Política de privacidad
Esta política describe cómo Calmauria (en adelante «Calmauria», «nosotros») trata los datos personales de los usuarios del sitio web calmauria.com y del servicio asociado (el «Servicio»), de conformidad con el Reglamento (UE) 2016/679 («RGPD») y el Decreto Legislativo italiano 196/2003, modificado por el Decreto Legislativo 101/2018.
Calmauria es un servicio de apoyo emocional y bienestar basado en inteligencia artificial. No es un servicio sanitario, no proporciona diagnósticos, terapia ni tratamientos, y no sustituye el consejo de un médico o de un psicólogo.
1. Responsable del tratamiento
El responsable del tratamiento es CR OÜ (società di diritto estone, codice registro 16778262), che opera con il marchio Calmauria, con domicilio social en Nõmme tee 64-3, Kristiine linnaosa, 11311 Tallinn, Harju maakond, Estonia. Para cualquier solicitud relativa a tus datos puedes escribirnos a [email protected].
2. Categorías de datos que tratamos
- Datos de la cuenta: dirección de correo electrónico, nombre (opcional), contraseña (almacenada exclusivamente como hash criptográfico), confirmación de la mayoría de edad.
- Datos de sesión: tema elegido, breve descripción inicial, modalidad (audio/teléfono), voz seleccionada, duración y hora de las sesiones.
- Contenido de las conversaciones: lo que dices durante tus sesiones con Auria y las respuestas correspondientes. Este contenido puede revelar datos pertenecientes a las categorías especiales de datos (artículo 9 RGPD) (en particular, datos relativos a la salud y al bienestar psicológico).
- Datos de pago: gestionados directamente por Stripe. No tratamos ni almacenamos números de tarjeta; solo recibimos identificadores de transacción, importe, estado del pago y correo electrónico de facturación.
- Datos técnicos: dirección IP, tipo de dispositivo y navegador, registros técnicos y de seguridad necesarios para el funcionamiento y la protección del Servicio.
3. Finalidades y bases jurídicas
- Prestación del Servicio (cuenta, sesiones, pagos): la base jurídica es la ejecución del contrato (art. 6.1.b RGPD).
- Tratamiento del contenido de las conversaciones y memoria entre sesiones (categorías especiales de datos): la base jurídica es tu consentimiento explícito (art. 9.2.a RGPD), que puedes retirar en cualquier momento.
- Seguridad, prevención de abusos y gestión de situaciones de crisis: interés legítimo (art. 6.1.f) y, cuando proceda, protección de intereses vitales (art. 9.2.c).
- Obligaciones fiscales y contables relacionadas con los pagos: obligación legal (art. 6.1.c).
- Comunicaciones de servicio (p. ej., confirmaciones, avisos de seguridad): ejecución del contrato e interés legítimo.
4. Memoria entre sesiones
Solo si otorgas un consentimiento específico y opcional, Auria conserva un resumen cifrado de tus conversaciones para que puedas retomar la conversación donde la dejaste en sesiones posteriores. Puedes retirar este consentimiento en cualquier momento desde tu área personal o escribiéndonos: a partir de ese momento la memoria dejará de utilizarse y los resúmenes serán eliminados.
5. Cómo protegemos tus datos
El contenido sensible (transcripciones y resúmenes de las sesiones) está cifrado a nivel de aplicación mediante el algoritmo AES-256-GCM; las claves de cifrado se gestionan de forma separada de la base de datos. Las contraseñas están protegidas con funciones de derivación de claves (scrypt). Adoptamos medidas técnicas y organizativas adecuadas para garantizar la confidencialidad, la integridad y la disponibilidad.
6. Proveedores y encargados del tratamiento
Para prestar el Servicio recurrimos a proveedores que actúan como encargados del tratamiento, cada uno con las garantías contractuales adecuadas:
- Stripe — pagos;
- Neon — base de datos;
- LiveKit — transmisión de audio/vídeo en tiempo real;
- Anam — avatar de vídeo (funcionalidad actualmente no activa);
- Cartesia — síntesis de voz;
- Deepgram — transcripción de voz;
- Anthropic — el modelo de inteligencia artificial que genera las respuestas.
