue revisado, notificaciones de la cuenta). Base legal: ejecución del contrato.
• Tratar tus videos, frames y datos de pose, incluido su uso para entrenar y mejorar nuestros propios modelos de IA (ver sección 5). Base legal: tu consentimiento explícito, por tratarse de datos sensibles.
• Seguridad, prevención de fraude y abuso, y mantenimiento del Servicio (analítica de uso, monitoreo de errores, límites de uso). Base legal: interés legítimo en operar un servicio seguro, sin afectar tus derechos fundamentales, y/o consentimiento para cookies no esenciales.
• Cumplir obligaciones legales y atender requerimientos de autoridades competentes.

No utilizamos casillas pre-marcadas ni consentimiento tácito para los datos sensibles: tu consentimiento debe ser una acción afirmativa, específica e informada, y puedes retirarlo en cualquier momento (ver secciones 5 y 7).

La IA es central en ApexGolf, así que te explicamos con claridad cómo se usan tus datos. Hay dos cosas distintas: (a) el análisis de tus swings y (b) el entrenamiento de nuestros propios modelos.

(a) Análisis con proveedores de IA de terceros. Para analizar tus swings y para funciones de chat y transcripción, enviamos frames (imágenes) de tus videos, junto con metadatos como tu nivel, handicap, patrón de fallo y notas, a proveedores de IA de terceros: Anthropic (Claude) y Google (Gemini). Gemini también se usa para el chatbot de check-in, las recomendaciones de práctica y la transcripción de notas de voz y grabaciones del coach. Estos proveedores procesan los datos para entregarnos el resultado del análisis.

(b) Uso de tu contenido para entrenar y mejorar nuestros propios modelos. Queremos ser transparentes: usamos los videos, frames, datos de pose, metadatos y, muy especialmente, las correcciones del coach asociadas a swings de usuarios identificables para entrenar y mejorar nuestros propios modelos de IA. En concreto, recuperamos revisiones pasadas del coach sobre swings similares y las usamos como ejemplos para que la IA imite el criterio del coach, y construimos conjuntos de datos de entrenamiento que combinan el video, el análisis de IA, las correcciones del coach y datos del jugador (como handicap y nivel), con el objetivo de mejorar el sistema e incluso, a futuro, entrenar un modelo propio que reproduzca la voz y el estilo del coach. Estos datos de entrenamiento pueden estar asociados a un usuario identificable, no solo de forma anónima o agregada.

Tu consentimiento y cómo oponerte / retirarlo. Como esto implica imágenes de una persona identificable (datos sensibles), el uso de tu contenido para entrenar nuestros modelos se basa en tu consentimiento específico, separado del resto del Servicio. Puedes oponerte o retirar ese consentimiento en cualquier momento, de forma tan fácil como lo otorgaste, escribiendo a privacy@apexgolf.pro. El retiro no afecta la legalidad del tratamiento previo. Con honestidad te informamos que, si un modelo ya fue entrenado, sus parámetros aprendidos pueden conservar parte de lo aprendido aunque dejemos de usar tus datos en futuros entrenamientos; sí podemos detener el uso futuro y eliminar tu contenido de los conjuntos de entrenamiento.

Salvaguardas con los proveedores y contenido de terceros. Trabajamos con estos proveedores bajo compromisos contractuales de confidencialidad y seguridad. Las notas de voz y grabaciones del coach que se suben a Gemini para transcribir se eliminan de ese servicio tras el procesamiento, según el mejor esfuerzo. Además, te pedimos que no subas videos en los que aparezcan terceras personas sin su consentimiento: al subir contenido garantizas que cuentas con el consentimiento de cualquier persona que aparezca filmada.

Decisiones automatizadas. El análisis de IA es una herramienta de apoyo; el coach humano participa en la revisión y no tomamos decisiones con efectos jurídicos significativos sobre ti basadas únicamente en tratamiento automatizado. Conforme a la Ley 21.719, tienes derecho a oponerte a decisiones basadas solo en tratamiento automatizado que te afecten significativamente.

