Saltar al contenido
← Volver a inicio

Política de Privacidad de Dalia

Última actualización: 8 de mayo de 2026 Versión: 1.0.0 URL canónica: https://www.usedalia.com/es/privacy

Esta política describe cómo Cavexo LLC ("Cavexo", "nosotros", "nuestro") recopila, usa, almacena y protege la información cuando utilizas la aplicación móvil Dalia ("Dalia", "la app", "el Servicio") y los servicios web asociados en https://www.usedalia.com. Si no estás de acuerdo con esta política, por favor no instales ni uses Dalia.

1. Identidad del responsable de datos

Responsable del tratamiento: Cavexo LLC Producto: Dalia (aplicación iOS, identificador de paquete GetWellCo.Dalia) Sitio web oficial: https://www.usedalia.com Email de privacidad: privacy@usedalia.com Email legal: legal@usedalia.com Soporte de la app: support@usedalia.com Reporte de vulnerabilidades: security@usedalia.com Dirección postal: [Dirección de Cavexo LLC a completar]

Para los efectos del Reglamento General de Protección de Datos europeo (RGPD), Cavexo LLC actúa como responsable del tratamiento (data controller) en relación con los datos personales descritos en esta política.

Para los efectos de la California Consumer Privacy Act (CCPA/CPRA), Cavexo LLC actúa como business y los proveedores listados en la sección 5 actúan como service providers salvo que se indique lo contrario.

Para los efectos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) mexicana, Cavexo LLC actúa como responsable.

2. Resumen ejecutivo (lectura rápida)

En lenguaje claro:

  • Tus datos de salud se almacenan principalmente en tu iPhone, no en nuestros servidores. Esto incluye glucosa, insulina, comidas, ejercicio, perfil y notas.
  • Para el análisis de fotos de comida e insights diarios usamos servicios de inteligencia artificial: Google Cloud Vertex AI (modelo Gemini) y xAI (modelo Grok). Te enviamos lo mínimo necesario y solicitamos tu consentimiento explícito antes del primer uso.
  • No usamos tus datos para publicidad. No vendemos información a terceros. No construimos perfiles de marketing.
  • Tus datos de Apple Health nunca salen de tu dispositivo. Sólo los leemos para mostrártelos.
  • Puedes borrar todo en cualquier momento desde Ajustes → Privacidad y seguridad → Eliminar datos.
  • No te pedimos email, contraseña ni vinculación a redes sociales. Tu cuenta es anónima.

Esta sección es un resumen amistoso. Las secciones siguientes contienen los detalles legales y técnicos completos.

3. Qué datos recopilamos

Dividimos la información en tres bloques según dónde se almacena y a dónde viaja.

3.1 Datos almacenados únicamente en tu dispositivo

Estos datos viven en la base de datos local de tu iPhone (Core Data) y en el llavero del sistema (Keychain). No se sincronizan con nuestros servidores.

3.1.1 Datos de perfil

  • Nombre o apodo (opcional)
  • Edad o fecha de nacimiento
  • Peso y altura
  • Género (opcional)
  • Tipo de diabetes o condición metabólica (Tipo 1, Tipo 2, gestacional, prediabetes, sin diagnóstico)
  • Fecha aproximada de diagnóstico
  • Tratamiento (insulina, medicación oral, dieta) y método de monitoreo (CGM, glucómetro)
  • Objetivos personales de glucosa (rango mínimo y máximo)
  • Horarios de comida preferidos

3.1.2 Datos de salud y nutrición

  • Lecturas de glucosa (manuales, importadas de Apple Health, sincronizadas opcionalmente con LibreView o Nightscout)
  • Registros de ingesta: foto del alimento (opcional), nombre, ingredientes, macros estimados, carga glucémica, hora
  • Dosis de insulina (manuales)
  • Sesiones de ejercicio (manuales o importadas de Apple Health)
  • Notas y observaciones libres
  • Insights diarios generados por IA y guardados localmente
  • Historial de cierre del día y métricas agregadas

