Política de Privacidad de Biokode.app
Versión 1.6 - Última actualización: 3 de julio de 2026
1. Identidad y datos de contacto del Responsable del Tratamiento
Responsable: El Responsable del tratamiento se identifica completamente en nuestros Términos de Servicio.
Correo electrónico de contacto (general y privacidad): [email protected].
Delegado de Protección de Datos (DPO): Alessio Romano ([email protected]).
2. Alcance de esta Política
Esta política se aplica al sitio web biokode.app y a sus servicios móviles/API (en conjunto, la «Plataforma»), una herramienta de seguimiento de bienestar personal y análisis de hábitos de vida. Cualquier acceso a versiones de demostración se rige igualmente por este texto.
3. Datos personales tratados
| Categoría | Ejemplos | Finalidad | Base jurídica |
|---|---|---|---|
| Datos identificativos | nombre, correo, alias, credenciales | Gestión de la cuenta | Ejecución de contrato (Art. 6 b GDPR) |
| Datos personales | peso, hábitos de sueño, ejercicio, alimentación, estado de ánimo, niveles de energía, archivos de audio de seguimiento personal | Análisis y recomendaciones de bienestar con IA | Consentimiento (Art. 6 a GDPR) / Ejecución de contrato (Art. 6 b GDPR) |
| Metadatos técnicos | IP, logs, dispositivo, fecha/hora | Seguridad y prevención de fraudes | Interés legítimo (Art. 6 f GDPR) |
| Marcadores nutricionales de analíticas de sangre | vitaminas, minerales, panel de anemia y marcadores metabólicos extraídos del PDF de una analítica que usted sube voluntariamente. El PDF se procesa y se descarta: ni el documento ni ningún otro valor del mismo (hormonas, serologías, etc.) se almacenan — quedan excluidos por diseño | Personalización de recomendaciones nutricionales | Consentimiento explícito (Art. 9.2 a GDPR), solicitado en cada subida |
| Registros de IA | prompts, resultados, métricas de precisión | Mejora de algoritmos, trazabilidad | Interés legítimo / Consentimiento |
Menores: La Plataforma está dirigida exclusivamente a mayores de 16 años. No permitimos el registro de menores de 16 años. Los usuarios deben confirmar ser mayores de 16 años durante el proceso de registro.
4. Finalidades detalladas
- Prestación del servicio - grabación, transcripción y análisis de sesiones de seguimiento personal y parámetros de bienestar.
- Generación de recomendaciones automatizadas de mejora de hábitos (opcional, desactivable).
- Descarga de informes en PDF para su seguimiento personal.
- Seguridad, auditoría y prevención de abusos.
- Mejora continua de modelos de IA empleando datos anonimizados/pseudonimizados.
4bis. Bases jurídicas y gestión del consentimiento
⚖️ ¿Por qué podemos procesar sus datos?
Ejecución de contrato (Art. 6.1.b RGPD)
Para datos identificativos necesarios para proporcionar el servicio solicitado
Consentimiento (Art. 6.1.a RGPD)
Para el procesamiento de datos personales con IA y recomendaciones automatizadas
Interés legítimo (Art. 6.1.f RGPD)
Para seguridad, prevención de fraudes y mejora del servicio (siempre balanceado con sus derechos)
🔥 Consentimiento para datos sensibles - IMPORTANTE
¿Cuándo se solicita? Antes de cualquier grabación, transcripción o análisis de datos personales
¿Cómo? Mediante checkbox específico y separado, con información clara sobre el procesamiento y finalidades
¿Se puede retirar?SÍ, en cualquier momento desde Configuración > Privacidad, sin afectar el procesamiento previo legal
¿Qué pasa si lo retira? Se dejará de procesar datos de bienestar con IA, pero mantendremos sus datos históricos según plazos legales
✅ Granularidad del consentimiento
Puede dar/retirar consentimiento por separado para:
- Análisis automático con IA de datos personales
- Generación de recomendaciones personalizadas de mejora de hábitos
- Uso de datos anonimizados para mejora de modelos
- Transferencias internacionales a proveedores de IA (OpenAI)
- Notificaciones y comunicaciones sobre bienestar
5. Destinatarios y transferencias internacionales
Proveedores de servicios esenciales
OpenAI OpCo, LLC (Estados Unidos)
Procesamiento de inteligencia artificial para análisis de bienestar, transcripciones y el coach conversacional (cuando selecciona OpenAI como proveedor en los ajustes)
🔄 Datos transmitidos: audio para transcripción, fotos de comidas para análisis nutricional, texto de sus mensajes al coach y los parámetros de bienestar necesarios para cada análisis, de forma pseudonimizada. Conforme a sus términos de API, no se utilizan para entrenar modelos.
