Política de Privacidad

Política de Privacidad

Última actualización: 3 de abril de 2026

Esta Política de Privacidad explica cómo Tesselabs LLC, operando como Kinali ("nosotros" o "nuestro/a"), recopila, usa, comparte y protege tu información personal cuando usás nuestra plataforma de coordinación de cuidados familiares ("el Servicio"). Esta política aplica a todos los usuarios a nivel mundial, con disposiciones específicas por jurisdicción para usuarios en la Unión Europea (incluyendo España), Argentina, México y Estados Unidos.

Al usar el Servicio, prestás tu consentimiento a las prácticas de datos descritas en esta Política de Privacidad.

1. Introducción y Alcance

Kinali procesa información altamente sensible, incluyendo:

• Información de salud protegida: Historias clínicas, diagnósticos, medicamentos, resultados de laboratorio, notas de consultas
• Información personal identificable: Nombres, fotos, documentos de identidad, grabaciones de voz
• Datos de menores de edad: Información de salud y datos personales de niños, niñas y adolescentes
• Datos procesados por IA: Transcripciones de voz, OCR de documentos, datos médicos extraídos por IA

Nos tomamos tu privacidad en serio y nos comprometemos a ser transparentes sobre nuestras prácticas de datos.

2. Responsable del Tratamiento de Datos

Responsable del tratamiento: Tesselabs LLC 1209 Mountain Road PL NE, STE R, Albuquerque, NM 87110, EE.UU. hello@tesselabs.com

Delegado de Protección de Datos (DPO): Guillermo Pascual dpo@tesselabs.com

Contacto de privacidad: Para consultas sobre privacidad o para ejercer tus derechos, contactanos a hello@tesselabs.com.

3. Base Legal para el Tratamiento

Procesamos tus datos personales bajo las siguientes bases legales, según tu jurisdicción:

Para usuarios en la UE/EEE/España (RGPD):

• Consentimiento: Para el tratamiento de datos de salud, datos de menores y procesamiento por IA
• Ejecución contractual: Para proveer el Servicio al que te suscribiste
• Intereses legítimos: Para mejorar el Servicio, prevenir fraude y garantizar la seguridad

Para usuarios en Argentina (LPDP 25.326):

• Consentimiento expreso: Requerido para datos sensibles (datos de salud) conforme al artículo 5 de la Ley 25.326
• Consentimiento escrito: Para transferencias internacionales de datos conforme al artículo 12 de la LPDP
• Consentimiento informado: Debés ser informado/a de manera clara sobre la finalidad del tratamiento de tus datos

Para usuarios en México (LFPDPPP):

• Consentimiento expreso y por escrito: Requerido para el tratamiento de datos sensibles
• Consentimiento tácito: Para datos no sensibles de carácter operativo

Para usuarios en EE.UU. (CCPA, COPPA, leyes estatales):

• Consentimiento: Para la recopilación y el intercambio de datos
• Consentimiento parental: Para menores de 13 años (requisito COPPA)

Podés retirar tu consentimiento en cualquier momento contactándonos, aunque esto puede afectar tu capacidad para usar el Servicio.

4. Tipos de Datos que Recopilamos

4.1 Datos de Cuenta y Perfil

• Dirección de correo electrónico (requerida para crear la cuenta)
• Nombre e información de perfil
• Idioma/región preferido (es-AR, es-MX, es-ES, en-US)
• Configuración y preferencias de la cuenta
• Fecha de consentimiento a los Términos y la Política de Privacidad

4.2 Información de Salud (Datos Sensibles)

• Diagnósticos y condiciones médicas
• Medicamentos, dosis y recetas
• Alergias y reacciones adversas
• Notas y resúmenes de consultas médicas
• Resultados de laboratorio e informes de estudios
• Información de profesionales de salud
• Historia clínica y planes de tratamiento
• Síntomas y observaciones de salud

Importante: Estos datos son considerados "datos sensibles" según la LPDP 25.326, el RGPD, la LFPDPPP y otras leyes de privacidad. Los recopilamos únicamente con tu consentimiento expreso.

