Esta Política de privacidad describe cómo Online Presence Builder SRL ("RespirAIA", "nosotros") trata los datos personales en la aplicación móvil RespirAIA, en el sitio web de marketing respiraiapp.com y en los servicios relacionados.
Tratamos tus datos de forma lícita, transparente y solo en la medida necesaria para ofrecer y mejorar RespirAIA. Estamos en Rumanía, pero servimos a usuarios de todo el mundo.
1. Quiénes somos
Responsable del tratamiento / merchant of record:
| Nombre legal | Online Presence Builder SRL |
| Domicilio social | Bd. Siderurgiștilor 15, Bl. SD10B, parter, Galați, România |
| Código fiscal rumano (CUI/CIF) | 35799807 |
| NIF intracomunitario de la UE | RO45030362 (solo operaciones intracomunitarias) |
| Registro Mercantil | J17/450/2016 · J2016000450170 |
| Administrador único | Gabriel Ursan |
| Contacto público | [email protected] |
Contacto de protección de datos: Gabriel Ursan, disponible en [email protected].
2. Qué recopilamos
Lo que tú aportas
- Información de cuenta (correo, nombre opcional, contraseña — hasheada vía Clerk)
- Perfil (idioma, zona horaria, fecha de nacimiento para verificación de edad)
- Perfil de consumo (cigarrillos diarios, años de consumo, coste por paquete, puntuación FTND)
- Razones para dejarlo y detonantes
- Intentos previos, eventos de impulso, entradas del diario
- Conversaciones con el coach de IA
Generado automáticamente
- Resúmenes y embeddings del coach de IA (para que tu coach tenga contexto)
- Metadatos de eventos de crisis — el hecho de que un mensaje fue marcado y qué capa lo marcó. No almacenamos el texto del mensaje.
- Estado de la suscripción desde RevenueCat (Apple IAP + Google Play)
- Analítica de uso de la aplicación (solo si das tu consentimiento — Amplitude UE)
- Registros de fallos (Sentry)
- Registros de auditoría (marcas de tiempo de acciones con IP hasheada y user agent)
Lo que no recopilamos
- Datos de calidad sanitaria (presión arterial, resultados de laboratorio, etc.)
- Facebook, Google Analytics, TikTok ni ningún SDK de seguimiento publicitario
- No vendemos tus datos, nunca.
3. Por qué lo tratamos (base legal)
| Prestar el servicio principal | Contrato (RGPD Art. 6(1)(b)) |
| Tratar datos relacionados con la salud (perfil de consumo, diario, coach) | Consentimiento explícito (Art. 9(2)(a)) |
| Detectar y responder ante una crisis de salud mental | Intereses vitales (Art. 9(2)(c)) + tu consentimiento |
| Cobrar Premium | Contrato |
| Enviar correos transaccionales | Contrato |
| Enviar correos de marketing | Consentimiento — opt-in, opt-out cuando quieras |
| Detectar fraude y abuso | Interés legítimo (Art. 6(1)(f)) |
| Cumplir con la ley (impuestos, requerimientos de la ANSPDCP) | Obligación legal |
4. Subencargados
Usamos servicios de terceros para operar RespirAIA. Cada uno ha firmado un Acuerdo de Tratamiento de Datos y trata los datos solo siguiendo nuestras instrucciones.
| Encargado | Finalidad | Región |
|---|---|---|
| Render | Cómputo, servicio web, cron, registros | UE (Frankfurt) |
| Cloudflare R2 | Almacenamiento de objetos, copias de seguridad, exportaciones RGPD | Jurisdicción de la UE |
| Clerk | Autenticación | Configurado en la UE |
| Anthropic | Coach de IA y clasificador (Claude Sonnet + Haiku) | Endpoint de la UE |
| RevenueCat | Unificación de Apple IAP y Play Store IAP | EE. UU. (SCC) |
| Brevo | Correo transaccional y de marketing | UE |
| Amplitude EU | Analítica de producto (sujeta a consentimiento) | UE (Frankfurt) |
| Sentry | Seguimiento de errores | Región UE (de.sentry.io) |
| Cloudflare Web Analytics | Analítica del sitio de marketing — sin cookies | Edge global |
Para encargados constituidos en EE. UU. nos basamos en las Cláusulas Contractuales Tipo (SCC) según el Capítulo V del RGPD. No vendemos ni compartimos tus datos personales con anunciantes, brókers de datos ni redes de marketing.
5. Cuánto tiempo los conservamos
| Información de cuenta, perfil de consumo, diario, conversaciones con el coach | Hasta que elimines tu cuenta |
| Metadatos de eventos de crisis | 24 meses, después se anonimizan |
| Registros de auditoría | 12 meses |
| Copias de seguridad | 90 días, rotativos |
| Facturas fiscales | 10 años (legislación fiscal rumana) |
| Opt-in de correo de marketing | Hasta que te des de baja |
6. Tus derechos (RGPD + UK GDPR)
- Acceder a los datos personales que tenemos sobre ti (Art. 15)
- Rectificar datos inexactos (Art. 16)
- Suprimir tus datos (Art. 17)
- Limitar el tratamiento (Art. 18)
- Recibir tus datos en formato portable (Art. 20)
- Oponerte al tratamiento basado en interés legítimo (Art. 21)
- Retirar el consentimiento en cualquier momento (Art. 7(3))
- Presentar una reclamación ante tu autoridad de control — para Rumanía, ANSPDCP en dataprotection.ro
La mayoría de los derechos se pueden ejercer directamente en la aplicación (Ajustes → Privacidad). También puedes escribir a [email protected]. Respondemos en un plazo de 30 días, normalmente antes.
7. Menores
RespirAIA es para personas adultas de 18 años o más. No recopilamos conscientemente datos de menores de 18 años. Si descubres que un menor se ha registrado, escribe a [email protected] y eliminaremos la cuenta.
8. Cookies
El sitio web de marketing usa Cloudflare Web Analytics — un servicio de analítica sin cookies y respetuoso con la privacidad. No instalamos cookies de marketing ni de terceros en este sitio. La aplicación móvil no usa cookies en absoluto. Consulta nuestra Política de cookies para ver la lista completa de tecnologías esenciales en uso.
9. Seguridad
Seguimos las buenas prácticas del sector: TLS 1.3 en tránsito, cifrado en reposo (cifrado de sobre AES-256-GCM para contenido sensible), acceso de mínimo privilegio, registros de auditoría, secretos en 1Password, acceso por URL firmada para los archivos almacenados, revisiones de seguridad trimestrales.
En caso de violación de datos personales, notificaremos a la ANSPDCP rumana en un plazo de 72 horas cuando proceda, y avisaremos a los usuarios afectados cuando la violación suponga un riesgo alto para sus derechos.
10. Transferencias internacionales
Cuando los datos salen del EEE, usamos Cláusulas Contractuales Tipo (Módulo 2, responsable a encargado) y exigimos al receptor un nivel de protección equivalente al RGPD.
11. Cambios a esta política
Actualizamos esta Política cuando cambia nuestro tratamiento. Los cambios sustanciales se notifican por correo y mediante banner en la aplicación; la fecha de "Última actualización" siempre refleja la versión más reciente.
12. Contacto
Preguntas sobre privacidad: [email protected].