Saltar al contenido

MyHealth — Lista de Subencargados y Registro de las Actividades de Tratamiento (ROPA)

Responsable del tratamiento (LGPD Art. 5, VI / RGPD "controller"): BAS AI — BAS ARTIFICIAL INTELLIGENCE LTDA CNPJ (identificación de empresa de Brasil): 64.106.409/0001-70 Sitio web: www.bas-ai.com Delegado de Protección de Datos (DPD/DPO) (LGPD Art. 5, VIII): Guilherme Bastian — dpo@bas-ai.com Producto: MyHealth — app iOS de historial personal de salud con lectura educativa por IA (pt/en/es). Versión de este documento: 2.1 — 2026-06-23

Naturaleza del producto. MyHealth organiza tu historial de salud y ofrece una lectura educativa y prudente. No es un producto sanitario, no diagnostica y no prescribe. Toda observación de la IA se marca como "(a confirmar)" y debe validarse con tu médico. La IA no verifica interacciones medicamentosas, no verifica contraindicaciones y no cruza alergias con medicamentos.
Distribución. MyHealth se distribuye en la App Store a escala mundial, excepto en la Unión Europea/EEE y el Reino Unido en el lanzamiento. Aun así, las protecciones de nivel RGPD/RU se adoptan como base global aplicada a todos los titulares (denominador común más estricto).
Vigencia. Este registro está en vigor a partir del 2026-06-23. Los contratos de tratamiento (DPA/SCC) referidos más adelante están firmados y en vigor (ver Sección 3). La versión pública de esta lista está en https://www.bas-ai.com/myhealth/legal/subprocessadores; el historial de versiones se publica en https://www.bas-ai.com/myhealth/legal/versoes, y cada versión aceptada permanece archivada.

1. Cómo leer este documento

Este documento tiene dos partes complementarias:

BAS AI actúa como responsable de los datos personales tratados en MyHealth. Los terceros listados en la Parte A actúan como encargados/subencargados (LGPD Art. 5, VII / RGPD Art. 28), tratando datos exclusivamente bajo las instrucciones de BAS AI. Son solo tres: Supabase, Anthropic y Resend. Las plataformas y fuentes que actúan como responsables independientes (Apple, Oura, WHOOP) no son subencargados y se describen en la Sección 3.5.

1.1 Principios que rigen la cadena de subencargados


2. Categorías de datos tratados (glosario)

Para uso en las tablas siguientes:

SiglaCategoríaEjemplos
PIIIdentificación directa (cifrada AEAD/AES-256 en identity_vault)Nombre/apodo, correo de contacto, teléfono, documento nacional
PHIDatos de salud / sensiblesExámenes y marcadores; condiciones/sistemas; medicaciones; alergias; vacunas; consultas; signos vitales y composición corporal (peso, grasa, glucemia, presión, FC); síntomas y quejas; actividad física (incl. entrenos de wearable); sueño (sesiones y fases — sleep_sessions); métricas continuas de wearable (FC en reposo, HRV, VO2max, pasos, energía, temperatura cutánea); scores propietarios de proveedores de wearable (Oura readiness/sleep/stress/resilience; WHOOP recovery/strain — daily_scores); eventos de dispositivo (ECG — solo clasificación y metadatos, nunca el trazado/forma de onda en bruto; ritmo irregular; FC alta/baja; carga de fibrilación auricular; caída detectada — health_events); registro de toma de medicación (med_intakes); check-in diario de bienestar; ciclo menstrual y salud reproductiva (flujo, sangrado intermenstrual, test de ovulación, moco cervical, test de embarazo — importados de HealthKit a cycle_entries; la actividad sexual no se importa); hábitos de vida autodeclarados (tabaquismo — incl. años de tabaquismo —, alcohol, actividad, percepción del sueño y estado de menopausia — autodeclarado opt-in, no importado de HealthKit — lifestyle_facts); conversaciones con el asistente de IA (preguntas y respuestas persistidas — chat_messages/conversations); documentos/informes; antecedentes familiares; equipo de cuidados
DEMOPerfil clínico-demográfico seudónimoSexo biológico; edad; año de nacimiento (sin día/mes) (en profiles, sin PII)
LOCLocalidad opcional e idiomaPaís (country_code — enviado a la IA, ver 3.2, para regionalizar la orientación educativa)/estado/ciudad; idioma (locale)
CUENTACuenta, autenticación y consentimientoIdentificador de cuenta, correo/identificador de Sign in with Apple, tokens de sesión, factor MFA (TOTP), eventos de consentimiento versionados
TÉCMetadatos técnicos y de usoRegistros de acceso (metadato, sin contenido clínico), datos de uso desidentificados, telemetría de fallos/rendimiento
PAGOFacturación de suscripciónEstado de la suscripción, recibo/transacción (el procesamiento del pago lo hace Apple; BAS AI no recibe datos de tarjeta)
CONEXDatos de conexión de wearablesConexiones OAuth (wearable_connections: estado, scopes, tokens de acceso/refresh cifrados AES-256-GCM en servidor, cursores de sincronización) y estados anti-CSRF (oauth_states). No son datos de salud — son datos de conexión, eliminados al desconectar la fuente

