Aviso de privacidad sobre datos de salud del consumidor

Última actualización: 30 de marzo de 2026  |  Fecha de vigencia: 30 de marzo de 2026

Este Aviso de privacidad sobre datos de salud del consumidor ("Aviso") es publicado por Wellbee App, LLC, una empresa de responsabilidad limitada de Florida que opera bajo el nombre Qire ("Empresa", "nosotros" o "nuestro"), y complementa nuestra Política de privacidad general. Este Aviso se publica de conformidad con la Ley de Mis Datos de Salud de Washington ("MHMDA"), el Proyecto de Ley 370 del Senado de Nevada, la Ley Pública de Connecticut N.º 23-56 Sección 10, y cualquier ley estatal o federal sustancialmente similar sobre privacidad de datos de salud del consumidor que pueda entrar en vigencia durante el período de este Aviso (colectivamente, "Leyes aplicables de datos de salud").

Cuando los términos usados en este Aviso estén definidos por las Leyes aplicables de datos de salud, prevalecerán las definiciones legales. En la medida en que este Aviso entre en conflicto con nuestra Política de privacidad general, este Aviso regirá en lo que respecta a los Datos de salud del consumidor.

1. Definiciones

A efectos de este Aviso:

• "Datos de salud del consumidor" significa información personal vinculada o razonablemente vinculable a un consumidor que identifica su estado de salud física o mental pasado, presente o futuro, incluidos los datos que corresponden a las categorías enumeradas en la Sección 1(8)(a)(i)-(xvi) de la MHMDA.
• "Datos biométricos" significa datos generados por la medición automática de las características biológicas de una persona, incluyendo frecuencia cardíaca, variabilidad de la frecuencia cardíaca, frecuencia respiratoria, saturación de oxígeno en sangre, actividad electrodérmica y patrones de marcha.
• "Consumidor" significa una persona natural que reside en una jurisdicción cubierta por las Leyes aplicables de datos de salud y cuyos Datos de salud del consumidor son recopilados o procesados por la Empresa.
• "Procesador" significa una persona o entidad que procesa Datos de salud del consumidor en nombre de la Empresa en virtud de un contrato vinculante.
• "Datos anonimizados" significa datos que no pueden usarse razonablemente para inferir información sobre un consumidor identificado o identificable, siempre que la Empresa haya tomado medidas razonables para garantizar que los datos no puedan asociarse a un consumidor, se comprometa públicamente a mantener y usar los datos de forma anonimizada, y obligue contractualmente a cualquier receptor a cumplir con esta definición.

2. Categorías de datos de salud del consumidor recopilados

La Empresa recopila las siguientes categorías de Datos de salud del consumidor, exclusivamente basándose en la entrada voluntaria del Consumidor o en los permisos explícitos a nivel de dispositivo:

• Mediciones fisiológicas: estatura, peso, porcentaje de grasa corporal, estimaciones de masa magra, índice de masa corporal, circunferencia de cintura y tendencias de composición corporal a lo largo del tiempo.
• Datos biométricos: frecuencia cardíaca, variabilidad de la frecuencia cardíaca (VFC), frecuencia cardíaca en reposo, saturación de oxígeno en sangre (SpO₂), frecuencia respiratoria y diferencias de temperatura cutánea. De conformidad con la Sección 5 de este Aviso, todos los Datos biométricos se procesan exclusivamente en el dispositivo físico del Consumidor y nunca se transmiten a los servidores de la Empresa.
• Datos de sueño: duración del sueño, fases del sueño (profundo, REM, ligero, despierto), latencia de inicio del sueño, puntuaciones de eficiencia del sueño y análisis de tendencias circadianas.
• Datos de nutrición: registros de alimentos, ingesta calórica, desgloses de macronutrientes y micronutrientes, horarios de comidas, ingesta de líquidos, perfiles de restricción alimentaria y declaraciones de alérgenos.
• Datos de actividad física: registros de entrenamientos, modalidades de ejercicio, series, repeticiones, cargas de peso, esfuerzo percibido, gasto de energía activa, conteo de pasos y métricas de distancia.
• Datos de recuperación y estrés fisiológico: puntuaciones de preparación para la recuperación, índices de estrés autonómico, métricas de esfuerzo, indicadores de fatiga del sistema nervioso central y estimaciones de carga cardiovascular.
• Objetivos relacionados con la salud: metas de peso, objetivos de composición corporal, metas de déficit/superávit calórico, preferencias de programación de entrenamientos y restricciones de frecuencia de entrenamiento.
• Datos de sexo biológico: sexo biológico de nacimiento, utilizado exclusivamente para cálculos de tasa metabólica basados en evidencia (Harris-Benedict, Mifflin-St Jeor) y parámetros de modelado fisiológico.

