Política de privacidad
Fecha de entrada en vigor: 18 de abril de 2025.
Introducción a nuestra Política de Privacidad
¡Bienvenido a AI DiagMe! Smart Medical Care Ltd. (“nosotros”, “nos”, “nuestro”) se compromete firmemente a proteger la privacidad y la seguridad de sus datos personales. Esta Política de Privacidad explica claramente cómo gestionamos su información. AI DiagMe es una marca comercial de Smart Medical Care Ltd.
Este documento detalla cómo recopilamos, usamos y protegemos sus datos personales cuando utiliza nuestro sitio web, aidiagme.com (el “Sitio”), y nuestros servicios de explicación de resultados de laboratorio basados en inteligencia artificial (los “Servicios”). Además, le informa sobre sus derechos de protección de datos. Le recomendamos leer atentamente esta política de privacidad en su totalidad. Al usar nuestros Servicios, usted reconoce haber leído y revisado esta política. Para el procesamiento específico de sus datos de salud, obtenemos su consentimiento explícito por separado.
1. Responsable del tratamiento de datos y contacto de privacidad
Nuestro papel como Responsables del Tratamiento de Datos
El responsable del tratamiento de sus datos personales es:
- Compañía: Smart Medical Care Ltd
- Domicilio social: 167-169 Great Portland Street, 5.ª planta, Londres, W1W 5PF, Reino Unido
- Número de registro: 15309552
- Correo electrónico de contacto: contact@aidiagme.com
Su persona de contacto para temas de privacidad
Si tiene alguna pregunta sobre esta política de privacidad o sus datos personales, puede ponerse en contacto con nuestro responsable de privacidad:
- Nombre: Julien P.
- Contacto: contact@aidiagme.com
Smart Medical Care Ltd opera en coordinación con Smart Medical Care SAS (sociedad de responsabilidad limitada francesa, RCS Nice 932 924 194), que gestiona las operaciones dentro del Espacio Económico Europeo. Para los usuarios residentes en el EEE, Smart Medical Care SAS puede actuar como punto de contacto para consultas sobre protección de datos.
2. Los datos personales que recopilamos
Para proporcionar y mejorar nuestros Servicios, recopilamos varias categorías de datos personales. Esta sección de nuestra política de privacidad describe qué datos recopilamos.
- Datos de identificación y contacto: Esto incluye su nombre y dirección de correo electrónico. Usamos su nombre para seudonimizar (desidentificar) su informe de laboratorio antes del procesamiento de IA y usamos su correo electrónico para enviarle el informe generado.
- Datos de salud y contextuales: Esta categoría incluye el archivo de la analítica de laboratorio (p. ej., sangre, orina) que usted sube a la plataforma. También incluye la información contextual que proporciona, como la edad, el sexo y el historial médico, lo que nos ayuda a generar una explicación más relevante.
- Datos de la transacción: Recopilamos información relacionada con tu compra, que nuestro proveedor de pagos, Stripe, procesa directamente. Si bien no almacenamos los datos completos de tu tarjeta de crédito, sí conservamos un historial de tus transacciones con nosotros.
- Datos técnicos y de interacción: Mediante herramientas como Google Analytics, recopilamos información sobre cómo interactúa usted con nuestro sitio web, siempre y cuando usted haya dado su consentimiento para el uso de cookies. Esto puede incluir su dirección IP (anonimizada cuando sea posible), el tipo de navegador y las páginas visitadas.
- Datos de cookies: Recopilamos información a través de cookies, tal y como se detalla en nuestra Política de Cookies y en función de sus opciones de consentimiento.
- Datos de comunicación: Esto incluye cualquier información que proporcione al contactar con nuestro servicio de atención al cliente.
3. Cómo utilizamos sus datos: Finalidades y bases jurídicas
Nuestra política de privacidad se basa en el procesamiento de sus datos para fines específicos bajo bases legales apropiadas (como el RGPD del Reino Unido y la UE).
- Para proporcionar el servicio de IA: Utilizamos sus datos e informe de salud para generar su explicación mediante IA, basándonos en su consentimiento explícito.
- Para anonimizar su informe: Su nombre nos ayuda a eliminar los datos de identificación directa del informe antes del análisis de IA. Este proceso constituye una pseudonimización (no una anonimización completa), ya que se conservan los datos contextuales que usted proporciona (edad, sexo, historial médico) para garantizar la relevancia de la explicación de la IA. Este es un paso necesario para el cumplimiento de nuestro contrato.
- Para entregar su informe: Utilizamos su dirección de correo electrónico para enviarle los resultados, lo cual es esencial para la ejecución de nuestro contrato.
- Para gestionar pagos y cuentas: Sus datos de transacción y contacto se utilizan para gestionar los pagos y su relación con el cliente, en función del cumplimiento de nuestro contrato.
