Política de privacidad

Versión: 1.0
Fecha de vigencia: 1 de junio de 2026
Última actualización: 1 de junio de 2026

Tabla de contenidos

1. Acerca de esta política
2. Quiénes somos
3. Información que recopilamos
4. Cómo usamos su información
5. Bases legales del tratamiento
6. Almacenamiento y seguridad de datos
7. Compartición de datos y terceros
8. Conservación de datos
9. Sus derechos
10. Eliminación de cuenta y datos
11. Privacidad de los niños
12. Transferencias internacionales de datos
13. Cookies y seguimiento en el sitio web
14. Cambios en esta política
15. Contacto

Anexos regionales:

• A. Espacio Económico Europeo, Reino Unido y Suiza
• B. Estados Unidos y Canadá
• C. Brasil
• D. Latinoamérica — México y Argentina
• E. Japón y Corea del Sur
• F. Oriente Medio — EAU y Arabia Saudita
• G. India e Indonesia
• H. Turquía
• I. Rusia y CEI — Kazajistán, Uzbekistán
• J. Australia
• K. África — Sudáfrica, Nigeria, Kenia, Egipto
• L. Requisitos de edad mínima por región

1. Acerca de esta política {#about}

Esta política de privacidad explica cómo HelAI («nosotros», «nuestro») recopila, usa, almacena y protege la información personal cuando utiliza la aplicación móvil HelAI (disponible en iOS y Android) y el sitio web helai.app (colectivamente, el «Servicio»).

2. Quiénes somos {#who-we-are}

Responsable del tratamiento: Konstantin Yeftifeyev (operando como HelAI)
Jurisdicción: República de Kazajistán
Contacto de privacidad: [email protected]
Sitio web: https://helai.app

3. Información que recopilamos {#information-we-collect}

3.1 Datos de cuenta

Al crear una cuenta, recopilamos: dirección de correo electrónico, nombre de visualización, proveedor de autenticación (Google, Apple o correo electrónico/contraseña), ID de usuario de Firebase, fecha de creación de la cuenta.

3.2 Datos de salud y estado físico

Si otorga permiso, HelAI puede leer desde Apple Health (iOS) o Google Health Connect (Android): duración y calidad del sueño, frecuencia cardíaca en reposo y variabilidad de la frecuencia cardíaca (VFC), peso y altura, porcentaje de grasa corporal, pasos diarios y minutos activos.

Estos datos se almacenan exclusivamente en su dispositivo. Nunca se transmiten a servidores externos ni se comparten con terceros.

3.3 Datos de entrenamiento

Sesiones, series, repeticiones, pesos, récords personales, objetivos e historial, almacenados localmente en una base de datos cifrada y sincronizados selectivamente mediante Firebase Data Connect.

Función futura planificada: Copia de seguridad en la nube y sincronización completa de datos de entrenamiento como función de pago opcional.

3.4 Datos de cámara

Los fotogramas de video en vivo se procesan localmente para la detección de poses y el conteo de repeticiones. Los datos de cámara nunca se almacenan, transmiten ni graban.

3.5 Datos técnicos y de diagnóstico

Modelo de dispositivo, versión del sistema operativo y de la aplicación, informes de fallos (a través de Firebase Crashlytics).

3.6 Datos analíticos

Vistas de pantalla, interacciones con funciones, tasas de finalización de sesiones, recopilados a través de Firebase Analytics para mejorar el Servicio.

3.7 Datos de dispositivo portátil

Eventos de entrenamiento intercambiados a través de Bluetooth Low Energy con su reloj Garmin. No se transmiten datos a los servidores de Garmin.

3.8 Datos del sitio web

Preferencia de idioma (almacenada en localStorage), envíos del formulario de contacto (nombre, correo electrónico, asunto, mensaje).

4. Cómo usamos su información {#how-we-use}

• Prestación del Servicio: autenticación, sincronización de entrenamientos
• Funciones de IA: detección de ejercicios y retroalimentación de forma en el dispositivo
• Seguimiento del progreso: récords personales, objetivos y análisis
• Diagnóstico: informes de fallos y datos técnicos
• Mejora del Servicio: análisis de uso anonimizado
• Soporte: respuestas a formularios de contacto
• Obligaciones legales: cumplimiento de la legislación aplicable

5. Bases legales del tratamiento {#legal-bases}

6. Almacenamiento y seguridad de datos {#storage-security}

• Almacenamiento local: base de datos SQLite cifrada (SQLCipher, AES-256)
• Almacenamiento en la nube: Firebase / Google Cloud Platform, región europe-southwest1 (España)
• Datos de salud: solo en el dispositivo, nunca en la nube
• Tránsito: TLS 1.3 para todas las comunicaciones de red

7. Compartición de datos y terceros {#data-sharing}

No vendemos sus datos. Solo los compartimos con:

Sin socios publicitarios, sin intermediarios de datos, sin análisis de terceros fuera de Firebase Analytics.