3.1.3 Credenciales de integraciones (cifradas en Keychain)

  • Si conectas LibreView: tu correo electrónico y contraseña de la cuenta Abbott
  • Si conectas Nightscout: la URL base y el API_SECRET de tu instancia
  • Token de sesión Supabase (anónimo)

3.1.4 Configuración y preferencias

  • Idioma (sistema, español, inglés)
  • Tema visual y preferencias de presentación
  • Configuración de notificaciones locales
  • Frecuencia de sincronización con CGMs

3.2 Datos recopilados en nuestro backend (Supabase)

Para operar la app y prevenir abusos, almacenamos un mínimo de información en nuestro backend, alojado en Supabase Inc. (Estados Unidos).

3.2.1 Identificación anónima

  • Un identificador UUID generado aleatoriamente en tu dispositivo en el primer uso
  • Un token de sesión (JWT) efímero para autorizar las llamadas a IA
  • No solicitamos email, contraseña, número telefónico ni vinculación a redes sociales.

3.2.2 Metadatos de uso de IA (sin contenido)

  • Modelo de IA invocado (por ejemplo, gemini-2.5-flash)
  • Endpoint utilizado y propósito (meal_analysis, day_closure)
  • Tamaño en bytes de la solicitud
  • Código de respuesta HTTP, código de error si aplica
  • Duración del procesamiento
  • Hash criptográfico de tu dirección IP (no la IP en sí, sólo un valor derivado)
  • Marca de tiempo

Importante: No almacenamos las fotos enviadas, los textos, los prompts, ni las respuestas de la IA. Lo que registramos es metadata operativa para sostener cuotas, ofrecer soporte y diagnosticar errores.

3.2.3 Registros de consentimiento

  • Versión de Política de Privacidad y Términos aceptada
  • Versión del Aviso Médico reconocida
  • Fecha y hora del consentimiento (server-side timestamp)
  • Eventos de retiro de consentimiento

3.3 Datos enviados a terceros para funcionalidades específicas

Cada uno de los siguientes envíos ocurre únicamente cuando tú activas o utilizas la función correspondiente y, en el caso de la inteligencia artificial, únicamente después de que aceptas el consentimiento explícito descrito en la sección 10.

Función Proveedor Qué se envía
Análisis de foto de comida Google Cloud Vertex AI La foto JPEG y un prompt textual
Generación de insight diario xAI Grok Cifras agregadas y contexto JSON del día (sin fotos)
Búsqueda por código de barras Open Food Facts El número del código de barras
Sincronización LibreView Abbott Tu correo y contraseña de LibreView (directo desde tu dispositivo a Abbott)
Sincronización Nightscout Tu instancia Nightscout URL y API_SECRET (directo desde tu dispositivo a tu Nightscout)
Lectura Apple Health Apple Inc. Solicitud local de lectura; los datos no salen del dispositivo

Los detalles completos de cada proveedor están en la sección 5.

3.4 Datos que NO recopilamos

Por transparencia, te informamos lo que nunca recopilamos:

  • Identificadores publicitarios (IDFA)
  • Ubicación geográfica precisa o aproximada
  • Lista de contactos
  • Calendario o recordatorios
  • Historial de navegación o búsqueda
  • Información financiera (los pagos los gestiona Apple)
  • Identificadores biométricos
  • Grabaciones de audio o vídeo
  • Información sobre otras apps instaladas en tu dispositivo
  • Fingerprinting del dispositivo

4. Cómo usamos tus datos y bases legales

Procesamos cada categoría de dato con un propósito explícito y una base legal específica bajo el RGPD.

