Política de privacidad
Responsable del tratamiento: MindReset AI self-help platform, operated by MindReset AI Ltd, empresa registrada en England & Wales, con sede en Londres, Reino Unido — support@mindreset.ai
[NOTE: El registro ante la ICO debe obtenerse en ico.org.uk antes del lanzamiento público. Tarifa anual ~£40-60. El registro debe completarse antes de cualquier actividad de marketing o disponibilidad pública.]
1. Qué cubre esta Privacy Policy
Esta Privacy Policy explica qué datos personales recopilamos sobre usted cuando utiliza el Servicio, por qué los recopilamos, cómo los protegemos, con quién los compartimos, cuánto tiempo los conservamos y qué derechos tiene conforme al UK GDPR y, cuando corresponda, al EU GDPR.
2. Datos que recopilamos
| Categoría | Ejemplos | Finalidad | Base legal |
|---|---|---|---|
| Datos de cuenta | email address, hashed password, country (inferido a partir de la IP), preferred language | crear y gestionar su cuenta; proporcionar el Servicio | Ejecución del contrato |
| Datos del cuestionario | sus respuestas al Readiness Check, clasificación resultante (Green / Yellow / Red), resumen de motivos | clasificar si el Servicio es adecuado para usted; proteger a los usuarios de posibles daños | Consentimiento explícito (art. 9 §2 a UK GDPR) |
| Datos de conversación (categoría especial) | los mensajes que envía a MiniMind o a los módulos; reflections y respuestas en ejercicios; mood y energy check-ins | análisis AI para sugerir prácticas; apoyo wellbeing personalizado; seguimiento de su progreso | Consentimiento explícito (art. 9 §2 a UK GDPR) |
| Perfil de bienestar | patrones derivados (por ejemplo, «elevated anxiety», «recent stable period»), observaciones de estados y temas | personalización; smart routing hacia prácticas y módulos adecuados | Consentimiento explícito (art. 9 §2 a UK GDPR) |
| Eventos de seguridad | momentos de conversation marcados que activaron nuestro safety protocol, nuestra automated response, optional manual review notes | auditoría del safety protocol; cumplimiento de las obligaciones sobre priority offences del Online Safety Act 2023 | Interés legítimo (registro de seguridad) / Obligación legal |
| Datos de uso | tipo de dispositivo, browser, IP address, cookies, timestamps, visualizaciones de páginas | seguridad, anti-abuse, mejora del Servicio, analítica anónima | Interés legítimo |
| Datos de pago | últimos 4 dígitos de la tarjeta, transaction ID, billing email (los datos completos de la tarjeta son conservados por el payment processor, no por nosotros) | billing, prevención de fraude, registros financieros | Ejecución del contrato / Obligación legal (derecho fiscal) |
| Mensajes al soporte | emails enviados a support@mindreset.ai u otras direcciones nuestras | responder consultas; resolver problemas | Interés legítimo |
No solicitamos su nombre real, dirección física, fecha de nacimiento ni identificadores gubernamentales. Por favor, evite compartir información personalmente identificable sobre usted o sobre otras personas dentro de las conversations con la AI.
3. Cómo utilizamos la AI
Sus conversation data son procesados por nuestro AI engine para generar respuestas y sugerir prácticas.
- La AI crea wellbeing observations no médicas (por ejemplo, «the user describes physical tension when discussing work») para personalizar mejor las prácticas
- La AI no realiza diagnósticos médicos
- La AI no toma decisiones que produzcan efectos legales sobre usted
- Puede contactarnos en support@mindreset.ai si considera que una automated response es incorrecta o perjudicial; se realizará una human review
En virtud del Article 22 UK GDPR, usted tiene derecho a no estar sujeto a una decisión basada únicamente en automated processing que produzca efectos legales o efectos significativamente similares. Las wellbeing observations y practice suggestions realizadas por nuestra AI no constituyen tales decisiones.
4. Con quién compartimos los datos
Nunca vendemos ni alquilamos sus datos personales. Solo los compartimos con categorías de service providers necesarias para proporcionar el Servicio:
- Cloud hosting y database services
- AI infrastructure (para conversational y analytical features)
- Speech-to-text transcription (para voice input)
- Authentication y account management
- Procesamiento de pagos
- Envío de correos transaccionales
- Alojamiento del sitio web
Voice input. Si decide utilizar voice input en MiniMind, su audio grabado se transmite de forma segura a nuestro speech-to-text provider para transcription. Hemos habilitado zero data retention con este provider: el audio no se almacena después de la transcription ni en la infraestructura de MindReset ni en la del provider. Solo el resulting text se guarda como parte de su conversation history. Si lo prefiere, puede utilizar el Servicio completamente mediante typing.
Los providers específicos pueden cambiar con el tiempo. Puede solicitar una lista actualizada de los service providers que utilizamos enviando un email a support@mindreset.ai.
También podremos divulgar sus datos cuando estemos legalmente obligados por una court order o un legal process similar.
Utilizamos Standard Contractual Clauses (o mecanismos equivalentes UK IDTA) para cualquier international data transfer, complementados cuando sea necesario con safeguards adicionales, incluyendo encryption in transit y at rest.
