Las apps de fitness y salud saben más de ti que tu médico de cabecera. Tu frecuencia cardíaca en reposo, tus rutas de running, cuánto duermes, qué comes, cuánto pesas y hasta tu ciclo menstrual. La privacidad en apps de fitness es un agujero negro que la mayoría de usuarios ignora mientras acepta permisos sin leer.
Tus datos de salud —los más sensibles según el RGPD— viajan a servidores de terceros, se comparten con brokers de datos y alimentan perfiles publicitarios. Aplicaciones como Strava, Fitbit, MyFitnessPal o Samsung Health recopilan datos biométricos que, combinados, construyen un retrato íntimo de tu vida. Y lo peor: tú mismo lo autorizaste al pulsar "Aceptar" sin pestañear.
Qué datos recopilan las apps deportivas (y por qué deberían preocuparte)
Cuando instalas una app de deportes y privacidad, le entregas mucho más que tu nombre y correo. El paquete completo incluye geolocalización GPS en tiempo real, datos de sensores (acelerómetro, giroscopio, pulsómetro), patrones de sueño, peso, altura, índice de masa corporal y, en muchas apps, información sobre condiciones médicas previas.
Los datos biométricos de una app son oro para terceros. Un estudio de la Universidad de Duke (2023) documentó cómo brokers de datos vendían información de salud de usuarios estadounidenses —incluyendo datos de apps de fitness— por cantidades ridículas. Hablamos de paquetes con miles de registros por menos de un dólar por persona.
La cosa se pone más fea cuando cruzas datos. Tu ruta matutina de running revela dónde vives y dónde trabajas. Tu frecuencia cardíaca en reposo puede indicar tu estado de salud general. Tus patrones de sueño delatan tu nivel de estrés. Por separado, son datos sueltos. Juntos, son un perfil médico-conductual que ni tu aseguradora tiene.
- Ubicación GPS: rutas, velocidad, frecuencia, horarios habituales
- Biométricos: ritmo cardíaco, SpO2, temperatura corporal, variabilidad cardíaca (HRV)
- Conductuales: horas de sueño, pasos, calorías consumidas, ciclo menstrual
- Sociales: contactos, fotos, publicaciones en feed, segmentos compartidos
- Dispositivo: modelo, sistema operativo, identificadores únicos, otras apps instaladas
Si quieres entender hasta qué punto tu huella digital es rastreable, te interesa leer sobre si el anonimato total en internet es realmente posible. Spoiler: con estos datos, mucho menos.
El caso Strava y las bases militares: cuando el GPS delata más de la cuenta
El ejemplo más sonado sobre privacidad en Strava llegó en 2018. El mapa global de calor de Strava —que mostraba las rutas agregadas de sus usuarios— reveló la ubicación exacta de bases militares secretas en Afganistán, Irak y Siria. Soldados que usaban la app para registrar sus carreras dibujaron, sin quererlo, el perímetro de instalaciones clasificadas.
Strava corrigió parcialmente el problema, pero la lección fue demoledora: los datos de apps de fitness no solo te exponen a ti, sino a quien te rodea. En 2023, investigadores de la Universidad de Carolina del Norte demostraron que podían identificar la dirección de casa de usuarios de Strava en aproximadamente el 85% de los casos analizados, usando únicamente los metadatos de sus actividades públicas.
Y no es solo Strava. Polar Flow tuvo un problema similar: su API permitía acceder al historial completo de ubicaciones de cualquier usuario. Investigadores de Bellingcat y De Correspondent identificaron a personal de inteligencia y militares de múltiples países.
Polar desactivó la función, pero los datos ya estaban ahí fuera. La privacidad en apps de fitness no es un problema teórico. Tiene consecuencias reales: desde acosadores que rastrean rutas de corredoras hasta aseguradoras que ajustan primas basándose en datos de actividad física.
Qué dice el RGPD sobre tus datos biométricos y de salud
El Reglamento General de Protección de Datos (UE 2016/679) clasifica los datos biométricos y los datos relativos a salud como "categorías especiales" en su artículo 9. Su tratamiento está prohibido por defecto, salvo que exista consentimiento explícito o alguna otra base legal específica.