4.3 Documentos Personales e Imágenes

• Documentos de identidad (DNI, pasaportes, tarjetas de obra social/prepaga)
• Historias clínicas (PDFs, imágenes, documentos escaneados)
• Fotos de medicamentos, equipamiento médico o entornos de cuidado
• Certificados médicos y recetas

4.4 Grabaciones de Voz y Transcripciones

• Grabaciones de audio que creés en la app
• Transcripciones generadas por IA de notas de voz (procesadas por Google Gemini vía Vertex AI)
• Texto extraído del audio

4.5 Datos Procesados y Extraídos por IA

• Texto extraído de imágenes mediante OCR (procesado por Google Gemini vía Vertex AI)
• Datos médicos estructurados extraídos por IA de notas no estructuradas
• Resúmenes o categorizaciones generadas por IA

4.6 Datos de Círculo de Cuidado y Uso Compartido

• Información de membresía en Círculos de Cuidado
• Permisos y niveles de acceso otorgados a otros usuarios
• Registros de salud y documentos compartidos

4.7 Datos de Uso y Analíticas

• Información del dispositivo (tipo, sistema operativo, navegador)
• Dirección IP y geolocalización (para configuración regional)
• Patrones de uso (funcionalidades utilizadas, páginas visitadas, tiempo de uso)
• Registros de errores e informes de fallos

4.8 Cookies y Tecnologías de Seguimiento

• Cookies de sesión (para mantener el estado de inicio de sesión)
• Cookies de preferencias (idioma, configuración de tema)
• Cookies de analíticas (para entender el uso del Servicio)

Consultá la Sección 14 para detalles sobre cookies y seguimiento.

5. Cómo Recopilamos los Datos

Recopilamos datos a través de:

• Entrada directa: Información que ingresás manualmente en el Servicio
• Carga de archivos: Documentos, imágenes y archivos de audio que subís
• Grabación de voz: Audio capturado mediante la función de grabación de la app
• Procesamiento por IA: Datos extraídos automáticamente de tus cargas (transcripción, OCR)
• Recopilación automática: Datos de uso, información del dispositivo, cookies
• Integraciones de terceros: Datos de proveedores de servicios de terceros utilizados para brindar el Servicio

6. Cómo Usamos tus Datos

Usamos tus datos personales para los siguientes fines:

6.1 Prestación del Servicio

• Crear y mantener tu cuenta
• Almacenar y organizar tu información de salud
• Procesar grabaciones de voz y transcribir audio (vía Google Gemini)
• Extraer texto de imágenes y documentos (vía Google Gemini OCR)
• Estructurar y categorizar datos médicos usando IA
• Habilitar el uso compartido y la colaboración en Círculos de Cuidado
• Proveer gestión de calendario y turnos
• Enviar notificaciones relacionadas con el Servicio

6.2 Comunicación

• Enviar actualizaciones importantes del Servicio
• Responder solicitudes de soporte
• Notificarte sobre cambios en las políticas
• Enviar comunicaciones de marketing (con tu consentimiento, con opción de desuscripción)

6.3 Mejora del Servicio y Analíticas

• Analizar patrones de uso para mejorar funcionalidades
• Identificar y corregir errores
• Realizar investigación y desarrollo
• Mejorar la precisión de la IA

6.4 Seguridad y Prevención de Fraude

• Detectar y prevenir accesos no autorizados
• Investigar incidentes de seguridad
• Cumplir con obligaciones legales

6.5 Cumplimiento Legal

• Responder a solicitudes legítimas de las autoridades
• Hacer cumplir nuestros Términos de Servicio
• Cumplir con órdenes judiciales o requerimientos regulatorios

7. Intercambio de Datos con Terceros y Encargados de Tratamiento

Compartimos tus datos con los siguientes proveedores de servicios terceros. Cada encargado de tratamiento opera bajo un Acuerdo de Procesamiento de Datos (DPA) y está contractualmente obligado a proteger tus datos.

7.1 Google Cloud (Gemini vía Vertex AI) — Procesamiento Multimodal por IA

• Qué compartimos: Grabaciones de voz, imágenes, documentos y datos de texto que enviás para procesamiento por IA
• Finalidad: Transcripción de voz, OCR, extracción y estructuración de datos médicos
• Ubicación de datos: Estados Unidos
• DPA: Google Cloud Data Processing Addendum (última modificación: 8 de noviembre de 2023)
• BAA: HIPAA Business Associate Addendum vigente (cubre Vertex AI como Servicio Cubierto)
• Entrenamiento de IA: Google no utiliza datos de clientes para entrenar sus modelos de IA bajo el Cloud Data Processing Addendum
• Retención: Los datos se procesan de forma transitoria y Google no los retiene más allá del procesamiento

