Política de privacidad

Última actualización: marzo de 2026

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales recogidos a través de rarepath.org es:

• Titular: Rarepath — ver Aviso legal
• Contacto de privacidad: contacto@rarepath.org

2. Datos que recogemos

Rarepath no recoge ni almacena datos personales identificables. En concreto:

• Las conversaciones se almacenan asociadas a un identificador de sesión aleatorio (UUID), no vinculado a ningún usuario, cuenta, nombre, email ni dirección IP.
• No pedimos registro ni inicio de sesión.
• No usamos cookies de seguimiento ni publicidad.
• No compartimos datos con terceros salvo con los encargados del tratamiento necesarios para operar el servicio: Anthropic (procesamiento de lenguaje natural mediante IA), Supabase (base de datos — región Irlanda, UE), Railway (infraestructura de alojamiento) y Sentry (monitorización de errores). Todos operan bajo contratos de encargado de tratamiento (DPA) conforme al RGPD.

Las conversaciones pueden contener información relacionada con la salud que el propio usuario introduce voluntariamente (diagnóstico, síntomas, situación médica). Rarepath trata esta información como datos de categoría especial (art. 9 RGPD) y obtiene el consentimiento explícito del usuario antes del inicio de cada sesión de chat.

3. Finalidad del tratamiento

El contenido de las conversaciones vinculado al UUID de sesión se usa exclusivamente para mantener el contexto conversacional. No se usa para entrenar modelos de IA, ni para análisis, ni para marketing.

Si el usuario acepta las cookies analíticas, Google Analytics recopila datos de uso anónimos (páginas visitadas, tiempo de sesión) para mejorar el servicio. Consulta nuestra Política de cookies.

4. Base legal (RGPD)

• Conversaciones: Consentimiento explícito del usuario (art. 9.2.a RGPD) para el tratamiento de datos especiales (información sobre salud). El usuario presta su consentimiento antes de acceder a la primera sesión de chat.
• Cookies analíticas: Consentimiento del usuario (art. 6.1.a RGPD), otorgado a través del banner de cookies.
• Monitorización de errores (Sentry): Interés legítimo del responsable para mantener la seguridad y disponibilidad del servicio (art. 6.1.f RGPD). No se capturan datos clínicos ni mensajes de conversación en los reportes de Sentry.

5. Conservación de datos

Las sesiones y mensajes se conservan durante un máximo de 30 días desde la última interacción, tras los cuales se eliminan automáticamente.

6. Transferencias internacionales

Los siguientes encargados del tratamiento pueden procesar datos fuera del Espacio Económico Europeo:

• Anthropic (EE.UU.): Actúa como Encargado del Tratamiento bajo DPA incorporado en sus Commercial Terms. Los datos enviados vía API se eliminan en 7 días y nunca se usan para entrenar modelos. Transferencias cubiertas por SCCs UE (Módulos 2 y 3, jurisdicción irlandesa).
• Google Analytics (EE.UU.): Opera bajo el Data Privacy Framework (Decisión de Adecuación de la Comisión, julio 2023). IP anónima activada.
• Supabase (Irlanda, UE): Base de datos alojada en eu-west-1. Sin transferencia internacional — datos permanecen en el EEE.
• Sentry (EE.UU.): Ofrece DPA con garantías de transferencia conforme a CCT.
• Railway (EE.UU.): Infraestructura de alojamiento del backend. Opera bajo DPA disponible en railway.app/legal con Cláusulas Contractuales Tipo (CCT) para transferencias EEE-EE.UU. No aloja la base de datos (ubicada en Supabase, Irlanda).

Las transferencias fuera del EEE (Anthropic, Sentry, Railway) se basan en garantías adecuadas conforme a los arts. 44-49 RGPD. La base de datos principal (Supabase) permanece dentro de la UE (Irlanda).

7. Tus derechos

Tienes derecho a solicitar el ejercicio de los derechos ARCO+ (acceso, rectificación, supresión, portabilidad, limitación y oposición) conforme a los arts. 12-23 RGPD:

• Acceso a tus datos: Puedes solicitar copia de tus conversaciones asociadas a tu UUID de sesión.
• Supresión: Puedes solicitar la eliminación de tus conversaciones en cualquier momento. Contacta con contacto@rarepath.org con tu UUID de sesión.
• Otros derechos: Para rectificación, portabilidad u oposición, contacta con contacto@rarepath.org.

Plazo de respuesta: Las solicitudes serán respondidas en un máximo de 1 mes desde su recepción, ampliable a 3 meses si la complejidad lo requiere (art. 12 RGPD).

También tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).

8. Herramienta no médica

Rarepath es una herramienta informativa. No almacena datos clínicos, diagnósticos ni información médica personal identificable. Las respuestas de la IA son orientativas y no constituyen consejo médico profesional.