No vendemos tus datos personales ni tus videos. Los compartimos solo con los siguientes proveedores (subprocesadores), en la medida necesaria para operar el Servicio, y procesando datos principalmente en Estados Unidos y otros países (ver sección 11 sobre transferencias internacionales):

• Supabase — base de datos, autenticación y almacenamiento privado de tus videos y frames; alojado en infraestructura de Amazon Web Services (AWS).
• Stripe — procesamiento de pagos y gestión de suscripciones (Estados Unidos).
• Anthropic (Claude) — análisis automatizado de swing mediante IA (Estados Unidos).
• Google (Gemini) — análisis de swing, chatbot de check-in, recomendaciones de práctica y transcripción de notas de voz/video del coach.
• Vercel — hosting y entrega de la aplicación web y tareas programadas.
• Resend — envío de emails transaccionales (Estados Unidos).
• PostHog — analítica de producto y uso.
• Sentry — monitoreo de errores y rendimiento.
• Coach de ApexGolf (Javier Ferreyra) y el equipo del Servicio — ven tus videos, metadatos y datos de práctica exclusivamente para entregarte feedback.

También podemos divulgar datos cuando seamos requeridos por ley, orden judicial o de una autoridad competente, o para proteger los derechos, propiedad o seguridad de ApexGolf, de sus usuarios o de terceros. Si en el futuro el Servicio se transfiere a la entidad de Delaware, tus datos podrán cederse a esa entidad bajo esta misma Política.

Si resides en Chile, la Ley 19.628 y la Ley 21.719 te reconocen los derechos ARCO y de portabilidad. Puedes ejercer en cualquier momento tu derecho a:

• Acceso: saber qué datos tuyos tratamos y obtener una copia.
• Rectificación: corregir datos inexactos o desactualizados.
• Cancelación (supresión): solicitar la eliminación de tus datos.
• Oposición: oponerte a ciertos tratamientos, incluido el uso de tu contenido para entrenar IA y las decisiones automatizadas.
• Portabilidad: recibir tus datos en un formato estructurado y de uso común.
• Retiro del consentimiento: retirar el consentimiento que diste (por ejemplo, para el entrenamiento de IA), sin que afecte la licitud del tratamiento previo.

Para ejercerlos, escríbenos a privacy@apexgolf.pro. El ejercicio de estos derechos es gratuito y responderemos dentro de los plazos legales aplicables, a más tardar dentro de 30 días.

Si consideras que no respetamos tus derechos, puedes reclamar ante la Agencia de Protección de Datos Personales de Chile (una vez en funcionamiento) y, para aspectos de consumo, ante el SERNAC; o ante la autoridad competente de tu país de residencia.

Usuarios en California (CCPA/CPRA): si te aplica, tienes además derecho a saber/acceder, eliminar y corregir tus datos, a optar por no vender/compartir tu información personal, a limitar el uso de tu información personal sensible, y a no ser discriminado por ejercer estos derechos. No vendemos tu información personal. Aunque hoy probablemente no alcanzamos los umbrales de la CCPA, te reconocemos estos derechos de buena fe.

Conservamos tus datos mientras tu cuenta esté activa o sea necesario para prestarte el Servicio. Como referencia de nuestras prácticas:

• Datos de facturación: hasta 7 años, según obligaciones contables y tributarias.
• Videos y feedback: en principio se conservan hasta 30 días después de la cancelación y luego se eliminan, salvo que solicites lo contrario.
• Datos agregados o anonimizados: pueden conservarse por más tiempo con fines analíticos.

Eliminación de tu cuenta. Hoy la eliminación de cuenta se gestiona de forma manual: para borrar tu cuenta y tus datos, escríbenos a privacy@apexgolf.pro. A nivel de base de datos, al eliminar tu cuenta se borran en cascada las filas asociadas (perfil, uploads, análisis de IA, suscripciones, check-ins, snapshots de progreso, registros de ejercicios, planes y anotaciones). Los archivos de almacenamiento (videos y frames) y la baja en proveedores externos se gestionan como parte de ese proceso a tu solicitud. Algunos datos pueden conservarse cuando exista una obligación legal de retención.

