Tu privacidad es fundamental para nosotros. Esta Política de Privacidad explica qué datos recogemos, por qué los recogemos, cómo los usamos y tus derechos. Ha sido elaborada para cumplir la Ley General de Protección de Datos (LGPD, Ley nº 13.709/2018 — Brasil) y el Reglamento General de Protección de Datos (GDPR, Reglamento UE 2016/679 — Unión Europea).
1. Quiénes somos
DaysWithout es operada por Hessel IT Solutions (la "Empresa", "nosotros"), con sede en [CALLE, NÚMERO, CÓDIGO POSTAL], Lisboa, Portugal, inscrita bajo el NIF 517 659 247.
1.1 Responsable de Protección de Datos (DPO)
Hemos nombrado un Responsable de Protección de Datos (DPO/Encarregado, según LGPD art. 41 y GDPR art. 37):
- Nombre: Hessel IT Solutions
- Cargo: Responsable de Protección de Datos
- Canal directo: dpo@hesselitsolutions.com
Para cualquier cuestión relacionada con privacidad o para ejercer tus derechos, contacta directamente al DPO. Para asuntos generales, contato@hesselitsolutions.com.
2. Datos que recogemos
2.1 Datos de cuenta
- Email y contraseña (o credencial Google/Apple si usas inicio social)
- Nombre de visualización (opcional)
- Idioma preferido y zona horaria
2.2 Datos de uso de la app (hábitos)
- Contadores de hábitos que creas (nombre, icono, fecha de inicio)
- Registros de recaídas con fecha, hora y contexto que añadas
- Entradas del diario (humor, energía, contexto social, texto libre)
- Logros y hitos (rachas, XP, misiones)
2.3 Mensajes del AI Companion
Todos los mensajes que envías a Atlas/Mira (el AI Companion) se procesan en tiempo real. Ver Sección 4 — es la categoría de datos más sensible.
2.4 Comunidad y Tribus
- Publicaciones y comentarios en Tribus
- Reacciones, menciones, mensajes privados a aliados (Ally Mode)
2.5 Datos de pago
Los pagos los procesa directamente Stripe Inc. No almacenamos datos de tu tarjeta de crédito. Solo recibimos el identificador de suscripción y su estado.
2.6 Datos técnicos
- Tokens de notificaciones push (FCM)
- Registros anonimizados de errores y eventos de seguridad
- Métricas de uso agregadas (sin PII)
3. Para qué usamos tus datos
| Finalidad | Base legal (LGPD / GDPR) |
|---|---|
| Proporcionar la app y funcionalidades | Ejecución de contrato (Art. 7, V LGPD / Art. 6(1)(b) GDPR) |
| Procesar pagos y gestionar suscripciones | Ejecución de contrato |
| Enviar notificaciones de motivación y reenganche | Consentimiento (revocable en Ajustes → Notificaciones) |
| Detección automatizada de crisis emocional | Protección de la vida (Art. 7, VII LGPD / Art. 9(2)(c) GDPR — interés vital) |
| Análisis de uso para mejorar el producto | Interés legítimo (Art. 7, IX LGPD / Art. 6(1)(f) GDPR) |
| Cumplir obligaciones legales y regulatorias | Obligación legal |
4. Datos sensibles de salud mental
⚠️ Aviso importante. DaysWithout trata datos que pueden calificarse como "datos personales sensibles" relativos a la salud mental (LGPD Art. 5, II / GDPR Art. 9). Esta sección explica en detalle qué hacemos con esos datos, por qué y cómo te protegemos.