7.2 Supabase — Base de Datos, Almacenamiento y Autenticación

• Qué compartimos: Todos los datos almacenados en el Servicio (registros de salud, documentos, datos de cuenta)
• Finalidad: Alojamiento de base de datos, almacenamiento de archivos, autenticación de usuarios
• Ubicación de datos: Estados Unidos (us-east-1, Norte de Virginia)
• Retención: Mientras uses el Servicio
• DPA: Supabase User DPA, firmado el 12 de marzo de 2026. Reconoce el tratamiento de categorías especiales de datos personales incluyendo datos de salud y datos de menores de edad
• Subencargados: AWS (Amazon Web Services) — según lo establecido en el Anexo 3 del DPA

7.3 Cloudflare — Alojamiento Web y Seguridad

• Qué compartimos: Tráfico web y solicitudes API
• Finalidad: Alojar la aplicación web, proveer CDN y servicios de seguridad
• Ubicación de datos: Red global de servidores (con opciones de residencia de datos)
• DPA: Cloudflare Customer DPA v6.3 (20 de junio de 2025). Incluye Cláusulas Contractuales Tipo de la UE, UK International Data Transfer Addendum y certificación Data Privacy Framework

7.4 Resend — Correo Electrónico Transaccional

• Qué compartimos: Direcciones de correo electrónico y contenido de emails (notificaciones del servicio, códigos OTP)
• Finalidad: Enviar correos electrónicos transaccionales (verificación de cuenta, notificaciones)
• Ubicación de datos: Estados Unidos
• DPA: Resend Data Processing Addendum (31 de diciembre de 2025). Incluye Cláusulas Contractuales Tipo de la UE y del Reino Unido
• Subencargados: Listados en resend.com/legal/subprocessors

7.5 PostHog — Analíticas de Producto

• Qué compartimos: Patrones de uso, información del dispositivo y datos de interacción anonimizados
• Finalidad: Entender cómo los usuarios interactúan con el Servicio, mejorar funcionalidades
• Ubicación de datos: Estados Unidos
• DPA: PostHog Data Processing Agreement, firmado el 2 de abril de 2026. Incluye Cláusulas Contractuales Tipo de la UE (Módulo 2, responsable a encargado)
• Nota: No enviamos datos de salud, información médica ni registros de salud personalmente identificables a PostHog

8. Transferencias Internacionales de Datos

8.1 Dónde se Almacenan y Procesan tus Datos

Tus datos se transfieren y procesan en Estados Unidos, independientemente de tu ubicación. Esto incluye:

• Procesamiento de Google Cloud (Vertex AI) — Estados Unidos
• Alojamiento de Supabase (base de datos y almacenamiento) — us-east-1 Este de EE.UU. (Norte de Virginia)
• Cloudflare Workers (alojamiento web) — Red global de servidores
• Procesamiento de correo de Resend — Estados Unidos
• Analíticas de PostHog — Estados Unidos

8.2 Salvaguardas para Transferencias Internacionales

Para usuarios en la UE/EEE/España (RGPD, artículo 46):

• Nos basamos en Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea para transferencias a EE.UU. Las SCCs están incorporadas en los DPAs con todos los encargados de tratamiento:
  • Google Cloud: Cloud Data Processing Addendum incluye SCCs (Apéndice 3 — cubriendo la legislación europea de protección de datos y CCPA)
  • Supabase: User DPA incluye Cláusulas Contractuales Tipo de la UE (Módulo 2, responsable a encargado)
  • Cloudflare: Customer DPA v6.3 incluye SCCs de la UE, UK International Data Transfer Addendum y certificación Data Privacy Framework
  • Resend: Data Processing Addendum incluye Cláusulas Contractuales Tipo de la UE y del Reino Unido
  • PostHog: Data Processing Agreement incluye Cláusulas Contractuales Tipo de la UE (Módulo 2, responsable a encargado)
• Se deben realizar evaluaciones de impacto de transferencia para todos los encargados que manejen datos de la UE

Para usuarios en Argentina (LPDP, artículo 12):

• Obtenemos tu consentimiento expreso y por escrito para transferencias internacionales de datos
• Garantizamos que los encargados de tratamiento provean salvaguardas adecuadas de protección de datos
• Argentina fue reconocida por la Comisión Europea como país con nivel adecuado de protección de datos

Para usuarios en México (LFPDPPP, artículo 37):

• Obtenemos tu consentimiento expreso para transferencias internacionales
• Te informamos sobre los países donde se procesarán tus datos

