Saltar al contenido

Política de Privacidad — MyHealth

Versión (policy_version): 1.7 Última actualización: 17 de junio de 2026 Vigencia: a partir de la fecha de publicación en la App Store.


En resumen (léalo primero)

MyHealth es una aplicación para iPhone que le ayuda a organizar su propio historial de salud, con el apoyo de un asistente de inteligencia artificial (IA) que lee los documentos y fotos que usted envíe para extraer y completar registros (que usted confirma antes de guardar) y ofrece una lectura educativa de apoyo. Usted reúne sus análisis, condiciones, medicaciones, vacunas, consultas, mediciones y documentos en un único lugar, y la app arma una línea de tiempo de su salud para prepararlo para la conversación con su médico.

Los puntos más importantes:

El texto completo a continuación detalla todo esto y describe sus derechos legales.


1. Quiénes somos (el Responsable) y el Encargado/DPO

El responsable del tratamiento de sus datos personales ("Responsable" en la LGPD; "Controller" en el GDPR) es:

BAS AI — BAS ARTIFICIAL INTELLIGENCE LTDA
CNPJ: 64.106.409/0001-70
Sitio web: www.bas-ai.com
Dirección: Rua Gomes de Carvalho, 911, Vila Olímpia, São Paulo/SP, CEP 04547-003, Brasil

En este documento, "MyHealth", "nosotros" o "la aplicación" se refieren a ese Responsable.

Encargado del Tratamiento de Datos Personales (DPO)

Para cualquier asunto de privacidad y protección de datos, comuníquese con nuestro Encargado (LGPD Art. 41 / Data Protection Officer, GDPR Art. 37):

Correo electrónico: privacy@bas-ai.com
Nombre del Encargado: Guilherme Kaschny Bastian
Dirección para correspondencia: Rua Gomes de Carvalho, 911, Vila Olímpia, São Paulo/SP, CEP 04547-003, Brasil

Hoy MyHealth no cuenta con representante en la Unión Europea; si el servicio pasa a ofrecerse de forma significativa a titulares en el EEE/Reino Unido, nombraremos un representante (GDPR Art. 27) y lo indicaremos aquí.


2. A quién se aplica esta Política

Esta Política se aplica a todas las personas que usan la aplicación MyHealth, en cualquier país. La app es global y multiidioma (portugués, inglés y español).

El lanzamiento inicial tiene foco en Brasil, pero, donde la ley de su país sea más protectora, ella prevalece. Tratamos la LGPD (Ley n.º 13.709/2018, Brasil) y el GDPR (Reglamento (UE) 2016/679) como nuestro estándar mínimo en cualquier lugar.

Niños y adolescentes: el registro propio está destinado a mayores de 18 años. Los datos de menores solo pueden ser incluidos por un responsable legal, que gestiona el perfil del dependiente (ver Sección 11).


3. Qué datos recopilamos

Recopilamos solo lo necesario para que la app funcione (principio de minimización). A continuación, lo que recopilamos y dónde queda.

3.1 Datos de identidad (PII) — cifrados en bóveda

Los siguientes datos lo identifican a usted directamente y quedan guardados en una bóveda de identidad (identity_vault), cifrados campo a campo (XChaCha20-Poly1305), físicamente separados de las tablas clínicas. Solo se descifran mediante una función segura, bajo su propia identidad:

Las tablas clínicas no contienen esos datos — se refieren a usted solo por un código de perfil (seudónimo). En el perfil seudonimizado guardamos solo el mínimo clínico-demográfico necesario para interpretar correctamente los datos (por ejemplo, sexo biológico y fecha de nacimiento/edad, importantes para los rangos de referencia de los análisis).

3.2 Datos de salud / sensibles (PHI)

Son datos personales sensibles (salud) y reciben la protección máxima. Recopilamos, conforme usted los registra o importa:

Cuando esos datos se refieren a un menor bajo su guarda, se aplican las mismas protecciones (ver Sección 11).

