Política de Privacidad — MyHealth
Versión (policy_version): 1.5 Última actualización: 11 de junio de 2026 Vigencia: a partir de la fecha de publicación en la App Store.
En resumen (léalo primero)
MyHealth es una aplicación para iPhone que le ayuda a organizar su propio historial de salud, con el apoyo de un asistente de inteligencia artificial (IA) que lee los documentos y fotos que usted envíe para extraer y completar registros (que usted confirma antes de guardar) y ofrece una lectura educativa de apoyo. Usted reúne sus análisis, condiciones, medicaciones, vacunas, consultas, mediciones y documentos en un único lugar, y la app arma una línea de tiempo de su salud para prepararlo para la conversación con su médico.
Los puntos más importantes:
- Quién es usted queda separado de sus datos de salud. Su nombre, correo electrónico, teléfono y documento (como el CPF) quedan guardados en una bóveda cifrada (cifrado XChaCha20-Poly1305) y solo se descifran bajo su propia identidad, mediante una función segura. Las tablas clínicas se refieren a usted solo por un código (seudónimo).
- Sus datos quedan en Brasil. La base de datos está alojada en la región de São Paulo (
sa-east-1). - La IA recibe el contenido clínico de su historial — sin sus identificadores directos — y solo si usted lo consiente. Puede incluir análisis, medicaciones, síntomas, sueño y métricas de dispositivos vestibles, eventos de su dispositivo, hábitos de vida que usted declara (tabaco, alcohol, actividad, sueño) y registros de ciclo menstrual, además de su sexo y edad. El nombre, el CPF, el correo electrónico y el teléfono quedan cifrados en una bóveda aparte y no se envían a la IA. Sus datos no entrenan modelos. Ese procesamiento implica una transferencia internacional hacia los Estados Unidos (Anthropic). Vea las Secciones 6 y 9.
- La cuenta es para mayores de 18 años. Los menores solo entran como perfil gestionado por un responsable adulto (Sección 11).
- Las funciones de IA son de pago y consumen créditos (hay una cuota inicial gratuita y suscripción). Las compras son procesadas por Apple (App Store); el uso de IA de un menor se cobra al responsable. Vea la Sección 9 y los Términos.
- Usted manda. Puede acceder, corregir, exportar (en formato estándar de salud FHIR R4 y en PDF), revocar consentimientos y eliminar su cuenta cuando quiera.
- MyHealth NO es un médico y no es un dispositivo médico. No realiza diagnósticos y no prescribe. Las lecturas y las respuestas del asistente de IA son educativas — usted debe siempre confirmar con su médico.
El texto completo a continuación detalla todo esto y describe sus derechos legales.
1. Quiénes somos (el Responsable) y el Encargado/DPO
El responsable del tratamiento de sus datos personales ("Responsable" en la LGPD; "Controller" en el GDPR) es:
BAS AI — BAS ARTIFICIAL INTELLIGENCE LTDA
CNPJ: 64.106.409/0001-70
Sitio web: www.bas-ai.com
Dirección: Rua Gomes de Carvalho, 911, Vila Olímpia, São Paulo/SP, CEP 04547-003, Brasil
En este documento, "MyHealth", "nosotros" o "la aplicación" se refieren a ese Responsable.
Encargado del Tratamiento de Datos Personales (DPO)
Para cualquier asunto de privacidad y protección de datos, comuníquese con nuestro Encargado (LGPD Art. 41 / Data Protection Officer, GDPR Art. 37):
Correo electrónico: privacy@bas-ai.com
Nombre del Encargado: Guilherme Kaschny Bastian
Dirección para correspondencia: Rua Gomes de Carvalho, 911, Vila Olímpia, São Paulo/SP, CEP 04547-003, Brasil
Hoy MyHealth no cuenta con representante en la Unión Europea; si el servicio pasa a ofrecerse de forma significativa a titulares en el EEE/Reino Unido, nombraremos un representante (GDPR Art. 27) y lo indicaremos aquí.
2. A quién se aplica esta Política
Esta Política se aplica a todas las personas que usan la aplicación MyHealth, en cualquier país. La app es global y multiidioma (portugués, inglés y español).
El lanzamiento inicial tiene foco en Brasil, pero, donde la ley de su país sea más protectora, ella prevalece. Tratamos la LGPD (Ley n.º 13.709/2018, Brasil) y el GDPR (Reglamento (UE) 2016/679) como nuestro estándar mínimo en cualquier lugar.
Niños y adolescentes: el registro propio está destinado a mayores de 18 años. Los datos de menores solo pueden ser incluidos por un responsable legal, que gestiona el perfil del dependiente (ver Sección 11).
3. Qué datos recopilamos
Recopilamos solo lo necesario para que la app funcione (principio de minimización). A continuación, lo que recopilamos y dónde queda.
3.1 Datos de identidad (PII) — cifrados en bóveda
Los siguientes datos lo identifican a usted directamente y quedan guardados en una bóveda de identidad (identity_vault), cifrados campo a campo (XChaCha20-Poly1305), físicamente separados de las tablas clínicas. Solo se descifran mediante una función segura, bajo su propia identidad:
- Nombre (o nombre para mostrar);
- Correo electrónico;
- Teléfono;
- Documento (por ejemplo, CPF).
Las tablas clínicas no contienen esos datos — se refieren a usted solo por un código de perfil (seudónimo). En el perfil seudonimizado guardamos solo el mínimo clínico-demográfico necesario para interpretar correctamente los datos (por ejemplo, sexo biológico y fecha de nacimiento/edad, importantes para los rangos de referencia de los análisis).
