Esta traducción se ofrece por comodidad. La versión en inglés es la legalmente vinculante y prevalece. Versión en inglés
Política de Privacidad
1. Responsable del Tratamiento
El responsable del tratamiento de tus datos personales es:
Hiatus Holding GmbH
Kortumstraße 75, D-44787 Bochum, Germany
Registro Mercantil: Bochum HRB16203
Director General: Tim Kahrmann
Para cualquier consulta relacionada con la privacidad, puedes ponerte en contacto con nosotros a través de nuestro formulario de contacto.
2. Tres promesas.
Tus pensamientos nunca entrenan a una IA. Nunca.
Ni los modelos de Tonight. Ni los de nadie más. Ni anonimizados, ni agregados, ni «por seguridad». Firmamos acuerdos de tratamiento de datos con cada proveedor de modelos que excluyen contractualmente el entrenamiento. Si un proveedor no puede ofrecer eso, no lo usamos.
Cada voz es una Whisperer: una voz de IA cuidadosamente seleccionada.
Ningún actor escucha lo que dices. Cada voz es sintética y está ajustada. Lo revelamos en la página de inicio, en la app, en el press kit, aquí. La Ley de IA de la UE lo exige. Lo revelaríamos de todos modos.
Por la mañana, lo que dijiste esta noche ha desaparecido, a menos que decidas conservarlo.
Tu One Thought se cifra en reposo y se elimina por defecto al amanecer local. Si activas Keep My Nights (desactivado salvo que tú lo elijas), la sesión de esa noche se puede volver a reproducir durante un día y tus palabras cifradas se conservan durante 45 días para que puedas mirar atrás, y puedes eliminar cualquier parte, o todo, en cualquier momento.
3. Datos Que Recopilamos
Recopilamos y tratamos las siguientes categorías de datos personales:
Datos de la Cuenta
- Dirección de correo electrónico (obligatoria para la creación de la cuenta y la autenticación)
- Nombre (opcional, usado para saludos personalizados)
- Zona horaria y preferencia de hora de dormir (para entregar las sesiones en el momento adecuado)
Datos de Contenido
- Reflexiones diarias (los textos que escribes sobre tu día)
- Valoraciones y comentarios de las sesiones (opcional)
Datos Técnicos
- Información del dispositivo y del navegador (para la prestación del servicio)
- Hora del recordatorio para dormir (almacenada solo en tu dispositivo: el recordatorio opcional de relajación es una notificación local, nunca una notificación push)
- Registros de sesión y de uso (para la mejora del servicio)
- Eventos anónimos de analítica de producto (Mixpanel): qué pantallas y funciones se usan y embudos agregados, para que podamos ver qué resulta útil. Nunca el contenido de lo que escribes, y nunca tu nombre o correo electrónico. En el sitio web esto requiere tu consentimiento de cookies; en la app está activado por defecto y se puede desactivar en cualquier momento en Ajustes → Privacidad y Datos.
- Informes de fallos (Sentry): si la app se bloquea o sufre un error fatal, se envía a Sentry un informe técnico (modelo del dispositivo, versión del sistema operativo, versión de la app, el error y su traza de pila, y tu ID de usuario seudonimizado) para que podamos encontrar y corregir el fallo. Los informes de fallos están configurados para no incluir nunca el contenido de lo que escribes.