3. Parte A — Lista de Subencargados

3.1 Supabase — infraestructura, base de datos, almacenamiento y autenticación

CampoDetalle
SubencargadoSupabase, Inc.
RolEncargado/subencargado (hosting de backend)
FinalidadAlojar la infraestructura de MyHealth: base de datos (PostgreSQL), almacenamiento de documentos/informes, autenticación de cuenta y funciones edge. Da soporte a la finalidad clinical_processing y, en el enrutamiento de la IA, ai_processing.
Datos tratadosPHI estructurado y documentos/informes (referenciados por profile_id seudónimo); PII cifrada campo a campo (AEAD determinista vía pgsodium, AES-256) en el identity_vault; DEMO; LOC; CUENTA (incl. factor MFA/TOTP y consent_events); TÉC (registros de acceso access_log). Supabase opera la infraestructura, pero no accede en claro a la PII del identity_vault en el curso normal de operación (descifrado solo vía función segura, bajo la identidad del propio usuario).
Ubicación / transferencia internacionalRegión sa-east-1 (São Paulo, Brasil) — residencia de datos en Brasil. Tratamientos administrativos auxiliares (p. ej. soporte) pueden implicar acceso desde otras jurisdicciones por el personal del subencargado, bajo las salvaguardas siguientes. Por seguridad, no se exponen públicamente el ref del proyecto ni la clave anon/JWT en esta página ni en materiales externos.
SalvaguardasDPA firmado el 2026-06-18, con cláusulas contractuales tipo (SCC) de la UE y salvaguardas equivalentes para eventuales transferencias, y mecanismo equivalente bajo la LGPD; cifrado en tránsito (TLS 1.3, con certificate pinning en la app) y en reposo; cifrado adicional de campo (pgsodium AEAD/AES-256) bajo nuestra gestión de claves; aislamiento por Row-Level Security (RLS) por verbo; traza de auditoría (access_log append-only / pgaudit best-effort); cláusula de NO ENTRENAMIENTO.

3.2 Anthropic — modelo de lenguaje (Claude) para lectura educativa y extracción de exámenes

CampoDetalle
SubencargadoAnthropic, PBC
RolEncargado/subencargado (procesamiento por IA)
FinalidadProcesar, vía la API de Claude, el contenido del propio usuario para: (a) extraer/estructurar documentos y exámenes; (b) generar lectura educativa, NO diagnóstica (análisis longitudinal del historial); y (c) responder al chat asistente educativo. Se mapea a la finalidad ai_processing y, al salir de Brasil hacia EE. UU., intl_transfer. La búsqueda web existe solo en el chat asistente: el modelo está instruido para usar solo términos clínicos genéricos, sin valores, fechas, edad, nombres ni identificadores del usuario — protección por instrucción al modelo, no por filtro técnico infalible; la búsqueda la ejecuta la infraestructura de Anthropic. Las funciones de análisis del historial y de extracción de documentos no hacen búsqueda web.
Datos tratadosContenido clínico (PHI) del propio usuario, enviado previo consentimiento de procesamiento por IA. Anthropic recibe: la copia OCULTADA de la imagen/PDF del documento (no la PII directa — ver 1.1); sexo + edad + país (country_code) y el año de nacimiento (sin día/mes); y el contenido clínico del historial en el análisis longitudinal (marcadores y tendencias de exámenes, medidas y composición corporal, medicaciones, vacunas, alergias, síntomas, consultas y anotaciones, antecedentes familiares, actividad física, sueño y scores de wearable, eventos de dispositivo — clasificación de ECG, ritmo irregular, caída, nunca el trazado en bruto —, ciclo menstrual y datos reproductivos, hábitos de vida autodeclarados — tabaquismo (incl. años de tabaquismo)/alcohol/actividad/sueño/estado de menopausia — y grupo sanguíneo). Las conversaciones del chat (preguntas y respuestas) también transitan. Anthropic NO recibe: los identificadores directos (nombre, documento, correo, teléfono — cifrados en el identity_vault), los contactos de la tarjeta de emergencia, datos de cuenta ni tokens de conexión (CONEX). Salvedad de la ocultación: la ocultación es best-effort; cuando se ejecuta y nada coincide, o la bóveda está vacía, el documento original puede seguir, y un informe puede contener otros identificadores impresos. Cuando hay una fuente de wearable conectada (Sección 3.5), los datos entran como agregados en el contexto del análisis longitudinal (tendencias de sueño, FC en reposo, HRV siempre con el método SDNN/rMSSD, pasos, energía y scores del proveedor etiquetados por marca, sin recálculo); no se envían series brutas continuas (agregación en servidor, límite de 90 puntos por métrica). Tratamiento transitorio; conservación limitada por el subencargado (ver Salvaguardas).
Ubicación / transferencia internacionalProcesamiento vía la API de Anthropic, con infraestructura en los Estados Unidos. Transferencia internacional de datos personales sensibles desde Brasil, realizada solo con el consentimiento específico del titular, bajo las salvaguardas contractuales siguientes.
SalvaguardasTratamiento regido por los Commercial Terms de Anthropic (en vigor desde el 2026-06-17), con cláusulas contractuales tipo (SCC) para la transferencia internacional y mecanismo equivalente bajo la LGPD; cláusula de NO ENTRENAMIENTO (entradas y salidas no se usan para entrenar ni mejorar modelos — compromiso contractual); conservación limitada por el subencargado (por regla, supresión en hasta ~30 días, salvo conservación exigida por ley o para prevención de abuso); transmisión bajo TLS 1.3 con certificate pinning de api.anthropic.com; validación estricta del payload; salvaguardas anti-inyección (cerco de instrucción); sin cuerpo clínico en los logs de nuestras Edge Functions.