⚠️ Transferencia de datos personales de España (exportador: BIOKODE) a Estados Unidos (importador: OpenAI OpCo, LLC)
📋 Base jurídica: Cláusulas Contractuales Estándar (SCC 2021/914) + DPA específico
Telegram Messenger Inc. (Islas Vírgenes Británicas / Dubái)
Canal de mensajería opcional para hablar con el coach. Solo se activa si usted vincula expresamente su cuenta de Telegram; puede desvincularla en cualquier momento
🔄 Datos transmitidos: los mensajes que usted intercambia con el coach por este canal (texto, notas de voz y fotos) transitan por la infraestructura de Telegram, junto con el identificador del chat. En nuestra base de datos, tanto el identificador como el contenido de los mensajes se almacenan cifrados (AES-256-GCM).
⚠️ Telegram actúa como plataforma de mensajería independiente y tiene acceso al contenido que usted envía a través de ella, conforme a su propia política de privacidad
Railway Inc. (Europa)
Alojamiento de infraestructura y base de datos
Supabase Inc. (Frankfurt, Alemania)
Base de datos principal y almacenamiento seguro
Umami Software, Inc. (Estados Unidos)
Analítica web sin cookies (cookieless) para medir el uso agregado de la Plataforma
ℹ️ El script se carga desde cloud.umami.is (Estados Unidos). No se utilizan cookies ni identificadores persistentes. Solo se recopilan datos agregados: URL visitada, referrer, país aproximado, navegador y tipo de dispositivo. La IP se hashea con sal diaria que se descarta cada 24 horas y nunca se almacena en bruto.
📋 ¿Qué son los DPA (Data Processing Agreements)?
Los Acuerdos de Procesamiento de Datos (DPA) son contratos legales que establecen cómo nuestros proveedores deben manejar sus datos personales.
¿Por qué son importantes? Garantizan que todos los proveedores cumplan con el RGPD y protejan sus datos con las mismas medidas de seguridad que aplicamos nosotros.
Su derecho: Puede consultar estos acuerdos para conocer exactamente cómo cada proveedor se compromete a proteger sus datos personales.
⚠️ Información importante sobre transferencias a Estados Unidos
Riesgos identificados: Estados Unidos no tiene una decisión de adecuación de la UE. Existe riesgo teórico de acceso por autoridades estadounidenses (FISA, NSL) sin garantías equivalentes al RGPD.
Sus derechos: Puede oponerse a estas transferencias contactando con nosotros, aunque esto limitará significativamente la funcionalidad del servicio de IA.
Garantías de protección implementadas
- Cláusulas Contractuales Estándar (SCC 2021/914) con todos los proveedores estadounidenses
- Acuerdos de Procesamiento de Datos (DPA) que establecen obligaciones específicas de protección
- Pseudonimización avanzada: Eliminación de identificadores directos antes del procesamiento IA
- Cifrado end-to-end: AES-256 en tránsito y reposo
- Minimización de datos: Solo se transfieren datos estrictamente necesarios para el análisis
- Límites temporales: Datos procesados se eliminan tras completar el análisis
Control de acceso a datos
Sus datos personales son privados y solo accesibles por usted a través de su cuenta personal. No compartimos estos datos con terceros sin su consentimiento explícito.
