Política de Privacidad

Cómo trata Nutae sus datos — datos de salud según el art. 9 del RGPD.

Dernière mise à jour :

1. Compromiso RGPD

La presente Política describe cómo SmartZonesIndicators recopila, utiliza, conserva y protege los datos de carácter personal de los Usuarios de la aplicación Nutae, de conformidad con el Reglamento (UE) 2016/679 (RGPD) y con la legislación de protección de datos aplicable.

2. Responsable del tratamiento

El responsable del tratamiento de los datos personales es:

  • Nombre: SmartZonesIndicators, sociedad francesa
  • Contacto general: support@smart-zones-indicators.com
  • Delegado de protección de datos (DPO): dpo@smart-zones-indicators.com
  • Autoridad de control: Commission Nationale de l'Informatique et des Libertés (CNIL), www.cnil.fr

3. Datos recopilados

3.1 Datos de la cuenta

  • Dirección de correo electrónico
  • Contraseña (cifrada con bcrypt, nunca almacenada en claro)
  • Nombre de usuario elegido por el Usuario
  • Fecha de creación de la cuenta

3.2 Datos relativos a la salud (art. 9 RGPD)

  • Comidas registradas (nombre, hora, método de registro)
  • Síntomas digestivos (tipo, intensidad, hora)
  • Fotos de comidas (solo Premium, eliminadas inmediatamente tras el análisis por IA)
  • Correlaciones estadísticas calculadas (Fisher + BH-FDR)
  • Marcadores de salud opcionales (sueño, estrés, hidratación, ciclo menstrual)

3.3 Datos técnicos

  • Token App Check anónimo (antifraude de Firebase)
  • Registros de error anonimizados (Sentry)
  • Métricas de uso agregadas (PostHog, opt-in granular)

4. Finalidades del tratamiento

  • Prestar el servicio de diario de alimentación y de análisis de desencadenantes digestivos
  • Calcular las correlaciones estadísticas personales (Fisher + BH-FDR)
  • Permitir la exportación en PDF de observación para compartir con un profesional sanitario
  • Proteger la cuenta (autenticación, antifraude)
  • Mejorar el producto (solo si se ha dado el consentimiento para analítica, opt-in granular)

5. Base jurídica

«El tratamiento de los datos relativos a la salud se basa exclusivamente en el consentimiento explícito del Usuario (artículo 9.2.a del RGPD).» Este consentimiento se recoge en el momento del registro mediante un diálogo de consentimiento granular «por finalidad», independiente de la aceptación de las Condiciones de Uso.

El Usuario puede «retirar su consentimiento en cualquier momento» desde Perfil > Ajustes > Privacidad, sin que dicha retirada afecte a la licitud del tratamiento realizado con anterioridad.

6. Alojamiento y localización

«Todos los datos del Usuario están alojados en la Unión Europea», en Google Cloud Firebase, región europe-west1 (Bélgica). No se realiza ningún almacenamiento a largo plazo de datos de salud fuera de la UE.

Para el análisis de fotos por IA «Pregunta a Nutae», las imágenes se envían a Google Vertex AI región europe-west1 y se eliminan inmediatamente tras la inferencia, sin almacenamiento a largo plazo y sin uso para entrenar ningún modelo.

7. Encargados del tratamiento

SmartZonesIndicators recurre a los siguientes encargados del tratamiento, con los que se ha firmado un acuerdo de tratamiento (DPA art. 28 RGPD):

  • Google Cloud Firebase (Firestore, Authentication, Cloud Functions, App Check, Cloud Messaging) — alojamiento principal europe-west1
  • Google Vertex AI Gemini — análisis de fotos por IA, europe-west1, eliminación inmediata tras la inferencia
  • RevenueCat — gestión de las suscripciones Premium
  • Resend — envío de correos electrónicos transaccionales (OTP, notificaciones de cuenta)
  • Sentry — registro anonimizado de los errores de la aplicación
  • PostHog — métricas de uso agregadas (opt-in)

8. Transferencias fuera de la Unión Europea

Las transferencias fuera de la UE son escasas y se limitan a los siguientes encargados del tratamiento: RevenueCat (Estados Unidos), Resend (Estados Unidos), Apple y Google (identidades federadas). Están reguladas por las «Cláusulas Contractuales Tipo 2021/914» de la Comisión Europea y, en su caso, por la adhesión de los encargados del tratamiento al Data Privacy Framework EU-US.

No se realiza ninguna transferencia fuera de la UE de datos de salud en bruto (comidas, síntomas, fotos). Las correlaciones estadísticas se calculan localmente en el dispositivo del Usuario.

