Política de Privacidad

Responsable: Nara

Email de contacto: hola@naracontigo.com

Nara es una aplicación web de inteligencia artificial especializada en lactancia materna y maternidad temprana para madres hispanohablantes en España. Tu privacidad y la protección de tus datos personales son fundamentales para nosotros.

Recogemos y tratamos los siguientes datos personales:

Datos de cuenta:

• Email y contraseña (autenticación)
• Nombre completo y nombre de usuario (opcional, para personalización)

Datos del bebé (contexto):

• Nombre del bebé (opcional)
• Fecha de nacimiento o fecha prevista de parto
• Etapa de lactancia
• Estado del embarazo (si estás embarazada)

Conversaciones con Nara:

• Mensajes que escribes en el chat
• Respuestas generadas por Nara
• Hechos extraídos de las conversaciones (solo si consientes el sistema de memoria)
• Eventos episódicos con etiquetas semánticas (solo si consientes el sistema de memoria)
• Resúmenes de conversación generados automáticamente

Datos de uso:

• Fecha y hora de tus mensajes
• Tokens de IA consumidos por conversación
• Modelo de IA utilizado (Claude, OpenAI)
• Estado de tu suscripcion (Companera, Asesora, trial)

Finalidades del tratamiento:

• Proporcionar el servicio de chat con Nara
• Personalizar las respuestas según tu contexto (edad del bebé, etapa de lactancia)
• Recordar información relevante entre conversaciones (sistema de memoria, solo con tu consentimiento)
• Gestionar tu cuenta y suscripción
• Mejorar la calidad del servicio
• Detectar situaciones que requieran atención médica (sistema de triage automatizado — ver detalle abajo)
• Cumplir con obligaciones legales

Sistema de triage automatizado:

Cada mensaje que envías se analiza automáticamente para detectar posibles situaciones de riesgo para tu salud o la de tu bebé (por ejemplo, señales de emergencia médica o crisis de salud mental). Este análisis es instantáneo, se realiza mediante patrones de texto y no interviene ninguna persona. Su única finalidad es tu seguridad: si se detecta una posible situación de riesgo, Nara te muestra información de contacto de servicios de emergencia (112, 024) y adapta su respuesta para priorizar la derivación a profesionales. Este sistema no restringe tu acceso al servicio ni toma decisiones en tu nombre — solo añade información de seguridad cuando puede ser relevante.

Tratamos tus datos personales bajo las siguientes bases legales:

• Ejecución de contrato: Necesitamos tus datos para proporcionarte el servicio de chat y gestionar tu cuenta.
• Consentimiento: Para el sistema de memoria (extracción de hechos y eventos episódicos), te pedimos consentimiento explícito que puedes revocar en cualquier momento desde la sección Privacidad y datos.
• Interés legítimo: Para mejorar la calidad del servicio y prevenir abusos.
• Cumplimiento legal: Para atender obligaciones fiscales y legales (ej: facturación).

Compartimos tus datos con los siguientes proveedores de servicios (encargados del tratamiento):

Proveedores de inteligencia artificial:

• Anthropic (Claude Sonnet, Claude Haiku) — Generacion de respuestas en el chat
• OpenAI (GPT-4o-mini, text-embedding-3-small) — Resumenes, insights semanales, planes de vuelta al trabajo, y embeddings para memoria semantica

Infraestructura:

• Supabase (alojado en AWS Europa) — Base de datos, autenticación y backend
• Vercel (Estados Unidos) — Hosting del frontend

Autenticación:

• Google (Estados Unidos) — Si eliges registrarte o iniciar sesión con Google OAuth, Google recibe la confirmación de que usas Nara. Solo compartimos lo necesario para la autenticación (email y nombre de tu cuenta de Google).

Email transaccional:

• Resend (Estados Unidos) — Envío de emails de confirmación de cuenta, recuperación de contraseña y notificaciones del servicio. Recibe tu dirección de email para el envío.