3.3 Resend — envío de correos transaccionales

CampoDetalle
SubencargadoResend
RolEncargado/subencargado (proveedor de correo transaccional)
FinalidadEntregar los correos transaccionales de la cuenta: código de acceso/OTP de autenticación y avisos operativos de la cuenta. No participa en ningún flujo clínico o de IA.
Datos tratadosSolo el correo del destinatario y el contenido del correo (código/aviso). Sin contenido de salud (PHI), sin datos de cuenta sensibles más allá de lo necesario para el envío, sin PII clínica.
Ubicación / transferencia internacionalEE. UU. / global. Transferencia internacional.
SalvaguardasDPA en vigor (2026-06-17), con base de transferencia por el Marco de Privacidad de Datos UE-EE. UU. (DPF) + cláusulas contractuales tipo (SCC) y mecanismo equivalente bajo la LGPD; cláusula de no entrenamiento/no uso secundario; minimización (no se comparte ningún dato de salud); TLS en tránsito.
RevenueCat NO se utiliza. La monetización de MyHealth funciona por In-App Purchase nativo (StoreKit) — suscripción y paquetes adicionales (páginas/prompts) —, con Apple como responsable de la transacción (merchant of record; ver 3.5). No hay intermediario de suscripciones de terceros.

3.4 Lo que NO es subencargado

3.5 Plataforma y fuentes de datos — Apple, Oura y WHOOP (responsables independientes; NO son subencargados)

Estas entidades no tratan datos por cuenta de BAS AI: cada una es responsable independiente de su propia plataforma. Apple es la plataforma de distribución, autenticación opcional, push y pago; Oura y WHOOP son fuentes de datos/originadores conectadas por el propio titular. El flujo de wearable es solo de entrada (del proveedor al historial del usuario), mediante conexión OAuth autorizada por el titular y consentimiento específico por fuente (wearable_sync_oura / wearable_sync_whoop, base doble LGPD Art. 11, I + RGPD Art. 9(2)(a), revocable). El proveedor no recibe datos del historial.

Apple Inc. — plataforma de distribución y servicios de SO, responsable de la transacción (merchant of record) de las compras de suscripción y paquetes adicionales vía In-App Purchase nativo (StoreKit), proveedor de Sign in with Apple (cuando se elige) y de notificaciones push. El acceso de lectura a Apple Health (HealthKit) es opcional y ocurre localmente, en el dispositivo (consentimiento wearable_sync_apple_health) — Apple no participa en el tránsito de esos datos a nuestro backend y no recibe la base clínica de MyHealth. En el pago, BAS AI no recibe ni almacena datos de tarjeta. Cumplimiento de la Apple Guideline 5.1.3 (datos de salud nunca usados para marketing, compartición con terceros o entrenamiento de IA) y de las Directrices 3.1.1/3.1.2 (compras digitales). Ubicación: EE. UU. / infraestructura global de Apple, bajo el Apple Developer Program License Agreement.