9. Seguridad

  • Cifrado TLS 1.3 en tránsito
  • Cifrado AES-256 en reposo (gestionado por Firebase)
  • Autenticación por token (Firebase Auth + App Check)
  • Contraseñas cifradas con bcrypt, nunca almacenadas en claro
  • Sin acceso humano a los datos individuales sin consentimiento explícito
  • Auditorías de seguridad periódicas

10. Notificación de violación de datos

En caso de violación de datos de carácter personal que pueda entrañar un riesgo para los derechos y libertades del Usuario, el Editor notifica a la CNIL «en un plazo de 72 horas» tras haber tenido conocimiento de ella, de conformidad con el artículo 33 del RGPD. Si la violación entraña un riesgo elevado, se informa al Usuario afectado «a la mayor brevedad posible», de conformidad con el artículo 34 del RGPD.

Para los Usuarios residentes en Estados Unidos, en caso de violación que afecte a «identifiable health information», el Editor procederá a la notificación prevista por la FTC Health Breach Notification Rule (16 CFR Part 318): información de los Usuarios afectados, notificación a la Federal Trade Commission y, si la violación afecta a más de 500 residentes de un mismo Estado o territorio, comunicación a los medios competentes.

11. Sus derechos

De conformidad con los artículos 15 a 22 del RGPD, el Usuario dispone de los siguientes derechos: acceso, rectificación, supresión, portabilidad, oposición, limitación del tratamiento, «retirada del consentimiento en cualquier momento» y «derecho a la intervención humana y a la impugnación de los resultados de la IA».

Para ejercer estos derechos:

  • Desde la app: Perfil > Ajustes > Mis datos (exportación JSON / eliminación en cascada con un solo toque)
  • Por correo electrónico: dpo@smart-zones-indicators.com
  • Plazo de respuesta: 30 días como máximo
  • Reclamación ante la CNIL: www.cnil.fr (reclamación gratuita en línea)

12. Plazo de conservación

Los datos del Usuario se conservan mientras su cuenta esté activa. Al eliminar la cuenta, «todos los datos se borran en un plazo de 30 días» (eliminación en cascada de Firestore). Los registros técnicos anonimizados se conservan 90 días por motivos de seguridad.

13. Cookies, rastreadores y publicidad

El sitio web nutae.app no utiliza ninguna cookie de rastreo publicitario. Solo se utilizan cookies técnicas estrictamente necesarias (preferencia de idioma). La aplicación móvil no incorpora ningún SDK publicitario de terceros.

«Sin publicidad, sin elaboración de perfiles comerciales, sin cesión de datos con fines de marketing.»

14. Menores

La Aplicación está reservada estrictamente a las personas «de al menos 16 años cumplidos». No se recopila intencionadamente ningún dato relativo a un menor de 16 años. Si SmartZonesIndicators tiene conocimiento de una cuenta creada infringiendo esta regla, la cuenta se elimina sin demora y los datos se borran.

15. Residentes en California y Estados Unidos (CCPA / CPRA)

La presente sección se dirige a los Usuarios residentes en Estados Unidos y, más concretamente, en California en el sentido de la California Consumer Privacy Act tal como fue modificada por la California Privacy Rights Act («CCPA/CPRA»). Complementa, sin sustituirlas, las demás disposiciones de la presente Política.

Los datos relativos a la salud tratados por Nutae se califican como «sensitive personal information» en el sentido de la CPRA. Por ello, el Usuario californiano dispone de los siguientes derechos:

  • Right to Know: conocer las categorías de datos recopilados, las fuentes, las finalidades y los destinatarios
  • Right to Delete: solicitar la supresión de los datos personales
  • Right to Correct: solicitar la corrección de datos inexactos
  • Right to Opt-Out of Sale / Sharing: «Nutae no vende ni comparte datos personales con fines de publicidad comportamental»
  • Right to Limit Use of Sensitive Personal Information: limitar el uso de los datos de salud a las estrictas finalidades de prestación del servicio
  • Right to Non-Discrimination: sin trato desfavorable por el ejercicio de estos derechos

Para ejercer estos derechos, el Usuario puede escribir a dpo@smart-zones-indicators.com o utilizar las funciones integradas en la aplicación (Perfil > Ajustes > Mis datos). Plazo de respuesta: 45 días, prorrogables 45 días adicionales si fuera necesario, de conformidad con la CCPA/CPRA.

Los Usuarios residentes en otros estados estadounidenses con una legislación comparable (en particular Virginia, Colorado, Connecticut, Utah, Texas, Oregón) disfrutan de derechos equivalentes y pueden ejercerlos por los mismos canales.

16. Modificación, autoridad y contacto

Toda modificación sustancial de la presente Política se notifica al Usuario a través de la Aplicación o por correo electrónico al menos 30 días antes de su entrada en vigor. La fecha de la última actualización figura en la parte superior del presente documento.

El Usuario puede presentar una reclamación ante la Commission Nationale de l'Informatique et des Libertés (CNIL), autoridad de control francesa, en la dirección www.cnil.fr.

  • Contacto general: support@smart-zones-indicators.com
  • Delegado de protección de datos (DPO): dpo@smart-zones-indicators.com
  • Plazo de respuesta: 30 días como máximo