3.2 Datos de salud / sensibles (PHI)
Son datos personales sensibles (salud) y reciben la protección máxima. Recopilamos, conforme usted los registra o importa:
- Análisis y marcadores de laboratorio (valores, unidades, rangos de referencia, fechas);
- Condiciones y sistemas del cuerpo (línea "de la cabeza a los pies");
- Medicaciones (ítem, dosis, indicación, período, prescriptor, estado activo/inactivo);
- Alergias e intolerancias (sustancia, categoría, reacción, gravedad);
- Vacunas;
- Consultas / atenciones;
- Signos vitales y bioimpedancia — peso, porcentaje de grasa, masa magra, circunferencias, glucemia, presión arterial, frecuencia cardíaca, saturación, temperatura;
- Síntomas y molestias;
- Actividad física;
- Documentos e informes (PDFs, fotos y archivos de texto — análisis, recetas, informes, registros que usted envía);
- Historia familiar de salud;
- Equipo de cuidados (profesionales, área, institución, motivo);
- Tarjeta / información de emergencia (grupo sanguíneo, alergias, contacto de emergencia);
- Notas, preguntas y mensajes que usted escribe en la app (incluido el chat con el asistente de IA), en la medida en que contengan datos de salud.
- Eventos de dispositivo — eventos que su dispositivo registra: clasificación de ECG (ritmo sinusal / fibrilación auricular / no concluyente) con la frecuencia cardíaca media, notificaciones de ritmo irregular y de frecuencia cardíaca alta o baja, carga de fibrilación auricular y detección de caída. Guardamos la clasificación y los metadatos del evento — nunca el trazado bruto (forma de onda) del ECG, que permanece solo en su dispositivo y no se envía a la IA.
- Ciclo menstrual y salud reproductiva — flujo menstrual, sangrado intermenstrual, pruebas de ovulación, calidad del moco cervical y pruebas de embarazo, cuando usted los registra o los importa. Signos correlacionados, como la temperatura basal corporal, pueden importarse como signos vitales. No importamos registros de actividad sexual. Son datos sensibles con la misma protección máxima que los demás datos de salud.
- Hábitos de vida que usted informa — datos que usted declara, de forma opcional, en las tarjetas de la app: tabaquismo (y rango de cigarrillos por semana), consumo de alcohol (y rango de tragos por semana), nivel de actividad física y percepción de su sueño. Cuando usted autoriza el Procesamiento por IA (Sección 6), esos hábitos integran el contexto enviado a la IA.
Cuando esos datos se refieren a un menor bajo su guarda, se aplican las mismas protecciones (ver Sección 11).
3.3 Localidad e idioma (opcionales, en claro)
De forma opcional, para adaptar la experiencia y preparar funcionalidades futuras (como la recomendación de profesionales por ciudad), podemos guardar país, estado/provincia, ciudad y el idioma preferido. No recopilamos dirección completa, latitud/longitud ni ubicación precisa. Esos campos de localidad quedan en claro porque la granularidad "ciudad" no es, por sí sola, un dato sensible, y están protegidos por las mismas reglas de acceso de su cuenta.
3.4 Datos de cuenta, sesión y seguridad
- Cuenta y autenticación: identificadores técnicos de la cuenta y tokens de sesión, para mantenerlo conectado con seguridad; autenticación en dos pasos (MFA/2FA vía TOTP), cuando usted la active.
- Registros de acceso y auditoría (
access_log): metadato de quién accedió a qué y cuándo (acción, tabla, origen, dirección IP de origen) — solo metadato, nunca el contenido clínico. - Registros de consentimiento (
consent_events): qué finalidad autorizó usted, la base legal, la versión de la Política y el momento — de forma inmutable (ver Sección 5). - Uso y cobro de IA: registramos metadatos del uso de las funciones de IA (función, modelo, cantidad de tokens) y el saldo y el movimiento de sus créditos, para operar el cobro y prevenir abusos. Esos registros no contienen el contenido de salud analizado.
3.5 Datos de uso desidentificados
Recopilamos datos mínimos de estabilidad y diagnóstico (telemetría) — fallos, errores, rendimiento — de forma desidentificada y sin ningún contenido de salud, para mantener la app segura y en funcionamiento (ver Sección 13). Se trata de un tratamiento interno: no usamos SDK de analytics ni rastreo de terceros. Por autolimitación de minimización, retenemos esa telemetría por hasta cerca de 12 meses (ver Secciones 12 y 13).
3.6 Lo que NO recopilamos / NO hacemos
- No vendemos sus datos.
- No hacemos publicidad dirigida con base en su salud, ni usamos rastreadores de terceros que vean sus datos de salud.
- No recopilamos ubicación precisa, contactos del teléfono ni micrófono. La cámara y la galería solo se acceden en el momento exacto en que usted decide enviar un documento (permiso just-in-time).
4. Finalidades y bases legales
Toda actividad de tratamiento tiene una base legal. Como tratamos datos sensibles de salud, somos especialmente rigurosos: cada finalidad sensible se registra en nuestro registro de consentimiento con la base legal y la versión de la Política correspondientes.
