Política de privacidad

Fecha de entrada en vigor: 11 de julio de 2026

Introducción

¡Bienvenido a AI DiagMe! Smart Medical Care SAS (“nosotros”, “nuestro”, “nos”) se compromete a proteger la privacidad y seguridad de los datos personales de sus usuarios (“tú”, “tu”). AI DiagMe es un nombre comercial de Smart Medical Care SAS. Esta Política de Privacidad explica cómo recopilamos, usamos, compartimos, conservamos y protegemos tus datos personales cuando utilizas nuestro sitio web aidiagme.com (el “Sitio”) y nuestros servicios impulsados por IA que te ayudan a entender e interpretar tus resultados de estudios de laboratorio (los “Servicios”). También te informa sobre tus derechos de protección de datos y los recursos disponibles. Al usar nuestros Servicios, reconoces que has leído esta política. El tratamiento de tus datos de salud se basa en tu consentimiento explícito, recopilado por separado.

Un servicio estrictamente informativo. AI DiagMe es un servicio informativo y educativo diseñado para ayudarte a entender tus resultados de laboratorio. Es un complemento —no un sustituto— de la atención médica profesional, y no proporciona un diagnóstico. AI DiagMe no es un dispositivo médico: esto ha sido confirmado por la Agencia Nacional Francesa para la Seguridad de los Medicamentos y Productos de Salud (ANSM — referencia GIO 23593272, expediente 2500297).

1. Responsable del tratamiento de datos y contacto de privacidad

El responsable del tratamiento de tus datos personales es:

  • Empresa: Smart Medical Care SAS (sociedad por acciones simplificada / société par actions simplifiée constituida en Francia)
  • Domicilio social: 37 Avenue Maréchal Foch, 06000 Nice, Francia
  • Registro Mercantil: RCS Nice 932 924 194
  • Correo electrónico de contacto: contact@aidiagme.com

Tu contacto de privacidad. Para cualquier pregunta sobre esta política, tus datos personales o para ejercer tus derechos, comunícate con nuestro responsable de privacidad, Julien P., en contact@aidiagme.com.

Delegado de Protección de Datos (DPO). En esta etapa, Smart Medical Care SAS no ha designado un DPO en el sentido de los Artículos 37 a 39 del RGPD, ya que sus actividades no generan una designación obligatoria. Julien P. actúa como el principal punto de contacto para cualquier asunto relacionado con la protección de datos.

Datos de salud alojados en Francia. Independientemente de tu ubicación, todos los datos de salud procesados a través de AI DiagMe se alojan exclusivamente en servidores de Google Cloud ubicados en Francia, certificados para el Alojamiento de Datos de Salud (Hébergement de Données de Santé — HDS). Los datos de salud de tu cuenta y tus reportes no se alojan fuera de la Unión Europea. De conformidad con el Artículo L1111-8 del Código de Salud Pública francés, este alojamiento tiene lugar después de que hayas sido informado/a y a menos que te opongas por razones legítimas; este derecho puede ejercerse en contact@aidiagme.com (su ejercicio puede, sin embargo, impedirnos prestar el servicio). La única excepción, con fines de control de calidad: seudonimizadas las interpretaciones (sin identificador directo en el tablero; nuestros médicos no tienen acceso a nuestras bases de datos y no pueden re-identificarte) pueden ser revisadas por los médicos de nuestro Comité Científico y Ético a través de Trello (Atlassian), alojado en Estados Unidos y cubierto por un acuerdo de procesamiento de datos (Cláusulas Contractuales Estándar y Marco de Privacidad de Datos).