3.3 Localidad e idioma (opcionales, en claro)

De forma opcional, para adaptar la experiencia y preparar funcionalidades futuras (como la recomendación de profesionales por ciudad), podemos guardar país, estado/provincia, ciudad y el idioma preferido. No recopilamos dirección completa, latitud/longitud ni ubicación precisa. Esos campos de localidad quedan en claro porque la granularidad "ciudad" no es, por sí sola, un dato sensible, y están protegidos por las mismas reglas de acceso de su cuenta. Cuando usted autoriza el Procesamiento por IA (Sección 6), el país de su perfil integra el contexto enviado a la IA, únicamente para regionalizar, de forma educativa, orientaciones de emergencia y de calendario de vacunación (el estado/provincia y la ciudad no se envían a la IA).

3.4 Datos de cuenta, sesión y seguridad

3.5 Datos de uso desidentificados

Recopilamos datos mínimos de estabilidad y diagnóstico (telemetría) — fallos, errores, rendimiento — de forma desidentificada y sin ningún contenido de salud, para mantener la app segura y en funcionamiento (ver Sección 13). Se trata de un tratamiento interno: no usamos SDK de analytics ni rastreo de terceros. Por autolimitación de minimización, retenemos esa telemetría por hasta cerca de 12 meses (ver Secciones 12 y 13).

3.6 Lo que NO recopilamos / NO hacemos


4. Finalidades y bases legales

Toda actividad de tratamiento tiene una base legal. Como tratamos datos sensibles de salud, somos especialmente rigurosos: cada finalidad sensible se registra en nuestro registro de consentimiento con la base legal y la versión de la Política correspondientes.

FinalidadQué esBase legal — LGPDBase legal — GDPR
Procesamiento clínico (clinical_processing)Organizar sus documentos, estructurar valores, armar la línea de tiempo y las tendencias del historialBase primaria: Art. 7, II y Art. 11, II, "a" (consentimiento específico y destacado para dato sensible). Base subsidiaria (solo para seguridad, integridad, cumplimiento de obligación legal y operación de la eliminación): Art. 7, II y Art. 10. No invocamos la tutela de la salud (Art. 11, II, "f")Base primaria: Art. 6(1)(a) + Art. 9(2)(a) (consentimiento explícito para dato de salud). Base subsidiaria (seguridad, integridad, obligación legal y eliminación): Art. 6(1)(c) y (f). No invocamos el Art. 9(2)(h): el Art. 9(3) exigiría un profesional de salud sujeto a secreto en el flujo, y no hay médico en el circuito
Procesamiento por IA (ai_processing)Enviar el contenido clínico seudonimizado (sin identificadores directos) a la IA (Anthropic) para leer los documentos y fotos que usted envíe y de ellos extraer y completar registros (análisis, medicaciones, vacunas, mediciones, profesionales — que usted confirma antes de guardar), estructurar el historial y generar una lectura educativa de apoyo (asistente, nunca diagnóstica — ver Sección 6)Art. 7, I y Art. 11, I (consentimiento específico)Art. 6(1)(a) + Art. 9(2)(a)
Transferencia internacional (intl_transfer)Cuando, y solo cuando, sea necesario, procesar datos sin identificación fuera de Brasil (ver Sección 9)Art. 7, I; Art. 11, I; Art. 33 (transferencia internacional)Art. 6(1)(a) + Art. 9(2)(a); Art. 44–49
Compartir en familia (family_sharing)Usted autoriza a un familiar a leer su historial, de forma revocable (ver Sección 7)Art. 7, I y Art. 11, I (consentimiento)Art. 6(1)(a) + Art. 9(2)(a)
Datos de menores bajo guardaOrganizar el historial de un dependienteArt. 14 (mejor interés del niño/adolescente; consentimiento de al menos uno de los padres o del responsable legal)Art. 8 + Art. 9(2)(a), ejercido por el responsable legal
Atestación de edad (age_attestation)Usted declara tener 18+; el registro de menor de 18 está bloqueado y la atestación se registra de forma inmutable, con fecha/hora del servidorArt. 14 + Ley 15.211/2025 (ECA Digital)Art. 8
Seguridad, prevención de fraude y auditoríaLogs de acceso, defensa contra ataques, cumplimiento de obligaciones legales de registroArt. 7, II (cumplimiento de obligación legal) y Art. 10 (interés legítimo, limitado)Art. 6(1)(c) (obligación legal) y Art. 6(1)(f) (interés legítimo)
Telemetría técnica / estabilidadDiagnóstico de fallos, sin dato de salud, en tratamiento interno (sin SDK de analytics ni rastreo de terceros)Art. 7, IX (interés legítimo), con minimización autolimitada (Art. 6, III)Art. 6(1)(f) (interés legítimo)
Cuenta, suscripción y créditosMantener la cuenta y procesar suscripciones y créditos de IA (por regla, 1 crédito = 1 página). El consumo de IA de un menor se cobra al responsableArt. 7, VArt. 6(1)(b)
Investigación seudonimizada (opt-in en la eliminación)Cohorte de investigación seudonimizada (solo sexo, franja etaria y año, en cohortes aleatorias, sin profile_id, sin texto libre y sin fecha exacta) que usted puede autorizar al momento de eliminar la cuenta (ver Sección 12)Art. 7, II y Art. 11, II, "a" (consentimiento específico); dato seudonimizado, no dato anónimo irreversibleArt. 6(1)(a) + Art. 9(2)(a) (consentimiento explícito); cf. Art. 9(2)(j) (fines de investigación)