| Finalidad | Qué es | Base legal — LGPD | Base legal — GDPR |
|---|---|---|---|
Procesamiento clínico (clinical_processing) | Organizar sus documentos, estructurar valores, armar la línea de tiempo y las tendencias del historial | Base primaria: Art. 7, II y Art. 11, II, "a" (consentimiento específico y destacado para dato sensible). Base subsidiaria (solo para seguridad, integridad, cumplimiento de obligación legal y operación de la eliminación): Art. 7, II y Art. 10. No invocamos la tutela de la salud (Art. 11, II, "f") | Base primaria: Art. 6(1)(a) + Art. 9(2)(a) (consentimiento explícito para dato de salud). Base subsidiaria (seguridad, integridad, obligación legal y eliminación): Art. 6(1)(c) y (f). No invocamos el Art. 9(2)(h): el Art. 9(3) exigiría un profesional de salud sujeto a secreto en el flujo, y no hay médico en el circuito |
Procesamiento por IA (ai_processing) | Enviar el contenido clínico seudonimizado (sin identificadores directos) a la IA (Anthropic) para leer los documentos y fotos que usted envíe y de ellos extraer y completar registros (análisis, medicaciones, vacunas, mediciones, profesionales — que usted confirma antes de guardar), estructurar el historial y generar una lectura educativa de apoyo (asistente, nunca diagnóstica — ver Sección 6) | Art. 7, I y Art. 11, I (consentimiento específico) | Art. 6(1)(a) + Art. 9(2)(a) |
Transferencia internacional (intl_transfer) | Cuando, y solo cuando, sea necesario, procesar datos sin identificación fuera de Brasil (ver Sección 9) | Art. 7, I; Art. 11, I; Art. 33 (transferencia internacional) | Art. 6(1)(a) + Art. 9(2)(a); Art. 44–49 |
Compartir en familia (family_sharing) | Usted autoriza a un familiar a leer su historial, de forma revocable (ver Sección 7) | Art. 7, I y Art. 11, I (consentimiento) | Art. 6(1)(a) + Art. 9(2)(a) |
| Datos de menores bajo guarda | Organizar el historial de un dependiente | Art. 14 (mejor interés del niño/adolescente; consentimiento de al menos uno de los padres o del responsable legal) | Art. 8 + Art. 9(2)(a), ejercido por el responsable legal |
Atestación de edad (age_attestation) | Usted declara tener 18+; el registro de menor de 18 está bloqueado y la atestación se registra de forma inmutable, con fecha/hora del servidor | Art. 14 + Ley 15.211/2025 (ECA Digital) | Art. 8 |
| Seguridad, prevención de fraude y auditoría | Logs de acceso, defensa contra ataques, cumplimiento de obligaciones legales de registro | Art. 7, II (cumplimiento de obligación legal) y Art. 10 (interés legítimo, limitado) | Art. 6(1)(c) (obligación legal) y Art. 6(1)(f) (interés legítimo) |
| Telemetría técnica / estabilidad | Diagnóstico de fallos, sin dato de salud, en tratamiento interno (sin SDK de analytics ni rastreo de terceros) | Art. 7, IX (interés legítimo), con minimización autolimitada (Art. 6, III) | Art. 6(1)(f) (interés legítimo) |
| Cuenta, suscripción y créditos | Mantener la cuenta y procesar suscripciones y créditos de IA (por regla, 1 crédito = 1 página). El consumo de IA de un menor se cobra al responsable | Art. 7, V | Art. 6(1)(b) |
| Investigación seudonimizada (opt-in en la eliminación) | Cohorte de investigación seudonimizada (solo sexo, franja etaria y año, en cohortes aleatorias, sin profile_id, sin texto libre y sin fecha exacta) que usted puede autorizar al momento de eliminar la cuenta (ver Sección 12) | Art. 7, II y Art. 11, II, "a" (consentimiento específico); dato seudonimizado, no dato anónimo irreversible | Art. 6(1)(a) + Art. 9(2)(a) (consentimiento explícito); cf. Art. 9(2)(j) (fines de investigación) |
Base legal del núcleo clínico — aclaración. La base primaria del tratamiento de su historial es su consentimiento específico y destacado (LGPD Art. 11, II, "a" / GDPR Art. 9(2)(a)), coherente con el posicionamiento de "historial soberano": usted autoriza, y puede revocar. Reservamos una base subsidiaria solo para lo que el consentimiento no cubre — seguridad de la información, integridad de los datos, cumplimiento de obligación legal y la propia operación de eliminación de la cuenta —, apoyada en la LGPD Art. 7, II y Art. 10 y en el GDPR Art. 6(1)(c) y (f). No adoptamos la hipótesis de tutela de la salud (LGPD Art. 11, II, "f" / GDPR Art. 9(2)(h)): en el GDPR, el Art. 9(3) condiciona esa hipótesis a la presencia, en el flujo, de un profesional de salud sujeto a deber de secreto, y no hay médico en el circuito de MyHealth.
5. Consentimiento y cómo revocarlo
Cuando usted autoriza una finalidad sensible, ese consentimiento es:
- Libre — la app funciona en lo esencial aunque usted no autorice la IA;
- Informado — explicamos la finalidad en el momento, en lenguaje claro;
- Específico y destacado — cada finalidad sensible tiene su propia solicitud (no un "acepto todo" genérico), como exige la LGPD para dato de salud;
- Revocable en cualquier momento — usted puede retirar una autorización en los ajustes, sin perder el acceso a lo que ya organizó.
Nuestro sistema solo ejecuta una operación si el consentimiento correspondiente está activo. Por ejemplo: si usted no autoriza el "Procesamiento por IA", la app no envía nada a la IA — esa verificación ocurre automáticamente, en el servidor (función has_active_consent), en cada operación.
Cómo funciona el registro: cada autorización o revocación se graba como un evento inmutable en nuestro registro de consentimiento (consent_events), con la finalidad, la base legal, el idioma y la versión de la Política vigente. Revocar no borra el historial del consentimiento — registra un nuevo evento que interrumpe el tratamiento futuro de esa finalidad.
La revocación no torna ilícito el tratamiento ya realizado lícitamente, pero interrumpe el uso futuro de esa finalidad. Usted no pierde el acceso al historial que ya había organizado.
6. Cómo la Inteligencia Artificial (IA) trata sus datos
La IA es pieza central de MyHealth (asistente y extracción de datos de documentos), por lo que lo explicamos con total transparencia. Nuestro proveedor de IA es Anthropic (modelo Claude), que actúa como subencargado.