2. Datos personales que recopilamos

  • Datos de identificación y contacto: nombre, apellido, dirección de correo electrónico. Tu nombre y apellido se utilizan para seudonimizar (desidentificar) tu reporte antes del procesamiento por IA; tu correo electrónico se usa para enviarte el reporte de IA generado.
  • Datos de salud y contexto (categorías especiales): el reporte de estudios de laboratorio (sangre, orina, heces) que subes en formato PDF, y la información de contexto que proporcionas (edad, sexo, estatura, peso, historial médico personal y familiar, alergias, estilo de vida) para generar una explicación más relevante.
  • Datos de transacción: información relacionada con tu compra, procesada directamente por nuestro proveedor de pagos Stripe (no almacenamos los datos completos de tu tarjeta); tu historial de transacciones con nosotros.
  • Datos técnicos de uso: cómo interactúas con el Sitio, recopilados a través de Google Analytics sujeto a tu consentimiento (dirección IP, anonimizada en la medida de lo posible, tipo de navegador, páginas visitadas, tiempo de permanencia, ruta de navegación).
  • Datos de comunicación: cualquier información que proporciones al contactar a nuestro equipo de soporte o al enviarnos comentarios.

3. Cómo usamos tus datos (finalidades y bases legales)

Solo procesamos tus datos cuando contamos con una base legal adecuada conforme al RGPD (y al RGPD del Reino Unido):

  • Para proporcionar el servicio de AI DiagMe (analizar tu reporte y generar la explicación de IA): tu consentimiento explícito para datos de salud (Art. 9(2)(a)), recopilado mediante una casilla obligatoria antes de cualquier tratamiento, y ejecución del contrato para datos no sensibles (Art. 6(1)(b)).
  • Para seudonimizar tu informe (eliminando tus identificadores directos antes del análisis con IA): ejecución del contrato (Art. 6(1)(b)), dentro del tratamiento basado en tu consentimiento explícito (Art. 9(2)(a)).
  • Para enviarte el informe de IA generado: ejecución del contrato (Art. 6(1)(b)).
  • Para gestionar la relación con el cliente y procesar los pagos (a través de Stripe): ejecución del contrato (Art. 6(1)(b)).
  • Para analizar el uso del sitio y mantenerlo seguro (a través de Google Analytics): tu consentimiento para cookies no esenciales (Art. 6(1)(a)); nuestro interés legítimo para la seguridad (Art. 6(1)(f)).
  • Para responder a tus solicitudes: ejecución del contrato (Art. 6(1)(b)) o interés legítimo (Art. 6(1)(f)).
  • Para enviarte comunicaciones de marketing (cuando aplique): únicamente con base en tu consentimiento específico de opt-in, solicitado por separado y nunca presumido (Art. 6(1)(a)).
  • Para cumplir con nuestras obligaciones legales y regulatorias: obligación legal (Art. 6(1)(c)).

Seudonimización y mejora de la IA

Nuestra herramienta interna elimina tus identificadores directos (nombre y apellido) de tu informe en PDF antes de cualquier análisis con IA. Esto constituye una seudonimización en el sentido del Artículo 4(5) del RGPD: tus datos de salud ya no te identifican directamente, pero siguen siendo datos personales mientras puedan vincularse contigo a través de tu dirección de correo electrónico, que se almacena por separado. No creamos conjuntos de datos supuestamente anónimos que se conserven indefinidamente.

Nosotros no entrenamos modelos de IA con tus datos. Mejoramos la calidad de nuestras explicaciones a través de una base de conocimientopropia, enriquecida con la revisión de seudonimizadas informes de interpretación por parte de los médicos de nuestro Comité Científico y de Ética, quienes no tienen acceso a nuestras bases de datos y no pueden reidentificarte. Dado que estos informes permanecen datos de salud, puedes oponerte (opt out) a esta revisión en cualquier momento escribiendo a contact@aidiagme.com.

Sin toma de decisiones automatizada

La interpretación de tus resultados por parte de la IA no constituye una decisión basada únicamente en el procesamiento automatizado que produzca efectos jurídicos sobre ti o que te afecte de manera significativa similar, en el sentido del Artículo 22 del RGPD. El informe de AI DiagMe es un documento informativo y educativo: no emite ningún diagnóstico ni toma ninguna decisión médica, y está pensado para ser comentado con un profesional de la salud. La interpretación es generada por un modelo de lenguaje de gran escala (Claude, de Anthropic) a partir de tu reporte y tus datos de contexto; en cualquier momento puedes solicitarnos aclaraciones, expresar tu punto de vista e impugnar el resultado escribiendo a contact@aidiagme.com.

