Saltar al contenido

Política de Privacidad — MyHealth

Versión (policy_version): 2.1 Última actualización: 23 de junio de 2026 Vigencia: a partir del 23 de junio de 2026.


En resumen (léalo primero)

MyHealth es una aplicación para iPhone que le ayuda a organizar su propio historial de salud, con el apoyo de un asistente de inteligencia artificial (IA) que lee los documentos y fotos que usted envíe para extraer y completar registros (que usted confirma antes de guardar) y ofrece una lectura educativa de apoyo. Usted reúne sus análisis, condiciones, medicaciones, vacunas, consultas, mediciones y documentos en un único lugar, y la app arma una línea de tiempo de su salud para prepararlo para la conversación con su médico.

Los puntos más importantes:

El texto completo a continuación detalla todo esto y describe sus derechos legales.


1. Quiénes somos (el Responsable) y el Encargado/DPO

El responsable del tratamiento de sus datos personales ("Responsable" en la LGPD; "Controller" en el GDPR) es:

BAS AI — BAS ARTIFICIAL INTELLIGENCE LTDA
CNPJ: 64.106.409/0001-70
Sitio web: www.bas-ai.com
Dirección: Rua Gomes de Carvalho, 911, Vila Olímpia, São Paulo/SP, CEP 04547-003, Brasil

En este documento, "MyHealth", "nosotros" o "la aplicación" se refieren a ese Responsable.

Encargado del Tratamiento de Datos Personales (DPO)

Para cualquier asunto de privacidad y protección de datos, comuníquese con nuestro Encargado (LGPD Art. 41 / Data Protection Officer, GDPR Art. 37):

Correo electrónico: dpo@bas-ai.com
Nombre del Encargado: Guilherme Kaschny Bastian
Dirección para correspondencia: Rua Gomes de Carvalho, 911, Vila Olímpia, São Paulo/SP, CEP 04547-003, Brasil

Adoptamos el estándar del GDPR como base global de protección (el criterio más protector, aplicado a todos los usuarios), aunque el lanzamiento no ofrezca el servicio en la Unión Europea/EEE ni en el Reino Unido.


2. A quién se aplica esta Política

Esta Política se aplica a todas las personas que usan la aplicación MyHealth, en cualquier país. La app es global y multiidioma (portugués, inglés y español).

El lanzamiento inicial tiene foco en Brasil, pero, donde la ley de su país sea más protectora, ella prevalece. Tratamos la LGPD (Ley n.º 13.709/2018, Brasil) y el GDPR (Reglamento (UE) 2016/679) como nuestro estándar mínimo de protección en cualquier lugar, aplicado a todos los usuarios. La app se distribuye mundialmente, excepto en la Unión Europea/EEE y el Reino Unido, que quedan fuera del lanzamiento.

Usuarios en los Estados Unidos: divulgaciones suplementarias específicas para los EE. UU. — el Aviso de Privacidad de California (CCPA/CPRA) y la Divulgación de Datos de Salud del Consumidor de Washington (My Health My Data Act) — integran esta Política como documentos complementarios, publicados en https://www.bas-ai.com/myhealth/legal y prevaleciendo, para los residentes de esas jurisdicciones, en lo que sean más específicos.

Niños y adolescentes: el registro propio está destinado a mayores de 18 años. Los datos de menores solo pueden ser incluidos por un responsable legal, que gestiona el perfil del dependiente (ver Sección 11).


3. Qué datos recopilamos

Recopilamos solo lo necesario para que la app funcione (principio de minimización). A continuación, lo que recopilamos y dónde queda.

3.1 Datos de identidad (PII) — cifrados en bóveda

Los siguientes datos lo identifican a usted directamente y quedan guardados en una bóveda de identidad (identity_vault), cifrados campo a campo con cifrado autenticado (AEAD) determinista (biblioteca pgsodium, AES-256), físicamente separados de las tablas clínicas. Solo se descifran mediante una función segura, bajo su propia identidad:

Las tablas clínicas no contienen esos datos — se refieren a usted solo por un código de perfil (seudónimo). En el perfil seudonimizado guardamos solo el mínimo clínico-demográfico necesario para interpretar correctamente los datos (por ejemplo, sexo biológico y fecha de nacimiento/edad, importantes para los rangos de referencia de los análisis).