CampoOuraWHOOP
EntidadOura Health Oy (Finlandia / EEE) — responsable independiente; integración bajo los términos de API de OuraWHOOP, Inc. (EE. UU.) — responsable independiente; integración bajo los Developer Terms de WHOOP
RolFuente de datos conectada por el titularFuente de datos conectada por el titular
Datos recopilados (según scopes autorizados)Sueño (sesiones/fases), scores diarios (readiness, sleep, activity, stress, resilience), métricas (FC en reposo, HRV rMSSD, temperatura, SpO2, VO2max), actividad diaria, entrenosSueño (sesiones/fases), scores diarios (recovery, strain), métricas (FC en reposo, HRV rMSSD, SpO2, temperatura cutánea), entrenos
Datos de conexión (CONEX)Tokens OAuth cifrados (AES-256-GCM) solo en el servidor; la app nunca ve tokens; eliminados al desconectarÍdem
Ubicación / transferencia internacionalRecopilación desde la API de Oura (Finlandia/EEE) → almacenamiento en Brasil (sa-east-1)Recopilación desde la API de WHOOP (EE. UU.) → almacenamiento en Brasil (sa-east-1)
Desconexión / purgaRevocación del token en el proveedor + consent_events granted=false; el titular elige conservar o borrar los datos ya importadosRevocación (DELETE /v2/user/access) + consent_events granted=false + purga obligatoria de todos los datos originados de WHOOP (exigencia contractual del proveedor — sin opción de conservar)
Salvaguardas / contratosTérminos de API de Oura (caché de 60 días y base de transferencia evaluados); atribución de marca obligatoria; scores nunca recalculados/combinadosWHOOP Developer Terms (exigen Privacy Policy URL y cumplimiento de brand guidelines); atribución de marca; prohibición de derivar scores
Apple Health (HealthKit) no figura en la tabla de wearables con tráfico de red porque la lectura es local, en el dispositivo — no hay tráfico de datos entre Apple y el backend de BAS AI.

4. Parte B — Registro de las Actividades de Tratamiento (ROPA)

Inventario de las actividades de tratamiento (RGPD Art. 30 / LGPD Art. 37). Los consentimientos por finalidad se guardan en un registro append-only (consent_events), versionados por policy_version, y las Edge Functions verifican el consentimiento en tiempo de ejecución (gate has_active_consent).

#ActividadCategorías de datosCategorías de titularesDestinatarios / subencargadosTransferencia internacional
1Registro, autenticación y seguridad de la cuenta (MFA TOTP)CUENTA, PII (cifrada)Usuarios adultos; tutores legalesSupabase; Resend (correo/OTP); Apple (Sign in with Apple — responsable independiente)No (BR), salvo Resend y Sign in with Apple (EE. UU./global)
2Organización del historial (extracción, línea de tiempo, tendencias; rutina diaria — toma de medicación med_intakes y check-in de bienestar; hábitos de vida lifestyle_facts)PHI, DEMO, documentos/informesTitulares y dependientes (menores)SupabaseNo (BR)
3Lectura educativa y extracción de documentos por IA (incl. agregados de wearable, ciclo, hábitos y eventos de dispositivo en el contexto del análisis longitudinal — ver 3.2)PHI (contenido del propio usuario, con sexo+edad+país+año de nacimiento); copia ocultada del documento/imagen en la extracciónTitulares y dependientesAnthropic (Claude)Sí — EE. UU.
4Chat asistente educativo por IA (preguntas/respuestas persistidas en chat_messages/conversations; búsqueda web solo con términos genéricos — ver 3.2)PHI (contenido del propio usuario); conversacionesTitulares y dependientesAnthropic (Claude); Supabase (persistencia)Sí — EE. UU. (Anthropic); persistencia BR
5Compartición familiar (opt-in, solo lectura)PHI, DEMOTitular y familiar vinculadoSupabaseNo (BR)
6Sincronización Apple Health (HealthKit) — opcional, lectura local en el dispositivo, continua (background delivery)PHI (medidas, métricas continuas, sueño, entrenos, eventos de dispositivo, ciclo/reproductivo)TitularesLectura local (iPhone); almacenamiento SupabaseNo (lectura local; almacenamiento BR)
7Portabilidad / exportación (FHIR R4, PDF) — incluye datos de wearables, hábitos, conversaciones de IA y registros de rutinaPHI, DEMO, PIITitulares y dependientesGenerado en la app/backend; entregado al titularNo
8Cuenta, suscripción y paquetes adicionales (In-App Purchase nativo / StoreKit); telemetría de uso y facturación de IA (ai_usage, credit_ledger)CUENTA, PAGO, TÉC (sin PHI en el flujo de pago)Suscriptores; tutores (facturación de menor)Apple (merchant of record — responsable independiente); SupabaseSí — Apple (EE. UU./global); persistencia BR
9A la espera de cuota/uso disponible — guarda de un documento ya ocultado sin análisis hasta que haya cuota o paquete disponible, con análisis automático cuando el uso disponible lo permitaPHI (copia ocultada del documento, en reposo)Titulares y dependientesSupabaseNo (BR) — el análisis por IA (actividad 3) solo ocurre cuando se dispara
10Seguridad, auditoría y prevención de abusoTÉC (metadato de acceso, sin PHI)Todos los usuariosSupabaseNo (BR)
11Telemetría de estabilidad / diagnósticoTÉC (sin PHI)Todos los usuariosBAS AI — hoy sin tercero de observabilidad; si se adopta, se listará en esta página antes de la activaciónNo (BR) — hoy sin tercero
12Gestión de consentimientos versionados (registro desvinculado/seudonimizado — ver 6.7)CUENTA (consent_events)Todos los usuariosSupabaseNo (BR)
13Atestación de edad (age_attestation) — declaración de 18+; bloqueo de registro de menor; registro inmutable con fecha/hora del servidorCUENTATodos los usuariosSupabaseNo (BR)
14Sincronización Oura — conexión OAuth, recopilación vía API y webhook (sueño sleep_sessions, scores daily_scores, métricas, entrenos)PHI (wearable), CONEXTitularesOura Health Oy (fuente/responsable independiente — ver 3.5); SupabaseSí — recopilación desde Finlandia/EEE → BR
15Sincronización WHOOP — conexión OAuth, recopilación vía API y webhook (sueño, recovery/strain, métricas, entrenos)PHI (wearable), CONEXTitularesWHOOP, Inc. (fuente/responsable independiente — ver 3.5); SupabaseSí — recopilación desde EE. UU. → BR
16Gestión de conexiones de wearables (tokens cifrados, estado OAuth, revocación y purga al desconectar)CONEXTitularesSupabase (acceso restringido a service_role; la app nunca lee tokens)No (BR)