3. Finalidades de recopilación y uso

La Empresa recopila y utiliza los Datos de salud del consumidor estricta y exclusivamente para los siguientes propósitos:

• Prestación del servicio principal: perfilado metabólico, generación adaptativa de planes de comidas, programación de entrenamientos, puntuación de recuperación y análisis de salud como componentes integrales de la funcionalidad declarada de la aplicación Qire.
• Coaching asistido por IA: generación de recomendaciones de salud y fitness personalizadas y conscientes del contexto a través de la interfaz de IA conversacional de la Empresa.
• Sincronización entre dispositivos: replicación segura del contenido generado por el Consumidor (registros de alimentos, entradas de entrenamiento, resúmenes diarios) en los dispositivos autenticados del Consumidor.
• Mejora del producto: cálculo de Datos anonimizados y agregados para análisis internos destinados a mejorar la precisión algorítmica y la experiencia del usuario. No se utilizan Datos de salud del consumidor a nivel individual para este fin.

La Empresa no recopila, usa, comparte, vende ni procesa de ningún otro modo Datos de salud del consumidor con fines publicitarios, de marketing, segmentación publicitaria, perfilado conductual cruzado, intermediación de datos ni para ningún fin no divulgado expresamente en este Aviso.

4. Fuentes de datos de salud del consumidor

• Entrada directa del consumidor: registros de alimentos manuales, entradas de entrenamiento, medidas corporales, objetivos de salud y respuestas al cuestionario de incorporación proporcionados voluntariamente por el Consumidor.
• APIs de dispositivos conectados: Apple Health (HealthKit) en iOS y Health Connect en Android. Solo se accede a los datos una vez que el Consumidor otorga permisos explícitos, detallados y por categoría a través de los diálogos de permisos nativos del sistema operativo. La Empresa no accede a categorías que el Consumidor no haya autorizado.
• Contexto de sesión de IA: resúmenes de salud transitorios generados durante las sesiones de coaching con IA conversacional. Estos resúmenes se derivan de los datos que el Consumidor ya ha proporcionado y están sujetos a las mismas protecciones que los Datos de salud del consumidor subyacentes.

5. Arquitectura técnica de datos y salvaguardas

La Empresa mantiene una arquitectura de datos estrictamente por niveles diseñada para minimizar el volumen de Datos de salud del consumidor transmitidos fuera del dispositivo:

• Nivel 1 — Procesamiento exclusivo en dispositivo: todos los flujos de Datos biométricos sin procesar (frecuencia cardíaca continua, muestras de VFC, frecuencia respiratoria, señales de estadificación del sueño, datos del acelerómetro) se procesan exclusivamente en el dispositivo físico del Consumidor. Estos datos nunca salen del dispositivo, nunca se transmiten a la infraestructura de la Empresa y no son accesibles para ningún empleado, contratista o sistema automatizado de la Empresa.
• Nivel 2 — Sincronización cifrada en la nube: el contenido generado por el Consumidor (registros de alimentos, entradas de entrenamiento, resúmenes diarios y puntuaciones derivadas) se sincroniza a través de conexiones cifradas TLS 1.3 a la infraestructura de base de datos gestionada por la Empresa. Todos los datos sincronizados están protegidos por políticas de seguridad a nivel de fila (RLS) de PostgreSQL que refuerzan criptográficamente el aislamiento de datos por usuario.
• Nivel 3 — Procesamiento transitorio de IA: el contexto de salud resumido proporcionado a los endpoints de inferencia de IA de terceros se transmite durante la sesión, no es persistido por el proveedor externo y está contractualmente excluido de los conjuntos de datos de entrenamiento del proveedor.

Las salvaguardas técnicas adicionales incluyen, entre otras: cifrado AES-256-GCM en reposo, TLS 1.3 para todos los datos en tránsito, aislamiento de base de datos por usuario mediante políticas RLS y rotación automática de claves cada 90 días.

6. Compartición con terceros y subprocesadores

La Empresa no vende Datos de salud del consumidor. La Empresa nunca ha vendido Datos de salud del consumidor. La Empresa no venderá Datos de salud del consumidor.

La Empresa comparte Datos de salud del consumidor exclusivamente con las siguientes categorías de Procesadores, cada uno operando bajo un Acuerdo de procesamiento de datos ("DPA") que prohíbe contractualmente cualquier uso secundario, procesamiento independiente o transferencia posterior de Datos de salud del consumidor:

• Proveedor de infraestructura en la nube (Supabase/AWS): servicios de almacenamiento y sincronización de bases de datos cifradas. Los Datos de salud del consumidor se almacenan en instancias de PostgreSQL protegidas por RLS con residencia geográfica en Estados Unidos.
• Proveedor de inferencia de IA (Google Cloud / Gemini API): recibe contexto de salud resumido (no flujos biométricos sin procesar) con el fin de generar respuestas de coaching. Los datos transmitidos a la API Gemini de Google se rigen por el Adendum de procesamiento de datos en la nube de Google y están contractualmente exentos del entrenamiento de modelos.
• Proveedor de base de datos de alimentos: recibe consultas de nombres de alimentos anonimizados para la búsqueda de datos nutricionales. No se transmite ningún Dato de salud del consumidor ni información de identificación personal a los proveedores de datos de alimentos.