3.2 Datos de salud / sensibles (PHI)

Son datos personales sensibles (salud) y reciben la protección máxima. Recopilamos, conforme usted los registra o importa:

Cuando esos datos se refieren a un menor bajo su guarda, se aplican las mismas protecciones (ver Sección 11).

3.3 Localidad e idioma (opcionales, en claro)

De forma opcional, para adaptar la experiencia y preparar funcionalidades futuras (como la recomendación de profesionales por ciudad), podemos guardar país, estado/provincia, ciudad y el idioma preferido. No recopilamos dirección completa, latitud/longitud ni ubicación precisa. Esos campos de localidad quedan en claro porque la granularidad "ciudad" no es, por sí sola, un dato sensible, y están protegidos por las mismas reglas de acceso de su cuenta. Cuando usted autoriza el Procesamiento por IA (Sección 6), el país de su perfil integra el contexto enviado a la IA, únicamente para regionalizar, de forma educativa, orientaciones de emergencia y de calendario de vacunación (el estado/provincia y la ciudad no se envían a la IA).

3.4 Datos de cuenta, sesión y seguridad

3.5 Datos de uso desidentificados

Recopilamos datos mínimos de estabilidad y diagnóstico (telemetría) — fallos, errores, rendimiento — de forma desidentificada y sin ningún contenido de salud, para mantener la app segura y en funcionamiento (ver Sección 13). Se trata de un tratamiento interno: no usamos SDK de analytics ni rastreo de terceros. Por autolimitación de minimización, retenemos esa telemetría por hasta cerca de 12 meses (ver Secciones 12 y 13).

3.6 Lo que NO recopilamos / NO hacemos


4. Finalidades y bases legales

Toda actividad de tratamiento tiene una base legal. Como tratamos datos sensibles de salud, somos especialmente rigurosos: cada finalidad sensible se registra en nuestro registro de consentimiento con la base legal y la versión de la Política correspondientes.

FinalidadQué esBase legal — LGPDBase legal — GDPR
Procesamiento clínico (clinical_processing)Organizar sus documentos, estructurar valores, armar la línea de tiempo y las tendencias del historialBase primaria: Art. 7, II y Art. 11, II, "a" (consentimiento específico y destacado para dato sensible). Base subsidiaria (solo para seguridad, integridad, cumplimiento de obligación legal y operación de la eliminación): Art. 7, II y Art. 10. No invocamos la tutela de la salud (Art. 11, II, "f")Base primaria: Art. 6(1)(a) + Art. 9(2)(a) (consentimiento explícito para dato de salud). Base subsidiaria (seguridad, integridad, obligación legal y eliminación): Art. 6(1)(c) y (f). No invocamos el Art. 9(2)(h): el Art. 9(3) exigiría un profesional de salud sujeto a secreto en el flujo, y no hay médico en el circuito
Procesamiento por IA (ai_processing)Enviar el contenido clínico seudonimizado (sin identificadores directos) a la IA (Anthropic) para leer los documentos y fotos que usted envíe y de ellos extraer y completar registros (análisis, medicaciones, vacunas, mediciones, profesionales — que usted confirma antes de guardar), estructurar el historial y generar una lectura educativa de apoyo (asistente, nunca diagnóstica — ver Sección 6)Art. 7, I y Art. 11, I (consentimiento específico)Art. 6(1)(a) + Art. 9(2)(a)
Transferencia internacional (intl_transfer)Cuando, y solo cuando, sea necesario, procesar datos sin identificación fuera de Brasil (ver Sección 9)Art. 7, I; Art. 11, I; Art. 33 (transferencia internacional)Art. 6(1)(a) + Art. 9(2)(a); Art. 44–49
Compartir en familia (family_sharing)Usted autoriza a un familiar a leer su historial, de forma revocable (ver Sección 7)Art. 7, I y Art. 11, I (consentimiento)Art. 6(1)(a) + Art. 9(2)(a)
Datos de menores bajo guardaOrganizar el historial de un dependienteArt. 14 (mejor interés del niño/adolescente; consentimiento de al menos uno de los padres o del responsable legal)Art. 8 + Art. 9(2)(a), ejercido por el responsable legal
Atestación de edad (age_attestation)Usted declara tener 18+; el registro de menor de 18 está bloqueado y la atestación se registra de forma inmutable, con fecha/hora del servidorArt. 14 + Ley 15.211/2025 (ECA Digital)Art. 8
Seguridad, prevención de fraude y auditoríaLogs de acceso, defensa contra ataques, cumplimiento de obligaciones legales de registroArt. 7, II (cumplimiento de obligación legal) y Art. 10 (interés legítimo, limitado)Art. 6(1)(c) (obligación legal) y Art. 6(1)(f) (interés legítimo)
Notificaciones de la appGuardar un token técnico de entrega (push/APNs) y enviar avisos genéricos de la app (p. ej., "su análisis está listo"), sin datos de salud en el contenido; consentimiento operativo vía el permiso de notificaciones de iOSArt. 7, IX (interés legítimo)Art. 6(1)(f) (interés legítimo)
Telemetría técnica / estabilidadDiagnóstico de fallos, sin dato de salud, en tratamiento interno (sin SDK de analytics ni rastreo de terceros)Art. 7, IX (interés legítimo), con minimización autolimitada (Art. 6, III)Art. 6(1)(f) (interés legítimo)
Cuenta, suscripción y paquetesMantener la cuenta y procesar suscripciones y paquetes de uso de IA (medidos en páginas y prompts). El consumo de IA de un menor se cobra al responsableArt. 7, VArt. 6(1)(b)
Investigación seudonimizada (opt-in en la eliminación)Cohorte de investigación seudonimizada (solo sexo, franja etaria y año, en cohortes aleatorias, sin profile_id, sin texto libre y sin fecha exacta) que usted puede autorizar al momento de eliminar la cuenta (ver Sección 12)Art. 7, II y Art. 11, II, "a" (consentimiento específico); dato seudonimizado, no dato anónimo irreversibleArt. 6(1)(a) + Art. 9(2)(a) (consentimiento explícito); cf. Art. 9(2)(j) (fines de investigación)