Base legal del núcleo clínico — aclaración. La base primaria del tratamiento de su historial es su consentimiento específico y destacado (LGPD Art. 11, II, "a" / GDPR Art. 9(2)(a)), coherente con el posicionamiento de "historial soberano": usted autoriza, y puede revocar. Reservamos una base subsidiaria solo para lo que el consentimiento no cubre — seguridad de la información, integridad de los datos, cumplimiento de obligación legal y la propia operación de eliminación de la cuenta —, apoyada en la LGPD Art. 7, II y Art. 10 y en el GDPR Art. 6(1)(c) y (f). No adoptamos la hipótesis de tutela de la salud (LGPD Art. 11, II, "f" / GDPR Art. 9(2)(h)): en el GDPR, el Art. 9(3) condiciona esa hipótesis a la presencia, en el flujo, de un profesional de salud sujeto a deber de secreto, y no hay médico en el circuito de MyHealth.


5. Consentimiento y cómo revocarlo

Cuando usted autoriza una finalidad sensible, ese consentimiento es:

Nuestro sistema solo ejecuta una operación si el consentimiento correspondiente está activo. Por ejemplo: si usted no autoriza el "Procesamiento por IA", la app no envía nada a la IA — esa verificación ocurre automáticamente, en el servidor (función has_active_consent), en cada operación.

Cómo funciona el registro: cada autorización o revocación se graba como un evento inmutable en nuestro registro de consentimiento (consent_events), con la finalidad, la base legal, el idioma y la versión de la Política vigente. Revocar no borra el historial del consentimiento — registra un nuevo evento que interrumpe el tratamiento futuro de esa finalidad.

La revocación no torna ilícito el tratamiento ya realizado lícitamente, pero interrumpe el uso futuro de esa finalidad. Usted no pierde el acceso al historial que ya había organizado.


6. Cómo la Inteligencia Artificial (IA) trata sus datos

La IA es pieza central de MyHealth (asistente y extracción de datos de documentos), por lo que lo explicamos con total transparencia. Nuestro proveedor de IA es Anthropic (modelo Claude), que actúa como subencargado.