Esto significa que una app de deportes necesita tu consentimiento informado y específico para procesar tu ritmo cardíaco, tus datos de sueño o cualquier información que revele tu estado de salud. No basta con un "Acepto los términos y condiciones" genérico. El consentimiento debe ser granular: deberías poder aceptar el tracking de actividad pero rechazar que se compartan tus datos con terceros.
La realidad es otra. Un análisis de la Fundación Mozilla ("Privacy Not Included", actualizado en 2024) evaluó las principales apps de fitness y encontró que la mayoría no cumplía estándares mínimos de privacidad. Fitbit, Garmin, Apple Health, Samsung Health y Strava fueron evaluadas, y varias recibieron la etiqueta de advertencia "*Privacy Not Included".
| App | Datos recopilados | Compartidos con terceros | Opción de borrado real |
|---|---|---|---|
| Strava | GPS, cardio, sociales, dispositivo | Sí (agregados y partners) | Parcial (30 días) |
| Fitbit (Google) | Biométricos, sueño, peso, GPS | Sí (Google Ads ecosystem) | Sí (con limitaciones) |
| MyFitnessPal | Dieta, peso, ejercicio, ubicación | Sí (breach en 2018: 150M cuentas) | Sí |
| Apple Health | Biométricos, actividad, sueño | No (procesamiento local) | Sí |
| Samsung Health | Biométricos, GPS, sueño, estrés | Sí (partners analíticos) | Parcial |
La Agencia Española de Protección de Datos (AEPD) ha sancionado a varias empresas por tratamiento indebido de datos de salud. En 2023, publicó una guía específica sobre apps móviles y protección de datos que recomienda revisar los permisos concedidos periódicamente. Si manejas datos sensibles en tu empresa —aunque sea una pyme—, la guía básica de ciberseguridad para pymes cubre los fundamentos que necesitas.
Configuraciones que deberías cambiar ahora mismo
No hace falta que borres todas tus apps. Pero sí que ajustes la privacidad de tus datos de salud para minimizar la exposición. Aquí van los cambios concretos por plataforma.
Strava
- Activa las Zonas de Privacidad (Settings → Privacy Controls → Hide Start/End). Oculta un radio de hasta 1 km alrededor de tu casa y trabajo.
- Cambia tu perfil a privado o "Followers Only".
- Desactiva el mapa global de calor para tu cuenta (Settings → Privacy → Aggregated Data Usage).
- Revisa las apps de terceros conectadas y revoca las que no uses.
Fitbit / Google
- Revisa fitbit.com/settings/data → qué datos comparte Fitbit con Google.
- Desactiva "Personalización de anuncios" en tu cuenta de Google vinculada.
- Descarga tus datos (Settings → Data Export) y revisa qué almacenan exactamente.
En general (cualquier app)
- Permisos de ubicación: cambia de "Siempre" a "Solo cuando uso la app". O mejor: "Nunca", si usas un reloj GPS independiente.
- Permisos de contactos: ninguna app de fitness necesita acceso a tu agenda. Deniégalo.
- Compartir datos con terceros: busca la opción en ajustes de privacidad. Suele estar activada por defecto.
- Sincronización con redes sociales: desvincula Facebook, Instagram y cualquier red.
Y hablando de limpiar tu rastro digital: si usas redes sociales vinculadas a estas apps, esta guía para borrar tus datos de redes sociales es un buen punto de partida.
El negocio oculto: quién compra tus datos biométricos
Las apps de fitness venden datos —o los "comparten con socios"— de formas que la mayoría de usuarios desconoce. Los compradores habituales incluyen:
- Aseguradoras: Vitality, John Hancock y otras aseguradoras ofrecen descuentos si compartes datos de tu wearable. El problema: si dejas de hacer ejercicio o tus métricas empeoran, las primas pueden subir.
- Brokers de datos: Empresas como Acxiom, Oracle Data Cloud y LexisNexis compran y revenden perfiles que incluyen datos de salud inferidos desde apps.
- Anunciantes: Google integra datos de Fitbit en su ecosistema publicitario. Meta (Facebook) ha utilizado datos de apps de salud conectadas para segmentación de anuncios.
- Empresas de recursos humanos: Algunos programas corporativos de bienestar recopilan datos agregados de empleados. La línea entre "agregado" e "individual" es borrosa.
