← Volver al centro legal

ALETHEIA CDSS · LEGAL

Política de Privacidad

GDPR Art. 9 — Datos de categoría especial

Aletheia trata datos de categoría especial (datos de salud, GDPR Art. 9). El cumplimiento del GDPR es un requisito de diseño, no una característica opcional. Toda la infraestructura opera en la Unión Europea (europe-west1, Irlanda).

1. Responsable del Tratamiento

Aletheia CDSS es desarrollado y operado como sistema de apoyo a la decisión clínica (CDSS) para profesionales de la salud mental. El responsable del tratamiento de datos es el terapeuta o profesional que crea la cuenta y utiliza la plataforma en el ejercicio de su actividad clínica.

2. Datos que Recogemos

Aletheia recoge exclusivamente los datos que el profesional introduce voluntariamente: • Datos de cuenta: correo electrónico y nombre de perfil (autenticación Firebase). • Notas clínicas post-sesión: texto libre introducido por el profesional después de cada consulta. Nunca durante la sesión. • Notas de voz post-sesión: grabaciones de audio procesadas y eliminadas de nuestros servidores en un plazo máximo de 72 horas. • Fichas de pacientes: datos pseudonimizados mediante hash SHA-256. Nunca se almacena el nombre real del paciente — solo un identificador opaco. • Imágenes de apuntes: fotografías de notas clínicas manuscritas, eliminadas inmediatamente tras su transcripción.

3. Finalidad del Tratamiento

Los datos se tratan exclusivamente para: • Prestar el servicio de documentación y apoyo a la decisión clínica al profesional autenticado. • Generar análisis fenomenológicos asistidos por IA como apoyo al criterio clínico del profesional (nunca como diagnóstico autónomo). • Telemetría de uso anónima para mejorar la calidad del servicio (tokens consumidos, latencia — sin datos clínicos).

4. Base Legal (GDPR Art. 6 y Art. 9)

El tratamiento de datos de salud (Categoría Especial, GDPR Art. 9) se basa en: • Consentimiento explícito del profesional al registrarse (Art. 9.2.a). • Interés legítimo en la gestión de la propia actividad clínica del profesional (Art. 9.2.h). • Los datos de pacientes son pseudonimizados antes de cualquier procesamiento — el sistema no puede reidentificar al paciente.

5. Transferencias Internacionales y Ubicación de Datos

Toda la infraestructura de Aletheia opera en la región europe-west1 (Irlanda) de Google Cloud Platform, garantizando que los datos no salen del Espacio Económico Europeo (EEE). • Base de datos: Google Cloud Firestore (Irlanda). • Procesamiento IA: Vertex AI (Irlanda). • Almacenamiento de audio: Google Cloud Storage (Irlanda).

6. Retención de Datos

• Notas de voz (audio): eliminadas automáticamente a las 72 horas mediante regla de ciclo de vida en Cloud Storage. • Imágenes de apuntes: eliminadas inmediatamente tras el procesamiento de OCR. • Notas clínicas y fichas de pacientes: conservadas mientras el profesional mantenga su cuenta activa. • Datos de cuenta: eliminados en los 30 días siguientes a la baja del servicio.

7. Derechos del Interesado

El profesional tiene derecho a: • Acceder a todos sus datos mediante el dashboard de la plataforma. • Rectificar datos inexactos directamente en la aplicación. • Suprimir su cuenta y todos los datos asociados (ver sección 7a más abajo). • Portabilidad de datos: exportación en formato JSON disponible bajo solicitud. • Oponerse al tratamiento y retirar el consentimiento en cualquier momento. Para ejercer estos derechos o resolver dudas: contacto@aletheiadx.com

7a. Derecho al Olvido y Eliminación Total de Datos (GDPR Art. 17)

Aletheia implementa el Derecho de Supresión de forma técnica y auditable. PROCESO DE ELIMINACIÓN: • Desde la app mobile: Ajustes → Zona peligrosa → Eliminar mi cuenta • Desde la web: Ajustes → Eliminar cuenta • Por email: Enviar solicitud a contacto@aletheiadx.com con el asunto "GDPR Art. 17 — Eliminación de cuenta" DATOS QUE SE ELIMINAN AUTOMÁTICAMENTE: • Perfil de usuario (email, rol, preferencias) • Todos los pacientes registrados (pseudónimos + notas) • Todas las sesiones clínicas y análisis IA • Historial de citas y agenda • Notas privadas y compartidas • Datos de uso y feedback • Audios de notas de voz (eliminados en 72h por regla automática del bucket) • Embeddings vectoriales de sesiones PLAZO DE CUMPLIMIENTO: 30 días desde la solicitud (Art. 12.3 GDPR). LIMITACIONES: Los registros de auditoría técnica (Cloud Audit Logs de GCP, requeridos por seguridad) se conservan 90 días adicionales en formato no asociable al usuario. La cuenta de Firebase Auth queda desactivada permanentemente para impedir nuevos accesos. El UID no se reutiliza.

8. Inteligencia Artificial y Decisiones Automatizadas

Aletheia utiliza modelos de IA (Vertex AI Gemini) exclusivamente como herramienta de apoyo documental. El sistema: • NO emite diagnósticos clínicos. Todo output está formulado en lenguaje fenomenológico ("se observa", "sugiere", "podría indicar"). • NO toma decisiones autónomas sobre el paciente. El criterio clínico pertenece siempre al profesional. • Anonimiza los datos del paciente con doble capa (regex + spaCy NER) ANTES de enviar cualquier texto a la IA. Limitaciones técnicas de los modelos de IA: Los modelos de lenguaje (LLM) pueden generar información plausible pero incorrecta ("alucinaciones"). Esta limitación es inherente a la tecnología actual. Todo output de Aletheia debe ser evaluado críticamente por el profesional cualificado antes de ser aplicado en contexto clínico. Aletheia nunca es la fuente primaria de información clínica — es un apoyo documental. Este sistema de IA clasifica como de riesgo limitado según el AI Act de la UE (Título IV): no toma decisiones autónomas sobre personas, requiere supervisión humana en todo momento y aplica medidas de transparencia activa (disclaimers en UI, lenguaje fenomenológico obligatorio, registro de uso).

9. Seguridad

Medidas técnicas implementadas: • Autenticación Zero-Trust: JWT verificado en cada endpoint (Firebase Admin SDK). • Aislamiento por usuario: ningún terapeuta puede acceder a datos de otro. • PII Masking de doble capa: regex local + spaCy NER en servidor antes de toda llamada a IA. • HTTPS obligatorio en todas las comunicaciones. • Pipeline de seguridad automatizado: Gitleaks, Trivy, Semgrep OWASP Top 10 en cada despliegue.

10. Cambios en esta Política

Cualquier cambio material en esta política será notificado al profesional mediante correo electrónico con al menos 30 días de antelación. El uso continuado de la plataforma tras esa fecha implica la aceptación de los cambios.

Aletheia CDSS — Apoyo a la decisión clínica. Nunca diagnóstico.

Contacto DPO: contacto@aletheiadx.com