6.1 La IA recibe el contenido clínico de su historial, sin sus identificadores directos

6.2 NO usamos sus datos para entrenar IA

6.3 Salvaguardas técnicas

6.5 Organización de medicamentos y suplementos (dato derivado, asistido por IA)

Para organizar su historial, la IA puede producir, a partir de los medicamentos y suplementos que usted registra, un dato derivado de organización: los principios activos descompuestos (una fórmula magistral se separa en los ingredientes de su etiqueta) y una categoría general; la vacuna canónica, la enfermedad prevista y la dosis en la serie (consolidando la misma vacuna bajo nombres distintos); y el alérgeno normalizado y su clase. Ese dato se genera a partir de lo que usted ya proporcionó (no recopilamos nada nuevo) y sirve para relacionar, por ejemplo, un principio activo con el marcador correspondiente de su análisis. Es educativo y asistido por IA — usted puede revisarlo y corregirlo, y no es una clasificación clínica, una prescripción ni una verificación de interacciones (vea el Aviso Médico, ítem 5.2). Los detalles del tratamiento por IA siguen las Secciones 6.1–6.3.

6.4 Estándares y vocabularios abiertos (LOINC® / UCUM)

Para que el mismo examen proveniente de laboratorios distintos (con nombres, siglas e idiomas diferentes) se reconozca como un único parámetro y genere una línea de tiempo coherente, MyHealth normaliza los marcadores usando el vocabulario abierto LOINC® (Logical Observation Identifiers Names and Codes) y estandariza las unidades de medida con base en UCUM. Estos estándares son contenido de referencia licenciado, incorporado en la aplicación — funcionan como un diccionario y no reciben ningún dato personal suyo (Regenstrief Institute no es subprocesador y nada de su historial se le envía).

This product includes content from LOINC® (loinc.org). LOINC is copyright © 1995–2024, Regenstrief Institute, Inc. and the LOINC Committee, and is available at no cost under the LOINC license (loinc.org/license). LOINC® is a registered trademark of Regenstrief Institute, Inc.

7. Compartir en familia (opt-in, solo lectura, revocable)

MyHealth permite que usted comparta su historial con un familiar, de forma controlada:

El familiar también necesita ser usuario de la app. Ese acceso compartido es entre usted y la persona que usted elija — no es un compartir con terceros ni con fines comerciales.


8. Apple Salud (HealthKit)

MyHealth permite importar mediciones de Apple Salud (HealthKit) — peso, altura, composición corporal, glucemia, presión, frecuencia cardíaca, saturación y temperatura — a su historial.

Conexión con pulseras y anillos inteligentes (Oura y WHOOP)

Además de Apple Salud, usted puede, de forma opcional y revocable, conectar dispositivos vestibles de terceros, con consentimiento específico por proveedor (wearable_sync_oura, wearable_sync_whoop):

La autorización usa OAuth: los tokens de acceso quedan cifrados (AES-256-GCM) en nuestro servidor y no son accesibles por la aplicación. Oura opera en Finlandia (Espacio Económico Europeo) y WHOOP en los Estados Unidos; conectar esos servicios implica transferencia internacional de entrada, bajo las salvaguardas de la Sección 9.1. Oura y WHOOP actúan como fuentes de datos (controladoras independientes de las propias plataformas), no como nuestros subencargados, y no reciben datos de su historial.

Al desconectar un dispositivo vestible:

Los datos importados de dispositivos vestibles y de Apple Salud siempre se graban en su propio historial (titular de la cuenta) y nunca en el perfil de un dependiente, aunque usted esté visualizando el perfil de un menor.


9. Subencargados y transferencias internacionales

Nosotros no vendemos sus datos. Para operar el servicio, usamos un conjunto mínimo de proveedores ("subencargados"/"encargados"), cada uno bajo contrato de tratamiento de datos (DPA), confidencialidad y seguridad, tratando datos solo bajo nuestras instrucciones. La relación con Anthropic y Resend ya se rige por un DPA/SCC en vigor; el DPA de Supabase está en vigor (firmado el 2026-06-18) (vea el estado de cada uno en la columna "Salvaguardas").