4.1 Detección automatizada de crisis
Para garantizar tu seguridad, todos los mensajes que envías al AI Companion son analizados automáticamente en tiempo real por sistemas basados en inteligencia artificial, con el objetivo de identificar señales de:
- Ideación suicida o autolesión
- Crisis emocional grave
- Preocupación por la seguridad de terceros
El sistema usa una combinación de:
- Patrones lingüísticos deterministas (coincidencia de términos)
- Clasificación semántica vía modelo de lenguaje (Google Gemini, a través del gateway OpenRouter)
4.2 Registro de eventos de seguridad
Cuando el sistema detecta una crisis, se crea un registro anonimizado en nuestra base de datos para revisión clínica y auditoría. Ese registro contiene:
- Timestamp del evento
- Identificador del usuario (cifrado)
- Método de detección (regex / LLM)
- Nivel de riesgo clasificado (bajo / medio / alto)
- Categoría de disparador anonimizada
El contenido literal del mensaje se guarda en un repositorio clínico separado, con acceso restringido a personal autorizado de revisión clínica, retención máxima de 90 días, tras los cuales se elimina automáticamente.
4.3 Base legal y derechos
Este análisis automatizado se fundamenta en protección de la vida (LGPD Art. 7, VII y Art. 11 II 'f'; GDPR Art. 9(2)(c) — intereses vitales). Es una medida de seguridad no opcional, activa para todos los usuarios, porque consideramos que el riesgo de no detectar una crisis emocional es desproporcionalmente mayor que la incomodidad de un análisis automatizado.
Derecho a revisión humana (LGPD Art. 20): Tienes derecho a solicitar revisión humana de cualquier decisión tomada únicamente sobre la base de tratamiento automatizado (incluyendo la detección de crisis descrita arriba). Para ejercer este derecho, contacta a nuestro DPO en dpo@hesselitsolutions.com. Responderemos en un plazo de 15 días (LGPD) o 30 días (GDPR).
4.4 Limitaciones importantes
El AI Companion no es un terapeuta ni sustituye a la atención clínica. La detección automatizada de crisis es una medida de mitigación de riesgo, no un sistema de emergencia. En caso de crisis activa, contacta inmediatamente:
- España: Teléfono de la Esperanza 717 003 717 · Emergencias 112
- México: SAPTEL 55 5259-8121 · Emergencias 911
- Argentina: Centro de Asistencia al Suicida 135 (CABA/GBA) o (011) 5275-1135
- Otros países: Líneas locales de prevención o número de emergencias
5. Con quién compartimos tus datos
No vendemos tus datos. No hacemos publicidad dirigida. Los siguientes procesadores reciben solo datos estrictamente necesarios:
| Subprocesador | Finalidad | Ubicación |
|---|---|---|
| Google Cloud / Firebase | Hosting, autenticación, base de datos, Cloud Functions | EE.UU. + UE |
| OpenRouter | Gateway de modelos de lenguaje para AI Companion | EE.UU. |
| Google AI (Gemini) | Procesamiento de mensajes del AI Companion | EE.UU. |
| Stripe | Procesamiento de pagos | EE.UU. + UE |
| RevenueCat | Suscripciones in-app (iOS/Android) | EE.UU. |
6. Retención y eliminación
| Tipo de dato | Plazo |
|---|---|
| Datos de cuenta y uso de la app | Hasta que elimines tu cuenta |
| Mensajes de chat (historial de contexto) | Últimos 50 mensajes, ventana rodante |
| Eventos de seguridad (registro anonimizado) | 365 días |
| Contenido literal de crisis (revisión clínica) | 90 días, eliminación automática |
| Registros de errores y métricas técnicas | 30 días |
| Datos de pago (referencias Stripe) | Según obligaciones fiscales — hasta 5 años |
Puedes eliminar tu cuenta en cualquier momento en Ajustes → Cuenta; todos los datos asociados se eliminarán en un plazo máximo de 30 días.
7. Tus derechos
Como titular de datos personales, tienes los siguientes derechos garantizados por LGPD y GDPR:
- Acceso: obtener confirmación y copia de tus datos
- Corrección: rectificar datos incompletos o inexactos
- Eliminación: borrar tus datos ("derecho al olvido")
- Portabilidad: recibir tus datos en formato estructurado (JSON)
- Oposición: oponerte al tratamiento por interés legítimo
- Revocación de consentimiento: en cualquier momento
- Reclamación: ante la autoridad competente (ANPD en Brasil, AEPD en España, equivalente en tu país)
Para ejercer estos derechos: contato@hesselitsolutions.com. Respondemos en 15 días (LGPD) / 30 días (GDPR).