6.1 La IA recibe el contenido clínico de su historial, sin sus identificadores directos
- El contenido enviado a la IA es del propio usuario y solo se procesa mediante su consentimiento (
ai_processing). - El contenido clínico que enviamos a la IA, sin que enviemos sus identificadores directos (nombre, CPF, correo electrónico, teléfono) — sustituidos por sexo y edad — puede incluir: marcadores y tendencias de análisis, mediciones y bioimpedancia, medicaciones, vacunas, alergias, síntomas, consultas y anotaciones, historia familiar, actividad física, datos de sueño y puntajes de dispositivos vestibles, eventos de dispositivo (clasificación de ECG, ritmo irregular, caída), ciclo menstrual y datos reproductivos, hábitos de vida que usted informa (tabaquismo, alcohol, actividad y sueño), el grupo sanguíneo y las observaciones de su tarjeta de emergencia, y el propio documento (foto/PDF) cuando usted solicita la extracción por IA — antes del envío, la aplicación intenta cubrir (tachar), directamente en su dispositivo, su nombre, CPF, correo electrónico y teléfono impresos en el documento, y usted puede cubrir áreas manualmente; el archivo original permanece intacto en su historial y la versión enviada a la IA es la tachada, cuando se genera. Esta redacción automática es best-effort: puede fallar en fotos de baja calidad o manuscritos y no es garantía de eliminación completa. No enviamos los contactos de su tarjeta de emergencia (nombre, teléfono, parentesco). Las anotaciones libres hechas por usted o por profesionales pueden, eventualmente, contener nombres — por eso recomendamos no insertar datos de identificación en campos de texto.
- La búsqueda en la web existe solo en el chat asistente, para conocimiento clínico general. Instruimos al modelo para que use solo términos clínicos genéricos, sin incluir sus valores, fechas, edad, nombres o identificadores. Esa protección se aplica por instrucción al modelo y no por un filtro técnico infalible; la búsqueda es ejecutada por la infraestructura de Anthropic. Las funciones de análisis del historial y de extracción de documentos no hacen búsqueda en la web.
6.2 NO usamos sus datos para entrenar IA
- Por los términos comerciales de Anthropic, sus datos (entradas y salidas) no se usan para entrenar ni mejorar modelos y son retenidos por un período limitado y luego eliminados (por regla, en hasta 30 días), salvo retención exigida por ley o para prevención de abuso. Esta relación está amparada en un DPA y cláusulas contractuales estándar (SCC) a firmar antes del lanzamiento.
6.3 Salvaguardas técnicas
- El tráfico con la IA usa conexión cifrada (TLS).
- Aplicamos salvaguardas contra inyección de prompt y minimización del contenido enviado.
- La IA no toma decisiones automatizadas sobre usted en el sentido del GDPR Art. 22 / LGPD Art. 20: ella organiza y describe, no decide, no diagnostica y no prescribe. Usted revisa y confirma las informaciones, y las lecturas vienen marcadas como contenido a confirmar con su médico.
- La IA no detecta, no monitorea y no diagnostica riesgo de suicidio, autolesión o crisis psiquiátrica, y no contacta a nadie por usted. Si está en crisis, busque ayuda inmediata (en Brasil, CVV 188, 24h, gratuito; fuera de Brasil, la línea nacional de prevención). Vea la Sección 3.5 de los Términos de Uso.
6.5 Organización de medicamentos y suplementos (dato derivado, asistido por IA)
Para organizar su historial, la IA puede producir, a partir de los medicamentos y suplementos que usted registra, un dato derivado de organización: los principios activos descompuestos (una fórmula magistral se separa en los ingredientes de su etiqueta) y una categoría general; la vacuna canónica, la enfermedad prevista y la dosis en la serie (consolidando la misma vacuna bajo nombres distintos); y el alérgeno normalizado y su clase. Ese dato se genera a partir de lo que usted ya proporcionó (no recopilamos nada nuevo) y sirve para relacionar, por ejemplo, un principio activo con el marcador correspondiente de su análisis. Es educativo y asistido por IA — usted puede revisarlo y corregirlo, y no es una clasificación clínica, una prescripción ni una verificación de interacciones (vea el Aviso Médico, ítem 5.2). Los detalles del tratamiento por IA siguen las Secciones 6.1–6.3.
6.4 Estándares y vocabularios abiertos (LOINC® / UCUM)
Para que el mismo examen proveniente de laboratorios distintos (con nombres, siglas e idiomas diferentes) se reconozca como un único parámetro y genere una línea de tiempo coherente, MyHealth normaliza los marcadores usando el vocabulario abierto LOINC® (Logical Observation Identifiers Names and Codes) y estandariza las unidades de medida con base en UCUM. Estos estándares son contenido de referencia licenciado, incorporado en la aplicación — funcionan como un diccionario y no reciben ningún dato personal suyo (Regenstrief Institute no es subprocesador y nada de su historial se le envía).
This product includes content from LOINC® (loinc.org). LOINC is copyright © 1995–2024, Regenstrief Institute, Inc. and the LOINC Committee, and is available at no cost under the LOINC license (loinc.org/license). LOINC® is a registered trademark of Regenstrief Institute, Inc.
7. Compartir en familia (opt-in, solo lectura, revocable)
MyHealth permite que usted comparta su historial con un familiar, de forma controlada:
- Es opt-in: nada se comparte sin que usted lo inicie y autorice (
family_sharing). - El acceso es solo lectura y del historial completo (todo o nada — no es posible compartir solo partes): el familiar puede ver, pero no puede editar ni borrar.
- El vínculo se crea mediante un código de invitación de un solo uso, que expira en 7 días si no se utiliza.
- Usted puede revocar el vínculo en cualquier momento, finalizando el acceso.
El familiar también necesita ser usuario de la app. Ese acceso compartido es entre usted y la persona que usted elija — no es un compartir con terceros ni con fines comerciales.
8. Apple Health (HealthKit)
MyHealth permite importar mediciones de Apple Health (HealthKit) — peso, altura, composición corporal, glucemia, presión, frecuencia cardíaca, saturación y temperatura — a su historial.
- La importación es opcional y ocurre solo con su autorización explícita, concedida en los permisos de iOS. El acceso es solo de lectura — MyHealth no escribe datos en Apple Health.
- Los datos provenientes de Apple Health se usan exclusivamente para enriquecer su propio historial dentro de la app.