Dato Propósito Base legal (RGPD)
Perfil y objetivos Personalizar la experiencia, calcular rangos y métricas Ejecución del contrato (Art. 6.1.b)
Glucosa, insulina, ejercicio, comidas Mostrar tu día metabólico, calcular tendencias y carga glucémica Consentimiento explícito (Art. 9.2.a, datos de salud)
Foto de alimento Análisis nutricional vía IA cuando lo solicitas Consentimiento explícito (Art. 9.2.a)
Cifras agregadas del día Generar narrativa de cierre del día Consentimiento explícito
ID anónimo y token JWT Autorizar llamadas y prevenir abuso Interés legítimo (Art. 6.1.f)
Metadatos de IA (modelo, bytes, status) Cuotas, diagnóstico, soporte Interés legítimo
Hash de IP Detección de abuso y cuotas por origen Interés legítimo
Credenciales LibreView/Nightscout Sincronizar lecturas que tú autorizas Consentimiento explícito
Apple Health (lectura) Mostrar tus métricas en Dalia Consentimiento explícito
Logs de consentimiento Cumplimiento regulatorio Obligación legal (Art. 7.1 RGPD)

4.1 Lo que NO hacemos con tus datos

  • No usamos tus datos para publicidad personalizada
  • No vendemos ni alquilamos información a terceros
  • No construimos perfiles de marketing
  • No realizamos "anonimización" reversible para revender
  • No reutilizamos datos de salud para otros propósitos
  • No entrenamos modelos públicos de IA con tu información
  • No combinamos tu información con bases de datos externas
  • No transferimos tu información a empresas afiliadas con propósitos distintos a los aquí descritos

5. Servicios de terceros e inteligencia artificial

Esta sección describe en detalle cada proveedor con el que compartimos datos para entregarte el servicio. Para cada uno indicamos: qué datos exactos se envían, dónde se procesan, durante cuánto tiempo, y si entrenan modelos con tu información.

5.1 Google Cloud Vertex AI (modelo Gemini)

Campo Detalle
Proveedor Google LLC, subsidiaria de Alphabet Inc. (Estados Unidos)
Función en Dalia Análisis multimodal de fotos de alimentos para estimar carbohidratos, macros y carga glucémica
Qué enviamos La foto JPEG del alimento y un prompt textual que describe la tarea
Cuándo enviamos Únicamente cuando confirmas el análisis después de aceptar el consentimiento de IA
Región de procesamiento us-central1 o global según el modelo (Vertex AI multi-región)
Cómo se autoriza Cuenta de servicio gestionada por Cavexo en Supabase Edge Functions; ningún token de Google se expone en la app
Política de entrenamiento Bajo nuestro contrato Vertex AI Enterprise, Google no utiliza tus datos para entrenar modelos públicos
Retención por Google Las solicitudes pueden almacenarse temporalmente (típicamente <30 días) para detección de abuso y luego se eliminan; no quedan en logs persistentes para entrenamiento
Política aplicable https://cloud.google.com/terms/data-processing-addendum
Mecanismo de transferencia (UE→US) SCC + EU-US Data Privacy Framework

5.2 xAI (modelo Grok)

Campo Detalle
Proveedor X.AI Corp. (Estados Unidos)
Función en Dalia Generación de la narrativa diaria ("cierre del día") y mensajes personalizados de insight
Qué enviamos Un objeto JSON con cifras agregadas del día (promedios de glucosa, tiempo en rango, número de comidas registradas, carga glucémica acumulada). No enviamos fotos. No enviamos identificadores personales. No enviamos credenciales.
Cuándo enviamos Sólo si aceptaste el consentimiento de IA y solicitaste un insight
Cómo se autoriza API key gestionada por Cavexo en Supabase Edge Functions; ningún secreto sale al cliente
Política de entrenamiento Bajo nuestra cuenta API empresarial, xAI no utiliza los inputs para entrenar modelos públicos
Retención por xAI Según política API enterprise, no se retiene contenido para entrenamiento
Política aplicable https://x.ai/legal/privacy-policy
Mecanismo de transferencia (UE→US) SCC

5.3 Supabase Inc.

Campo Detalle
Proveedor Supabase Inc. (Estados Unidos)
Función en Dalia Backend completo: autenticación anónima, base de datos, edge functions
Qué enviamos UUID anónimo, metadatos de uso de IA (sin payloads), logs de consentimiento
Política aplicable https://supabase.com/privacy
Mecanismo de transferencia (UE→US) SCC + EU-US Data Privacy Framework