8. Transferencias internacionales de datos
Tus datos se procesan en servidores ubicados en EE.UU. y UE. Aplicamos:
- UE → EE.UU.: Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea
- Brasil → exterior: garantías de nivel adecuado y/o cláusulas contractuales específicas según LGPD Art. 33
9. Cookies y tecnologías similares
El sitio de marketing (dayswithout.life) usa un conjunto mínimo de tecnologías de almacenamiento local:
9.1 Esenciales (siempre activos)
- localStorage: preferencia de tema (claro/oscuro) e idioma. No requiere consentimiento — es estrictamente funcional.
- Cookie 1st-party
consent(12 meses): registra tu decisión en el banner de cookies.
9.2 Análisis — Google Analytics 4 (con consentimiento)
Si aceptas en el banner de cookies, el sitio carga Google Analytics 4 (operador: Google LLC, EE.UU.) configurado con:
- Finalidad: medir uso anónimo (páginas vistas, flujo de navegación, idiomas, clics en el CTA "Abrir App") para mejorar producto y copy.
- Base legal: consentimiento (LGPD Art. 7 I / GDPR Art. 6(1)(a)).
- Modo: Google Consent Mode v2 — denegado por defecto. Cookies de análisis solo se establecen tras aceptación explícita.
- Anonimización de IP: activada (por defecto en GA4 desde oct/2020).
- Sin compartir con Ads: Google Signals y personalización de anuncios desactivados.
- Transferencia internacional: datos procesados por Google en EE.UU. Cubierta por Cláusulas Contractuales Tipo (SCCs) — ver sección 8.
- Retención: 14 meses (mínimo configurable en GA4 — no extendemos).
- Revocación: en cualquier momento, vía enlace "Preferencias de cookies" en el pie de página.
9.3 Lo que NO usamos
Sin Meta Pixel. Sin Hotjar. Sin FullStory. Sin Microsoft Clarity. Sin cookies de publicidad. Sin herramientas de A/B testing. Sin fingerprinting.
La app (app.dayswithout.life) usa cookies esenciales para mantener la sesión de autenticación. Sin cookies de terceros para tracking en la app.
10. Menores
DaysWithout está destinada exclusivamente a mayores de 18 años. No recogemos conscientemente datos de menores. Si descubres que un menor creó una cuenta, contáctanos para eliminación inmediata.
11. Notificación de incidentes de seguridad
En caso de incidente de seguridad que involucre datos personales (acceso no autorizado, pérdida, destrucción, alteración o divulgación indebida), actuaremos así:
- Autoridad competente: notificamos a la autoridad de protección de datos (ANPD en Brasil, CNPD en Portugal, o equivalente UE) sin demora indebida — en hasta 72 horas tras tomar conocimiento del incidente, cuando aplicable (GDPR Art. 33), o en plazo razonable (LGPD Art. 48).
- Titulares afectados: si el incidente presenta riesgo elevado a tus derechos y libertades, te notificamos directamente (email registrado y/o notificación en la app) sin demora indebida (GDPR Art. 34).
- Contenido de la notificación: naturaleza del incidente, categorías y número aproximado de titulares afectados, posibles consecuencias, medidas tomadas y contacto del DPO para aclaraciones.
12. Cambios a esta política
Podemos actualizar esta Política periódicamente. La fecha de "Última actualización" indica la versión actual. Cambios materiales se comunicarán con al menos 30 días de antelación por email y/o notificación en la app.
13. Contacto
- Email general: contato@hesselitsolutions.com
- Responsable de Protección de Datos (DPO): Hessel IT Solutions · dpo@hesselitsolutions.com
- Empresa: Hessel IT Solutions
- Dirección: [CALLE, NÚMERO, CÓDIGO POSTAL], Lisboa, Portugal
- NIF: 517 659 247