- En conformidad con la Directriz 5.1.3 de la App Store de Apple, los datos de Apple Health NUNCA se usan para marketing/publicidad, NUNCA se comparten con terceros para fines de propaganda o data mining, y NUNCA se usan para entrenar modelos de IA.
Conexión con pulseras y anillos inteligentes (Oura y WHOOP)
Además de Apple Health, usted puede, de forma opcional y revocable, conectar dispositivos vestibles de terceros, con consentimiento específico por proveedor (wearable_sync_oura, wearable_sync_whoop):
- Oura Ring: sueño y fases del sueño, puntajes diarios (sueño, preparación, actividad, estrés, resiliencia), desviación de temperatura, pasos, calorías, distancia, tiempo sedentario, SpO2, VO2max, edad cardiovascular, entrenamientos y sesiones de meditación.
- WHOOP: puntaje de recuperación, frecuencia cardíaca de reposo, variabilidad de la FC (HRV), SpO2, temperatura de la piel, carga (strain), sueño y entrenamientos.
La autorización usa OAuth: los tokens de acceso quedan cifrados (AES-256-GCM) en nuestro servidor y no son accesibles por la aplicación. Oura opera en Finlandia (Espacio Económico Europeo) y WHOOP en los Estados Unidos; conectar esos servicios implica transferencia internacional de entrada, bajo las salvaguardas de la Sección 9.1. Oura y WHOOP actúan como fuentes de datos (controladoras independientes de las propias plataformas), no como nuestros subencargados, y no reciben datos de su historial.
Al desconectar un dispositivo vestible:
- WHOOP: para cumplir las condiciones de uso de la API de WHOOP y por estándar de privacidad que adoptamos, solicitamos la revocación del acceso en WHOOP y eliminamos definitivamente todos los datos originados de WHOOP ya sincronizados (sueño, puntajes, mediciones, actividades y eventos). Recomendamos exportar antes, si desea conservar una copia.
- Oura / Apple Health: revocamos el acceso y eliminamos los tokens cifrados que guardamos. Los datos ya sincronizados permanecen en su historial, salvo que usted solicite su eliminación.
Los datos importados de dispositivos vestibles y de Apple Health siempre se graban en su propio historial (titular de la cuenta) y nunca en el perfil de un dependiente, aunque usted esté visualizando el perfil de un menor.
9. Subencargados y transferencias internacionales
Nosotros no vendemos sus datos. Para operar el servicio, usamos un conjunto mínimo de proveedores ("subencargados"/"encargados"), cada uno bajo contrato de tratamiento de datos (DPA — firmado o a firmar antes del lanzamiento, conforme se indica en la columna "Salvaguardas" de cada fila), confidencialidad y seguridad, tratando datos solo bajo nuestras instrucciones.
| Subencargado | Qué hace | Qué dato trata | Dónde | Salvaguardas |
|---|---|---|---|---|
| Supabase | Base de datos (PostgreSQL), autenticación, almacenamiento de documentos y funciones de borde | Datos clínicos seudonimizados; PII cifrada en la bóveda; documentos cifrados; metadatos de cuenta | São Paulo, Brasil (sa-east-1) | DPA «a firmar»; cifrado en tránsito (TLS) y en reposo; cifrado adicional de campo bajo nuestra gestión de claves; aislamiento por RLS; SCC para eventuales transferencias fuera del EEE |
| Anthropic, PBC | Modelo de IA (Claude) para análisis del historial, extracción de documentos y chat | Contenido clínico seudonimizado (valores, fechas, anotaciones, hábitos de vida, ciclo, agregados de dispositivo vestible) y, en el análisis de documento, la propia imagen/PDF (con redacción on-device best-effort de los identificadores impresos, cuando se localizan) — de forma transitoria | Estados Unidos | DPA «a firmar»; no-entrenamiento contractual; retención limitada (~30 días); SCC; TLS |
| Resend | Envío de correos transaccionales (código de acceso/OTP y avisos de la cuenta) | Solo su correo electrónico y el contenido del correo; sin contenido de salud | EE. UU. / global | DPA «a firmar»; SCC; TLS |
| Apple (App Store / In-App Purchase / HealthKit / push) | Distribución, HealthKit, notificaciones y procesamiento de pagos de suscripciones y créditos como merchant of record | Datos de compra/recibo; no recibimos datos de su tarjeta; sin contenido de salud en el flujo de pago | EE. UU. / global | Términos de la App Store; Directriz 5.1.3 |
Oura y WHOOP no figuran en esta tabla: son fuentes de datos que usted conecta (Sección 8), actuando como controladoras independientes de las propias plataformas, y no como nuestros subencargados. Los DPAs y las cláusulas contractuales estándar (SCC) indicados arriba se firmarán antes del lanzamiento, y mantenemos una página pública de subencargados actualizada en https://www.bas-ai.com/myhealth/legal/subprocessadores. Avisaremos antes de agregar un nuevo subencargado relevante.
9.1 Transferencias internacionales
Su historial queda almacenado en Brasil (São Paulo) — esa es la regla. Las transferencias hacia fuera de Brasil ocurren de forma limitada y con su autorización (intl_transfer): en el procesamiento por IA (Anthropic, Estados Unidos — Sección 6), en el cual enviamos el contenido clínico sin sus identificadores directos (en la extracción de documento, el propio archivo — tras una redacción automática on-device best-effort que intenta cubrir nombre, CPF, correo y teléfono; los identificadores no localizados pueden permanecer en el archivo); en la conexión de dispositivos vestibles (Oura, en Finlandia/EEE; WHOOP, en los Estados Unidos — Sección 8); y en la distribución por Apple (Estados Unidos). Cuando haya transferencia internacional, adoptamos las salvaguardas exigidas:
- LGPD (Art. 33): transferencia basada en consentimiento específico y/o en garantías contractuales adecuadas (cláusulas estándar), conforme regulación de la ANPD.
