Política de privacidad
Última actualización: 17 de marzo de 2026
Introducción a nuestra política de privacidad
¡Bienvenido a BloodSense! Atención médica inteligente Ltd. SMC (“nosotros”, “nos” o “nuestro/a”) está profundamente comprometida con la protección de la privacidad y la seguridad de sus datos personales. BloodSense es una marca comercial de SMC, una empresa registrada en Inglaterra y Gales (Número de registro mercantil: 15309552).
Esta Política de Privacidad explica cómo recopilamos, usamos, compartimos, almacenamos y protegemos sus datos personales cuando utiliza nuestro sitio web bloodsense.ai (el “Sitio”) y nuestros servicios de explicación de resultados de laboratorio basados en inteligencia artificial (los “Servicios”). También le informa sobre sus derechos de protección de datos y las vías de recurso disponibles.
Le recomendamos leer detenidamente esta Política de Privacidad. Al utilizar nuestros Servicios, usted reconoce haberla revisado. El tratamiento de sus datos de salud se basa en su consentimiento explícito, obtenido por separado.
1. Responsable del tratamiento de datos y contacto de privacidad
Nuestro papel como responsable del tratamiento de datos
El responsable del tratamiento de sus datos personales es:
- Compañía: Atención médica inteligente Ltd.
- Tipo de empresa: Sociedad de responsabilidad limitada (en inglés)“
- Domicilio Social: 167-169 Great Portland Street, 5th Floor, London, W1W 5PF, Reino Unido
- Número de registro: 15309552
- Correo electrónico de contacto: contact@bloodsense.ai
Su contacto de privacidad
Para cualquier pregunta relacionada con esta política, con sus datos personales o para ejercer sus derechos, puede ponerse en contacto con nuestro Responsable de Privacidad. Correo electrónico: contact@bloodsense.ai
Presencia en el Espacio Económico Europeo
SMC opera en coordinación con Smart Medical Care SAS Smart Medical Care SAS (sociedad por acciones simplificada según la legislación francesa, RCS Nice 932 924 194), con domicilio social en 37 Avenue Maréchal Foch, 06000 Niza, Francia. Smart Medical Care SAS presta servicios dentro del Espacio Económico Europeo (EEE) y también puede servir como punto de contacto para usuarios del EEE en relación con cuestiones relativas a la protección de sus datos.
Para los usuarios residentes en el EEE, todos los datos de salud procesados a través del servicio BloodSense se alojan exclusivamente en servidores de Microsoft Azure ubicados en Francia, beneficiándose de la certificación francesa de alojamiento de datos de salud. Esto garantiza el cumplimiento de los requisitos reglamentarios europeos más estrictos en materia de datos sanitarios sensibles.
Nota importante: En esta etapa, SMC no ha designado un Delegado de Protección de Datos (DPD) en el sentido de los artículos 37 a 39 del RGPD. Julien P. es nuestro contacto de privacidad y principal punto de contacto para todas las preguntas relacionadas con la protección de sus datos personales.
2. Alcance de esta Política
Esta Política de Privacidad se aplica a todos los datos personales procesados a través del sitio web de BloodSense (bloodsense.ai) y los Servicios de BloodSense, independientemente de su país de residencia. Se aplica a los usuarios del Espacio Económico Europeo (EEE), el Reino Unido, los Estados Unidos y todas las demás jurisdicciones desde las que se pueda acceder a los Servicios.
Cuando se aplican disposiciones específicas a los usuarios de determinadas jurisdicciones (por ejemplo, derechos adicionales en virtud del RGPD para los usuarios del EEE/Reino Unido, o derechos específicos del estado para los usuarios de EE. UU.), estas se identifican claramente en las secciones correspondientes.
3. Datos personales que recopilamos
Recopilamos las siguientes categorías de datos personales para proporcionar y mejorar nuestros Servicios:
- Datos de identificación y contacto: Nombre y dirección de correo electrónico. Usamos su nombre principalmente para facilitar la pseudonimización (eliminación de identificadores directos) de su informe de análisis antes del procesamiento por IA. Usamos su dirección de correo electrónico para enviarle el informe generado por IA.