5.4 Apple Inc.

Campo Detalle
Función en Dalia Tienda y procesamiento de pagos (App Store, In-App Purchase), lectura local de datos de salud (HealthKit), notificaciones locales (UNUserNotificationCenter)
Qué reciben Únicamente lo que Apple gestiona como parte de la plataforma (datos de compra, identificadores de dispositivo a nivel de OS)
Datos de salud Apple no recibe tus datos de salud de Dalia: HealthKit es una API local del sistema operativo y los datos nunca abandonan tu dispositivo
Política aplicable https://www.apple.com/legal/privacy/

5.5 Abbott LibreView (integración opcional)

Campo Detalle
Proveedor Abbott Diabetes Care, Inc.
Activación Sólo si tú decides conectar tu cuenta LibreView desde Ajustes
Qué enviamos Tu correo y contraseña de LibreView, directamente desde tu iPhone a la API de Abbott, sin pasar por nuestros servidores
Almacenamiento de credenciales Cifradas en el llavero (Keychain) de iOS; no salen del dispositivo
Riesgo conocido La API de LibreView no está oficialmente documentada por Abbott. La disponibilidad puede cambiar sin previo aviso. Asumes el uso de esta integración bajo tu propia responsabilidad. Esta advertencia se muestra explícitamente en la app antes de pedirte las credenciales
Política aplicable https://www.libreview.com/privacy-policy

5.6 Nightscout (integración opcional)

Campo Detalle
Naturaleza Nightscout es un proyecto de código abierto que tú mismo instancias en tu propia infraestructura
Qué enviamos La URL base de tu instancia y el API_SECRET, directamente desde tu iPhone a tu Nightscout
Almacenamiento Credenciales cifradas en Keychain
Responsabilidad La seguridad y disponibilidad de tu instancia Nightscout depende exclusivamente de ti

5.7 Open Food Facts

Campo Detalle
Proveedor Open Food Facts (organización sin fines de lucro, base de datos pública)
Función en Dalia Consulta de información nutricional por código de barras
Qué enviamos El número del código de barras escaneado; ningún dato personal ni de salud
Política aplicable https://world.openfoodfacts.org/cgi/privacy.pl

5.8 Resumen visual del flujo de datos

   ┌─────────────────┐
   │ Tu iPhone       │
   │ • Foto comida   │ ── consentimiento aceptado ──▶ Supabase Edge Function
   └─────────────────┘                                         │
                                                               ├─▶ Vertex AI (Gemini)
                                                               └─▶ xAI (Grok)
                                                               │
   ┌─────────────────┐                                         │
   │ Tu iPhone       │ ◀──── análisis nutricional ─────────────┘
   │ Core Data local │
   └─────────────────┘

   ┌─────────────────┐ ──── lectura local ──── ▶ Apple HealthKit
   │ Tu iPhone       │                           (no sale del dispositivo)
   │                 │
   │                 │ ─ tus credenciales ──▶ Abbott LibreView (opcional)
   │                 │ ─ tus credenciales ──▶ Tu Nightscout (opcional)
   │                 │ ─ código de barras ──▶ Open Food Facts (opcional)
   └─────────────────┘

5.9 Ningún otro tercero

Para confirmar la lista completa: Dalia no integra ningún otro SDK de terceros. Específicamente, no usa:

  • Firebase, Mixpanel, Amplitude, PostHog, Sentry, Crashlytics u otros analytics
  • Google AdMob, Meta Audience Network, AppLovin u otras redes publicitarias
  • AppsFlyer, Branch, Adjust u otros Mobile Measurement Partners
  • Facebook SDK, Google Sign-In u otros SDKs de social login
  • TrueCaller, Twilio u otros SDKs de comunicaciones

6. Datos de salud y Apple HealthKit

Los datos de salud reciben protección reforzada en Dalia.

