Política de Privacidad
Última actualización: 16 de enero de 2026
1. Identificación del Responsable
El responsable del tratamiento de tus datos personales es:
- Nombre legal: NOMBRE_LEGAL
- Registro en Estonia: REGISTRO_ESTONIA (e-Residency)
- Dirección: DIRECCION_ESTONIA
- Email de contacto: EMAIL_CONTACTO
- Operación desde: España
2. Datos que Recopilamos
En el marco de nuestros servicios de análisis de bienestar, recopilamos las siguientes categorías de datos:
2.1 Datos de Identificación y Contacto
- Nombre completo
- Dirección de correo electrónico
2.2 Datos de Salud (Categoría Especial - Art. 9 RGPD)
Base legal: Consentimiento explícito (Art. 9.2.a RGPD). Procesamos datos de salud exclusivamente cuando nos has dado tu consentimiento expreso mediante checkbox en el formulario.
Estos datos incluyen:
- Edad, sexo, peso, altura, circunferencia de cuello
- Información sobre sueño, ronquidos, apnea observada, somnolencia diurna
- Condiciones médicas declaradas (hipertensión, patologías, medicación actual)
- Evaluación de estrés (PSS-4), nutrición, actividad física
- Síntomas respiratorios y señales de alarma clínica
2.3 Datos Técnicos y de Auditoría
- Dirección IP del dispositivo utilizado
- User Agent (navegador y sistema operativo)
- Timestamp de consentimiento
- Cookies técnicas (ver sección de cookies)
2.4 Datos de Pago
Procesados por Stripe (procesador PCI-DSS certificado). No almacenamos datos completos de tarjeta; solo el identificador de transacción y estado del pago.
3. Finalidad y Base Legal del Tratamiento
| Finalidad | Base Legal |
|---|---|
| Generar informe de análisis de bienestar personalizado | Ejecución de contrato (Art. 6.1.b RGPD) + Consentimiento explícito para datos de salud (Art. 9.2.a RGPD) |
| Gestionar el pago del servicio | Ejecución de contrato (Art. 6.1.b RGPD) |
| Enviar el informe por email y notificaciones | Ejecución de contrato (Art. 6.1.b RGPD) |
| Cumplimiento de obligaciones legales (conservación registros fiscales/contables) | Obligación legal (Art. 6.1.c RGPD) |
| Auditoría, seguridad y prevención de fraude | Interés legítimo (Art. 6.1.f RGPD) |
4. Destinatarios de los Datos (Encargados de Tratamiento)
Tus datos pueden ser compartidos con los siguientes encargados de tratamiento, todos ellos con acuerdos de procesamiento de datos (DPA) conformes al RGPD:
- Supabase (USA): Almacenamiento de base de datos y archivos. Transferencias protegidas por Cláusulas Contractuales Tipo (SCC) de la UE.
- SendGrid (USA): Envío de correos electrónicos. Transferencias protegidas por SCC.
- Stripe (USA/Irlanda): Procesamiento de pagos. Transferencias protegidas por SCC y certificación PCI-DSS.
- Vercel (USA): Hosting y despliegue de la aplicación web. Transferencias protegidas por SCC.
Transferencias Internacionales: Todos los proveedores con sede fuera del EEE cuentan con garantías adecuadas (SCC) conforme al Art. 46 RGPD y Capítulo V.
5. Plazo de Conservación
- Datos del informe y de salud: Conservados mientras mantengas una relación contractual con nosotros, más el plazo de prescripción de acciones legales (5 años en España).
- Datos fiscales/contables: Mínimo 4-6 años por obligaciones legales tributarias.
- Solicitudes de derechos GDPR: Registros conservados 3 años para demostrar cumplimiento ante autoridades.
- Cookies técnicas: Hasta 12 meses o hasta que las elimines.
6. Tus Derechos
De conformidad con el RGPD y la LOPDGDD (España) / Isikuandmete kaitse seadus (Estonia), tienes derecho a:
- Acceso (Art. 15 RGPD): Obtener confirmación de si tratamos tus datos y una copia de los mismos.
- Rectificación (Art. 16 RGPD): Corregir datos inexactos o incompletos.
- Supresión/"Derecho al Olvido" (Art. 17 RGPD): Solicitar la eliminación de tus datos cuando ya no sean necesarios o retires el consentimiento.
