Última actualización: April 2026
1. Introducción
El Centro de Ayurveda valora tu privacidad y se compromete a proteger tus datos personales. Esta Política de Privacidad explica cómo recogemos, utilizamos, almacenamos, compartimos y protegemos tu información cuando utilizas la plataforma Vashist. Esta política cumple con el Reglamento General de Protección de Datos (RGPD — Reglamento (UE) 2016/679).
2. Datos que Recogemos
Recogemos las siguientes categorías de información:
- Datos personales: nombre, email, contraseña (almacenada como hash bcrypt, nunca en texto plano).
- Datos de bienestar: resultados de los cuestionarios (Prakriti, Vikriti, Koshta, Guna, Ojas), preferencias alimentarias, objetivos personales, historial de prácticas y remedios. Estos datos son autoinformados con fines de bienestar — no son datos clínicos médicos.
- Datos de uso: conversaciones con el chat de IA, progreso en rutinas y protocolos, historial de actividad en la plataforma, interacciones con la comunidad.
- Datos técnicos: dirección IP, tipo de dispositivo, navegador, identificadores de sesión y cookies, registros de acceso.
3. Cómo Utilizamos tus Datos
Tratamos tus datos sobre la base de las siguientes bases jurídicas (Art. 6 RGPD): ejecución del contrato de suscripción, consentimiento (para funcionalidades opcionales como la memoria persistente Mem0) e interés legítimo (seguridad, prevención del fraude). Utilizamos tus datos para:
- Prestar y mantener nuestros servicios (autenticación, sesiones, suscripciones).
- Personalizar las recomendaciones y el contenido ayurvédico en función de tu dosha y de tu historial.
- Comunicarnos contigo sobre tu cuenta, actualizaciones y soporte.
- Mejorar y desarrollar nuevas funcionalidades en la plataforma (siempre con datos agregados o seudonimizados cuando sea posible).
4. Seguridad de los Datos
Implementamos medidas de seguridad técnicas y organizativas adecuadas para proteger tus datos personales, entre ellas: cifrado SSL/TLS para todas las comunicaciones, almacenamiento seguro de contraseñas con hash bcrypt, tokens JWT con rotación de refresh tokens, sesiones gestionadas en Redis con expiración configurable, acceso a los datos personales restringido al personal autorizado y monitorización de seguridad y copias de seguridad regulares.
5. Cookies y Tecnologías Similares
Utilizamos únicamente cookies estrictamente necesarias y funcionales — no utilizamos cookies de publicidad ni de seguimiento de terceros con fines de marketing.
- Cookies esenciales (autenticación): mantienen tu sesión activa y protegen frente a CSRF. Sin estas cookies, la plataforma no funciona.
- Cookies de sesión: almacenan preferencias temporales durante tu visita.
- Almacenamiento local (localStorage): guarda las preferencias de idioma, el tema visual y el estado de los avisos descartados.
- Análisis interno: medimos métricas agregadas de uso (sin identificadores individuales) para mejorar el producto.
6. Compartición con Terceros
No vendemos ni compartimos tus datos personales con terceros con fines de marketing. Compartimos datos únicamente con los subprocesadores listados en la sección 7, que nos ayudan a operar la plataforma bajo acuerdos de tratamiento de datos (DPA). También podemos divulgar datos cuando lo exija la ley o para proteger nuestros derechos legales.
7. Subprocesadores
Para prestar el servicio Vashist, contratamos a los siguientes subprocesadores. Cada uno opera bajo un acuerdo de tratamiento de datos (DPA) conforme con el RGPD. Las transferencias de datos fuera del EEE están protegidas por las Cláusulas Contractuales Tipo (CCT) de la Comisión Europea.