- Para mejorar la seguridad del sitio y del servicio: Analizamos los datos de uso para mejorar nuestra plataforma. Este tratamiento se basa en su consentimiento para las cookies de análisis y en nuestro interés legítimo en garantizar la seguridad de nuestros servicios.
- Para mejorar nuestros modelos de IA: Podemos utilizar datos de salud anonimizados para mejorar nuestros servicios, basándonos en nuestro interés legítimo. Usted tiene derecho a oponerse a este uso.
- Para atender sus solicitudes: Cuando usted se pone en contacto con nuestro servicio de asistencia, utilizamos sus datos para responderle, basándonos en nuestro interés legítimo en brindarle un servicio excelente.
- Para cumplir con las obligaciones legales: Podemos tratar cualquier dato personal en la medida necesaria para cumplir con la ley.
4. Compartir sus datos personales
No vendemos sus datos personales. Esta política de privacidad confirma que solo compartimos sus datos con terceros de confianza bajo condiciones estrictas.
- Proveedores de servicios (procesadores): Compartimos datos con socios esenciales, incluido Google Cloud para el alojamiento seguro. Independientemente de tu país de residencia, todos los datos de salud se alojan exclusivamente en Francia en servidores de Google Cloud certificados HDS (Health Data Hosting) — el estándar francés más alto de alojamiento de datos médicos.
- Proveedores de correo electrónico transaccional: Utilizamos proveedores de servicios externos (por ejemplo, SendGrid, Mailgun) para enviarle su informe generado por IA por correo electrónico. Estos proveedores procesan temporalmente su dirección de correo electrónico y el contenido del informe exclusivamente para fines técnicos de enrutamiento y entrega.
- Proveedores de infraestructura de IA: Utilizamos servicios de enrutamiento especializados, como Open Router, para interactuar de forma segura con modelos de IA de terceros. Es importante destacar que solo enviamos datos rigurosamente anónimos a estos proveedores para generar su informe.
- Obligaciones legales y comerciales: Podemos divulgar datos si así lo exige la ley o durante una transferencia comercial (como una fusión), asegurándonos de que la nueva entidad cumpla con nuestros compromisos de política de privacidad.
Exigimos a todos nuestros socios que respeten la seguridad de sus datos y los traten de forma legal, firmando estrictos Acuerdos de Procesamiento de Datos (DPAs) para garantizar la estricta confidencialidad de su información.
5. Transferencias internacionales de datos y esta Política de privacidad
Como empresa con sede en el Reino Unido y operaciones internacionales, procesamos datos en múltiples jurisdicciones. Esta sección explica cómo protegemos sus datos según su lugar de residencia.
Si reside en el Espacio Económico Europeo (EEE)
Tus datos de salud (informes de laboratorio, información contextual e informes generados por IA) se alojan exclusivamente en Francia en servidores de Google Cloud certificados HDS (Health Data Hosting). Esta certificación cumple los estándares regulatorios europeos más estrictos para datos de salud sensibles. Tus datos de salud no se transfieren fuera de Francia con fines de almacenamiento.
Sin embargo, para generar su informe de IA, los datos anonimizados (sus resultados de laboratorio, sin identificadores directos como su nombre, pero conservando datos contextuales como edad, sexo e historial médico) se transmiten a nuestro proveedor de infraestructura de IA, OpenRouter Inc., ubicado en Estados Unidos. Esta transferencia se rige por las Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea, complementadas con salvaguardias técnicas adicionales, incluido el propio proceso de anonimización, lo que reduce significativamente el riesgo asociado a esta transferencia.
Los datos analíticos (Google Analytics) se transfieren a los Estados Unidos bajo el EU-US Data Privacy Framework (DPF). Google LLC está certificada bajo el DPF. Los datos de pago son procesados por Stripe Inc. en los Estados Unidos, también certificada bajo el DPF.
Smart Medical Care Ltd opera en coordinación con Smart Medical Care SAS, una empresa francesa (RCS Nice 932 924 194), que gestiona las operaciones dentro del EEE. Para obtener más información sobre cómo se tratan sus datos dentro del EEE, puede ponerse en contacto con nosotros en contact@aidiagme.com.
Si resides en el Reino Unido
Tus datos de salud se alojan en Francia en servidores de Google Cloud certificados HDS (Health Data Hosting). Las transferencias entre el Reino Unido y Francia están cubiertas por la decisión de adecuación de la Comisión Europea relativa al Reino Unido. Las transferencias a los Estados Unidos (OpenRouter, Google, Stripe) se rigen por la Extensión del Reino Unido al EU-US Data Privacy Framework (UK-US Data Bridge) y, cuando corresponda, por el UK International Data Transfer Agreement (UK IDTA).