- GDPR (Art. 44–49): Cláusulas Contractuales Estándar (SCC) y/u otras garantías adecuadas para transferencias fuera del EEE, con evaluación de impacto de la transferencia cuando sea aplicable.
También podemos divulgar datos cuando sea exigido por ley (orden judicial o autoridad competente), siempre limitado a lo estrictamente necesario y, cuando esté legalmente permitido, notificándolo a usted.
10. Seguridad de la información
La confidencialidad de sus datos de salud es nuestro control número uno. Las principales medidas:
- Separación entre identidad y datos clínicos: quién es usted (nombre, correo electrónico, teléfono, documento) queda en una bóveda cifrada (
identity_vault, XChaCha20-Poly1305), separada de las tablas clínicas, que se refieren a usted solo por un código. - Descifrado controlado: la PII solo se descifra mediante una función segura, bajo su propia identidad, con registro de auditoría.
- Cifrado en reposo y en tránsito: base de datos y almacenamiento cifrados; comunicaciones por TLS.
- Control de acceso por fila (RLS) por verbo: la base de datos garantiza que solo usted (o un responsable/familiar autorizado) accede a sus datos — y los permisos de leer y escribir están separados.
- Autenticación en dos pasos (MFA/2FA vía TOTP): disponible para reforzar el acceso a su cuenta.
- Consentimientos versionados y registro de auditoría inmutable (solo metadato de acceso, nunca el contenido clínico).
- Salvaguardas de IA: eliminación de los identificadores directos (nombre, CPF, correo electrónico, teléfono) del contexto enviado, no envío de los contactos de la tarjeta de emergencia, minimización del contenido y protección contra inyección de prompt.
Buscamos alineación a las mejores prácticas internacionales de seguridad de la información en salud. Ningún sistema es 100% inmune; por eso mantenemos planes de respuesta a incidentes (ver Sección 14).
11. Datos de niños y adolescentes (menores)
La protección de niños y adolescentes observa el Estatuto del Niño y del Adolescente (Ley 8.069/1990), la Ley 15.211/2025 (ECA Digital), el Art. 14 de la LGPD y el Art. 8 del GDPR (EEE).
- El registro propio está destinado a mayores de 18 años (o a la mayoría de edad civil del país, si es superior).
- El menor no posee cuenta ni correo electrónico propios: existe solo como perfil gestionado dentro de la cuenta de un responsable adulto (campo
managed_by), que declara esa condición. - El perfil puede tener más de un responsable: el responsable principal invita a otro adulto mediante código de invitación con plazo de validez. Cada invitado recibe un rol: responsable (ve y edita) o acompañante (solo lectura). Toda autorización se verifica en el servidor, en cada operación.
- El consentimiento relativo al menor se registra identificando qué adulto lo concedió, observando el mejor interés del niño y del adolescente (LGPD Art. 14).
- Los recursos de pago de IA exigen rol de responsable y se cobran al responsable principal (titular pagador del perfil), independientemente de qué responsable los haya activado; el registro de uso permanece vinculado al perfil del menor para auditoría.
- Aplicamos a esos datos la misma protección máxima (bóveda de identidad, RLS, no-entrenamiento de IA). No dirigimos publicidad a menores. Los datos de dispositivos vestibles nunca siguen al perfil de un menor.
- El responsable puede, en cualquier momento, exportar o eliminar los datos del dependiente.
Adoptamos, en cualquier país, el límite único de 18 años para cuenta propia. Ese requisito se refiere a la titularidad de la cuenta y no se confunde con la edad de consentimiento digital autónomo del GDPR (Art. 8, entre 13 y 16 años según el país). Por debajo de 18, el tratamiento de datos solo ocurre mediante un perfil gestionado por un responsable adulto.
Usuarios en los Estados Unidos (COPPA): MyHealth no ofrece cuentas a menores ni recopila datos directamente de niños. Cualquier dato de menor es insertado y controlado por un adulto responsable, que ejerce el consentimiento parental verificable.
12. Retención y descarte
Adoptamos el principio de minimización: guardamos cada categoría de dato solo por el tiempo necesario a su finalidad o exigido por ley.
12.1 Plazos de retención
| Categoría | Plazo | Por qué |
|---|---|---|
| Historial y bóveda de identidad (datos clínicos + PII) | Mientras su cuenta exista; eliminados en la eliminación de la cuenta (ver 12.2) | Usted mantiene el historial organizado mientras quiera |
Registros de acceso / auditoría (access_log — fecha/hora, IP, acción; nunca contenido clínico) | Mínimo de 6 meses | Guarda mínima de registros de acceso (Marco Civil de Internet, Ley 12.965/2014, Art. 15). Es un piso de guarda; el log de acceso (fecha/hora + IP) no es dato de salud y no justifica retener el historial |
| Datos de facturación y fiscales (recibos, movimiento de créditos/suscripción) | 5 años | Plazos tributarios (CTN, Arts. 173 y 174) |
| Telemetría técnica desidentificada | Hasta cerca de 12 meses | Política interna de minimización (LGPD Art. 6, III) — no es plazo legal |
Registros de consentimiento (consent_events) | Mantenidos como historial inmutable | Comprobar la licitud y las autorizaciones concedidas/revocadas (accountability) |
Brecha que asumimos con transparencia: todavía no hay purga automática por inactividad (una cuenta sin uso por un largo período no se elimina sola). Eso es una brecha a definir — cuando vayamos a adoptar una política de inactividad, actualizaremos esta Sección y la versión de la Política. No describimos aquí, como rutina vigente, algo que la app todavía no hace.