8.3 Tus Derechos Respecto a Transferencias Internacionales

Tenés derecho a:

• Conocer dónde se almacenan y procesan tus datos (ver Sección 8.1)
• Oponerte a transferencias internacionales (puede limitar la funcionalidad del Servicio)
• Solicitar una copia de las salvaguardas vigentes (SCCs, DPAs)
• Retirar tu consentimiento para transferencias (puede resultar en la terminación de la cuenta)

9. Políticas de Retención y Eliminación de Datos

9.1 Por Cuánto Tiempo Retenemos tus Datos

9.2 Eliminación Lógica vs. Eliminación Permanente

Implementación actual (al 17 de febrero de 2026):

• Nuestra base de datos utiliza "eliminación lógica" — los registros eliminados se marcan con una marca temporal deleted_at pero NO se eliminan permanentemente
• Los archivos de almacenamiento (imágenes, audio) actualmente persisten incluso después de la eliminación del registro

IMPORTANTE — Cumplimiento con RGPD/LPDP: Este enfoque de eliminación lógica NO cumple completamente con el artículo 17 del RGPD ("Derecho al olvido") ni con el artículo 16 de la LPDP 25.326 (derecho de supresión), que requieren la eliminación efectiva de los datos.

Nuestro compromiso:

• Estamos implementando un proceso de eliminación permanente real
• Cuando ejerzas tu "Derecho al olvido" o derecho de supresión, eliminaremos permanentemente tus datos dentro de los 30 días (excepto los datos que estemos legalmente obligados a retener)
• Hasta que se implemente la eliminación permanente, podés solicitar la eliminación manual definitiva contactando a nuestro DPO

9.3 Eliminación de Datos al Terminar la Cuenta

Cuando eliminás tu cuenta:

• Tenés 30 días para cambiar de opinión o exportar tus datos
• Después de 30 días, tus datos se eliminarán permanentemente (excepto registros legalmente requeridos)
• Los datos compartidos en Círculos de Cuidado pueden retenerse si otros miembros aún tienen derechos de acceso

9.4 Retención de Datos por Terceros

No podemos controlar por cuánto tiempo los encargados de tratamiento terceros (Google Cloud, Supabase, Cloudflare, Resend, PostHog) retienen tus datos. Consultá la Sección 7 para las políticas de retención de cada encargado.

Tus derechos: Podés solicitar la eliminación directamente a los encargados de tratamiento terceros o pedirnos que facilitemos la solicitud.

10. Tus Derechos de Privacidad (por Jurisdicción)

Tus derechos varían según tu ubicación. A continuación se detallan los derechos disponibles según la legislación aplicable.

10.1 Derechos para Usuarios de la UE/EEE/España (RGPD)

Tenés derecho a:

1. Acceso: Solicitar una copia de tus datos personales
2. Rectificación: Corregir datos inexactos o incompletos
3. Supresión ("Derecho al olvido"): Solicitar la eliminación de tus datos
4. Limitación del tratamiento: Limitar cómo usamos tus datos
5. Portabilidad de datos: Recibir tus datos en un formato legible por máquina
6. Oposición al tratamiento: Oponerte al tratamiento basado en intereses legítimos
7. Retirar el consentimiento: Retirar tu consentimiento para el tratamiento en cualquier momento
8. Decisiones automatizadas: No ser objeto de decisiones basadas únicamente en tratamiento automatizado (incluyendo IA)

Plazo de respuesta: Responderemos a las solicitudes dentro de 1 mes (extensible a 3 meses para solicitudes complejas).

Cómo ejercer tus derechos: Escribí a nuestro DPO a dpo@tesselabs.com o usá las funciones de exportación/eliminación de datos en la configuración de tu cuenta.

Derecho a reclamar: Si considerás que se han vulnerado tus derechos, podés presentar una reclamación ante tu autoridad nacional de protección de datos:

• España: Agencia Española de Protección de Datos (AEPD) — www.aepd.es
• Otros países de la UE: Consultá https://edpb.europa.eu/about-edpb/board/members_en

10.2 Derechos para Usuarios en Argentina (LPDP 25.326)

Tenés los derechos ARCO:

1. Acceso: Solicitar información sobre qué datos tenemos sobre vos
2. Rectificación: Corregir datos inexactos
3. Actualización: Actualizar datos desactualizados
4. Supresión: Solicitar la eliminación de tus datos

Plazo de respuesta: Acusaremos recibo de tu solicitud dentro de los 5 días hábiles y responderemos dentro de los 30 días conforme a los estándares de la LPDP.