Base legal del núcleo clínico — aclaración. La base primaria del tratamiento de su historial es su consentimiento específico y destacado (LGPD Art. 11, II, "a" / GDPR Art. 9(2)(a)), coherente con el posicionamiento de "historial soberano": usted autoriza, y puede revocar. Reservamos una base subsidiaria solo para lo que el consentimiento no cubre — seguridad de la información, integridad de los datos, cumplimiento de obligación legal y la propia operación de eliminación de la cuenta —, apoyada en la LGPD Art. 7, II y Art. 10 y en el GDPR Art. 6(1)(c) y (f). No adoptamos la hipótesis de tutela de la salud (LGPD Art. 11, II, "f" / GDPR Art. 9(2)(h)): en el GDPR, el Art. 9(3) condiciona esa hipótesis a la presencia, en el flujo, de un profesional de salud sujeto a deber de secreto, y no hay médico en el circuito de MyHealth.


5. Consentimiento y cómo revocarlo

Cuando usted autoriza una finalidad sensible, ese consentimiento es:

Nuestro sistema solo ejecuta una operación si el consentimiento correspondiente está activo. Por ejemplo: si usted no autoriza el "Procesamiento por IA", la app no envía nada a la IA — esa verificación ocurre automáticamente, en el servidor (función has_active_consent), en cada operación.

Cómo funciona el registro: cada autorización o revocación se graba como un evento inmutable en nuestro registro de consentimiento (consent_events), con la finalidad, la base legal, el idioma y la versión de la Política vigente. Revocar no borra el historial del consentimiento — registra un nuevo evento que interrumpe el tratamiento futuro de esa finalidad.

La revocación no torna ilícito el tratamiento ya realizado lícitamente, pero interrumpe el uso futuro de esa finalidad. Usted no pierde el acceso al historial que ya había organizado.


6. Cómo la Inteligencia Artificial (IA) trata sus datos

La IA es pieza central de MyHealth (asistente y extracción de datos de documentos), por lo que lo explicamos con total transparencia. Nuestro proveedor de IA es Anthropic, que actúa como subencargado.