Implementamos medidas técnicas y organizativas razonables para proteger tus datos. Entre las que efectivamente aplicamos:

• Almacenamiento privado de videos y frames en buckets no públicos, con acceso mediante URLs firmadas de corta duración, de modo que solo tú (o el coach/administrador autorizado) puedes acceder a tu contenido.
• Seguridad a nivel de fila (Row-Level Security) en la base de datos, para que cada usuario solo acceda a sus propios datos y solo los coaches autorizados puedan registrar feedback.
• Autenticación cifrada a través de Supabase Auth; nunca almacenamos contraseñas en texto plano.
• Conexiones HTTPS/TLS para todo el tráfico y para todas las llamadas a servicios externos.
• Límites de uso (rate limiting) y controles de presupuesto de IA para prevenir abuso, además de protecciones contra solicitudes maliciosas hacia servidores internos (anti-SSRF).
• Verificación de firma en los webhooks de pago, para asegurar que las notificaciones de Stripe sean auténticas.

Ningún sistema es 100% seguro. Si ocurriera una vulneración que afecte tus datos personales, te notificaremos sin demora indebida y daremos aviso a la autoridad correspondiente cuando la ley lo exija, conforme a la Ley 21.719 y demás normas aplicables.

Usamos cookies y tecnologías similares para que el Servicio funcione y para entender cómo se usa:

• Esenciales: mantener tu sesión iniciada y recordar preferencias básicas. Son necesarias para que el Servicio funcione.
• Analíticas/de uso: a través de PostHog (que puede usar almacenamiento local y cookies, y captura automática de eventos de interacción) y Sentry para monitoreo de errores.

Para las cookies y el seguimiento no esenciales pedimos tu consentimiento mediante una acción afirmativa (sin casillas pre-marcadas) y puedes gestionarlo o retirarlo. Respetamos las señales de control de privacidad del navegador, como la Global Privacy Control (GPC), donde aplica.

Tus datos se almacenan y procesan en servidores ubicados en Estados Unidos y otros países, a través de nuestros proveedores: Supabase (sobre AWS), Stripe, Anthropic, Google (Gemini), Vercel y Resend. Esto significa que, si resides en Chile o América Latina, tus datos cruzan fronteras.

Cuando el país de destino no garantiza un nivel de protección equivalente al de tu país de residencia, adoptamos salvaguardas adecuadas, como cláusulas contractuales (cláusulas tipo / modelo) con nuestros proveedores, conforme a lo exigido por la Ley 21.719. Al usar el Servicio y prestar tu consentimiento, entiendes que estas transferencias son necesarias para prestarte el Servicio.

El Servicio está dirigido a personas mayores de 18 años. Dado que tratamos videos e imágenes (datos sensibles), no está dirigido a menores de 13 años y no recolectamos intencionalmente sus datos sin consentimiento verificable del padre, madre o tutor, conforme a COPPA. Bajo la ley chilena, los datos de menores reciben protección reforzada según su interés superior.

Si descubrimos que tenemos datos de un menor sin la autorización requerida, los eliminaremos lo antes posible. Si eres madre, padre o tutor y crees que un menor nos entregó datos, escríbenos a privacy@apexgolf.pro.

Podemos actualizar esta Política ocasionalmente. Cuando hagamos cambios materiales te notificaremos por email a la dirección registrada en tu cuenta y actualizaremos la fecha de "Última actualización" al pie del encabezado. Para los cambios que requieran tu consentimiento (por ejemplo, nuevos usos de datos sensibles), te lo pediremos antes de aplicarlos.

Para cualquier consulta sobre esta Política o sobre cómo tratamos tus datos, o para ejercer tus derechos, escríbenos a privacy@apexgolf.pro o a support@apexgolf.pro. Responsable: Martin Schilkrut, con domicilio en Santiago, Chile.