12.2 Eliminación definitiva de la cuenta (derecho al borrado — LGPD Art. 18, VI / GDPR Art. 17)
La eliminación está disponible directamente en la app, en Perfil › Privacidad › Eliminar mi cuenta (exigencia de Apple). Al confirmar, ejecutamos la eliminación permanente en cascada — una operación inmediata — de su bóveda de identidad (identity_vault) y de todos los datos clínicos (análisis, condiciones, medicaciones, vacunas, documentos, mediciones, historial, consultas, conversaciones con la IA, datos de dispositivos vestibles), revocamos las conexiones de dispositivos vestibles y cerramos su cuenta de acceso.
Las copias de seguridad (backups) pueden, por un período, todavía contener datos ya eliminados: ellas son sobrescritas en el ciclo normal de retención de nuestro encargado, tras lo cual dejan de existir. (No alegamos "destrucción de claves" ni purga instantánea del backup.)
Recibo de eliminación (accountability — LGPD Art. 6º, X): podemos confirmar la conclusión de la eliminación mediante solicitud al DPO. No hay emisión de recibo automático, y la eliminación no es total — permanecen los registros mínimos descritos a continuación, por imposición legal.
Lo que permanece después de la eliminación, y por qué:
- Registro mínimo de la eliminación, sin ningún dato personal y con su identidad sustituida por un código irreversible (no permite reidentificarlo), solo para comprobar que la eliminación ocurrió.
- Registros de acceso por el período de guarda mínima (6 meses — 12.1) y datos de facturación/fiscales (5 años — 12.1), proporcionados solo mediante solicitud judicial o de autoridad competente.
- Opcional — investigación: si, y solo si, usted lo autoriza al momento de la eliminación, mantenemos sus marcadores de forma seudonimizada — sin nombre, sin identificador de perfil (
profile_id), sin texto libre y sin fecha exacta, guardando solo sexo, franja etaria y el año, en cohortes aleatorias. Tratamos esto como dato seudonimizado, y no como dato anónimo irreversible: la reidentificación es improbable, pero no la declaramos imposible. Usted puede rechazarlo y aun así eliminar la cuenta.
12.3 Fallecimiento del titular
La LGPD y el GDPR protegen a personas vivas y, por regla, no alcanzan al fallecido (ANPD, Nota Técnica n.º 3/2023; GDPR, Considerando 27). Aun así, el historial de una persona fallecida involucra derechos de la personalidad que sobreviven a la muerte (Código Civil, Art. 12, párrafo único) y cuestiones de sucesión.
- El heredero no hereda el acceso al contenido del historial. El Superior Tribunal de Justicia (REsp 2.124.424/SP) trató los registros de salud como bien existencial no transmisible — ligado a la intimidad de la persona, y no a su patrimonio.
- Por eso, no realizamos la eliminación total a pedido de terceros (permanecen, aun así, los registros de acceso por 6 meses y los fiscales por 5 años — 12.1), ni entregamos el contenido clínico a herederos como si fuera herencia.
- Los pedidos relacionados con el fallecimiento de un titular (por ejemplo, cesar el tratamiento, o medidas previstas en el Art. 12, párrafo único, del Código Civil por quien tenga legitimidad) deben dirigirse a nuestro DPO (Sección 1), mediante prueba del fallecimiento y de la legitimidad de quien solicita. Evaluamos cada pedido a la luz de la ley aplicable.
12-A. Notificaciones y recordatorios (opt-in, locales)
MyHealth puede enviar recordatorios en su iPhone — sobre medicación, un check-in de bienestar, su agenda (consultas/exámenes/seguimientos/vacunas) y el aviso de que un análisis está listo. Puntos importantes:
- Son notificaciones LOCALES, programadas en su propio dispositivo — no usamos servidor de envío (push remoto) ni subprocesador para ello.
- Opt-in granular y revocable. Cada tipo está desactivado por defecto (medicación y check-in) o lo controla usted en Perfil › Notificaciones, donde elige qué recibir, los horarios y la franja de silencio. Puede desactivar todo en cualquier momento (en la app o en los Ajustes de iOS). La base legal es el consentimiento (LGPD Art. 7, I y Art. 11, I; GDPR Art. 6(1)(a) y Art. 9(2)(a)).
- Contenido minimizado en la pantalla de bloqueo. La notificación nunca muestra valores de examen, diagnóstico, nombre de enfermedad, nombre de medicamento, especialidad ni el resumen de la IA. Solo indica que existe algo y dónde ("¿Tomó sus medicamentos hoy?", "Su análisis está listo. Toque para verlo en la app.", "Mañana: Consulta"). El contenido clínico queda solo dentro de la app. Recuerde que la pantalla de bloqueo puede ser vista por terceros y leída en voz alta por Siri — por eso iOS permite ocultar las vistas previas (Ajustes › Notificaciones › Mostrar vistas previas: Cuando esté desbloqueado).
- Responda desde la propia notificación. Puede contestar ciertos recordatorios en la notificación (p. ej., "Tomé todas" / "Más o menos"). Esas respuestas son dato de salud (adherencia a la medicación, bienestar) y se guardan en su historial con la misma protección que sus demás datos de salud; nada de eso aparece en la pantalla de bloqueo.
- Menores: cuando el recordatorio es de un perfil de dependiente, el aviso en el dispositivo del responsable es genérico ("Recordatorio de un dependiente") y nunca expone el nombre ni ningún dato de salud del menor.
13. Cookies, telemetría y rastreo
MyHealth es una aplicación nativa de iPhone (no un sitio web), por lo que no usa cookies de navegación en el sentido tradicional.
- Telemetría técnica desidentificada: recopilamos datos mínimos de estabilidad y diagnóstico (fallos, errores, rendimiento), sin contenido de salud, para mantener la app segura y en funcionamiento. Ese es un tratamiento interno: no embarcamos SDK de analytics ni ningún rastreador de terceros. Por autolimitación de minimización, mantenemos esa telemetría por hasta cerca de 12 meses (ver Sección 12).
- Sin rastreadores de terceros con acceso a datos de salud y sin venta de datos. No hacemos rastreo entre apps/sitios para fines de publicidad.