6.1 Apple HealthKit

  • Dalia solicita acceso de lectura únicamente a Apple Health para los siguientes tipos: glucosa en sangre, energía gastada y entrenamientos
  • Dalia nunca escribe datos en Apple Health
  • Los datos leídos de Apple Health nunca abandonan tu dispositivo. No se envían a nuestro backend, a Vertex AI, a xAI ni a ningún tercero
  • Puedes revocar el acceso en cualquier momento desde Ajustes de iOS → Privacidad → Salud → Dalia

6.2 Cumplimiento de las directrices Apple

Cumplimos con las directrices de la App Store secciones 5.1.2(vi) y 5.1.3:

  • No usamos datos provenientes de HealthKit para publicidad ni marketing
  • No almacenamos información personal de salud en iCloud
  • No escribimos datos falsos o inexactos en HealthKit
  • No realizamos investigación médica con tus datos (si en el futuro lo hiciéramos, sería bajo consentimiento explícito y con aprobación de un comité de ética)

6.3 Datos sensibles de categoría especial

Bajo el Art. 9 del RGPD, los datos de salud son una categoría especial de datos personales. Los procesamos exclusivamente con tu consentimiento explícito (Art. 9.2.a) y con las medidas técnicas y organizativas reforzadas descritas en la sección 7.

7. Almacenamiento, cifrado y seguridad

7.1 En tu dispositivo

  • Base de datos: Core Data local, protegida por iOS Data Protection (cifrado AES con clave derivada de tu código de desbloqueo)
  • Credenciales: llavero del sistema (Keychain) con clase kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly
  • Caché de imágenes: local, eliminada al borrar datos
  • Aislamiento de proceso: la app se ejecuta en sandbox de iOS sin acceso a otras apps

7.2 En tránsito

  • Todas las llamadas a nuestros servicios y a terceros utilizan HTTPS con TLS 1.2 o superior
  • Validación de certificados activa
  • No se permiten conexiones HTTP sin cifrar
  • App Transport Security (ATS) activado en Info.plist

7.3 En nuestro backend

  • Cifrado en reposo gestionado por Supabase (AES-256)
  • Acceso a la base de datos restringido por Row Level Security (RLS)
  • Acceso de personal de Cavexo limitado por roles, audit log activado
  • Secretos (API keys de Google, xAI) almacenados en Supabase Secrets, nunca en el código del cliente
  • Rotación periódica de secretos (al menos cada 12 meses)

7.4 Compromiso OWASP

Nos esforzamos por mitigar las vulnerabilidades del OWASP Mobile Top 10. Si descubres una vulnerabilidad, contáctanos en security@usedalia.com. Nuestro programa de divulgación responsable garantiza:

  • Acuse de recibo en menos de 72 horas
  • Diagnóstico y estimación de tiempo de corrección en menos de 14 días
  • Reconocimiento al investigador (con su consentimiento) tras la publicación del fix
  • No iniciaremos acciones legales contra investigadores que actúen de buena fe dentro de las reglas estándar de divulgación responsable

7.5 Notificación de brechas

En caso de una brecha de seguridad que afecte tus datos personales:

  • Te notificaremos en la app y por correo (si lo proporcionaste) sin dilación injustificada
  • Bajo el RGPD, notificaremos a la autoridad de control competente en menos de 72 horas si la brecha presenta riesgo para tus derechos
  • Bajo CCPA/CPRA, cumpliremos con los requisitos de notificación aplicables

8. Retención y eliminación

8.1 Datos en tu dispositivo

Los datos almacenados en tu iPhone permanecen mientras la app esté instalada o hasta que tú los borres. Al desinstalar la app, iOS elimina automáticamente todos los datos locales y las credenciales del Keychain asociadas.

8.2 Datos en nuestro backend

Categoría Retención
Metadatos ai_request_events Máximo 90 días, después se eliminan automáticamente
Cuenta anónima de Supabase Activa mientras uses la app
Registros de consentimiento 5 años (obligación legal de prueba de consentimiento)
Logs de seguridad y auditoría 12 meses

8.3 Eliminación a solicitud

Puedes solicitar la eliminación completa de tus datos en cualquier momento desde Ajustes → Privacidad y seguridad → Eliminar datos. Esta acción:

  • Borra todas las entidades de Core Data (perfil, glucosa, comidas, insulina, ejercicio, insights)
  • Limpia el Keychain (LibreView, Nightscout, sesión Supabase)
  • Limpia caches (URLCache, image cache, file cache)
  • Elimina la cuenta anónima en Supabase y todas las filas asociadas en ai_request_events
  • Conserva únicamente los registros de consentimiento durante el período legal mínimo, anonimizados de manera que no puedan vincularse contigo

Plazo de cumplimiento: la eliminación local es inmediata. La eliminación en backend se completa en menos de 30 días naturales desde la solicitud.