- Limitación del tratamiento (Art. 18 RGPD): Solicitar que bloqueemos temporalmente el uso de tus datos.
- Portabilidad (Art. 20 RGPD): Recibir tus datos en formato estructurado, de uso común y lectura mecánica (JSON).
- Oposición (Art. 21 RGPD): Oponerte al tratamiento basado en interés legítimo.
- Retirar el consentimiento: En cualquier momento para tratamientos basados en consentimiento, sin que afecte a la licitud del tratamiento previo.
¿Cómo ejercer tus derechos?
Puedes ejercer estos derechos mediante:
- Email: EMAIL_CONTACTO
- Solicitud automática: Formulario de solicitud de datos (export/delete automatizado con verificación por email)
Responderemos en un plazo máximo de 1 mes (ampliable 2 meses adicionales en casos complejos, Art. 12.3 RGPD).
Derecho a reclamar ante autoridades
Si consideras que tus derechos no han sido atendidos adecuadamente, puedes presentar una reclamación ante:
- España: Agencia Española de Protección de Datos (AEPD) — www.aepd.es
- Estonia: Andmekaitse Inspektsioon — www.aki.ee
7. Cookies
Utilizamos únicamente cookies técnicas estrictamente necesarias para el funcionamiento del sitio web:
- cookies_accepted: Guarda tu preferencia de aceptación del banner de cookies (localStorage, sin transferencia a servidor).
No utilizamos cookies de publicidad, analítica de terceros ni rastreo. Si en el futuro incorporáramos cookies no esenciales, solicitaremos tu consentimiento previo.
8. Medidas de Seguridad
Implementamos medidas técnicas y organizativas apropiadas para proteger tus datos:
- Cifrado de datos en tránsito (HTTPS/TLS) y en reposo (AES-256)
- URLs firmadas con expiración temporal para acceso a informes (por defecto 1 hora)
- Autenticación multifactor en sistemas administrativos
- Control de acceso basado en roles (RBAC)
- Auditoría de accesos y modificaciones (logs de IP, timestamp, user agent)
- Validación server-side de todos los inputs
- Rate limiting para prevención de abuso
9. Menores de Edad
Este servicio no está dirigido a menores de 18 años. Si eres menor, necesitas el consentimiento de tus padres o tutores para usar nuestro servicio. Si detectamos datos de menores sin consentimiento parental, los eliminaremos.
10. Modificaciones de esta Política
Nos reservamos el derecho de actualizar esta Política de Privacidad. Cualquier cambio sustancial será comunicado por email y reflejado en la fecha de "Última actualización" al inicio de este documento.
11. Contacto del Delegado de Protección de Datos (DPO)
Nota: La designación de DPO es obligatoria si el tratamiento requiere seguimiento regular y sistemático a gran escala o si se tratan categorías especiales de datos a gran escala (Art. 37 RGPD). Evalúa si aplica a tu operación.
Si designas un DPO, inclúyelo aquí: DPO_EMAIL
12. Consentimiento Informado para Datos de Salud
Al marcar el checkbox de consentimiento en nuestro formulario, declaras y aceptas expresamente:
- Que has leído y comprendido esta Política de Privacidad.
- Que consientes explícitamente el tratamiento de tus datos de salud (categoría especial Art. 9 RGPD) para la finalidad descrita (generación de informe de análisis de bienestar).
- Que este consentimiento es libre, informado, específico e inequívoco.
- Que puedes retirar este consentimiento en cualquier momento contactándonos.
13. Información Específica para Usuarios Estonios
Si resides en Estonia, ten en cuenta que nuestra empresa está registrada en Estonia pero opera desde España. Tienes los mismos derechos descritos en esta política. Para ejercer tus derechos o presentar reclamaciones, puedes hacerlo ante la autoridad estonia (Andmekaitse Inspektsioon) o la española (AEPD), conforme al mecanismo de ventanilla única del RGPD (Art. 56).
Instrucciones para el equipo: Antes de desplegar, reemplaza todos los PLACEHOLDERS con información real de la empresa. Revisa la necesidad de designar DPO con asesor legal. Solicita DPAs (Data Processing Agreements) a todos los encargados de tratamiento mencionados.
← Volver a inicio