5. Matriz Finalidad → Base Jurídica → Conservación

FinalidadBase jurídica LGPDBase jurídica RGPDConservación
Procesamiento clínico (clinical_processing) — organizar el historialArt. 7, I y Art. 11, I (consentimiento específico y destacado para dato sensible)Art. 6(1)(a) + Art. 9(2)(a) (consentimiento explícito)Mientras exista la cuenta; suprimido a petición (Sección 7)
Procesamiento por IA (ai_processing) — extracción de documentos, lectura educativa y chat asistenteArt. 7, I y Art. 11, I (consentimiento específico)Art. 6(1)(a) + Art. 9(2)(a)Procesamiento transitorio en Anthropic, con conservación limitada por el subencargado (por regla, supresión en hasta ~30 días); resultado guardado en el historial mientras exista la cuenta; conversaciones del chat persistidas hasta su supresión por el titular
Transferencia internacional (intl_transfer) — salida hacia Anthropic/EE. UU. en el procesamiento por IAArt. 7, I; Art. 11, I; Art. 33Art. 6(1)(a) + Art. 9(2)(a); Arts. 44–49Transitorio; conservación limitada en destino (~30 días), según los términos de Anthropic; transferencia bajo SCC
Compartición familiar (family_sharing) — opt-in, solo lecturaArt. 7, I y Art. 11, I (consentimiento)Art. 6(1)(a) + Art. 9(2)(a)Vínculo activo hasta su revocación; la invitación caduca en 7 días
Sincronización de wearables (wearable_sync_apple_health / wearable_sync_oura / wearable_sync_whoop) — consentimiento específico por fuente, registrado antes de cualquier lectura/pullArt. 7, I y Art. 11, I (consentimiento específico y destacado; revocable)Art. 6(1)(a) + Art. 9(2)(a) (consentimiento explícito; revocable)Datos importados: regla general (mientras exista la cuenta). Al desconectar: tokens/conexión (CONEX) siempre eliminados; WHOOP — purga obligatoria de los datos importados (exigencia contractual del proveedor); Oura/HealthKit — el titular elige conservar (bajo consentimiento activo) o borrar
Datos de menores bajo tutelaArt. 14 (mejor interés; consentimiento del tutor)Art. 6(1)(a)/Art. 8 + Art. 9(2)(a), ejercido por el tutorMientras exista la cuenta del tutor; suprimido a petición. La identidad del menor se SUPRIME en el acto de la supresión (no hay vía fiscal de identidad para menores)
Atestación de edad (age_attestation) — declaración de 18+ en el registroArt. 14 + Ley 15.211/2025 (ECA Digital)Art. 8Registro inmutable mientras exista la cuenta (prueba de cumplimiento)
Cuenta, suscripción y paquetes adicionales (In-App Purchase) — mantener la cuenta y procesar la suscripción y los paquetes adicionales de uso de IA (por regla, 1 página de cuota por página de documento); el consumo de IA de un menor se factura al tutorArt. 7, V (ejecución de contrato); Art. 7, II y Art. 16, I (guarda fiscal obligatoria de los comprobantes)Art. 6(1)(b); Art. 6(1)(c) (guarda fiscal)Cuenta: mientras exista. Los comprobantes fiscales/de facturación y la identidad mínima de quien transaccionó se conservan por el plazo fiscal de la jurisdicción incluso tras la supresión de la cuenta — 5 años (Brasil, EE. UU. y demás), 6 años (Reino Unido, Canadá), 10 años (UE) — ver Sección 6 (doble vía)
Seguridad, auditoría y prevención de abusoArt. 7, II (obligación legal) y Art. 10 (interés legítimo) — no Art. 11, II "f" (tutela de la salud)Art. 6(1)(c) (obligación legal) y Art. 6(1)(f) (interés legítimo) — no Art. 9(2)(h)Registros de acceso (fecha/hora + IP, metadato sin contenido clínico): 6 meses (Marco Civil de Internet, Ley 12.965/2014, art. 15 — piso legal de guarda). Ese piso se refiere a registros de acceso, que no son datos de salud y no justifican conservar contenido del historial
Telemetría técnica / estabilidadArt. 7, IX (interés legítimo)Art. 6(1)(f)Hasta ~12 meses, por autolimitación de minimización (LGPD art. 6, III) — política interna del Responsable, no plazo impuesto por ley; sin PHI
Base jurídica del núcleo clínico (decidida). La base primaria de todo el núcleo clínico (organización del historial, lectura/extracción por IA, chat asistente, transferencia internacional, compartición familiar y sincronización de wearables) es el consentimiento específico y destacado para dato sensible — LGPD Art. 11, I/II "a" / RGPD Art. 9(2)(a) — coherente con el posicionamiento de "historial soberano" y revocable en cualquier momento. Como base subsidiaria — limitada a la seguridad e integridad del tratamiento, al cumplimiento de una obligación legal y a la ejecución de la propia supresión de datos — se aplican LGPD Art. 7, II y Art. 10 / RGPD Art. 6(1)(c) y (f). NO se invoca la base de tutela de la salud (LGPD Art. 11, II "f" / RGPD Art. 9(2)(h)): el RGPD Art. 9(3) condiciona esa base a un tratamiento por un profesional sujeto a secreto en el flujo, y no hay médico en el bucle de MyHealth — el asistente nunca comunica diagnóstico, pronóstico ni decisión terapéutica.
HIPAA no aplica. MyHealth es un producto B2C bajo el control del propio titular; BAS AI no es covered entity ni business associate de HIPAA. Por ello no publicamos "BAA" ni "HIPAA compliant".