Disponibilidad de documentos: Puede solicitar copia de las Cláusulas Contractuales Estándar (SCC) y Acuerdos de Procesamiento de Datos (DPA) vigentes contactando con nosotros. Los documentos se proporcionarán con datos comerciales sensibles eliminados por motivos de confidencialidad.
6. Plazos de conservación
| Dato | Periodo |
|---|---|
| Grabaciones y transcripciones | 5 años desde la última interacción, conforme a la legislación aplicable, salvo supresión solicitada. |
| Logs de autenticación (auth_log) | 12 meses - únicos logs que conservamos No guardamos otros logs de procesamiento o uso |
| Cache sesiones | TTL 24 horas en Upstash Redis |
| Copias de seguridad (back-ups) | 7 días automático (Supabase plan Pro) |
| Logs infraestructura externa | Según DPA de Railway/Cloudflare - no los replicamos |
| Conversaciones con el coach IA (mensajes de chat) | Cifradas (AES-256-GCM). Mientras la cuenta esté activa, hasta que usted borre la conversación o solicite la supresión de los datos del coach. |
| Registro de decisiones del coach (auditoría) | Mientras la cuenta esté activa o hasta que solicite la supresión de sus datos, por auditoría y trazabilidad del sistema de IA. Contenido cifrado; solo metadatos técnicos en claro. |
| Memorias y estado aprendido del coach | Cifrados. Hasta que usted pida olvidarlos en el propio chat o solicite la supresión de los datos del coach. |
| Vinculación con Telegram | Hasta que desvincule el canal o solicite la supresión. Los códigos de vinculación caducan a los 10 minutos y son de un solo uso. |
| Marcadores nutricionales de analíticas de sangre | Cifrados (AES-256-GCM). Hasta que usted elimine la analítica en la sección Análisis o solicite la supresión. El PDF subido se procesa en memoria y se descarta de inmediato: nunca se almacena. |
| Modelos y métricas anonimizadas | Indefinido (no reidentificable) |
7. Medidas de seguridad técnicas y organizativas
🔒 Medidas técnicas
Cifrado en tránsito
TLS 1.3 con Perfect Forward Secrecy para todas las comunicaciones
Cifrado en reposo
AES-256 para base de datos y archivos almacenados
Pseudonimización
Eliminación automática de identificadores directos antes del procesamiento IA
Control de acceso
Autenticación multifactor y roles granulares (RBAC)
Monitoreo 24/7
Detección de anomalías y alertas de seguridad en tiempo real
Sistema de soft delete
Cumplimiento Art. 17 RGPD con marcado lógico de eliminación y auditoría completa
👥 Medidas organizativas
Minimización de datos
Solo recopilamos y procesamos datos estrictamente necesarios
Limitación de acceso
Acceso solo para personal autorizado con necesidad legitima
Formación en privacidad
Todo el personal recibe formación regular sobre RGPD y seguridad
Auditorías regulares
Pruebas de penetración trimestrales y revisiones de seguridad
Plan de respuesta
Procedimientos documentados para incidentes de seguridad
🛡️ Notificación de brechas de seguridad
Compromiso de transparencia: En caso de brecha de seguridad que pueda suponer un alto riesgo para sus derechos y libertades:
- Notificaremos a la AEPD en un plazo máximo de 72 horas
- Le informaremos directamente sin dilación indebida
- Proporcionaremos medidas correctivas y preventivas adoptadas
- Mantendremos un registro detallado del incidente
📋 Evaluación de Impacto (DPIA)
Hemos completado una Evaluación de Impacto de Protección de Datos conforme al Art. 35 RGPD, identificando y mitigando riesgos específicos del procesamiento de datos de salud con IA. La evaluación se actualiza anualmente y tras cambios significativos en el tratamiento.