8. Conservación de datos {#data-retention}

9. Sus derechos {#your-rights}

• Derecho de acceso: obtener una copia de sus datos
• Derecho de rectificación: corregir datos inexactos
• Derecho de supresión: eliminar todos sus datos personales
• Portabilidad de datos: recibir sus datos en formato legible por máquina
• Derecho de oposición: oponerse al tratamiento con fines analíticos
• Derecho a la limitación: limitar el tratamiento de sus datos
• Retirada del consentimiento: revocar el acceso a datos de salud en cualquier momento

Para ejercer sus derechos: escriba a [email protected] o use la configuración de la aplicación.
Plazo de respuesta: en un plazo de 30 días.

10. Eliminación de cuenta y datos {#account-deletion}

Método 1: En la aplicación

Perfil → Configuración → Eliminar cuenta → Confirmar

Método 2: Por correo electrónico

Envíe una solicitud a [email protected] con la dirección de correo electrónico de su cuenta.

Lo que se elimina: cuenta de Firebase, datos de la nube, datos locales, datos de salud (automáticamente al desinstalar).

Plazo de procesamiento: en un plazo de 30 días. La eliminación es irreversible.

11. Privacidad de los niños {#childrens-privacy}

El Servicio está destinado a personas de 16 años o más. No recopilamos conscientemente datos personales de personas menores de 16 años. Si descubrimos que hemos recopilado tales datos, los eliminaremos de inmediato.

12. Transferencias internacionales de datos {#international-transfers}

• Responsable: República de Kazajistán
• Procesamiento: Google Cloud Platform, región europe-southwest1 (UE/España)
• Mecanismo de transferencia: Cláusulas contractuales estándar (CCE) con Google
• Datos de salud: sin transferencia internacional (solo en el dispositivo)

13. Cookies y seguimiento en el sitio web {#cookies}

• Solo esenciales: preferencia de idioma (localStorage)
• Sin cookies de seguimiento, sin cookies de terceros
• Cloudflare Turnstile: solo verificación de seguridad, sin seguimiento de usuarios
• Sin retargeting, sin píxeles de seguimiento, sin rastreadores de redes sociales

14. Cambios en esta política {#changes}

Los cambios importantes se comunicarán a través de una notificación en la aplicación. La fecha de «Última actualización» se actualizará. El uso continuado tras la fecha de entrada en vigencia implica aceptación.

15. Contacto {#contact}

Consultas de privacidad: [email protected]
Soporte general: [email protected]
Tiempo de respuesta: en un plazo de 30 días calendario

Anexos regionales

Anexo A: Espacio Económico Europeo, Reino Unido y Suiza {#region-eea}

Bases legales RGPD (Art. 6 y Art. 9): ver Sección 5 para la tabla detallada.

Sus derechos bajo el RGPD incluyen los derechos de los Arts. 15 a 22: acceso, rectificación, supresión, limitación, portabilidad, oposición y derecho a no ser objeto de decisiones automatizadas.

Derecho de reclamación: tiene derecho a presentar una reclamación ante la autoridad de control competente (por ejemplo, AEPD en España, CNIL en Francia, ICO en el Reino Unido).

EIPD: se ha realizado una evaluación de impacto relativa a la protección de datos para el tratamiento de datos de salud.

Transferencias transfronterizas a Google (Firebase) se basan en las cláusulas contractuales estándar de la UE (Art. 46 RGPD).

Anexo B: Estados Unidos y Canadá {#region-us-ca}

CCPA/CPRA (California): no vendemos ni compartimos sus datos personales en el sentido del CCPA. Tiene derecho a saber, eliminar, corregir y rechazar el uso de información personal sensible. Envíe solicitudes a [email protected].

PIPEDA (Canadá): el tratamiento se basa en un «propósito razonable» con consentimiento explícito para datos de salud. Ley 25 (Quebec): evaluación de privacidad realizada; política de privacidad disponible en francés en /fr/privacy.

Anexo C: Brasil {#region-brazil}

El tratamiento de datos personales de usuarios brasileños se realiza de conformidad con la Lei Geral de Proteção de Dados (LGPD).

Sus derechos (LGPD Art. 18): confirmación, acceso, corrección, anonimización, bloqueo, eliminación, portabilidad, información sobre el intercambio, revocación del consentimiento.

Delegado de protección de datos (Encarregado): Konstantin Yeftifeyev — [email protected]

Esta política de privacidad en portugués constituye el aviso de privacidad LGPD requerido.