6. Política de Conservación y Supresión (doble vía)

  1. Regla general (vía clínica). Los datos del historial (PHI/DEMO, documentos, conversaciones de IA, wearables, rutina) se conservan mientras exista la cuenta y el titular quiera mantener el historial organizado; se suprimen al borrar la cuenta (Sección 7).
  2. Doble vía de identidad. La identidad directa (nombre/correo, cifrada en el identity_vault) se conserva solo para quien TRANSACCIONÓ (se suscribió o compró paquetes adicionales), por el plazo fiscal de la jurisdicción: 5 años (Brasil, EE. UU. y demás), 6 años (Reino Unido, Canadá), 10 años (UE). Para menores y para no pagadores, la identidad se SUPRIME en el acto de la supresión — no hay vía fiscal de identidad.
  3. Comprobantes fiscales. Los comprobantes de facturación/fiscales (compra de suscripción y paquetes adicionales) siguen el mismo plazo fiscal de la jurisdicción anterior (Brasil: CTN, arts. 173 y 174), aunque la cuenta se borre antes.
  4. Registros de acceso. El access_log (metadato de auditoría/seguridad — quién, cuándo, qué tabla, acción, IP de origen) se guarda por 6 meses (Marco Civil de Internet, art. 15). Es metadato sin contenido clínico; ese plazo no justifica conservar contenido del historial.
  5. Procesamiento por IA. El contenido enviado a Anthropic es transitorio; el subencargado lo conserva por un período limitado y luego lo suprime (por regla, en hasta ~30 días), salvo conservación exigida por ley o para prevención de abuso. El resultado incorporado al historial sigue la regla general; las conversaciones del chat asistente se guardan hasta que el titular las borre.
  6. Telemetría técnica. La telemetría de estabilidad/diagnóstico (sin PHI) se conserva por hasta ~12 meses, por autolimitación de minimización (LGPD art. 6, III) — política interna del Responsable, no plazo impuesto por ley.
  7. Inmutabilidad y desvinculación de los registros. El access_log es append-only (UPDATE/DELETE bloqueados por trigger). Los consent_events están desvinculados/seudonimizados (clave HMAC mantenida fuera de la base de datos) — no "anónimos": preservan la prueba de cuándo se concedió/revocó el consentimiento sin reidentificar directamente al titular. Revocar el consentimiento es insertar un nuevo evento granted=false; la revocación no borra retroactivamente el tratamiento ya realizado lícitamente, pero interrumpe el tratamiento futuro de esa finalidad.
  8. Supresión a petición. La supresión se ejecuta a petición del titular (o del tutor legal, en el caso de menores), según el procedimiento de la Sección 7, en hasta 30 días.