Necesidad de proporcionar tus datos

Proporcionar tu reporte de estudios, tus datos de contexto y tu consentimiento explícito es necesario para usar el servicio: sin ellos, no podemos generar tu informe de IA. Esto no es una obligación legal ni contractual, sino que resulta únicamente de tu decisión; eres libre de no proporcionarlos, en cuyo caso el servicio no podrá prestarse.

4. Compartir tus datos personales

No vendemos tus datos personales. Los compartimos únicamente con los proveedores estrictamente necesarios para prestar los Servicios, con las salvaguardas adecuadas:

  • Alojamiento: Google Cloud — tus datos de salud están alojados en servidores con certificación HDS ubicados en Francia.
  • Infraestructura de IA: OpenRouter, Inc. (Estados Unidos), que se conecta de forma segura con el modelo de IA (Claude, de Anthropic) para generar tu informe. Solo se transmiten datos rigurosamente seudonimizados (sin tus identificadores directos); estos proveedores nunca tienen acceso a tu identidad y no están autorizados a reutilizar tus datos, incluso para entrenar sus modelos.
  • Procesamiento de pagos: Stripe, Inc. (Estados Unidos), que procesa tus pagos de forma segura.
  • Correo electrónico transaccional: SendGrid (Twilio Inc.), que procesa temporalmente tu dirección de correo electrónico y el contenido de tu informe estrictamente para el enrutamiento y la entrega del informe de IA.
  • Analítica de audiencia: Google LLC (Google Analytics), sujeto a tu consentimiento de cookies.
  • Control de calidad (Comité Científico y Ético): Atlassian, Inc. (Trello, Estados Unidos) — aloja el tablero donde los médicos de nuestro comité revisan interpretaciones de IA seudonimizadas (sin identificadores directos) para verificar su exactitud. No se comparte con ellos ningún dato identificativo ni ningún reporte de laboratorio.

También podemos divulgar tus datos a las autoridades competentes cuando la ley lo exija, o transferirlos a una entidad adquirente en caso de fusión, adquisición o venta de activos, sujeto a compromisos de confidencialidad equivalentes.

5. Transferencias internacionales de datos

Tus datos de salud están alojados en Francia y no se transfieren fuera del Espacio Económico Europeo (EEE) para su almacenamiento. Algunos de nuestros proveedores de servicios (OpenRouter, Stripe, Google, Twilio, Atlassian) están establecidos u operan en Estados Unidos. Cuando se realiza una transferencia fuera del EEE/Reino Unido, garantizamos un nivel adecuado de protección mediante uno de los siguientes mecanismos:

  • El Marco de Privacidad de Datos UE-EE. UU. y su extensión para el Reino Unido, para empresas certificadas (Stripe, Google, Twilio, Atlassian).
  • Las Cláusulas Contractuales Estándar aprobadas por la Comisión Europea (y el Adéndum de Transferencia Internacional de Datos del Reino Unido para transferencias al Reino Unido), junto con una evaluación del impacto de la transferencia cuando sea necesario.
  • Seudonimización previa de los datos enviados al proveedor de IA, eliminando tus identificadores directos antes de cualquier transferencia.

6. Seguridad de los datos

Implementamos medidas técnicas y organizativas adecuadas para prevenir la pérdida, el acceso no autorizado, la alteración o la divulgación de tus datos, entre ellas:

  • Alojamiento en servidores certificados HDS en Francia (Google Cloud, certificado ISO/IEC 27001 y SOC 2).
  • Seudonimización de los reportes (eliminación de tus identificadores directos) antes del procesamiento por IA.
  • Cifrado de datos en tránsito (TLS) y en reposo (AES-256).
  • Controles de acceso estrictos bajo el principio de mínimo privilegio; la autenticación multifactor (MFA) está actualmente en proceso de implementación y los derechos de acceso se revisan mensualmente.
  • Procedimientos de gestión y notificación de brechas de datos personales, de conformidad con los Artículos 33 y 34 del RGPD.