Datos de Pago
- ID de cliente de Stripe (nunca almacenamos directamente los datos de la tarjeta)
- Estado de la suscripción e historial de facturación
4. Base Jurídica del Tratamiento
Tratamos tus datos personales sobre las siguientes bases jurídicas (Artículo 6 del RGPD):
| Finalidad | Base Jurídica |
|---|---|
| Creación de la cuenta y autenticación | Ejecución de un contrato (Art. 6(1)(b)) |
| Generación de sesiones de sueño personalizadas | Ejecución de un contrato (Art. 6(1)(b)) |
| Procesamiento de pagos | Ejecución de un contrato (Art. 6(1)(b)) |
| Envío de correos transaccionales | Interés legítimo (Art. 6(1)(f)) |
| Comunicaciones de marketing | Consentimiento (Art. 6(1)(a)) |
| Seguimiento de aperturas/clics en correos | Consentimiento (Art. 6(1)(a)) |
| Cookies de analítica del sitio web (Mixpanel) | Consentimiento (Art. 6(1)(a)) |
| Analítica anónima de producto en la app (Mixpanel) | Interés legítimo (Art. 6(1)(f)): opción de exclusión en los ajustes de la app |
| Informes de fallos y estabilidad de la app (Sentry) | Interés legítimo (Art. 6(1)(f)) |
| Mejora del servicio y depuración | Interés legítimo (Art. 6(1)(f)) |
5. Conservación de los Datos
Conservamos tus datos solo durante el tiempo necesario para su finalidad:
| Tipo de Dato | Periodo de Conservación |
|---|---|
| Reflexiones diarias (texto en bruto, cifrado en reposo): por defecto | Hasta el siguiente amanecer en tu zona horaria (eliminado en un plazo de 15 minutos desde su vencimiento) |
| Reflexiones diarias (texto en bruto): con Keep My Nights activado | 45 días, o hasta que las elimines |
| Etiquetas de tema (trabajo, duelo, cuerpo, etc.: sin texto en bruto) | 45 días |
| Resúmenes mensuales de reflexiones (recuentos y estadísticas de intensidad: sin texto en bruto) | 13 meses |
| Sesiones de audio generadas: por defecto | Hasta el siguiente amanecer (eliminadas automáticamente tras el vencimiento) |
| Sesiones de audio generadas: con Keep My Nights activado | ~1 día después de la noche en que se creó, luego se elimina automáticamente |
| Registro de auditoría de eventos de seguridad (solo hash SHA-256, nunca texto) | 24 meses |
| Informes de fallos (solo datos técnicos, nunca tu texto) | 90 días |
| Datos de la cuenta (correo, nombre, preferencias) | Hasta la eliminación de la cuenta |
| Metadatos y valoraciones de sesiones | Hasta la eliminación de la cuenta |
| Registros de pago | 7 años (requisito legal) |
| Registros de consentimiento de marketing | Hasta la retirada del consentimiento + 3 años |
6. Efimeridad por Diseño
Por defecto, nada de lo que escribes se conserva durante la noche. La frase que escribes durante un ritual One Thought existe en forma cifrada solo hasta el siguiente amanecer en tu zona horaria, momento en el que se elimina de forma permanente.
Conservar tus noches (opcional). La efimeridad es lo predeterminado. Si lo deseas, puedes activar Keep My Nights en los Ajustes de Privacidad: la sesión de esa noche se puede volver a reproducir durante aproximadamente un día y tu One Thought cifrado se conserva durante 45 días, para que puedas releerlo. Esto está desactivado salvo que tú lo actives, se aplica solo desde el momento en que lo habilitas, y puedes eliminar entradas individuales o todo lo conservado, en cualquier momento. Aun así, nunca entrenamos una IA con ello ni lo vendemos.
Lo que sí conservamos es el tema que llevabas contigo —etiquetas breves como trabajo, duelo, cuerpo o una persona— sin ninguna de tus palabras. Los temas de las últimas 7 noches informan suavemente el siguiente ritual para que la experiencia se sienta recordada, no vigilada. Las entradas detalladas de temas se eliminan tras 45 días.
Al final de cada mes agrupamos esos temas en un pequeño resumen estructurado (qué temas aparecieron, intensidad media, tono emocional dominante) para poder ofrecer en el futuro un ritual de reflexión «Este fue tu febrero». Estos resúmenes mensuales se conservan durante 13 meses y no contienen texto. Puedes desactivar la memoria o eliminarlo todo —lo detallado y lo mensual— en los Ajustes de Privacidad, en cualquier momento.
No usamos ninguno de estos datos para entrenar modelos de IA, y no los compartimos con terceros más allá de los subencargados revelados en la Sección 7.
6a. Registro de eventos de seguridad
Cuando nuestro sistema de seguridad intercepta un envío de One Thought que contiene contenido que sugiere una crisis activa (autolesión, suicidio, violencia), registramos una pequeña entrada de auditoría para poder verificar nuestra respuesta protectora a posteriori. La entrada contiene un hash unidireccional SHA-256 de la frase coincidente (nunca reversible a tus palabras), la gravedad asignada por nuestro clasificador, qué capa del sistema se activó, qué hicimos en respuesta y una marca de tiempo.
Base jurídica: Art. 6(1)(f) RGPD (interés legítimo en operar un servicio de bienestar seguro) combinado con el Art. 9(2)(g) (interés público esencial en la prevención del suicidio). Los registros son accesibles únicamente para nuestro equipo de cumplimiento y se conservan durante 24 meses. Puedes solicitar una copia de cualquier evento de seguridad registrado en tu cuenta a través de nuestro proceso DSAR.