8. Decisiones automatizadas y elaboración de perfiles
La IA clasifica y correlaciona datos para ofrecer recomendaciones de bienestar personal y mejora de hábitos. No se toman decisiones con efectos legales o significativamente similares sin intervención humana. El usuario puede negarse a la generación automatizada desde los ajustes de la cuenta.
9. Sus derechos como usuario (RGPD/LOPD-GDD)
🔍 Derecho de Acceso
Conocer qué datos tenemos sobre usted, cómo los usamos y con quién los compartimos.
✏️ Derecho de Rectificación
Corregir datos inexactos o completar información incompleta.
🗑️ Derecho de Supresión
Eliminar sus datos cuando ya no sean necesarios o retire su consentimiento. Implementamos soft delete conforme Art. 17 RGPD: sus datos se marcan como eliminados inmediatamente y se vuelven inaccesibles, garantizando el cumplimiento legal. Puede solicitar además la supresión íntegra de los datos del coach IA (conversaciones, memorias, estado aprendido, estadísticas de uso y vinculación de Telegram) escribiendo al correo de contacto indicado más abajo.
⏸️ Derecho de Limitación
Restringir el procesamiento mientras se resuelve una disputa o reclamación.
📦 Derecho de Portabilidad
Recibir sus datos en formato estructurado para transferir a otro servicio.
❌ Derecho de Oposición
Oponerse al procesamiento basado en interés legítimo o transferencias a EEUU.
🤖 Decisiones Automatizadas
No ser objeto únicamente de decisiones automatizadas con efectos legales.
🚫 Retirada de Consentimiento
Retirar su consentimiento en cualquier momento sin afectar la legalidad del procesamiento previo.
📧 Cómo ejercer sus derechos
Email: [email protected]
Asunto:Indique "EJERCICIO DERECHOS RGPD - [Tipo de derecho]"
Información requerida: Nombre completo, email de la cuenta, identificación del derecho que desea ejercer
Plazo de respuesta: Máximo 30 días (ampliable a 90 días en casos complejos con notificación previa)
Coste: Gratuito (salvo solicitudes manifiestamente infundadas o excesivas)
⚖️ Derecho de reclamación
Si considera que sus derechos han sido vulnerados, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es o ante la autoridad de control de su país de residencia habitual.
10. Cookies y tecnologías similares
Solo utilizamos cookies estrictamente necesarias para la autenticación y la seguridad. No empleamos cookies analíticas ni de marketing. Para medir el uso agregado de la Plataforma utilizamos una herramienta de analítica web sin cookies (Umami), detallada al final de esta sección.
| Nombre | Finalidad | Duración |
|---|---|---|
| next-auth.session-token | Autenticación de usuario | 30 días |
| next-auth.csrf-token | Protección CSRF | Sesión |
| __Secure-next-auth.callback-url | Redirección tras login | Sesión |
📊 Analítica web sin cookies (Umami)
Para entender el uso agregado de la Plataforma utilizamos Umami, una herramienta de analítica web diseñada para respetar la privacidad. A diferencia de soluciones tradicionales como Google Analytics:
- No utiliza cookies ni ningún tipo de almacenamiento persistente en su navegador (localStorage, sessionStorage, etc.).
- No recopila datos personales identificables (nombre, email, ID de usuario, ni ningún identificador asociable a su cuenta).
- No realiza seguimiento entre sitios (cross-site tracking) ni huella digital del navegador (fingerprinting).
- La dirección IP se hashea con una sal diaria que se descarta cada 24 horas; nunca se almacena en bruto ni de forma re-identificable.
- Solo se recopilan datos agregados y anónimos: URL visitada, referrer, país aproximado, navegador, sistema operativo y tipo de dispositivo.
Base jurídica: Interés legítimo (Art. 6.1.f RGPD) para medir el uso agregado del servicio y mejorar la experiencia de usuario. Al no utilizar cookies ni almacenamiento en el dispositivo, esta analítica está exenta del requisito de consentimiento previo establecido por la Directiva ePrivacy y el Art. 22.2 de la LSSI-CE.