8.4 Eliminación tras inactividad

Si no usas Dalia durante 24 meses consecutivos y no tienes una suscripción activa, podemos eliminar tu cuenta anónima y los metadatos asociados. Te avisaremos en la app antes de proceder, con al menos 30 días de antelación.

8.5 Excepciones legales

Podemos retener cierta información después de tu solicitud de eliminación cuando exista:

  • Una obligación legal de retención (por ejemplo, registros fiscales asociados a una compra)
  • Una disputa activa que requiera preservación de evidencia
  • Necesidad de prevenir fraude o uso indebido

En estos casos, retendremos sólo lo estrictamente necesario y por el tiempo mínimo exigido.

9. Tus derechos

Reconocemos los siguientes derechos en función de tu jurisdicción:

9.1 Derechos bajo el RGPD (Espacio Económico Europeo, Reino Unido y Suiza)

  • Acceso (Art. 15): obtener una copia de los datos que tenemos sobre ti
  • Rectificación (Art. 16): corregir información inexacta o incompleta
  • Supresión (Art. 17, "derecho al olvido"): solicitar la eliminación
  • Limitación del tratamiento (Art. 18)
  • Portabilidad (Art. 20): recibir tus datos en formato JSON estructurado
  • Oposición (Art. 21): oponerte al tratamiento basado en interés legítimo
  • Retiro de consentimiento (Art. 7.3) en cualquier momento, sin afectar la licitud del tratamiento previo
  • No ser objeto de decisiones automatizadas que produzcan efectos jurídicos significativos (Art. 22). Las estimaciones de IA en Dalia no producen decisiones jurídicas; son informativas
  • Reclamación ante autoridad de control: AEPD (España), CNIL (Francia), ICO (Reino Unido), Garante (Italia), BfDI (Alemania), o tu autoridad nacional

9.2 Derechos bajo CCPA/CPRA (California, Estados Unidos)

  • Derecho a saber qué información personal recopilamos
  • Derecho a eliminar la información personal
  • Derecho a corregir información inexacta
  • Derecho a no ser objeto de discriminación por ejercer tus derechos
  • Derecho a limitar el uso de información personal sensible
  • No vendemos información personal y nunca lo haremos, por lo que no aplica el derecho de opt-out de venta

9.3 Derechos bajo LFPDPPP (México)

Derechos ARCO: Acceso, Rectificación, Cancelación y Oposición. Adicionalmente:

  • Revocar consentimiento
  • Limitar el uso o divulgación
  • Acudir al INAI ante solicitudes no atendidas

9.4 Derechos en otras jurisdicciones

Reconocemos derechos análogos bajo legislaciones locales: LGPD (Brasil), Ley 19.628 (Chile), Ley 1581 de 2012 (Colombia), PDPA (Singapur), Privacy Act (Australia), entre otras. Si resides en una jurisdicción no mencionada y deseas ejercer derechos análogos, contáctanos.

9.5 Cómo ejercer tus derechos

Envía un correo a privacy@usedalia.com indicando:

  • El derecho que deseas ejercer
  • Tu identificador anónimo de Dalia (Ajustes → Privacidad y seguridad → ID de soporte)
  • Una descripción de la solicitud
  • Si aplica, evidencia que respalde tu identidad (en algunos casos podemos requerirla para evitar accesos no autorizados)

Te responderemos dentro de 30 días naturales. Si necesitamos más tiempo (casos complejos), te lo notificaremos con una extensión máxima de 60 días adicionales.