Analítica de tráfico (sin consentimiento, sin datos personales):

• Plausible Analytics (servidores en la Unión Europea) — Medición agregada de visitas al sitio web. Plausible no usa cookies, no almacena datos en tu dispositivo y no te identifica como usuario individual. Solo recibe métricas agregadas: páginas visitadas, tipo de dispositivo y país de origen (la IP se usa momentáneamente para inferir el país y no se almacena). No requiere tu consentimiento porque no procesa datos personales.

Analítica de producto (solo con tu consentimiento):

• PostHog (servidores en la Unión Europea, `eu.i.posthog.com`) — Analítica de uso del producto para mejorar la experiencia. Solo recibe datos anónimos (identificador de usuario, plan, acciones como "ha enviado un mensaje" o "ha abierto una página"). Nunca recibe el contenido de tus mensajes, datos de salud, nombre del bebé ni ningún dato personal sensible.

Pagos:

• Stripe — Procesamiento de pagos y gestión de suscripciones

Todos estos proveedores están sujetos a acuerdos de protección de datos y solo procesan tus datos según nuestras instrucciones. No vendemos ni compartimos tus datos con terceros para publicidad o marketing.

Sí. Algunos de nuestros proveedores están ubicados fuera del Espacio Económico Europeo (EEE):

• Anthropic (Estados Unidos)
• Google (Estados Unidos) — Autenticación OAuth y tipografías web
• OpenAI (Estados Unidos)
• Vercel (Estados Unidos)
• Resend (Estados Unidos) — Emails transaccionales
• Stripe (Estados Unidos) — Procesamiento de pagos

Estas transferencias se realizan bajo mecanismos de protección reconocidos por el RGPD, como las Cláusulas Contractuales Tipo de la Comisión Europea y los acuerdos de privacidad de cada proveedor.

Tu base de datos principal (mensajes, contexto, memoria) se aloja en Supabase con servidores en AWS Europa, minimizando las transferencias fuera del EEE.

PostHog (analítica de producto) utiliza servidores ubicados en la Unión Europea (`eu.i.posthog.com`), por lo que los datos de analítica no salen del EEE.

Plausible Analytics utiliza igualmente servidores en la Unión Europea, por lo que las métricas de tráfico no salen del EEE.

Datos de cuenta: Mientras mantengas tu cuenta activa.

Conversaciones y mensajes:

• Si borras una conversación, se marca como eliminada pero se conserva durante 30 días (soft delete)
• Tras 30 días, se anonimizan completamente
• Tras 90 días desde la anonimización, se eliminan definitivamente (hard delete)

Hechos y eventos de memoria:

• Se conservan mientras mantengas activo el consentimiento de memoria
• Si revocas el consentimiento, se eliminan inmediatamente

Datos de suscripción:

• Conservados según obligaciones fiscales (hasta 6 años tras la cancelación)

Si eliminas tu cuenta desde la sección Privacidad y datos, todos tus datos se borran de forma inmediata e irreversible, excepto aquellos que debamos conservar por obligaciones legales (ej: facturas).

Bajo el Reglamento General de Protección de Datos (RGPD), tienes derecho a:

• Acceso: Obtener una copia de tus datos personales en formato JSON desde la sección Privacidad y datos.
• Rectificación: Corregir datos incorrectos desde tu perfil.
• Supresión: Eliminar tu cuenta y todos tus datos desde la sección Privacidad y datos.
• Portabilidad: Descargar tus datos en formato estructurado (JSON).
• Oposición: Oponerte al tratamiento de tus datos basado en interés legítimo, así como revocar el consentimiento de memoria en cualquier momento.
• Limitación del tratamiento: Solicitar que pausemos el procesamiento de tus datos.

Para ejercer cualquiera de estos derechos o resolver dudas, escríbenos a hola@naracontigo.com. Responderemos en un plazo máximo de 30 días.

Si consideras que no hemos atendido tus derechos correctamente, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es

Utilizamos cookies esenciales y, con tu consentimiento, analítica de producto.