7. Arquitectura de consentimiento

De conformidad con la Sección 5 de la MHMDA, la Empresa obtiene el consentimiento válido y voluntario para la recopilación de Datos de salud del consumidor de la siguiente manera:

• Consentimiento en la incorporación: durante la creación inicial de la cuenta, se presenta al Consumidor una divulgación clara y visible de las categorías de Datos de salud del consumidor que se recopilarán y los fines de dicha recopilación. El Consumidor debe consentir de forma afirmativa antes de que se recopile cualquier Dato de salud del consumidor.
• Permisos de API del dispositivo: el acceso a los datos de HealthKit y Health Connect requiere un consentimiento separado, detallado y por categoría a través del marco de permisos nativo del sistema operativo. La Empresa respeta las decisiones del Consumidor por categoría y no condiciona el servicio a la concesión de todos los permisos solicitados.
• Consentimiento para el coaching con IA: antes de la primera interacción de coaching con IA, se informa al Consumidor de que se transmitirán datos de salud resumidos al proveedor de inferencia de IA, y debe consentir afirmativamente este procesamiento.

El consentimiento puede retirarse en cualquier momento mediante los mecanismos descritos en la Sección 8 de este Aviso. La retirada del consentimiento no afecta a la legitimidad del procesamiento realizado antes de dicha retirada.

8. Derechos del consumidor

Bajo las Leyes aplicables de datos de salud, los Consumidores tienen los siguientes derechos con respecto a sus Datos de salud del consumidor:

• Derecho de acceso: el derecho a confirmar si la Empresa está recopilando, compartiendo o vendiendo Datos de salud del consumidor sobre el Consumidor, y a obtener una copia de dichos datos en un formato portable y legible por máquina.
• Derecho de eliminación: el derecho a solicitar la eliminación de los Datos de salud del consumidor. Los Consumidores pueden ejercer este derecho directamente a través de la aplicación Qire (Ajustes → Cuenta → Eliminar cuenta) o contactando con la Empresa. Ante una solicitud de eliminación verificada, la Empresa eliminará permanentemente los datos del Consumidor de todos los sistemas de producción en un plazo de treinta (30) días naturales y de los sistemas de copia de seguridad en un plazo de noventa (90) días naturales.
• Derecho a retirar el consentimiento: el derecho a revocar el consentimiento previamente otorgado. Para los permisos de HealthKit/Health Connect, el consentimiento se retira a través de la configuración del sistema del dispositivo. Para el consentimiento de coaching con IA, el consentimiento puede retirarse a través de la configuración de la aplicación.

Para ejercer cualquier derecho de esta sección, comuníquese con la Empresa en privacy@qire.app con el asunto "Solicitud de derechos sobre datos de salud del consumidor". La Empresa autenticará la solicitud a través de la dirección de correo electrónico asociada a la cuenta del Consumidor y responderá en un plazo de treinta (30) días naturales a partir de la recepción, o en el plazo más corto exigido por las Leyes aplicables de datos de salud.

9. Retención de datos

Los Datos de salud del consumidor se conservan durante la vigencia de la cuenta activa del Consumidor. Tras la eliminación de la cuenta (ya sea iniciada por el Consumidor o por la Empresa), los Datos de salud del consumidor son:

• Eliminados de las bases de datos de producción en un plazo de 30 días naturales;
• Eliminados de los sistemas de copia de seguridad cifrados en un plazo de 90 días naturales;
• Excluidos de cualquier nuevo cálculo de Datos anonimizados a partir de la fecha de la solicitud de eliminación.

La Empresa no conserva los Datos de salud del consumidor más allá de los períodos indicados, salvo que la retención sea exigida por la ley aplicable, la normativa o un proceso legal válido.

10. Prohibición de geoperimetraje

De conformidad con la Sección 8 de la MHMDA, la Empresa no implementa tecnología de geoperimetraje alrededor de ningún centro de atención médica, centro de salud mental, centro de salud reproductiva o centro de tratamiento de trastornos por uso de sustancias con el fin de identificar, rastrear, recopilar datos o enviar notificaciones a los Consumidores.

11. Notificación de violaciones de datos

En caso de una violación de seguridad que involucre Datos de salud del consumidor, la Empresa notificará a los Consumidores afectados y a las autoridades estatales aplicables dentro de los plazos y mediante los mecanismos exigidos por la Sección 7 de la MHMDA, NRS 603A.220 y cualquier otra ley de notificación de infracciones aplicable.

12. Cambios en este Aviso

La Empresa se reserva el derecho de modificar este Aviso. Los cambios sustanciales se comunicarán a través de la aplicación Qire y/o por correo electrónico a la dirección asociada a la cuenta del Consumidor. El uso continuado del Servicio tras la fecha de vigencia de cualquier modificación constituye la aceptación del Aviso modificado en lo que respecta a los Datos de salud del consumidor recopilados después de dicha modificación.

13. Información de contacto

• Equipo de privacidad: privacy@qire.app
• Departamento legal: legal@qire.app
• Dirección corporativa: Wellbee App, LLC, 7901 4th St N, Ste 9076, Saint Petersburg, FL 33702, Estados Unidos