No te cobraremos por ejercer tus derechos, salvo solicitudes manifiestamente infundadas o excesivas, en cuyo caso podríamos cobrar un coste razonable o negarnos a actuar.

9.6 Persona autorizada

Puedes designar a una persona autorizada para ejercer derechos en tu nombre. Te pediremos verificación de la autorización.

10. Consentimiento granular

Dalia te permite gestionar el consentimiento por funcionalidad de manera independiente. Puedes activar y desactivar cada uno desde Ajustes → Privacidad y seguridad sin afectar a las demás:

Funcionalidad Cómo controlar Efecto si lo desactivas
Análisis de IA (Vertex + Grok) Toggle en app La app sigue funcionando con análisis manual
Apple Health Ajustes de iOS No se importan datos automáticamente; podrás registrar manualmente
LibreView Botón "Desconectar" en app Las credenciales se borran, no se sincroniza más
Nightscout Botón "Desconectar" en app Se borra la URL/SECRET, no se sincroniza más
Telemetría operativa Toggle en app No se envían eventos ai_request_events
Notificaciones locales Ajustes de iOS No se programan recordatorios

10.1 Aceptaciones requeridas

Tres consentimientos se solicitan de forma activa en la app:

  1. Aceptación de la Política de Privacidad y Términos de Uso durante el onboarding (una vez, con re-aceptación si hay cambios materiales)
  2. Reconocimiento del Aviso Médico durante el onboarding
  3. Consentimiento de IA la primera vez que utilizas una función que invoca Vertex AI o xAI Grok (separado e independiente, con modal explícito)

Cada consentimiento queda registrado con su versión y marca temporal, y puede ser retirado en cualquier momento.

10.2 Re-aceptación con cambios materiales

Si publicamos una nueva versión material de esta política, te lo notificaremos en la app y te pediremos re-aceptación antes de seguir usando las funciones afectadas.

11. Menores de edad

11.1 Niños menores de 13 años

Dalia no está dirigida a niños menores de 13 años y no recopilamos conscientemente datos de menores de 13. Si descubrimos que hemos recibido datos de un menor de 13 sin consentimiento parental verificable, los eliminaremos inmediatamente.

Si eres padre, madre o tutor y crees que tu hijo menor de 13 ha proporcionado datos a Dalia, contáctanos en privacy@usedalia.com para su eliminación inmediata.

Cumplimos con la Children's Online Privacy Protection Act (COPPA) estadounidense y normas equivalentes en otras jurisdicciones.

11.2 Adolescentes de 13 a 17 años

Para adolescentes entre 13 y 17 años se requiere consentimiento parental o del representante legal. El padre, madre o tutor debe contactarnos a privacy@usedalia.com para autorizar el uso por escrito.

Los datos de salud de menores reciben protección reforzada según el Art. 8 del RGPD: consentimiento parental obligatorio, retención mínima estricta, y opciones de configuración por defecto orientadas a privacidad.

11.3 Si eres padre, madre o tutor

Para gestionar los datos de un menor a tu cargo, escríbenos a privacy@usedalia.com adjuntando documento que acredite la relación. Puedes:

  • Acceder a los datos del menor
  • Solicitar rectificación o supresión
  • Retirar el consentimiento
  • Recibir informe periódico de uso (a solicitud)

11.4 Edades especiales por jurisdicción

Algunas jurisdicciones definen edades distintas de consentimiento digital (por ejemplo, 14 en España e Italia, 16 en Alemania). Aplicamos la edad más protectora cuando hay duda.

12. Transferencias internacionales

Algunos de nuestros proveedores (Supabase, Google, xAI) están en Estados Unidos. Cuando tus datos salen del Espacio Económico Europeo, los protegemos mediante:

  • Cláusulas Contractuales Tipo (SCC) de la Comisión Europea, en sus versiones más recientes
  • Marco de Privacidad de Datos UE-EE.UU. (Data Privacy Framework) cuando el proveedor está certificado
  • Análisis Schrems II documentado para cada transferencia, con evaluación del marco legal del país destino
  • Cifrado en tránsito y en reposo
  • Minimización: se transfieren sólo los datos estrictamente necesarios

Si quieres una copia de las SCC aplicables o del análisis Schrems II, escríbenos a privacy@usedalia.com.