| Proveedor | Finalidad | Datos tratados | Región |
|---|---|---|---|
| Hostinger | Alojamiento de la aplicación (VPS) y base de datos. | Todos los datos de la cuenta y de la aplicación. | UE (Lituania / Países Bajos) |
| Stripe | Procesamiento de pagos y gestión de suscripciones. | Email, nombre de facturación, últimos 4 dígitos de la tarjeta, historial de transacciones. | UE / EE. UU. (CCT) |
| Resend | Envío de emails transaccionales (verificación, recuperación de contraseña, notificaciones). | Email y contenido del mensaje. | EE. UU. (CCT) |
| OpenRouter | Enrutamiento de solicitudes a modelos de IA. | Mensajes de la conversación de IA (sin identificadores personales directos cuando sea posible). | EE. UU. (CCT) |
| Anthropic (Claude) | Modelo de lenguaje para el chat de IA, embeddings y gurus. | Mensajes enviados al chat. Anthropic no entrena sus modelos con los datos de la API. | EE. UU. (CCT) |
| OpenAI (GPT) | Modelo de lenguaje alternativo y embeddings. | Mensajes enviados al chat. OpenAI no entrena sus modelos con los datos de la API. | EE. UU. (CCT) |
| Google (Gemini, OAuth, Calendar) | Modelo alternativo, inicio de sesión OAuth (opcional), sincronización de calendario (opcional). | Solo si activas OAuth/Calendar: nombre, email de Google, eventos de calendario creados por Vashist. | EE. UU. (CCT) |
| Mem0 | Memoria persistente del chat de IA (solo usuarios PRO que activen la funcionalidad). | Resúmenes contextuales derivados de tus conversaciones (dosha, preferencias, historial de temas). | EE. UU. (CCT) |
| Langfuse | Observabilidad y calidad de las respuestas de IA (latencia, costes, señalización de errores). | Metadatos de llamadas de IA y muestras de prompts/respuestas. | UE (Alemania) — autoalojado cuando sea aplicable |
Esta lista puede actualizarse a medida que la infraestructura evoluciona. Te notificaremos los cambios materiales con 30 días de antelación.
8. Ubicación y Transferencia de Datos
La base de datos principal y la caché de sesiones están alojadas en la Unión Europea (Hostinger VPS). Algunas operaciones de IA, el procesamiento de pagos y el envío de emails implican transferencias a Estados Unidos, siempre cubiertas por las Cláusulas Contractuales Tipo (CCT) de la Comisión Europea. No realizamos transferencias a países sin un nivel de protección adecuado.
9. Tus Derechos (RGPD Art. 15 a 22)
En virtud del RGPD, tienes los siguientes derechos. Puedes ejercerlos en cualquier momento contactando con nosotros en el email indicado en la sección 12 — responderemos en un plazo máximo de 30 días.
- Derecho de acceso (Art. 15): obtener una copia de tus datos personales.
- Derecho de rectificación (Art. 16): corregir datos inexactos o incompletos.
- Derecho de supresión (Art. 17 — "derecho al olvido"): solicitar la eliminación de tus datos.
- Derecho a la limitación del tratamiento (Art. 18): solicitar la suspensión temporal del tratamiento.
- Derecho a la portabilidad (Art. 20): recibir tus datos en un formato estructurado y transferirlos a otro responsable.
- Derecho de oposición (Art. 21): oponerte al tratamiento de tus datos, incluida la personalización basada en IA.
- Derechos relativos a decisiones automatizadas (Art. 22): Vashist no toma decisiones legales basadas exclusivamente en tratamiento automatizado.
- Derecho a presentar una reclamación ante la autoridad de control: en Portugal, ante la Comissão Nacional de Proteção de Dados (CNPD).
10. Conservación de Datos
Conservamos tus datos únicamente el tiempo necesario, conforme a la tabla siguiente, salvo que sea aplicable un plazo legal más largo (p. ej., obligaciones fiscales).
- Cuenta de usuario: mientras la cuenta esté activa. Tras la eliminación de la cuenta, los datos personales se borran en un plazo de 30 días.
- Datos de bienestar (cuestionarios, historial de prácticas): mientras la cuenta esté activa. Se eliminan junto con la cuenta.
- Conversaciones de IA: 12 meses tras la última interacción, salvo que el usuario las elimine antes.
- Mem0 (memoria persistente PRO): se borra de inmediato cuando el usuario desactiva la memoria o elimina la cuenta.
- Registros técnicos y de seguridad: 90 días.
- Facturación y datos fiscales: 10 años (obligación legal portuguesa).
11. Cambios en Esta Política
Podemos actualizar esta Política de Privacidad periódicamente. Te notificaremos los cambios materiales con 30 días de antelación a través del email registrado o mediante un aviso visible en la plataforma. Te recomendamos que revises esta política con regularidad.
12. Contacto y DPO
Para ejercer tus derechos, resolver dudas o presentar una reclamación relativa a la privacidad, contacta con nuestro Delegado de Protección de Datos (DPO):
Email: vashist@centrodeayurveda.com
Dirección: Rua Ernestino Elisiário Antunes, 108 Bicesse. 2645-361 Alcabideche. Portugal