Si resides en los Estados Unidos o en cualquier otro lugar
Tus datos de salud se alojan en Francia en servidores de Google Cloud certificados HDS (Health Data Hosting) — el estándar más alto disponible para el alojamiento de datos de salud. La legislación estadounidense no exige mantener tus datos médicos dentro de los Estados Unidos; hemos elegido el alojamiento HDS francés porque ofrece el marco de seguridad y regulatorio más sólido para datos de salud sensibles. Los datos pseudonimizados transmitidos a OpenRouter para el procesamiento de IA permanecen dentro de los Estados Unidos.
Si reside en una jurisdicción con leyes específicas de protección de datos (como las leyes de privacidad estatales de EE. UU.), consulte nuestros Términos y condiciones para obtener información sobre sus derechos específicos.
Nota importante sobre la seudonimización antes de la transferencia
Independientemente de su ubicación, todos los informes de laboratorio se anonimizan antes de enviarlos a nuestro proveedor de infraestructura de IA. Esto significa que su nombre y apellido se eliminan automáticamente del documento. Sin embargo, se conservan los datos contextuales (edad, sexo, historial médico) para garantizar la relevancia de la explicación de la IA. Este proceso constituye una anonimización en el sentido del artículo 4(5) del RGPD, no una anonimización irreversible. Aplicamos esta medida de seguridad como una capa adicional de protección para todos los usuarios a nivel mundial.
6. Nuestro compromiso con la seguridad de los datos
Implementamos medidas de seguridad técnicas y organizativas robustas para proteger sus datos personales. Estas incluyen:
Alojamiento unificado de datos de salud en Francia (HDS). Independientemente de tu país de residencia, todos los datos de salud se alojan exclusivamente en Francia en servidores de Google Cloud certificados HDS (Health Data Hosting) — el estándar francés más alto para el alojamiento de datos de salud. Google Cloud también cuenta con certificaciones de seguridad integrales, incluidas ISO 27001 y SOC 2 Type II.
Pseudonimización antes del procesamiento por IA. Antes de que cualquier informe de laboratorio se transmita a nuestro proveedor de infraestructura de IA para su análisis, nuestro sistema detecta y elimina automáticamente los identificadores directos (nombre, apellido) del documento. Se conservan los datos contextuales (edad, sexo, historial médico) para garantizar la relevancia de la explicación generada por la IA. Este proceso reduce el riesgo de reidentificación por parte de proveedores externos, al tiempo que mantiene la calidad del servicio.
Cifrado en tránsito y en reposo. Todos los datos almacenados se cifran en reposo mediante cifrado AES-256 en la infraestructura de Google Cloud.
Controles de acceso interno estrictos. El acceso a los datos personales y de salud está restringido únicamente al personal autorizado, siguiendo el principio de mínimo privilegio. La autenticación multifactor (MFA) es obligatoria para acceder a todos los entornos de producción. Los derechos de acceso se revisan trimestralmente.
Monitoreo continuo. Utilizamos las herramientas de monitoreo de Google Cloud para detectar anomalías y posibles amenazas de seguridad. Los incidentes de seguridad se gestionan de acuerdo con nuestro Plan de Respuesta a Incidentes, que incluye procedimientos de escalamiento y plazos de notificación definidos.
Confirmación reglamentaria. El servicio AI DiagMe ha sido clasificado como dispositivo no médico por la Agencia Nacional Francesa para la Seguridad de los Medicamentos y Productos Sanitarios (ANSM) (referencia GIO 23593272, expediente 2500297). Esta clasificación se ha obtenido tras una exhaustiva revisión de nuestro servicio por parte del Departamento de Innovación de la ANSM.
7. Política de retención de datos
Conservamos sus datos personales únicamente el tiempo necesario para cumplir con los fines para los que los recopilamos, incluyendo el cumplimiento de cualquier requisito legal, contable o de informes. El periodo de conservación de sus datos personales principales depende del estado de su cuenta. Nota importante sobre las cuentas de usuario: Actualmente, nuestro servicio funciona sin necesidad de crear una cuenta formal. Sus datos históricos (información contextual e informes de IA generados) se asocian a su dirección de correo electrónico y se conservan durante un máximo de 3 años después de su último uso, en previsión de la implementación de nuestro portal seguro para pacientes.
Una vez que este portal se lance oficialmente, las siguientes disposiciones se aplicarán plenamente y el período de retención de sus principales datos personales dependerá del estado de su cuenta:
- Para cuentas activas: Los datos de tu cuenta, tu información de contacto y contextual, y los informes generados por IA se conservan mientras tu cuenta esté activa. Esto te permite usar nuestros servicios y acceder a tu historial a través del portal del paciente.
- Para cuentas desactivadas: Tras la desactivación, conservamos tus datos (cuenta, contacto, contexto, informes de IA) durante un máximo de 3 años. Esto te permite reactivar tu cuenta durante este periodo. Transcurrido este plazo, si no se reactiva, estos datos se eliminarán definitivamente.