6.1 La IA recibe el contenido clínico de su historial, sin sus identificadores directos

6.2 NO usamos sus datos para entrenar IA

6.3 Salvaguardas técnicas

6.4 Estándares y vocabularios abiertos (LOINC® / UCUM)

Para que el mismo examen proveniente de laboratorios distintos (con nombres, siglas e idiomas diferentes) se reconozca como un único parámetro y genere una línea de tiempo coherente, MyHealth normaliza los marcadores usando el vocabulario abierto LOINC® (Logical Observation Identifiers Names and Codes) y estandariza las unidades de medida con base en UCUM. Estos estándares son contenido de referencia licenciado, incorporado en la aplicación — funcionan como un diccionario y no reciben ningún dato personal suyo (Regenstrief Institute no es subprocesador y nada de su historial se le envía).

This product includes content from LOINC® (loinc.org). LOINC is copyright © 1995–2024, Regenstrief Institute, Inc. and the LOINC Committee, and is available at no cost under the LOINC license (loinc.org/license). LOINC® is a registered trademark of Regenstrief Institute, Inc.

6.5 Organización de medicamentos y suplementos (dato derivado, asistido por IA)

Para organizar su historial, la IA puede producir, a partir de los medicamentos y suplementos que usted registra, un dato derivado de organización: los principios activos descompuestos (una fórmula magistral se separa en los ingredientes de su etiqueta) y una categoría general; la vacuna canónica, la enfermedad prevista y la dosis en la serie (consolidando la misma vacuna bajo nombres distintos); y el alérgeno normalizado y su clase. Ese dato se genera a partir de lo que usted ya proporcionó (no recopilamos nada nuevo) y sirve para relacionar, por ejemplo, un principio activo con el marcador correspondiente de su análisis. Es educativo y asistido por IA — usted puede revisarlo y corregirlo, y no es una clasificación clínica, una prescripción ni una verificación de interacciones (vea el Aviso Médico, ítem 5.2). Los detalles del tratamiento por IA siguen las Secciones 6.1–6.3.

6.6 Documento a la espera de cuota/uso disponible

Cuando el cobro esté activo y usted no tenga cuota o uso disponible suficiente al momento del envío, un documento ya tachado (tras la redacción on-device descrita en 6.1) puede quedar guardado, sin análisis, hasta que haya cuota de la suscripción o un paquete adicional disponible — y entonces se analiza automáticamente. El documento espera en su propio historial, bajo las mismas protecciones de seguridad y acceso de su cuenta; nada se envía a la IA mientras el consentimiento de Procesamiento por IA (ai_processing) no esté activo y no haya uso disponible.


7. Compartir en familia (opt-in, solo lectura, revocable)

MyHealth permite que usted comparta su historial con un familiar, de forma controlada:

El familiar también necesita ser usuario de la app. Ese acceso compartido es entre usted y la persona que usted elija — no es un compartir con terceros ni con fines comerciales.


8. Apple Health (HealthKit)

MyHealth permite importar mediciones de Apple Health (HealthKit) — peso, altura, composición corporal, glucemia, presión, frecuencia cardíaca, saturación y temperatura, además de métricas del día a día cuando su dispositivo las ofrece, como alteraciones respiratorias del sueño, tiempo a la luz del día y sesiones de atención plena (mindfulness) — y, cuando usted las autoriza en los permisos de iOS, también datos de ciclo menstrual y salud reproductiva (flujo menstrual, sangrado intermenstrual, pruebas de ovulación, calidad del moco cervical y pruebas de embarazo) a su historial. No importamos registros de actividad sexual.

Conexión con pulseras y anillos inteligentes (Oura y WHOOP)

Además de Apple Health, usted puede, de forma opcional y revocable, conectar dispositivos vestibles de terceros, con consentimiento específico por proveedor (wearable_sync_oura, wearable_sync_whoop):

La autorización usa OAuth: los tokens de acceso quedan cifrados (AES-256-GCM) en nuestro servidor y no son accesibles por la aplicación. Oura opera en Finlandia (Espacio Económico Europeo) y WHOOP en los Estados Unidos; conectar esos servicios implica transferencia internacional de entrada, bajo las salvaguardas de la Sección 9.1. Oura y WHOOP actúan como fuentes de datos (controladoras independientes de las propias plataformas), no como nuestros subencargados, y no reciben datos de su historial.