7. Retención de datos

Conservamos tus datos únicamente durante el tiempo necesario para los fines para los que fueron recopilados, incluyendo el cumplimiento de nuestras obligaciones legales, contables y de reporte:

  • Reporte de estudios de laboratorio original (PDF): hasta 90 días después de que el reporte de IA sea generado y entregado, y luego eliminado de forma segura (minimización de datos, Art. 5(1)(c)).
  • Datos de cuenta, contacto y contexto, y reportes de IA generados: durante la vigencia de la cuenta activa, y luego hasta 3 años después de su desactivación o última interacción, antes de su eliminación definitiva. En espera del lanzamiento del portal seguro para pacientes, estos datos están vinculados a tu dirección de correo electrónico y se conservan hasta 3 años después de tu último uso.
  • Datos de transacción: conservados por 6 años, y hasta 10 años en el caso de facturas y registros contables a partir de su fecha de emisión, de conformidad con el Código de Comercio francés (Art. L123-22) y la legislación fiscal aplicable.
  • Cookies de análisis (Google Analytics): hasta 14 meses (recomendación de la CNIL).
  • Cookie de consentimiento: hasta 6 meses (recomendación de la CNIL).
  • Registros del servidor (direcciones IP): hasta 90 días (interés legítimo — seguridad).

Una solicitud de eliminación permanente conlleva el borrado de todos esos datos, salvo cuando estemos legalmente obligados a conservarlos (en particular, los datos de transacciones).

8. Tus derechos de protección de datos

En virtud del RGPD (y del UK GDPR), tienes los siguientes derechos: acceso; rectificación; supresión (“derecho al olvido”), sujeto a nuestras obligaciones legales; limitación del tratamiento; oposición (incluida la revisión de tus interpretaciones seudonimizadas por parte de nuestro Comité Científico y Ético, mediante exclusión voluntaria, y al marketing directo); portabilidad de datos; y el derecho a retirar tu consentimiento en cualquier momento, sin que ello afecte la licitud del tratamiento previo.

Respondemos a tus solicitudes en el plazo de un mes, ampliable a dos meses en casos complejos, sin costo alguno, salvo que la solicitud sea manifiestamente infundada o excesiva.

Usuarios en los Estados Unidos. Dependiendo de tu estado de residencia (por ejemplo, California, bajo la CCPA/CPRA), puedes tener derecho a conocer, acceder, corregir y eliminar tus datos personales, así como a oponerte a la “venta” o “compartición” de datos personales. No vendemos tus datos personales. Para ejercer estos derechos, contáctanos en la dirección indicada a continuación; no tomaremos ninguna medida discriminatoria en tu contra por ejercerlos.

Cómo ejercer tus derechos. Escríbenos a contact@aidiagme.com. Una vez que el portal del paciente (actualmente en desarrollo) esté disponible, las opciones de desactivación y eliminación permanente también estarán disponibles directamente desde tu configuración en línea.

9. Menores de edad

Nuestros Servicios no están dirigidos a personas menores de 18 años. Se requiere una confirmación de edad (tener al menos 18 años) antes del pago. No recopilamos intencionalmente datos personales de menores; si esto ocurriera, los eliminamos de inmediato.

10. Cookies

Utilizamos cookies estrictamente necesarias (para el funcionamiento del Sitio) y cookies de análisis (Google Analytics), estas últimas únicamente con tu consentimiento obtenido a través del banner. No utilizamos cookies publicitarias. Para más información y para gestionar tus preferencias, consulta nuestra Política de cookies.

11. Cambios en esta política

Es posible que actualicemos esta política de vez en cuando. La fecha de la última actualización aparece en la parte superior de esta página. En caso de un cambio importante, te informaremos por los medios adecuados.

12. Derecho a presentar una queja

Si tienes dudas sobre cómo manejamos tus datos, te invitamos a contactar primero a nuestro responsable de privacidad en contact@aidiagme.com. También tienes el derecho de presentar una queja ante una autoridad supervisora:

  • Francia (autoridad principal): Commission Nationale de l’Informatique et des Libertés (CNIL) — www.cnil.fr
  • Reino Unido: Information Commissioner’s Office (ICO) — www.ico.org.uk
  • Otros países del EEE: la autoridad de protección de datos de tu país de residencia.