Algunos proveedores pueden tratar datos fuera del Espacio Económico Europeo. En tal caso, las transferencias se realizan sobre la base de garantías adecuadas conforme a los artículos 44 y siguientes del RGPD (en particular, las Cláusulas Contractuales Tipo). Cuando es técnicamente posible, damos preferencia a proveedores que ofrecen residencia de los datos en la UE y compromisos contractuales de no entrenar sus modelos con tu contenido.
7. Decisiones automatizadas
El Servicio utiliza inteligencia artificial para generar respuestas y, en paralelo, un clasificador de seguridad automatizado que analiza cada turno de conversación para detectar señales de riesgo (p. ej., pensamientos suicidas, peligro para ti o para otras personas). Este tratamiento no produce efectos jurídicos que te afecten: su única finalidad es tu seguridad. No realizamos elaboración de perfiles con fines de marketing.
8. Conservación de los datos
- Datos de la cuenta: durante la relación y mientras la cuenta permanezca activa.
- Transcripciones y resúmenes: se conservan solo con tu consentimiento; si no consientes la memoria, el contenido no se conserva más allá de la sesión o se elimina en los plazos previstos en nuestras políticas de conservación.
- Datos de pago y documentos fiscales: durante el periodo exigido por la ley.
- Registros de seguridad: durante el tiempo estrictamente necesario para fines de seguridad.
9. Menores de edad
El Servicio está estrictamente reservado a personas adultas (18 años o más). No recopilamos conscientemente datos de menores. Si detectamos indicios de que un usuario puede ser menor de edad, finalizamos la sesión y lo dirigimos a recursos especializados. Si crees que un menor nos ha facilitado datos, escríbenos y los eliminaremos.
10. Gestión de situaciones de crisis
Calmauria no gestiona emergencias. Cuando existen señales de riesgo para la vida, Auria interrumpe la conversación y dirige al usuario hacia ayuda humana inmediata (números de emergencia y líneas de ayuda). En situaciones de peligro inminente, llama al 112 (o al número de emergencias de tu país).
11. Tus derechos
Como interesado, puedes ejercer en cualquier momento los derechos previstos en los artículos 15 a 22 del RGPD:
- acceso a tus datos y obtención de una copia;
- rectificación de los datos inexactos;
- supresión («derecho al olvido»);
- limitación del tratamiento y oposición al mismo;
- portabilidad de los datos;
- retirada del consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento realizado con anterioridad.
Para ejercer tus derechos, escribe a [email protected]. Responderemos dentro de los plazos establecidos por la ley.
12. Reclamación ante una autoridad de control
Tienes derecho a presentar una reclamación ante la autoridad italiana de protección de datos (Garante per la protezione dei dati personali, www.garanteprivacy.it) o ante la autoridad de control del Estado miembro de la UE en el que residas.
13. Modificaciones
Podemos actualizar esta política periódicamente. Las modificaciones se publicarán en esta página junto con la fecha de actualización correspondiente.
Aviso adicional para residentes en Estados Unidos — Consumer Health Data
El contenido de tus conversaciones con Auria puede constituir «consumer health data» (datos de salud del consumidor) conforme a determinadas leyes estatales de EE. UU., incluida la Washington My Health My Data Act. Con respecto a dichos datos, y en lo que se aplica a los residentes en Estados Unidos:
- los recopilamos y tratamos solo con tu consentimiento explícito y exclusivamente para prestarte el Servicio;
- no vendemos consumer health data ni los compartimos con fines publicitarios;
- puedes ejercer tus derechos de acceso, supresión y retirada del consentimiento en cualquier momento escribiendo a [email protected];
- estos datos están protegidos mediante cifrado a nivel de aplicación, como se describe en la sección 5.
Nota: esta es una traducción de cortesía facilitada para tu comodidad. En caso de discrepancia entre la versión española y la italiana, prevalece la versión italiana en la medida permitida por las normas imperativas de protección de los consumidores. Esta política se ha redactado con el máximo cuidado, pero no sustituye un asesoramiento jurídico personalizado: se recomienda su revisión por un abogado cualificado antes del lanzamiento público, junto con una evaluación de impacto relativa a la protección de datos (EIPD/DPIA).