SubencargadoQué haceQué dato trataDóndeSalvaguardas
SupabaseBase de datos (PostgreSQL), autenticación, almacenamiento de documentos y funciones de bordeDatos clínicos seudonimizados; PII cifrada en la bóveda; documentos cifrados; metadatos de cuentaSão Paulo, Brasil (sa-east-1)DPA en vigor (firmado el 2026-06-18; Supabase Pte. Ltd) — incluye SCC de la UE + salvaguardas de transferencia (UK/Suiza); infraestructura certificada SOC 2 Type 2 e ISO 27001 (certificaciones del proveedor Supabase); copias de seguridad diarias (14 días); retención de log 28 días; alojamiento regional; cifrado en tránsito (TLS) y en reposo; cifrado adicional de campo bajo nuestra gestión de claves; aislamiento por RLS; SCC para eventuales transferencias fuera del EEE
Anthropic, PBCModelo de IA (Claude) para análisis del historial, extracción de documentos y chatContenido clínico seudonimizado (valores, fechas, anotaciones, hábitos de vida, ciclo, agregados de dispositivo vestible) y, en el análisis de documento, la propia imagen/PDF (con redacción on-device best-effort de los identificadores impresos, cuando se localizan) — de forma transitoriaEstados UnidosDPA en vigor (Términos Comerciales Anthropic); SCC UE (Módulos 2/3) + UK IDTA + adendo suizo; no-entrenamiento contractual; retención limitada (~30 días); TLS
ResendEnvío de correos transaccionales (código de acceso/OTP y avisos de la cuenta)Solo su correo electrónico y el contenido del correo; sin contenido de saludEE. UU. / globalDPA en vigor (aceptación de los términos); certificación EU-US DPF + UK extension; SCC; TLS
Apple (App Store / In-App Purchase / HealthKit / push)Distribución, HealthKit, notificaciones y procesamiento de pagos de suscripciones y créditos como merchant of recordDatos de compra/recibo; no recibimos datos de su tarjeta; sin contenido de salud en el flujo de pagoEE. UU. / globalTérminos de la App Store; Directriz 5.1.3

Oura y WHOOP no figuran en esta tabla: son fuentes de datos que usted conecta (Sección 8), actuando como controladoras independientes de las propias plataformas, y no como nuestros subencargados. La relación con Anthropic y Resend ya se rige por un DPA/SCC en vigor; el DPA de Supabase está en vigor (firmado el 2026-06-18; Supabase Pte. Ltd). Mantenemos una página pública de subencargados actualizada en https://www.bas-ai.com/myhealth/legal/subprocessadores. Avisaremos antes de agregar un nuevo subencargado relevante.

9.1 Transferencias internacionales

Su historial queda almacenado en Brasil (São Paulo) — esa es la regla. Las transferencias hacia fuera de Brasil ocurren de forma limitada y con su autorización (intl_transfer): en el procesamiento por IA (Anthropic, Estados Unidos — Sección 6), en el cual enviamos el contenido clínico sin sus identificadores directos (en la extracción de documento, el propio archivo — tras una redacción automática on-device best-effort que intenta cubrir nombre, CPF, correo y teléfono; los identificadores no localizados pueden permanecer en el archivo); en la conexión de dispositivos vestibles (Oura, en Finlandia/EEE; WHOOP, en los Estados Unidos — Sección 8); y en la distribución por Apple (Estados Unidos). Cuando haya transferencia internacional, adoptamos las salvaguardas exigidas:

También podemos divulgar datos cuando sea exigido por ley (orden judicial o autoridad competente), siempre limitado a lo estrictamente necesario y, cuando esté legalmente permitido, notificándolo a usted.


10. Seguridad de la información

La confidencialidad de sus datos de salud es nuestro control número uno. Las principales medidas:

Buscamos alineación a las mejores prácticas internacionales de seguridad de la información en salud. Ningún sistema es 100% inmune; por eso mantenemos planes de respuesta a incidentes (ver Sección 14).


11. Datos de niños y adolescentes (menores)

La protección de niños y adolescentes observa el Estatuto del Niño y del Adolescente (Ley 8.069/1990), la Ley 15.211/2025 (ECA Digital), el Art. 14 de la LGPD y el Art. 8 del GDPR (EEE).