Al desconectar un dispositivo vestible:

Los datos importados de dispositivos vestibles y de Apple Health siempre se graban en su propio historial (titular de la cuenta) y nunca en el perfil de un dependiente, aunque usted esté visualizando el perfil de un menor.


9. Subencargados y transferencias internacionales

Nosotros no vendemos sus datos. Para operar el servicio, usamos un conjunto mínimo de proveedores ("subencargados"/"encargados"), cada uno bajo contrato de tratamiento de datos (DPA) en vigor, confidencialidad y seguridad, tratando datos solo bajo nuestras instrucciones. Los tres subencargados de abajo tienen DPA/SCC vigentes: Supabase (firmado el 2026-06-18), Anthropic (vía Términos Comerciales, 2026-06-17) y Resend (vía EU-US DPF + SCC, 2026-06-17).

SubencargadoQué haceQué dato trataDóndeSalvaguardas
SupabaseBase de datos (PostgreSQL), autenticación, almacenamiento de documentos y funciones de bordeDatos clínicos seudonimizados; PII cifrada en la bóveda; documentos cifrados; metadatos de cuentaSão Paulo, Brasil (sa-east-1)DPA en vigor (firmado el 2026-06-18; Supabase Pte. Ltd) — incluye SCC de la UE + salvaguardas de transferencia (UK/Suiza); infraestructura certificada SOC 2 Type 2 e ISO 27001 (certificaciones del proveedor Supabase); copias de seguridad diarias (14 días); retención de log 28 días; cifrado en tránsito (TLS) y en reposo; cifrado adicional de campo bajo nuestra gestión de claves; aislamiento por RLS; SCC para eventuales transferencias fuera del EEE
Anthropic, PBCModelos de IA de Anthropic para análisis del historial, extracción de documentos y chatContenido clínico seudonimizado (valores, fechas, anotaciones, hábitos de vida, ciclo, agregados de dispositivo vestible) más sexo, edad, país y el año de nacimiento (sin día/mes)sin identificadores directos y sin contactos de emergencia — y, en el análisis de documento, la copia tachada de la imagen/PDF (redacción on-device best-effort de los identificadores impresos, cuando se localizan) — de forma transitoriaEstados Unidos (transferencia internacional)DPA en vigor (vía Términos Comerciales de Anthropic, 2026-06-17) + SCC; no-entrenamiento contractual; retención limitada (~30 días); TLS
ResendEnvío de correos transaccionales (código de acceso/OTP y avisos de la cuenta)Solo su dirección de correo electrónico y el cuerpo del correo; sin PHI / sin contenido de saludEE. UU. / globalDPA en vigor (2026-06-17) vía EU-US DPF + SCC; TLS
Apple (App Store / In-App Purchase / HealthKit / push)Distribución, HealthKit, notificaciones y procesamiento de pagos de suscripciones y paquetes adicionales como merchant of recordDatos de compra/recibo; no recibimos datos de su tarjeta; sin contenido de salud en el flujo de pagoEE. UU. / globalTérminos de la App Store; Directriz 5.1.3

Oura y WHOOP no figuran en esta tabla: son fuentes de datos que usted conecta (Sección 8), actuando como controladoras independientes de las propias plataformas, y no como nuestros subencargados. Apple actúa como controladora independiente para distribución, HealthKit, push y pagos. Los DPA y las Cláusulas Contractuales Estándar (SCC) de nuestros tres subencargados (Supabase, Anthropic y Resend) están en vigor, conforme la columna "Salvaguardas". Mantenemos una página pública de subencargados actualizada en https://www.bas-ai.com/myhealth/legal/subprocessadores. Avisaremos antes de agregar un nuevo subencargado relevante.