Cómo ejercer tus derechos: Enviá un correo a hello@tesselabs.com con tu solicitud, o contactá a nuestro DPO a dpo@tesselabs.com.

Derecho a reclamar: Podés presentar una denuncia ante la autoridad de protección de datos de Argentina:

• Agencia de Acceso a la Información Pública (AAIP): www.argentina.gob.ar/aaip

10.3 Derechos para Usuarios en México (LFPDPPP)

Tenés los derechos ARCO:

1. Acceso: Solicitar acceso a tus datos personales
2. Rectificación: Corregir datos inexactos o incompletos
3. Cancelación: Solicitar la eliminación de tus datos
4. Oposición: Oponerte a ciertos tratamientos de datos

Plazo de respuesta: Responderemos dentro de los 20 días hábiles de recibida tu solicitud.

Cómo ejercer tus derechos: Enviá un correo a hello@tesselabs.com o usá nuestro Formulario de Solicitud de Derechos ARCO [POR DEFINIR: crear formulario].

Derecho a reclamar: Podés presentar una queja ante la autoridad de protección de datos de México:

• Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI): www.inai.org.mx

10.4 Derechos para Usuarios en California, EE.UU. (CCPA/CPRA)

Tenés derecho a:

1. Conocer: Solicitar la divulgación de qué información personal recopilamos, usamos y compartimos
2. Acceder: Solicitar una copia de tu información personal
3. Eliminar: Solicitar la eliminación de tu información personal
4. No venta: No vendemos información personal, pero podés optar por no participar si alguna vez lo hacemos
5. No discriminación: No te discriminaremos por ejercer tus derechos

Plazo de respuesta: Responderemos dentro de los 45 días (extensible a 90 días para solicitudes complejas).

Cómo ejercer tus derechos: Enviá un correo a hello@tesselabs.com o llamá al [número gratuito, POR DEFINIR].

No Vender Mi Información Personal: No vendemos información personal. Si esto cambia, actualizaremos esta política y proveeremos un mecanismo de exclusión.

10.5 Exportación y Portabilidad de Datos

Todos los usuarios (independientemente de su ubicación) pueden solicitar una exportación legible por máquina de sus datos en formato JSON. Contactanos a hello@tesselabs.com para solicitar una exportación.

11. Datos de Menores de Edad y Consentimiento Parental

11.1 Requisitos de Edad

• Usuarios de 18 años o más: Pueden usar el Servicio de forma independiente
• Usuarios menores de 18 años: Solo pueden usar el Servicio con la participación y el consentimiento de un padre, madre o tutor/a legal
• Menores de 13 años (EE.UU./COPPA): Requieren consentimiento parental verificable

11.2 Requisitos de Consentimiento Parental

Para menores de 13 años (usuarios en EE.UU.):

• Cumplimos con COPPA (Children's Online Privacy Protection Act)
• Los padres deben proporcionar consentimiento parental verificable antes de que recopilemos datos de un menor
• Fecha límite de cumplimiento COPPA: 22 de abril de 2026 (entran en vigor las nuevas reglas COPPA)
• Los padres pueden revisar, solicitar la eliminación o rechazar la recopilación adicional de los datos de su hijo/a

Para menores de 13-16 años (usuarios en la UE):

• El RGPD requiere consentimiento parental para menores por debajo de la edad de consentimiento (13-16 años, varía por país)
• En España, la edad de consentimiento es de 14 años
• Los padres deben consentir el tratamiento de datos para menores por debajo de la edad aplicable

Estado actual (al 17 de febrero de 2026):

• Mecanismo de verificación de edad: [POR DEFINIR — implementar antes del lanzamiento]
• Proceso de consentimiento parental: [POR DEFINIR — implementar antes del lanzamiento]

11.3 Derechos de Padres y Tutores

Los padres, madres y tutores legales tienen derecho a:

• Acceder a los datos de su hijo/a
• Solicitar la eliminación de los datos de su hijo/a
• Retirar el consentimiento en cualquier momento
• Controlar quién puede acceder a la información del menor en los Círculos de Cuidado

11.4 Políticas de Transición por Edad

Cuando un menor alcanza la mayoría de edad (13, 16 o 18 años, según la jurisdicción):