5. Transferencias internacionales
Sus datos pueden ser procesados fuera del Reino Unido y de la UE, principalmente en los Estados Unidos. Cuando esto ocurre, nos basamos en:
- Una adequacy decision del Reino Unido o de la UE (cuando exista)
- Standard Contractual Clauses aprobadas por la Comisión Europea o la UK ICO
- Otras safeguards apropiadas permitidas bajo UK GDPR o EU GDPR
Puede solicitar detalles sobre las safeguards específicas aplicadas a cualquier transferencia enviando un email a support@mindreset.ai.
6. Seguridad
Implementamos medidas técnicas y organizativas apropiadas para proteger sus datos:
- TLS 1.2 o superior para todos los datos en tránsito
- Cifrado AES-256 de los datos en reposo para los datos almacenados (proporcionado por Supabase)
- Contraseñas cifradas mediante hash utilizando algoritmos conformes con los estándares del sector (gestionado por Clerk)
- Acceso basado en funciones a nuestros sistemas backend; los accesos se registran y auditan
- Obligaciones de confidencialidad para cualquier persona con acceso a los datos
- Revisiones periódicas de seguridad y supervisión de vulnerabilidades de dependencias
- Copias de seguridad cifradas con conservación limitada
Ningún sistema de seguridad es completamente invulnerable. En caso de una violación de seguridad de los datos que afecte a sus derechos y libertades, notificaremos al ICO en un plazo de 72 horas y, cuando sea necesario, informaremos a los usuarios afectados sin demora indebida.
7. Conservación de datos
| Categoría de datos | Periodo de conservación |
|---|---|
| Datos de la cuenta | Cuenta activa: hasta que usted la elimine. Cuenta inactiva: eliminada 12 meses después del último inicio de sesión. |
| Datos de evaluación | 12 meses después del último inicio de sesión o inmediatamente tras la eliminación de la cuenta |
| Datos de conversación | 12 meses después del último inicio de sesión o inmediatamente tras la eliminación de la cuenta |
| Perfil de bienestar | Igual que los datos de conversación |
| Eventos de seguridad | 7 años (obligación legal de conservación de registros de auditoría) — despersonalizados tras la eliminación de la cuenta |
| Datos de pago | 6 años (requisito de la legislación fiscal del Reino Unido) |
| Copias de seguridad | Máximo 30 días |
| Mensajes de soporte | 24 meses desde el último contacto |
Puede solicitar la eliminación anticipada de cualquier dato, salvo cuando estemos legalmente obligados a conservarlo (por ejemplo, registros financieros conforme a la legislación fiscal o eventos de seguridad conforme al Online Safety Act).
8. Sus derechos
En virtud del UK GDPR (y del RGPD de la UE cuando resulte aplicable), usted tiene derecho a:
- Acceso — solicitar una copia de los datos personales que conservamos sobre usted
- Rectificación — corregir datos inexactos
- Supresión — solicitar la eliminación de sus datos («derecho al olvido»), sujeto a obligaciones legales de conservación
- Limitación — solicitar que limitemos la forma en que tratamos sus datos
- Oposición — oponerse al tratamiento basado en intereses legítimos
- Portabilidad — recibir sus datos en un formato estructurado, de uso común y lectura mecánica
- Retirada del consentimiento — respecto de cualquier tratamiento basado en el consentimiento
Para ejercer cualquiera de estos derechos:
- Utilice la sección «Datos» en la configuración de su cuenta (cuando esté disponible), o bien
- Envíe su solicitud por correo electrónico a support@mindreset.ai
Responderemos en el plazo de un mes o le notificaremos dentro de dicho plazo si necesitamos tiempo adicional (hasta dos meses adicionales) debido a la complejidad de la solicitud.
Si no está satisfecho con la manera en que tratamos sus datos, tiene derecho a presentar una reclamación ante la Information Commissioner’s Office (ICO) del Reino Unido en ico.org.uk o ante su autoridad local de protección de datos en la UE.
9. Cookies
Utilizamos:
- Cookies estrictamente necesarias — para la autenticación (sesión de Clerk), la seguridad y el funcionamiento básico del sitio. Estas cookies no pueden deshabilitarse
- Cookies analíticas opcionales — para comprender los patrones de uso y mejorar el Servicio. En su primera visita, se le solicitará que acepte o rechace dichas cookies
No utilizamos cookies publicitarias, píxeles de seguimiento con fines de marketing ni rastreadores de terceros.
10. Datos de menores
El Servicio está destinado a adultos mayores de 18 años. No recopilamos conscientemente datos personales de personas menores de 18 años. Si considera que un menor de 18 años nos ha proporcionado datos personales, póngase en contacto con nosotros en support@mindreset.ai y eliminaremos dichos datos.
11. Cambios en esta Política
Podemos actualizar esta Política de Privacidad periódicamente para reflejar cambios en nuestras prácticas o en la legislación aplicable. Los cambios sustanciales se comunicarán por correo electrónico y/o dentro de la aplicación al menos 30 días antes de su entrada en vigor. El uso continuado del Servicio después de la fecha de entrada en vigor constituye la aceptación de la Política actualizada.
12. Contacto
Para consultas relacionadas con la privacidad o para ejercer sus derechos:
- Correo electrónico: support@mindreset.ai
- Dirección postal: [NOTA: Se añadirá cuando esté disponible una dirección comercial registrada.]