Transferencia internacional: El script se carga desde cloud.umami.is (Estados Unidos). Véase la sección 5 para más detalles sobre garantías de protección en transferencias a EEUU.
Derecho de oposición: Puede oponerse a esta analítica utilizando un bloqueador de contenido como uBlock Origin, Privacy Badger o cualquier extensión equivalente, sin que ello afecte al funcionamiento de la Plataforma. Para más información sobre Umami, consulte su política de privacidad.
11. Cumplimiento del EU AI Act (plan preliminar)
- Clasificación de riesgo: Riesgo limitado (sistema de IA de propósito general para bienestar personal).
- Implementación de sistema de gestión de calidad conforme a estándares de IA responsable.
- Documentación técnica y transparencia en el funcionamiento del sistema.
- Evaluación regular de sesgos y métricas de precisión.
- Notificación de incidentes graves a autoridades competentes cuando corresponda.
12. Cambios en la Política
Notificaremos por correo electrónico y en la aplicación con 30 días de antelación. El uso continuado tras la fecha efectiva implica aceptación.
13. Disclaimers importantes sobre bienestar
⚠️ AVISO IMPORTANTE
BIOKODE es una herramienta de seguimiento personal de bienestar y mejora de hábitos. La información, análisis y recomendaciones generadas por inteligencia artificial NO constituyen consejo médico, diagnóstico o tratamiento profesional.
🩺 Para temas de salud
- • Consulte siempre a profesionales sanitarios
- • No reemplace atención médica profesional
- • En caso de problemas de salud, acuda a su médico
- • BIOKODE es solo para seguimiento personal de bienestar
🚨 En emergencias
- • Llame inmediatamente al 112
- • NO utilice BIOKODE para emergencias
- • Acuda al centro médico más cercano
- • No reemplace atención médica urgente
⚖️ Limitación de responsabilidad
El uso de BIOKODE es bajo su propia responsabilidad. BIOKODE es una herramienta de bienestar personal y mejora de hábitos, no un dispositivo médico. Las recomendaciones son orientativas y no deben sustituir el consejo profesional médico o nutricional.
🔬 Naturaleza de la herramienta
BIOKODE utiliza tecnología de IA para análisis de patrones de bienestar personal. Los resultados pueden contener errores o interpretaciones que requieren su juicio personal. Esta herramienta está enfocada en la mejora de hábitos de vida, no en diagnóstico o tratamiento médico.
14. Reporte de contenido ilegal o problemático
🚨 ¿Ha detectado contenido problemático?
Si detecta contenido ilegal, inapropiado, que vulnere derechos de terceros o cualquier actividad sospechosa en nuestra plataforma, puede reportarlo inmediatamente.
Contacto para reportes: [email protected]
📝 Información a incluir
- • Descripción detallada del problema
- • URL o ubicación del contenido
- • Capturas de pantalla si es posible
- • Su información de contacto
⏱️ Compromiso de respuesta
- • Revisión inmediata en casos urgentes
- • Respuesta en máximo 72 horas
- • Acción correctiva si procede
- • Seguimiento del caso hasta resolución
🛡️ Confidencialidad y protección
Su reporte será tratado con total confidencialidad. Protegemos la identidad de quienes reportan contenido problemático y no toleramos represalias. Todos los reportes son investigados con seriedad y diligencia.
15. Contacto
Para dudas sobre privacidad: [email protected]
Para reclamaciones oficiales: Agencia Española de Protección de Datos (AEPD).
16. Informe de Transparencia
📊 Estadísticas Anuales - Año 2024
Publicado en enero de 2025. Próxima actualización: enero de 2026.
🔍 Compromiso con la transparencia
BIOKODE se compromete a publicar anualmente estas estadísticas cada enero para mantener la transparencia sobre la moderación de contenido y el cumplimiento normativo. Este informe refleja nuestro compromiso con un entorno seguro y conforme a la legislación vigente.