7. Subencargados y Transferencias de Datos
Compartimos tus datos con los siguientes proveedores de servicios:
| Proveedor | Finalidad | Ubicación | Garantías |
|---|---|---|---|
| Supabase | Base de datos, autenticación | UE/EE. UU. | Marco de Privacidad de Datos UE-EE. UU. |
| Stripe | Procesamiento de pagos | EE. UU. | Marco de Privacidad de Datos UE-EE. UU. |
| Resend | Correos transaccionales | EE. UU. | Cláusulas Contractuales Tipo |
| Mixpanel | Analítica de producto y del sitio web (anónima; exclusión en la app, consentimiento en la web) | UE | Residencia de datos en la UE (api-eu.mixpanel.com) |
| Google (Gemini API) | Generación de sesiones con IA: procesa lo que escribes para componer tu ritual (nunca se usa para entrenamiento) | EE. UU. | Anexo de Tratamiento de Datos; Marco de Privacidad de Datos UE-EE. UU. |
| Anthropic (Claude) | Herramientas de ingeniería de software y diagnóstico: puede procesar datos operativos seudonimizados cuando depuramos el servicio (nunca el contenido de lo que escribes, nunca para entrenamiento) | EE. UU. | Anexo de Tratamiento de Datos; Marco de Privacidad de Datos UE-EE. UU. |
| ElevenLabs | Generación de voz | EE. UU. | Anexo de Tratamiento de Datos |
| Sentry (Functional Software, Inc.) | Informes de fallos (solo datos técnicos) | UE | Residencia de datos en la UE; Marco de Privacidad de Datos UE-EE. UU. |
| Vercel | Alojamiento de la aplicación (sirve la API de la app) | UE/EE. UU. | Anexo de Tratamiento de Datos; Marco de Privacidad de Datos UE-EE. UU. |
Tenemos Acuerdos de Tratamiento de Datos con todos los proveedores. Para las transferencias fuera del EEE, nos basamos en las Cláusulas Contractuales Tipo (CCT), el Marco de Privacidad de Datos UE-EE. UU., o garantías equivalentes aprobadas por la Comisión Europea.
8. Cookies y Seguimiento
Usamos cookies y tecnologías similares. Para información detallada, consulta nuestra Política de Cookies.
Los correos de marketing pueden contener píxeles de seguimiento que registran cuándo abres un correo y haces clic en los enlaces. Este seguimiento solo se utiliza cuando has dado tu consentimiento a las comunicaciones de marketing.
9. Tus Derechos
En virtud del RGPD, tienes los siguientes derechos respecto a tus datos personales:
- Derecho de Acceso: solicitar una copia de tus datos personales
- Derecho de Rectificación: corregir datos inexactos o incompletos
- Derecho de Supresión: solicitar la eliminación de tus datos («derecho al olvido»)
- Derecho a la Limitación: limitar cómo tratamos tus datos
- Derecho a la Portabilidad de los Datos: recibir tus datos en un formato legible por máquina
- Derecho de Oposición: oponerte al tratamiento basado en el interés legítimo
- Derecho a Retirar el Consentimiento: revocar el consentimiento en cualquier momento (sin afectar al tratamiento anterior)
Para ejercer cualquiera de estos derechos, utiliza nuestro formulario de contacto. Responderemos en un plazo de 30 días.
10. Eliminación de la Cuenta
Puedes eliminar tu cuenta en cualquier momento desde los ajustes de la app (menú Corazón → Eliminar Cuenta). Esto eliminará de forma permanente todos los datos asociados, incluido tu perfil, el historial de sesiones y cualquier preferencia almacenada. Algunos datos pueden conservarse por cumplimiento legal (p. ej., los registros de pago durante 7 años).
11. Seguridad de los Datos
Aplicamos medidas técnicas y organizativas apropiadas para proteger tus datos:
- Todos los datos se transmiten mediante cifrado HTTPS/TLS
- Cifrado de la base de datos en reposo
- Políticas de seguridad a nivel de fila que restringen el acceso a los datos
- Auditorías de seguridad y revisiones de acceso periódicas
- Principio de minimización de la recopilación de datos
12. Privacidad de los Menores
Tonight está pensado para adultos y no está dirigido a ninguna persona menor de 18 años. No recopilamos a sabiendas datos personales de ninguna persona menor de 18 años. Si crees que hemos recopilado datos de alguien menor de 18 años, contáctanos de inmediato y los eliminaremos.
13. Cambios en Esta Política
Podemos actualizar esta política periódicamente. Los cambios significativos se comunicarán por correo electrónico o mediante una notificación en la app. El uso continuado del servicio tras los cambios constituye la aceptación de la política actualizada.
14. Autoridad de Control
Tienes derecho a presentar una reclamación ante una autoridad de protección de datos. Para Hiatus Holding GmbH, la autoridad competente es:
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
Graurheindorfer Str. 153
53117 Bonn, Germany
www.bfdi.bund.de
También puedes contactar con tu autoridad local de protección de datos si lo prefieres.
15. Contacto
Si tienes cualquier pregunta sobre esta política o sobre tus datos personales, puedes ponerte en contacto con nosotros a través de nuestro formulario de contacto.