7. Procedimiento de Supresión de Cuenta y de Datos

La supresión de cuenta está disponible en la propia app (exigencia de Apple) y también puede solicitarse al DPD (dpo@bas-ai.com).

  1. Solicitud. El titular (o tutor legal, en el caso de un dependiente menor) inicia la supresión en la app o por contacto con el DPD.
  2. Alcance. La supresión borra toda la PHI, los documentos/informes en el Storage, los vínculos de compartición familiar, los datos de wearables y rutina (sleep_sessions, daily_scores, health_events, med_intakes, medidas con provider/external_id), los hábitos de vida (lifestyle_facts), las conversaciones con el asistente de IA (chat_messages/conversations), los registros de uso del Servicio de IA (ai_usage, credit_ledger y correlatos, salvo la conservación fiscal de comprobantes de compra), los datos de conexión de wearables (wearable_connections, oauth_states — tokens cifrados) y los datos de cuenta. Las tablas clínicas se borran en cascada desde profile_id (claves foráneas on delete cascade).
  3. Dependientes gestionados. La supresión de la cuenta también borra los datos de los dependientes gestionados (perfiles de menores) bajo esa cuenta. Antes de borrar a un menor, la app ofrece MIGRAR la tutela del menor a un co-tutor existente — en cuyo caso el perfil del menor sobrevive bajo el nuevo tutor, en lugar de ser borrado.
  4. Identidad (doble vía). Si el titular transaccionó, su identidad mínima (nombre/correo) se conserva cifrada solo por el plazo fiscal de la jurisdicción (Sección 6). Si no transaccionó — y siempre para menores — la identidad se SUPRIME en el acto de la supresión.
  5. Supresión efectiva. Eliminación permanente, en cascada, de los registros y de los documentos; limpieza de los datos en caché del dispositivo al cerrar sesión/borrar. La supresión es permanente, pero no se alega destrucción de claves de cifrado (crypto-shredding) ni irreversibilidad absoluta en copias de seguridad — eventuales copias expiran según los ciclos de conservación de la infraestructura.
  6. Conservación mínima legal. Incluso tras la supresión, se mantienen: (a) el mínimo de metadato que la ley exige (registro de que la supresión ocurrió); (b) los registros de acceso por el piso de 6 meses (art. 15) — metadato, sin contenido clínico; y (c) la vía fiscal (comprobantes + identidad mínima de quien transaccionó) por el plazo fiscal de la jurisdicción (Sección 6). Nada de esto recompone el historial, que es suprimido.
  7. Plazo y confirmación. La supresión es una operación inmediata en la base de datos. No hay emisión de recibo automático; el titular puede solicitar la confirmación de la conclusión al DPDdpo@bas-ai.com — que responde con base en el registro mínimo de supresión (LGPD art. 6, X).
  8. Subencargados. La supresión se propaga a la infraestructura (Supabase). El contenido enviado a Anthropic es transitorio y conservado por un período limitado (~30 días) y luego suprimido por el subencargado, según sus términos. Para Apple (incl. datos de compra/suscripción vía In-App Purchase, como responsable independiente) y Resend (correo), se aplican los mecanismos de supresión de la respectiva plataforma respecto a los datos que cada una trata. RevenueCat no se utiliza.
  9. Desconexión de wearable (purga selectiva por proveedor, sin borrar la cuenta). Disponible en la pantalla de Integraciones. La desconexión: (a) revoca los tokens ante el proveedor (Oura: oauth/revoke; WHOOP: DELETE /v2/user/access); (b) elimina los datos de conexión (CONEX); (c) graba consent_events granted=false para la finalidad de la fuente; (d) aplica la política de datos importados — WHOOP: purga obligatoria de todos los datos con source='whoop' (exigencia contractual, verificable por conteo cero); Oura/HealthKit: el titular elige conservar o borrar. Los eventos de connect/disconnect/purge se registran en auditoría.

8. Edad mínima y datos de menores

La protección de niños y adolescentes observa el Estatuto del Niño y del Adolescente de Brasil (Ley 8.069/1990), la Ley 15.211/2025 (ECA Digital), el Art. 14 de la LGPD, el Art. 8 del RGPD (estándar de referencia) y la COPPA (EE. UU.).