- Etiquetas de privacidad de la App Store: nuestras declaraciones en la App Store reflejan lo que está descrito aquí.
Hoy no usamos ninguna herramienta de analytics o rastreo de terceros; si eso cambia, actualizaremos esta Política y la página de subencargados antes de la activación, con nuevo aviso — revisando también las etiquetas de privacidad de la App Store y la necesidad (o no) de App Tracking Transparency (ATT).
14. Incidentes de seguridad y notificación
Mantenemos planes de respuesta a incidentes. En caso de un incidente de seguridad que pueda generar riesgo relevante para usted:
- LGPD (Art. 48): comunicaremos a la Autoridad Nacional de Protección de Datos (ANPD) y a usted, en plazo razonable, indicando la naturaleza del incidente, los datos afectados, las medidas adoptadas y las recomendaciones para que usted se proteja.
- GDPR (Art. 33–34): notificaremos a la autoridad de control competente, por regla en hasta 72 horas, y lo comunicaremos a usted cuando haya alto riesgo para sus derechos y libertades.
15. Sus derechos
Usted es el titular de sus datos y tiene derechos garantizados por la LGPD (Art. 18) y por el GDPR (Capítulo III):
| Derecho | Qué significa | Cómo ejercerlo en MyHealth |
|---|---|---|
| Acceso / confirmación | Saber qué datos tenemos y obtener una copia (LGPD Art. 18, I–II; GDPR Art. 15) | Ver el historial completo en la app; exportar |
| Corrección | Corregir datos incompletos o erróneos (LGPD Art. 18, III; GDPR Art. 16) | Usted revisa y edita los datos directamente |
| Eliminación / olvido | Eliminar sus datos y la cuenta (LGPD Art. 18, VI; GDPR Art. 17) | Eliminar cuenta / datos en la app (ver Sección 12) |
| Portabilidad | Llevarse sus datos en formato estructurado e interoperable (LGPD Art. 18, V; GDPR Art. 20) | Exportación en FHIR R4 y en PDF |
| Revocación del consentimiento | Retirar una autorización (LGPD Art. 8, §5; GDPR Art. 7(3)) | Desactivar una finalidad (ej.: "Procesamiento por IA") en los ajustes (ver Sección 5) |
| Información sobre compartir | Saber con quién compartimos (LGPD Art. 18, VII) | Esta Política (Sección 9) y la página de subencargados |
| Oposición / limitación | Oponerse a un tratamiento o pedir su limitación (LGPD Art. 18, §2; GDPR Art. 18 y 21) | Contacte al DPO |
| No sometimiento a decisión automatizada / revisión | La IA no decide nada sola (LGPD Art. 20; GDPR Art. 22) | Usted siempre revisa y confirma (ver Sección 6.3) |
| Ver el historial de accesos | Transparencia sobre quién accedió a qué | Su log de accesos queda disponible |
| Petición a la autoridad (ANPD) | Peticionar contra el responsable ante la autoridad nacional (LGPD Art. 18, §1) | Contáctenos (Sección 1) y/o a la ANPD — ver "Reclamaciones" abajo |
Cómo ejercerlos: muchos derechos se ejercen directamente en la app (revisar, exportar, eliminar, revocar consentimiento). Para los demás, o si algo no funciona, escriba a nuestro DPO (Sección 1). Respondemos en el plazo legal (por regla, hasta 15 días para confirmación de existencia o acceso, conforme la LGPD; hasta 30 días bajo el GDPR, prorrogables cuando la ley lo permita).
Reclamaciones: si usted entiende que tratamos sus datos de forma inadecuada, puede reclamar a la autoridad competente — en Brasil, la ANPD (https://www.gov.br/anpd); en Europa, la autoridad de protección de datos de su país. Le pedimos, sin embargo, que hable antes con nuestro DPO — queremos resolverlo directamente con usted.
16. MyHealth NO es un servicio médico
- MyHealth es una herramienta de organización y educación sobre su propia salud, que lo prepara para la consulta con profesionales de salud y ofrece una lectura educativa de apoyo por IA.
- NO realiza diagnósticos, NO prescribe tratamiento y NO sustituye la evaluación de un médico o profesional de salud habilitado.
- Las lecturas y las respuestas del asistente de IA sirven para llevar preguntas e informaciones a su médico — usted debe siempre confirmar con su médico antes de cualquier decisión.
- MyHealth no es un dispositivo médico (no es "SaMD") y no debe usarse como tal.
- En emergencia, busque atención médica inmediatamente — no use la app para eso.
17. Cambios en esta Política y versionado
Podemos actualizar esta Política para reflejar cambios en la app, en proveedores o en la ley. La Política tiene versión (policy_version):
- La app recoge su aceptación en el registro, vinculada a la versión vigente;
- Actualizamos la versión y la fecha en la parte superior cuando hay un cambio;
- Le avisamos en la app y/o por correo electrónico; y, cuando el cambio lo exija, pediremos una NUEVA aceptación — la app exige nueva aceptación cuando la versión cambia — registrándola de forma inmutable en nuestro registro de consentimiento.
El historial de versiones queda publicado en https://www.bas-ai.com/myhealth/legal/versoes; cada versión aceptada permanece archivada.
18. Contáctenos
Dudas, pedidos o reclamaciones sobre sus datos:
- Encargado/DPO: privacy@bas-ai.com
- Responsable: BAS ARTIFICIAL INTELLIGENCE LTDA — CNPJ 64.106.409/0001-70 — www.bas-ai.com — Rua Gomes de Carvalho, 911, Vila Olímpia, São Paulo/SP, CEP 04547-003, Brasil
- Página de subencargados: https://www.bas-ai.com/myhealth/legal/subprocessadores
MyHealth — su historial, soberano y privado. Esta Política fue redactada en portugués como base para la traducción a los demás idiomas de la app (como mínimo PT/EN/ES). En caso de divergencia entre versiones, prevalece el portugués.