9.1 Transferencias internacionales

Su historial queda almacenado en Brasil (São Paulo) — esa es la regla. Las transferencias hacia fuera de Brasil ocurren de forma limitada y con su autorización (intl_transfer): en el procesamiento por IA (Anthropic, Estados Unidos — Sección 6), en el cual enviamos el contenido clínico sin sus identificadores directos (en la extracción de documento, el propio archivo — tras una redacción automática on-device best-effort que intenta cubrir nombre, CPF, correo y teléfono; los identificadores no localizados pueden permanecer en el archivo); en la conexión de dispositivos vestibles (Oura, en Finlandia/EEE; WHOOP, en los Estados Unidos — Sección 8); y en la distribución por Apple (Estados Unidos). Cuando haya transferencia internacional, adoptamos las salvaguardas exigidas:

También podemos divulgar datos cuando sea exigido por ley (orden judicial o autoridad competente), siempre limitado a lo estrictamente necesario y, cuando esté legalmente permitido, notificándolo a usted.


10. Seguridad de la información

La confidencialidad de sus datos de salud es nuestro control número uno. Las principales medidas:

Buscamos alineación a las mejores prácticas internacionales de seguridad de la información en salud. Ningún sistema es 100% inmune; por eso mantenemos planes de respuesta a incidentes (ver Sección 14).


11. Datos de niños y adolescentes (menores)

La protección de niños y adolescentes observa el Estatuto del Niño y del Adolescente (Ley 8.069/1990), la Ley 15.211/2025 (ECA Digital), el Art. 14 de la LGPD y el Art. 8 del GDPR (EEE).

Adoptamos, en cualquier país, el límite único de 18 años para cuenta propia. Ese requisito se refiere a la titularidad de la cuenta y no se confunde con la edad de consentimiento digital autónomo del GDPR (Art. 8, entre 13 y 16 años según el país). Por debajo de 18, el tratamiento de datos solo ocurre mediante un perfil gestionado por un responsable adulto.

Usuarios en los Estados Unidos (COPPA): MyHealth no ofrece cuentas a menores ni recopila datos directamente de niños. Cualquier dato de menor es insertado y controlado por un adulto responsable, que ejerce el consentimiento parental verificable.


12. Retención y descarte

Adoptamos el principio de minimización: guardamos cada categoría de dato solo por el tiempo necesario a su finalidad o exigido por ley. Como MyHealth se distribuye mundialmente, aplicamos el criterio más protector entre las leyes aplicables: por defecto, la eliminación borra la identidad, y la retención es la excepción, accionada únicamente cuando una ley concreta la exige.

12.1 Plazos de retención

CategoríaPlazoPor qué
Historial y bóveda de identidad (datos clínicos + PII)Mientras su cuenta exista; eliminados en la eliminación de la cuenta (ver 12.2)Usted mantiene el historial organizado mientras quiera
Registros de acceso / auditoría (access_log — fecha/hora, IP de origen, acción; nunca contenido clínico)6 mesesSeguridad y detección de fraude/abuso (medida proporcional — interés legítimo, GDPR Art. 6(1)(f); LGPD Art. 7, IX). En Brasil, atiende también al piso del Marco Civil (Ley 12.965/2014, Art. 15) para proveedor de aplicación. El log (fecha/hora + IP) no es dato de salud y la IP nunca se usa para inferir condición de salud
Identidad mínima retenida en la eliminación (nombre cifrado + correo cifrado + fecha de creación + fecha del último acceso)Solo cuando hubo transacción (suscripción o paquetes comprados); por el plazo fiscal de su jurisdicción (Brasil, Estados Unidos y demás países: 5 años; Reino Unido y Canadá: 6 años; Unión Europea: 10 años), con purga automática al final. Quien nunca transaccionó: nada de esto se retiene — la identidad se borra en la eliminaciónCumplir obligación fiscal/contable que solo nace de una transacción real (Brasil: CTN, Arts. 173 y 174; Estados Unidos: reglas del IRS; Unión Europea: plazo del Estado miembro; Reino Unido: Limitation Act 1980 / HMRC; Canadá: Income Tax Act s. 230). Sin transacción, no hay obligación legal que justifique guardar la identidad
Datos de facturación y fiscales (recibos, movimiento de suscripción y paquetes)Plazo fiscal de la jurisdicción (Brasil: 5 años) — solo para quien transaccionóPlazos tributarios (Brasil: CTN, Arts. 173 y 174; o la ley fiscal local aplicable)
Telemetría técnica desidentificadaHasta cerca de 12 mesesPolítica interna de minimización (LGPD Art. 6, III) — no es plazo legal
Registros de consentimiento (consent_events, desvinculados / seudonimizados de su perfil en la eliminación — el identificador se sustituye por un código HMAC cuya clave queda fuera de la base de datos)Mantenidos como prueba de licitud por el plazo prescripcional aplicableComprobar la licitud y las autorizaciones concedidas/revocadas (accountability — GDPR Art. 5(2)/7(1); LGPD Art. 8/6, X)