13. Cookies y tecnologías similares

13.1 En la aplicación móvil

La app nativa no usa cookies. Utiliza únicamente almacenamiento local de iOS (Core Data, UserDefaults, Keychain) descrito en las secciones anteriores.

13.2 En el sitio web usedalia.com

Nuestra web utiliza:

  • Cookies estrictamente necesarias para el funcionamiento del sitio (sesión, idioma, banner de cookies)
  • Cookies analíticas anónimas (sin identificadores personales) para entender uso agregado, sólo si aceptas en el banner

No usamos:

  • Cookies de marketing o publicidad
  • Pixels de remarketing
  • Trackers cross-site
  • Fingerprinting

Puedes gestionar las cookies desde el banner de consentimiento o desde la configuración de tu navegador.

14. Cambios a esta política

Cuando actualicemos esta política de privacidad:

  • Cambiaremos la fecha de "Última actualización" y la versión semántica
  • Si los cambios son materiales (afectan al tratamiento, a tus derechos, o introducen un nuevo proveedor), te notificaremos en la app con al menos 30 días de antelación
  • Te pediremos re-aceptación expresa dentro de la app antes de aplicar los cambios materiales
  • Los cambios menores (correcciones de redacción, aclaraciones) entrarán en vigor desde la fecha de publicación

Los suscriptores Premium en activo que no acepten una nueva versión mantendrán su derecho de acceso de portabilidad (Art. 20 RGPD) durante un período razonable de transición y se les permitirá exportar sus datos antes de cualquier limitación de servicio.

El historial de versiones se mantiene en https://www.usedalia.com/es/privacy/history.

15. Contacto

Cavexo LLC

Asunto Email
Privacidad y derechos privacy@usedalia.com
Asuntos legales legal@usedalia.com
Soporte de la app support@usedalia.com
Vulnerabilidades de seguridad security@usedalia.com

Sitio web: https://www.usedalia.com Dirección postal: [Dirección de Cavexo LLC a completar]

Delegado de Protección de Datos (DPO): Si nos resulta exigible designar un DPO bajo el RGPD u otras normas equivalentes, su contacto se publicará en esta sección. Mientras tanto, todas las consultas de privacidad pueden dirigirse a privacy@usedalia.com.

16. Disclaimer médico (referencia)

Dalia es una aplicación educativa de seguimiento metabólico y nutricional. Dalia no es un dispositivo médico, no diagnostica, no trata, no previene ni cura enfermedades, y no sustituye la opinión, el diagnóstico ni el tratamiento de un profesional de la salud.

Las estimaciones generadas por IA (carga glucémica, macros, insights diarios) son informativas y deben verificarse con tu plan de tratamiento. Nunca cambies tu medicación, dosis de insulina o régimen alimentario sin consultar primero con tu médico tratante. En caso de hipoglucemia, hiperglucemia severa o emergencia, sigue tu plan médico y contacta a los servicios de emergencia locales.

El detalle completo de las limitaciones médicas está disponible en nuestro Aviso Médico: https://www.usedalia.com/es/medical-disclaimer

17. Disposiciones finales

17.1 Idioma controlante

Esta política puede estar disponible en varios idiomas. En caso de conflicto entre versiones, prevalecerá la versión en español publicada en https://www.usedalia.com/es/privacy, salvo donde la ley imperativa de tu jurisdicción exija lo contrario.

17.2 Severability

Si alguna disposición de esta política se declara inválida, ilegal o no exigible en alguna jurisdicción, esa disposición no afectará la validez del resto del documento.

17.3 Relación con otros documentos

Esta política debe leerse junto con:

En caso de conflicto entre esta Política de Privacidad y los Términos de Uso respecto al tratamiento de datos personales, prevalecerá esta Política de Privacidad.

Esta política está vigente desde el 8 de mayo de 2026. Versión 1.0.0 — Cavexo LLC

Documentos relacionados