• [POR DEFINIR — definir el proceso de transición del control de la cuenta al individuo]
• Notificar a los padres y al individuo sobre la transición
• Obtener el consentimiento del individuo ahora mayor de edad para el tratamiento continuo de datos

11.5 Datos Sensibles de Salud de Menores

Consideraciones especiales para datos de salud de adolescentes (salud reproductiva, salud mental):

• [POR DEFINIR — definir políticas de derechos de privacidad de adolescentes en temas sensibles de salud]
• Equilibrar los derechos parentales con la privacidad del adolescente según lo requiera la ley

12. Medidas de Seguridad de Datos

Implementamos medidas de seguridad estándar de la industria para proteger tus datos:

12.1 Salvaguardas Técnicas

• Cifrado en reposo: Todos los datos almacenados en Supabase están cifrados usando AES-256
• Cifrado en tránsito: Todos los datos transmitidos sobre HTTPS/TLS 1.3
• Controles de acceso: Políticas de Seguridad a Nivel de Fila (RLS) en Supabase para restringir el acceso a datos
• Autenticación: Autenticación segura de usuarios vía Supabase Auth
• Protección de contraseñas: Contraseñas hasheadas usando bcrypt

12.2 Salvaguardas Organizacionales

• Restricciones de acceso: Solo personal autorizado puede acceder a datos de producción
• Minimización de datos: Recopilamos solo los datos necesarios para el Servicio
• Auditorías de seguridad regulares: [POR DEFINIR — definir cronograma de auditorías]
• Capacitación del personal: El personal está capacitado en protección de datos y privacidad

12.3 Limitaciones

Ningún sistema es 100% seguro. A pesar de nuestros esfuerzos, no podemos garantizar seguridad absoluta. Reconocés que:

• Pueden ocurrir accesos no autorizados, violaciones de seguridad o pérdida de datos
• Usás el Servicio bajo tu propia responsabilidad
• Sos responsable de mantener la seguridad de tus credenciales de acceso

13. Notificación de Violaciones de Datos

En caso de una violación de datos que afecte tu información personal:

13.1 Notificación a las Autoridades

• UE/España: Notificaremos a la autoridad de control correspondiente dentro de las 72 horas (RGPD, artículo 33)
• Argentina: Notificaremos a la AAIP sin dilaciones indebidas conforme a la normativa vigente
• EE.UU. (HIPAA, si aplica): Notificación al HHS dentro de los 60 días para violaciones que afecten a 500+ personas
• México: Notificación "sin demora" si la violación tiene un impacto significativo (LFPDPPP)

13.2 Notificación a los Usuarios

• Notificaremos a los usuarios afectados sin dilaciones indebidas vía correo electrónico o notificación en la app
• La notificación incluirá:
  • Naturaleza de la violación
  • Tipos de datos afectados
  • Medidas que estamos tomando para abordar la violación
  • Pasos que podés tomar para protegerte

14. Cookies y Tecnologías de Seguimiento

14.1 Tipos de Cookies que Usamos

• Cookies esenciales: Requeridas para el inicio de sesión, gestión de sesión y funcionalidad principal (no se pueden deshabilitar)
• Cookies de preferencias: Recuerdan tu idioma, tema y configuración
• Cookies de analíticas: Nos ayudan a entender cómo se usa el Servicio (PostHog)

14.2 Cookies de Terceros

Podemos usar proveedores de analíticas de terceros que establecen sus propias cookies. Consultá sus políticas de privacidad:

• PostHog: https://posthog.com/privacy

14.3 Consentimiento y Gestión de Cookies

• Usuarios de la UE/España: Obtendremos tu consentimiento antes de colocar cookies no esenciales (Directiva ePrivacy)
• Todos los usuarios: Podés gestionar las preferencias de cookies en la configuración de tu navegador
• Deshabilitar las cookies puede afectar la funcionalidad del Servicio

15. Toma de Decisiones Automatizadas y Perfilado

15.1 Funciones Basadas en IA

El Servicio usa IA para:

• Transcribir grabaciones de voz (Google Gemini vía Vertex AI)
• Extraer texto de imágenes (Google Gemini vía Vertex AI)
• Categorizar y estructurar datos médicos

15.2 Revisión Humana

Los resultados de la IA son sugerencias únicamente y NO se usan para:

• Toma de decisiones médicas automatizadas
• Decisiones automatizadas que te afecten significativamente

Siempre tenés la oportunidad de revisar, corregir y modificar el contenido generado por IA.