- Informe original: En cumplimiento del principio de minimización de datos, conservaremos este archivo durante un máximo de 90 días para resolver cualquier posible problema de entrega, tras lo cual será eliminado de forma segura.
- Datos de la transacción: Conservada durante el período exigido por nuestras obligaciones legales y contables (normalmente 6 años en el Reino Unido).
- Datos anonimizados para la mejora de la IA: Los datos a los que se les han eliminado los identificadores directos pueden utilizarse para la investigación y el perfeccionamiento de nuestros modelos de IA, en base a nuestro interés legítimo. Dado que se conservan los datos contextuales (edad, sexo, historial médico), estos datos siguen estando sujetos a las protecciones del RGPD como datos seudonimizados. Usted tiene derecho a oponerse a este uso poniéndose en contacto con nosotros.
Una solicitud para eliminar permanentemente su cuenta conllevará la eliminación de todos los datos enumerados anteriormente, excepto cuando tengamos una obligación legal imperiosa de conservarlos (como los datos de transacciones) o para datos que ya hayan sido anonimizados de forma irreversible.
8. Sus derechos de protección de datos según esta política
Dependiendo de su ubicación, usted tiene derechos con respecto a sus datos personales.
- Derecho de acceso, rectificación y supresión: Puedes solicitar una copia de tus datos, corregirlos o pedir su eliminación.
- Derecho a restringir u oponerse: Puedes oponerte al tratamiento de datos basado en nuestros intereses legítimos (como el uso de datos anonimizados para la mejora de la IA).
- Derecho a retirar el consentimiento: Puedes retirar tu consentimiento para el tratamiento de datos sanitarios en cualquier momento.
Gestión de su cuenta: Desactivación y eliminación
Tienes derecho a eliminar tus datos personales. Con el lanzamiento de nuestro portal de pacientes, tendrás dos opciones distintas para gestionar tu cuenta y tus datos directamente desde tu panel de control personal:
- Desactiva tu cuenta: Esta opción le permite tomarse un descanso de nuestros Servicios. Su cuenta y datos personales (incluidos su perfil, informes de IA, etc.) ya no estarán accesibles, pero se almacenarán de forma segura durante 3 años. Esto le permite reactivar su cuenta y acceder a su historial en cualquier momento durante este período. Si su cuenta no se reactiva en 3 años, tanto esta como todos los datos personales asociados se eliminarán permanentemente, excepto aquellos datos sujetos a una obligación legal de retención.
- Eliminar tu cuenta de forma permanente: Esta opción corresponde al ejercicio de su Derecho de Supresión. Esto conllevará la eliminación irreversible e inmediata de su cuenta y todos los datos personales asociados (perfil, documentos subidos, informes de IA), con sujeción a nuestras obligaciones legales de retención (en particular, para los datos de transacciones). Una vez realizada esta acción, sus datos no podrán recuperarse.
Cómo ejercer sus derechos
A la espera del lanzamiento oficial del portal del paciente, puede ejercer su derecho de supresión y solicitar la eliminación permanente de sus datos (vinculados a su correo electrónico) en cualquier momento comunicándose con nosotros directamente a contact@aidiagme.com. Tan pronto como el portal esté disponible, las opciones para desactivar y eliminar permanentemente su cuenta estarán disponibles directamente desde su configuración en línea.
9. Política de privacidad para niños
Nuestros servicios no están dirigidos a menores de 18 años. Por consiguiente, no recopilamos datos personales de menores a sabiendas.
10. Cookies y tecnologías de seguimiento
Nuestra Política de Cookies ofrece información detallada sobre el uso que hacemos de las cookies. Consúltela para saber cómo gestionar sus preferencias.
11. Cambios en esta Política de Privacidad
Es posible que actualicemos esta política de privacidad periódicamente. La fecha de “Última actualización” que aparece en la parte superior siempre indicará la versión más reciente. Le recomendamos que revise esta página con regularidad.
12. Cómo presentar una queja
Si tiene alguna duda sobre el tratamiento de sus datos, póngase en contacto con nosotros primero. También tiene derecho a presentar una reclamación ante una autoridad de control, como la Oficina del Comisionado de Información (ICO) del Reino Unido.
Si reside en el Espacio Económico Europeo, también puede presentar una reclamación ante la autoridad de protección de datos de su país de residencia. En Francia, esta es la Commission Nationale de l'Informatique et des Libertés (CNIL). www.cnil.fr.
13. Recursos adicionales de la empresa
- Publicaciones: Descubre nuestros artículos y análisis.
- Cómo empezar Descubre cómo funciona nuestra herramienta de IA.
- Preguntas frecuentes: Encuentra respuestas sobre seguridad de datos y uso.
- Sitio web francés: Para los francófonos, visiten aidiagme.fr