Cómo se protege la identidad cuando se retiene: cuando hay transacción y la ley fiscal exige guarda, mantenemos el nombre y el correo cifrados (misma protección de la bóveda de identidad), en una tabla aislada, accesible únicamente por el servicio interno (RLS, sin acceso de usuario), y la borramos automáticamente al final del plazo. No guardamos su correo en texto legible.

12.2 Eliminación definitiva de la cuenta (derecho al borrado — LGPD Art. 18, VI / GDPR Art. 17 / equivalentes locales)

La eliminación está disponible directamente en la app, en Perfil › Privacidad › Eliminar mi cuenta (exigencia de Apple). Al confirmar, ejecutamos la eliminación permanente en cascada — una operación inmediata — de todo su historial clínico (análisis, condiciones, medicaciones, vacunas, documentos, mediciones, historial, consultas, conversaciones con la IA, datos de dispositivos vestibles) y de los archivos en el almacenamiento, revocamos las conexiones de dispositivos vestibles y cerramos su cuenta de acceso.

Dependientes gestionados y migración de guarda. La eliminación de su cuenta también borra los datos y los archivos de los dependientes que usted gestiona (perfiles de menores bajo su guarda). Antes de concluir, si un menor tiene otro responsable ya vinculado, la app ofrece migrar la guarda de ese menor al co-responsable existente — de modo que el perfil del menor sobrevive con él, en lugar de ser borrado. Si usted opta por no migrar, el perfil del dependiente se elimina junto con su cuenta. En cualquier caso, nunca retenemos el nombre ni el correo del menor por motivo fiscal (ver abajo).

Las copias de seguridad (backups) pueden, por un corto período, todavía contener datos ya eliminados: son sobrescritas en el ciclo normal de nuestro encargado (Supabase, alrededor de 14 días — bien dentro de los 6 meses), y los contratos de tratamiento de datos (DPA) con Supabase y Anthropic rigen el descarte de cualesquiera copias residuales. (No alegamos "destrucción de claves" ni purga instantánea del backup.)

La eliminación de su identidad depende de si usted hizo, o no, una compra:

Recibo de eliminación (accountability — LGPD Art. 6º, X): podemos confirmar la conclusión de la eliminación mediante solicitud al DPO. La eliminación no es total — permanecen los registros mínimos descritos a continuación, por imposición legal.

Lo que siempre permanece después de la eliminación, para cualquier usuario:

Perfiles de dependientes (menores): al eliminar el perfil de un menor, nunca retenemos el nombre ni el correo del menor por motivo fiscal — la obligación fiscal, si la hay, pertenece al responsable pagador, y no al perfil del menor. Para el menor, el borrado de la identidad es la regla; queda solo el registro mínimo de eliminación por código irreversible.

Usuarios en jurisdicciones con derecho de eliminación reforzado (ej.: Washington — My Health My Data Act): tratamos la solicitud como eliminación de dato de salud del consumidor — borramos la identidad (sin invocar plazo fiscal contra quien no transaccionó) y el descarte de las copias residuales en los encargados ocurre dentro de 6 meses, conforme a los respectivos contratos de tratamiento (DPA).

12.3 Fallecimiento del titular

La LGPD y el GDPR protegen a personas vivas y, por regla, no alcanzan al fallecido (ANPD, Nota Técnica n.º 3/2023; GDPR, Considerando 27). Aun así, el historial de una persona fallecida involucra derechos de la personalidad que sobreviven a la muerte (Código Civil, Art. 12, párrafo único) y cuestiones de sucesión.