El breach de MyFitnessPal en 2018 expuso aproximadamente 150 millones de cuentas, incluyendo nombres de usuario, emails y contraseñas hasheadas. Under Armour, su propietaria entonces, tardó cuatro días en notificarlo.
Los datos de dieta y ejercicio de esos usuarios ya estaban comprometidos. Si crees que tu email apareció en esa filtración, compruébalo en Have I Been Pwned (haveibeenpwned.com).
El riesgo no es solo la filtración masiva. Es el goteo constante y legal de datos que autorizas sin saberlo. Cada vez que una app de deportes comparte datos biométricos con un "partner analítico", un pedazo más de tu intimidad médica entra en un mercado que no controlas.
Alternativas que respetan tu privacidad
Si quieres seguir trackeando tu actividad sin regalar tus datos de salud, existen opciones menos invasivas:
- Apple Health + Apple Watch: Apple procesa los datos de salud en el dispositivo. No los sube a la nube salvo que actives iCloud Health explícitamente. El cifrado es de extremo a extremo.
- Gadgetbridge: App open source para Android que conecta con pulseras y relojes (Amazfit, Xiaomi, Pinetime) sin enviar datos a ningún servidor. Todo local.
- OpenTracks: Tracker GPS open source para Android. Sin cuenta, sin servidor, sin publicidad. Los datos se quedan en tu teléfono.
- FitoTrack: Otra alternativa open source. Minimalista, funcional, sin rastreo.
Para los más técnicos, existen herramientas open source que permiten configurar entornos más privados sin renunciar a la tecnología. También puedes cifrar tus archivos y carpetas donde exportes datos de salud, para que al menos en tu dispositivo estén protegidos.
Preguntas frecuentes
¿Pueden las apps de fitness vender mis datos de salud legalmente en España?
Depende. El RGPD exige consentimiento explícito para tratar datos de salud (artículo 9). Si aceptaste la política de privacidad que incluía cláusulas de compartición con terceros, técnicamente lo autorizaste. Pero muchas apps incumplen el requisito de consentimiento granular. Puedes revocar ese consentimiento en cualquier momento y solicitar el borrado de tus datos bajo el artículo 17 (derecho al olvido).
¿Strava puede ver mi ubicación aunque tenga el perfil privado?
Sí. El perfil privado oculta tus actividades a otros usuarios, pero Strava sigue procesando y almacenando tus datos GPS en sus servidores. Las Zonas de Privacidad ocultan el inicio y fin de ruta públicamente, pero Strava retiene la ruta completa internamente. Para que no tengan tu ubicación, la única opción es no conceder el permiso de GPS o usar la app en modo interior.
¿Qué hago si una app de fitness ha filtrado mis datos?
Cambia la contraseña inmediatamente (y en cualquier otro servicio donde uses la misma). Comprueba tu email en Have I Been Pwned. Si los datos filtrados incluyen información de salud, presenta una reclamación ante la AEPD (aepd.es). Tienes derecho a indemnización si el responsable no adoptó medidas de seguridad adecuadas.
¿Los datos de mi smartwatch los tiene el fabricante o la app?
Ambos, normalmente. El reloj sincroniza con una app del fabricante (Garmin Connect, Samsung Health, Zepp), que sube los datos a sus servidores. Si además conectas apps de terceros (Strava, MyFitnessPal), los datos se replican allí también. Cada servicio tiene su propia política de retención y compartición. Revisa los permisos de conexión entre apps periódicamente.
¿Apple Health es realmente más privada que las alternativas?
En términos relativos, sí. Apple cifra los datos de salud de extremo a extremo cuando usas iCloud, y su modelo de negocio no depende de la publicidad segmentada. Dicho esto, ningún sistema es infalible. Si instalas apps de terceros que acceden a HealthKit, esos datos salen del ecosistema de Apple y quedan sujetos a la política de privacidad de cada app.
El siguiente paso
Abre ahora mismo los ajustes de tu móvil, ve a Privacidad → Permisos de ubicación y revisa qué apps de fitness tienen acceso "Siempre" a tu GPS. Cámbialas a "Solo cuando uso la app" o "Nunca". Son treinta segundos que recortan de raíz la cantidad de datos biométricos que regalas sin darte cuenta. Después, entra en cada app y busca la sección de privacidad para desactivar la compartición con terceros. Tu yo del futuro —y tu privacidad— te lo agradecerán.