Cookies esenciales (sin consentimiento, imprescindibles):

• Token de sesión de Supabase Auth: Para mantenerte autenticada mientras usas la aplicación.

Analítica de producto (solo con tu consentimiento):

• PostHog: Utilizamos PostHog en modo cookieless (no deposita cookies). Si aceptas la analítica, almacena datos en `localStorage` del navegador para recordar tu sesión anónima.
• Datos que recopila: Acciones anónimas como páginas visitadas, botones pulsados o funciones usadas. Todo se identifica con un ID interno, nunca con tu email.
• Datos que NUNCA recopila: Contenido de tus mensajes con Nara, nombre del bebé, fechas personales, datos de salud ni ningún dato sensible.
• Consentimiento: Te pedimos permiso mediante un banner al visitar la aplicación. Tu elección se guarda en `localStorage` como `nara_analytics_consent`.
• Cómo desactivar: Puedes cambiar tu preferencia en cualquier momento desde la sección Privacidad y datos de tu cuenta (ruta /privacy). También puedes borrar `nara_analytics_consent` de tu navegador.

Analítica de tráfico sin cookies (sin consentimiento):

• Plausible Analytics: Script de medición de visitas que no deposita ninguna cookie ni datos en tu dispositivo (ni en cookies, ni en localStorage, ni mediante fingerprinting). Procesa métricas agregadas exclusivamente en el lado del servidor de Plausible. No te identifica ni como usuario registrado ni como visitante anónimo recurrente. Por este motivo, no requiere tu consentimiento bajo la normativa vigente (RGPD y LSSI-CE).

No utilizamos cookies de terceros ni publicidad. Las cookies esenciales no requieren consentimiento según la normativa vigente.

La seguridad de tus datos es prioritaria. Implementamos medidas técnicas y organizativas para proteger tu información:

Medidas técnicas:

• Conexión HTTPS cifrada en toda la aplicación
• Contraseñas protegidas con hashing (bcrypt)
• Row Level Security (RLS) en la base de datos: solo puedes acceder a tus propios datos
• Tokens JWT con expiración automática
• Validación de firmas en webhooks de pago (Stripe)
• Auditoría de acciones de administración

Medidas organizativas:

• Acceso limitado a datos de producción solo para administradores autorizados
• Revisiones periódicas de seguridad
• Proveedores con certificaciones de seguridad (SOC 2, ISO 27001)

A pesar de estas medidas, ningún sistema es 100% seguro. Si detectas alguna vulnerabilidad o problema de seguridad, por favor avísanos inmediatamente a hola@naracontigo.com.

Nara está dirigida exclusivamente a madres y personas mayores de 18 años.

No recopilamos deliberadamente datos de menores de edad. Si descubrimos que hemos recogido datos de un menor sin consentimiento parental, eliminaremos esa información de inmediato.

Si eres padre o tutor y crees que tu hijo nos ha proporcionado datos personales, contacta con nosotros en hola@naracontigo.com.

Podemos actualizar esta Política de Privacidad ocasionalmente para reflejar cambios en nuestras prácticas o por razones legales.

Cuando hagamos cambios significativos, te notificaremos mediante:

• Un aviso destacado en la aplicación
• Un email a tu dirección registrada (si el cambio afecta tus derechos)

La fecha de "Última actualización" en la parte superior de este documento indica cuándo se realizó la última modificación.

Te recomendamos revisar esta política periódicamente. El uso continuado del servicio tras la publicación de cambios implica tu aceptación de los mismos.

Si tienes preguntas, dudas o solicitudes relacionadas con esta Política de Privacidad o el tratamiento de tus datos personales, puedes contactarnos en:

Email: hola@naracontigo.com

Nos comprometemos a responder todas las consultas en un plazo máximo de 30 días.

Si deseas ejercer tus derechos RGPD de forma automatizada, puedes hacerlo directamente desde la sección Privacidad y datos de tu cuenta:

• Exportar todos tus datos (JSON)
• Revocar consentimiento de memoria
• Eliminar tu cuenta de forma permanente