12-A. Notificaciones y recordatorios (opt-in)

MyHealth puede enviar recordatorios en su iPhone — sobre medicación, un check-in de bienestar, su agenda (consultas/exámenes/seguimientos/vacunas) y algunos avisos del servidor (cuando un análisis queda listo, cuando uno de sus exámenes se actualiza y cuando se acerca una consulta de seguimiento). Puntos importantes:

13. Cookies, telemetría y rastreo

MyHealth es una aplicación nativa de iPhone (no un sitio web), por lo que no usa cookies de navegación en el sentido tradicional.

Hoy no usamos ninguna herramienta de analytics o rastreo de terceros; si eso cambia, actualizaremos esta Política y la página de subencargados antes de la activación, con nuevo aviso — revisando también las etiquetas de privacidad de la App Store y la necesidad (o no) de App Tracking Transparency (ATT).


14. Incidentes de seguridad y notificación

Mantenemos planes de respuesta a incidentes. En caso de un incidente de seguridad que pueda generar riesgo relevante para usted:


15. Sus derechos

Usted es el titular de sus datos y tiene derechos garantizados por la LGPD (Art. 18) y por el GDPR (Capítulo III):

DerechoQué significaCómo ejercerlo en MyHealth
Acceso / confirmaciónSaber qué datos tenemos y obtener una copia (LGPD Art. 18, I–II; GDPR Art. 15)Ver el historial completo en la app; exportar
CorrecciónCorregir datos incompletos o erróneos (LGPD Art. 18, III; GDPR Art. 16)Usted revisa y edita los datos directamente
Eliminación / olvidoEliminar sus datos y la cuenta (LGPD Art. 18, VI; GDPR Art. 17)Eliminar cuenta / datos en la app (ver Sección 12)
PortabilidadLlevarse sus datos en formato estructurado e interoperable (LGPD Art. 18, V; GDPR Art. 20)Exportación en FHIR R4 y en PDF
Revocación del consentimientoRetirar una autorización (LGPD Art. 8, §5; GDPR Art. 7(3))Desactivar una finalidad (ej.: "Procesamiento por IA") en los ajustes (ver Sección 5)
Información sobre compartirSaber con quién compartimos (LGPD Art. 18, VII)Esta Política (Sección 9) y la página de subencargados
Oposición / limitaciónOponerse a un tratamiento o pedir su limitación (LGPD Art. 18, §2; GDPR Art. 18 y 21)Contacte al DPO
No sometimiento a decisión automatizada / revisiónLa IA no decide nada sola (LGPD Art. 20; GDPR Art. 22)Usted siempre revisa y confirma (ver Sección 6.3)
Ver el historial de accesosTransparencia sobre quién accedió a quéSu log de accesos queda disponible
Petición a la autoridad (ANPD)Peticionar contra el responsable ante la autoridad nacional (LGPD Art. 18, §1)Contáctenos (Sección 1) y/o a la ANPD — ver "Reclamaciones" abajo

Cómo ejercerlos: muchos derechos se ejercen directamente en la app (revisar, exportar, eliminar, revocar consentimiento). Para los demás, o si algo no funciona, escriba a nuestro DPO (Sección 1). Respondemos en el plazo legal (por regla, hasta 15 días para confirmación de existencia o acceso, conforme la LGPD; hasta 30 días bajo el GDPR, prorrogables cuando la ley lo permita).

Reclamaciones: si usted entiende que tratamos sus datos de forma inadecuada, puede reclamar a la autoridad competente — en Brasil, la ANPD (https://www.gov.br/anpd); en Europa, la autoridad de protección de datos de su país. Le pedimos, sin embargo, que hable antes con nuestro DPO — queremos resolverlo directamente con usted.


16. MyHealth NO es un servicio médico


17. Cambios en esta Política y versionado

Podemos actualizar esta Política para reflejar cambios en la app, en proveedores o en la ley. La Política tiene versión (policy_version):

El historial de versiones queda publicado en https://www.bas-ai.com/myhealth/legal/versoes; cada versión aceptada permanece archivada.


18. Contáctenos

Dudas, pedidos o reclamaciones sobre sus datos:


MyHealth — su historial, soberano y privado. Esta Política fue redactada en portugués como base para la traducción a los demás idiomas de la app (como mínimo PT/EN/ES). En caso de divergencia entre versiones, prevalece el portugués.