Anexo D: Latinoamérica — México y Argentina {#region-latam}

México (LFPDPPP): esta política de privacidad sirve como Aviso de Privacidad. Los derechos ARCO (Acceso, Rectificación, Cancelación, Oposición) se ejercen a través de [email protected]. Los datos de salud se tratan con consentimiento expreso.

Argentina (Ley 25.326): los derechos de acceso, rectificación y supresión se ejercen a través de [email protected]. Las transferencias se realizan con consentimiento.

Anexo E: Japón y Corea del Sur {#region-japan-korea}

Japón (APPI): los datos personales se transfieren a la República de Kazajistán, que no dispone de una protección equivalente a la APPI. La transferencia se realiza con su consentimiento explícito al crear la cuenta. Derechos: divulgación, corrección, cese del uso, supresión — envíe solicitudes a [email protected].

Corea del Sur (PIPA): se obtiene consentimiento separado para el tratamiento de datos de salud. Transferencia transfronteriza: datos procesados por Google Cloud (UE) y por el operador en Kazajistán. Derechos: acceso, corrección, supresión, suspensión del tratamiento. Responsable de protección de datos personales: Konstantin Yeftifeyev.

Anexo F: Oriente Medio — EAU y Arabia Saudita {#region-gulf}

El tratamiento cumple con el Decreto-Ley Federal de los EAU n.° 45/2021 y la PDPL saudí. Se obtiene consentimiento explícito para datos de salud (datos sensibles). Las transferencias transfronterizas se basan en el consentimiento y garantías contractuales. Derechos: acceso, corrección, supresión, limitación, oposición, portabilidad. Contacto: [email protected].

Anexo G: India e Indonesia {#region-india-indonesia}

India (DPDPA): los usuarios menores de 18 años deben tener el consentimiento de un padre o tutor. Derechos: acceso, corrección, supresión, recurso.

Indonesia (Ley PDP): los usuarios menores de 17 años deben tener el consentimiento de un padre o tutor. Los datos sensibles (salud) se tratan con consentimiento explícito. Derechos: acceso, corrección, supresión, revocación del consentimiento.

Anexo H: Turquía {#region-turkey}

El tratamiento cumple con el KVKK turco (Ley n.° 6698). Los datos de salud son datos de categoría especial tratados con consentimiento explícito. Kazajistán no figura en la lista turca de países adecuados; la transferencia se basa en consentimiento explícito. Derechos: información, acceso, corrección, supresión, oposición, indemnización. Contacto: [email protected].

Anexo I: Rusia y CEI — Kazajistán, Uzbekistán {#region-cis}

Rusia (Ley Federal n.° 152-FZ): los datos personales se tratan fuera de la Federación de Rusia (Google Cloud, servidores UE). La creación de cuenta implica consentimiento a la transferencia internacional según el Art. 12. Derechos: acceso, corrección, bloqueo, supresión, revocación del consentimiento.

Kazajistán (Ley n.° 94-V): jurisdicción de origen del operador. Los datos de salud se clasifican como «datos de acceso restringido» y se tratan con consentimiento explícito. Derechos: acceso, corrección, supresión, revocación del consentimiento.

Uzbekistán (Ley sobre datos personales 2019): el tratamiento se realiza con consentimiento. Derechos: acceso, corrección, supresión, revocación del consentimiento.

Anexo J: Australia {#region-australia}

El tratamiento cumple con los Principios australianos de privacidad (APP). Destinatarios en el extranjero: Google LLC (datos en la región UE). Los datos de salud se tratan con consentimiento expreso como «información sensible». Reclamaciones: [email protected]; si no se resuelven, ante la OAIC.

Anexo K: África — Sudáfrica, Nigeria, Kenia, Egipto {#region-africa}

Sudáfrica (POPIA): consentimiento obtenido para información personal especial (salud). Los usuarios menores de 18 años requieren el consentimiento de una persona competente.

Nigeria (NDPR/NDPA): evaluación de impacto de protección de datos realizada. Tratamiento basado en consentimiento.

Kenia (DPA 2019): derechos de los interesados según la Sección 26. Los usuarios menores de 18 años requieren consentimiento parental.

Egipto (Ley 151/2020): datos sensibles tratados con consentimiento explícito.

Las transferencias transfronterizas se realizan con consentimiento conforme a la ley aplicable. Reclamaciones: [email protected].

Anexo L: Requisitos de edad mínima por región {#region-age-table}

Esta política de privacidad fue actualizada por última vez el 1 de junio de 2026. HelAI es operado por Konstantin Yeftifeyev, República de Kazajistán.