Verificación de edad (Ley 15.211/2025 — ECA Digital, en vigor desde el 2026-03-17). La verificación de edad se hace por autodeclaración en el registro, con la atestación registrada en la aceptación (age_attestation, inmutable, con fecha/hora del servidor).

9. Notificación de nuevos subencargados y derecho de objeción

  1. Diligencia previa y DPA con obligaciones equivalentes (mínimo: no entrenamiento; salvaguardas de transferencia internacional — cláusulas contractuales tipo / SCC y mecanismo equivalente bajo la LGPD; límites contractuales de conservación cuando aplique).
  2. Aviso previo con una ventana de objeción de 30 días antes de que el nuevo subencargado trate datos, salvo urgencia de seguridad/continuidad.
  3. Derecho de objeción ante el DPD (dpo@bas-ai.com); cuando la finalidad depende de consentimiento (ai_processing, intl_transfer, family_sharing, wearable_sync_*), el nuevo tratamiento no ocurre sin el consentimiento registrado.

10. Derechos del titular (multijurisdicción)

Independientemente de la jurisdicción, el titular puede, vía la app o el DPD (dpo@bas-ai.com): acceder y exportar sus datos (portabilidad FHIR R4/PDF), rectificar, suprimir (Sección 7), revocar el consentimiento en cualquier momento y oponerse a tratamientos basados en interés legítimo.


11. Historial de versiones

VersiónFechaCambio
2.12026-06-23Alineación código×política (relevamiento autoritativo). (a) Lista de subencargados corregida a tres — Supabase, Anthropic y Resend; Apple, Oura y WHOOP reclasificados como responsables independientes/fuentes (Sección 3.5), no subencargados. (b) DPA declarados EN VIGOR: Supabase (firmado 2026-06-18, SCC UE + salvaguardas; sa-east-1/Brasil), Anthropic (Commercial Terms 2026-06-17 + SCC; NO ENTRENAMIENTO; ~30 días), Resend (DPF UE-EE. UU. + SCC, 2026-06-17). (c) Anthropic recibe la COPIA OCULTADA de la imagen/PDF (no la bruta), + sexo+edad+país+año de nacimiento (sin día/mes), sin identificadores directos y sin contactos de emergencia; la ocultación es en el dispositivo, best-effort, no anonimización. (d) Cifrado corregido a AEAD determinista vía pgsodium (AES-256). (e) Conservación en doble vía: identidad conservada solo para quien transaccionó (plazo fiscal por jurisdicción — 5/6/10 años); menores y no pagadores tienen su identidad suprimida en la supresión; consent_events desvinculado/seudonimizado (HMAC fuera de la base de datos); access_log 6 meses. (f) Supresión de cuenta borra PHI + archivos + datos de dependientes gestionados, con la opción de migrar la tutela de un menor a un co-tutor. (g) Nueva actividad ROPA A la espera de cuota/uso disponible (documento ocultado guardado hasta que haya cuota/uso disponible, analizado automáticamente). (h) SaMD/HIPAA explicitados: no es producto sanitario, la IA no verifica interacción/contraindicación/alergia×medicamento, HIPAA no aplica. (i) DPD actualizado a dpo@bas-ai.com; distribución mundial excepto UE/EEE+RU; protecciones RGPD/RU como base global. policy_version 2.1.
2.02026-06-22Go-live: precios finales, enrutamiento de modelo de IA actualizado, Legal 2.0.
1.62026-06-14Alineación de hecho (salud reproductiva y contexto de la IA).
1.52026-06-12Catálogo canónico de marcadores (LOINC®/UCUM) integrado — contenido licenciado, no subencargado.
1.42026-06-11Plazos de conservación concretos en el ROPA; base jurídica del núcleo clínico decidida (consentimiento primario).
1.32026-06-11Corrección de hecho: Anthropic = infraestructura en EE. UU.; conservación ~30 días; RevenueCat eliminado (IAP nativo); Resend añadido.
1.12026-06-10Integraciones de wearables: nuevas categorías de PHI y CONEX; Oura/WHOOP como fuentes; finalidades wearable_sync_*.
1.0Publicación inicial. Subencargados: Supabase (BR) y Anthropic (IA); Apple como plataforma.

El historial de versiones se publica en https://www.bas-ai.com/myhealth/legal/versoes; cada versión aceptada permanece archivada.


Nota de no diagnóstico. MyHealth organiza tu historial de salud y ofrece una lectura educativa y prudente. No es un producto sanitario, no diagnostica y no sustituye la evaluación de un profesional de salud. La IA no verifica interacciones medicamentosas, contraindicaciones ni cruza alergias con medicamentos. En una emergencia, busca atención médica de inmediato.