Adoptamos, en cualquier país, el límite único de 18 años para cuenta propia. Ese requisito se refiere a la titularidad de la cuenta y no se confunde con la edad de consentimiento digital autónomo del GDPR (Art. 8, entre 13 y 16 años según el país). Por debajo de 18, el tratamiento de datos solo ocurre mediante un perfil gestionado por un responsable adulto.

Usuarios en los Estados Unidos (COPPA): MyHealth no ofrece cuentas a menores ni recopila datos directamente de niños. Cualquier dato de menor es insertado y controlado por un adulto responsable, que ejerce el consentimiento parental verificable.


12. Retención y descarte

Adoptamos el principio de minimización: guardamos cada categoría de dato solo por el tiempo necesario a su finalidad o exigido por ley.

12.1 Plazos de retención

CategoríaPlazoPor qué
Historial y bóveda de identidad (datos clínicos + PII)Mientras su cuenta exista; eliminados en la eliminación de la cuenta (ver 12.2)Usted mantiene el historial organizado mientras quiera
Registros de acceso / auditoría (access_log — fecha/hora, IP, acción; nunca contenido clínico)Mínimo de 6 mesesGuarda mínima de registros de acceso (Marco Civil de Internet, Ley 12.965/2014, Art. 15). Es un piso de guarda; el log de acceso (fecha/hora + IP) no es dato de salud y no justifica retener el historial
Datos de facturación y fiscales (recibos, movimiento de créditos/suscripción)5 añosPlazos tributarios (CTN, Arts. 173 y 174)
Telemetría técnica desidentificadaHasta cerca de 12 mesesPolítica interna de minimización (LGPD Art. 6, III) — no es plazo legal
Registros de consentimiento (consent_events)Mantenidos como historial inmutableComprobar la licitud y las autorizaciones concedidas/revocadas (accountability)

Brecha que asumimos con transparencia: todavía no hay purga automática por inactividad (una cuenta sin uso por un largo período no se elimina sola). Eso es una brecha a definir — cuando vayamos a adoptar una política de inactividad, actualizaremos esta Sección y la versión de la Política. No describimos aquí, como rutina vigente, algo que la app todavía no hace.

12.2 Eliminación definitiva de la cuenta (derecho al borrado — LGPD Art. 18, VI / GDPR Art. 17)

La eliminación está disponible directamente en la app, en Perfil › Privacidad › Eliminar mi cuenta (exigencia de Apple). Al confirmar, ejecutamos la eliminación permanente en cascada — una operación inmediata — de su bóveda de identidad (identity_vault) y de todos los datos clínicos (análisis, condiciones, medicaciones, vacunas, documentos, mediciones, historial, consultas, conversaciones con la IA, datos de dispositivos vestibles), revocamos las conexiones de dispositivos vestibles y cerramos su cuenta de acceso.

Las copias de seguridad (backups) pueden, por un período, todavía contener datos ya eliminados: ellas son sobrescritas en el ciclo normal de retención de nuestro encargado, tras lo cual dejan de existir. (No alegamos "destrucción de claves" ni purga instantánea del backup.)

Recibo de eliminación (accountability — LGPD Art. 6º, X): podemos confirmar la conclusión de la eliminación mediante solicitud al DPO. No hay emisión de recibo automático, y la eliminación no es total — permanecen los registros mínimos descritos a continuación, por imposición legal.

Lo que permanece después de la eliminación, y por qué:

12.3 Fallecimiento del titular

La LGPD y el GDPR protegen a personas vivas y, por regla, no alcanzan al fallecido (ANPD, Nota Técnica n.º 3/2023; GDPR, Considerando 27). Aun así, el historial de una persona fallecida involucra derechos de la personalidad que sobreviven a la muerte (Código Civil, Art. 12, párrafo único) y cuestiones de sucesión.


12-A. Notificaciones y recordatorios (opt-in, locales)

MyHealth puede enviar recordatorios en su iPhone — sobre medicación, un check-in de bienestar, su agenda (consultas/exámenes/seguimientos/vacunas) y el aviso de que un análisis está listo. Puntos importantes:

13. Cookies, telemetría y rastreo

MyHealth es una aplicación nativa de iPhone (no un sitio web), por lo que no usa cookies de navegación en el sentido tradicional.