15.3 Derecho de Oposición (RGPD)

Los usuarios de la UE tienen derecho a oponerse al procesamiento automatizado y solicitar revisión humana. Contactá a nuestro DPO para ejercer este derecho.

16. Cambios a esta Política de Privacidad

Podemos actualizar esta Política de Privacidad periódicamente. Cuando realicemos cambios:

• Actualizaremos la fecha de "Última actualización" en la parte superior de esta política
• Para cambios sustanciales, te notificaremos vía correo electrónico o notificación en la app con al menos 30 días de anticipación
• El uso continuado del Servicio después de que los cambios entren en vigencia constituye la aceptación de la política actualizada

Te alentamos a revisar esta política periódicamente.

17. Gestión del Consentimiento

17.1 Cómo Obtenemos el Consentimiento

• Creación de cuenta: Prestás tu consentimiento al aceptar esta Política de Privacidad y nuestros Términos de Servicio durante el registro
• Consentimiento granular: Podés controlar consentimientos específicos (por ej., procesamiento por IA, analíticas) en la configuración de la cuenta [POR DEFINIR: implementar interfaz de gestión de consentimiento]

17.2 Retiro del Consentimiento

Podés retirar tu consentimiento en cualquier momento:

• Ajustando la configuración de tu cuenta
• Contactándonos a hello@tesselabs.com

Efecto del retiro: Retirar el consentimiento puede limitar la funcionalidad del Servicio o requerir la terminación de la cuenta.

18. Datos de Salud y HIPAA

Kinali está diseñada para familias que coordinan el cuidado de sus seres queridos. Kinali no es un prestador de servicios de salud, plan de salud ni una entidad de compensación de servicios de salud, y no es una "Entidad Cubierta" ni un "Asociado Comercial" según la Ley de Portabilidad y Responsabilidad del Seguro de Salud de EE.UU. (HIPAA).

Reconocemos que la información que almacenás en Kinali — incluyendo medicamentos, notas médicas y observaciones de salud — es sensible. La protegemos con medidas de seguridad estándar de la industria, incluyendo cifrado en tránsito y en reposo, controles de acceso basados en roles y obligaciones contractuales de protección de datos con nuestros proveedores de servicios.

Hemos ejecutado un HIPAA Business Associate Addendum (BAA) con Google Cloud Platform, que procesa funciones relacionadas con IA (transcripción de voz, OCR, estructuración de datos) a través de Vertex AI. Mantenemos Acuerdos de Procesamiento de Datos con todos los demás proveedores de infraestructura (Supabase, Cloudflare, Resend, PostHog).

Sin embargo, Kinali no se presenta como conforme a HIPAA. El cumplimiento total de HIPAA requiere políticas organizacionales, capacitación del personal, evaluaciones de riesgo y controles de auditoría que exceden el alcance de un BAA. Además, no todos nuestros proveedores de servicios han ejecutado BAAs.

Si sos un profesional de la salud, no uses Kinali para almacenar o procesar Información de Salud Protegida (PHI) que manejes en tu capacidad profesional.

Kinali cumple con las obligaciones aplicables de protección de datos de salud del consumidor, incluyendo la FTC Health Breach Notification Rule, que aplica a datos de salud del consumidor mantenidos por entidades que no están cubiertas por HIPAA.

19. Información de Contacto y Reclamaciones

19.1 Consultas Generales de Privacidad

Correo electrónico: hello@tesselabs.com Domicilio legal: 1209 Mountain Road PL NE, STE R, Albuquerque, NM 87110, EE.UU.

19.2 Delegado de Protección de Datos

Nombre: Guillermo Pascual Correo electrónico: dpo@tesselabs.com

19.3 Autoridades de Control

Tenés derecho a presentar una reclamación ante tu autoridad local de protección de datos:

• Argentina (AAIP): www.argentina.gob.ar/aaip
• España (AEPD): www.aepd.es
• México (INAI): www.inai.org.mx
• Estados miembros de la UE: Consultá https://edpb.europa.eu/about-edpb/board/members_en

19.4 Contactos Específicos de EE.UU.

• Fiscal General de California (CCPA): oag.ca.gov/privacy
• FTC (COPPA): www.ftc.gov

Al usar el Servicio, reconocés que leíste y comprendiste esta Política de Privacidad y prestás tu consentimiento para la recopilación, uso e intercambio de tu información personal según lo descrito en este documento.