Hoy no usamos ninguna herramienta de analytics o rastreo de terceros; si eso cambia, actualizaremos esta Política y la página de subencargados antes de la activación, con nuevo aviso — revisando también las etiquetas de privacidad de la App Store y la necesidad (o no) de App Tracking Transparency (ATT).


14. Incidentes de seguridad y notificación

Mantenemos planes de respuesta a incidentes. En caso de un incidente de seguridad que pueda generar riesgo relevante para usted:


15. Sus derechos

Usted es el titular de sus datos y tiene derechos garantizados por la LGPD (Art. 18) y por el GDPR (Capítulo III):

DerechoQué significaCómo ejercerlo en MyHealth
Acceso / confirmaciónSaber qué datos tenemos y obtener una copia (LGPD Art. 18, I–II; GDPR Art. 15)Ver el historial completo en la app; exportar
CorrecciónCorregir datos incompletos o erróneos (LGPD Art. 18, III; GDPR Art. 16)Usted revisa y edita los datos directamente
Eliminación / olvidoEliminar sus datos y la cuenta (LGPD Art. 18, VI; GDPR Art. 17)Eliminar cuenta / datos en la app (ver Sección 12)
PortabilidadLlevarse sus datos en formato estructurado e interoperable (LGPD Art. 18, V; GDPR Art. 20)Exportación en FHIR R4 y en PDF
Revocación del consentimientoRetirar una autorización (LGPD Art. 8, §5; GDPR Art. 7(3))Desactivar una finalidad (ej.: "Procesamiento por IA") en los ajustes (ver Sección 5)
Información sobre compartirSaber con quién compartimos (LGPD Art. 18, VII)Esta Política (Sección 9) y la página de subencargados
Oposición / limitaciónOponerse a un tratamiento o pedir su limitación (LGPD Art. 18, §2; GDPR Art. 18 y 21)Contacte al DPO
No sometimiento a decisión automatizada / revisiónLa IA no decide nada sola (LGPD Art. 20; GDPR Art. 22)Usted siempre revisa y confirma (ver Sección 6.3)
Ver el historial de accesosTransparencia sobre quién accedió a quéSu log de accesos queda disponible
Petición a la autoridad (ANPD)Peticionar contra el responsable ante la autoridad nacional (LGPD Art. 18, §1)Contáctenos (Sección 1) y/o a la ANPD — ver "Reclamaciones" abajo

Cómo ejercerlos: muchos derechos se ejercen directamente en la app (revisar, exportar, eliminar, revocar consentimiento). Para los demás, o si algo no funciona, escriba a nuestro DPO (Sección 1). Respondemos en el plazo legal (por regla, hasta 15 días para confirmación de existencia o acceso, conforme la LGPD; hasta 30 días bajo el GDPR, prorrogables cuando la ley lo permita).

Reclamaciones: si usted entiende que tratamos sus datos de forma inadecuada, puede reclamar a la autoridad competente — en Brasil, la ANPD (https://www.gov.br/anpd); en Europa, la autoridad de protección de datos de su país. Le pedimos, sin embargo, que hable antes con nuestro DPO — queremos resolverlo directamente con usted.


16. MyHealth NO es un servicio médico


17. Cambios en esta Política y versionado

Podemos actualizar esta Política para reflejar cambios en la app, en proveedores o en la ley. La Política tiene versión (policy_version):

El historial de versiones queda publicado en https://www.bas-ai.com/myhealth/legal/versoes; cada versión aceptada permanece archivada.


18. Contáctenos

Dudas, pedidos o reclamaciones sobre sus datos:


MyHealth — su historial, soberano y privado. Esta Política fue redactada en portugués como base para la traducción a los demás idiomas de la app (como mínimo PT/EN/ES). En caso de divergencia entre versiones, prevalece el portugués.