- Datos de salud y contextuales (categorías especiales de datos): Esto incluye el archivo de su informe de análisis de laboratorio (sangre, orina, heces) que usted sube, y la información contextual que proporciona a través de nuestro formulario en línea para ayudarnos a generar una explicación más pertinente: edad, sexo, estatura, peso, antecedentes médicos personales y familiares, alergias, medicamentos, síntomas, hábitos de vida y motivo del análisis. Esta información constituye datos de salud y está sujeta a mayores protecciones según las leyes de protección de datos aplicables.
- Datos de la transacción: La información relativa a su compra del Servicio es procesada directamente por nuestro proveedor de pagos, Stripe, Inc. No almacenamos la información completa de su tarjeta de crédito. Su historial de transacciones se conserva con nosotros para fines contables y de cumplimiento legal.
- Datos técnicos de uso e interacción: Información sobre cómo interactúa usted con nuestro sitio web y servicios, recopilada mediante herramientas de análisis como Microsoft Clarity y Google Analytics (con su consentimiento a través de nuestro banner de cookies). Esto puede incluir su dirección IP (truncada cuando sea posible), tipo de navegador, páginas visitadas, tiempo de permanencia, clics y recorrido del usuario.
- Datos procedentes de cookies y tecnologías similares: Recopilamos información mediante cookies al navegar por nuestro sitio web, de acuerdo con sus preferencias de consentimiento expresadas en nuestro banner de cookies. Esto incluye datos para el análisis de audiencia y, si lo autoriza, para analizar el rendimiento de las campañas publicitarias (Google Ads). Para obtener información detallada sobre los tipos de cookies que utilizamos, sus finalidades y cómo gestionar sus preferencias, consulte la sección 11 de esta Política de Privacidad.
- Datos de comunicación: Cualquier información que proporcione cuando se ponga en contacto con nuestro servicio de atención al cliente o nos dé su opinión.
4. Cómo utilizamos sus datos personales (fines y bases legales)
- Para prestar el servicio BloodSense: Utilizamos sus datos de identificación, datos de salud y contextuales, así como la información que usted carga, para analizar su informe y generar la explicación de IA solicitada. La base legal principal para el tratamiento de datos de salud es su consentimiento explícito (requerido según el artículo 9, apartado 2, letra a) del RGPD), que recabamos mediante una casilla de verificación obligatoria antes de que comience el procesamiento de su informe. En el caso de datos que no sean de salud, la base legal es la necesidad para la ejecución de un contrato (artículo 6, apartado 1, letra b) del RGPD).
- Para facilitar la pseudonimización de su información: Utilizamos su nombre para eliminar los identificadores directos del documento antes del análisis mediante IA. Este proceso constituye una seudonimización según lo define el artículo 4(5) del RGPD: sus datos de salud ya no pueden atribuirse a usted sin utilizar información adicional (su dirección de correo electrónico), que se conserva por separado. Este tratamiento es necesario para la ejecución del contrato (RGPD, art. 6(1)(b)) y se enmarca dentro del ámbito del tratamiento basado en su consentimiento explícito para los datos de salud (RGPD, art. 9(2)(a)).
- Para enviar el informe generado por la IA: Utilizamos su dirección de correo electrónico y el informe generado para entregarle el resultado de nuestro servicio. La base legal es la necesidad para la ejecución de un contrato (RGPD, art. 6(1)(b)).
- Para gestionar su cuenta de usuario (si aplica) y la relación con el cliente: Utilizamos sus Datos de identificación, de Contacto y de Transacciones para gestionar su cuenta y nuestra relación comercial. La base jurídica es la necesidad para la ejecución de un contrato (Art. 6(1)(b) del RGPD).
- Para procesar los pagos: Utilizamos sus Datos de identificación, de Contacto y de Transacciones para permitir el procesamiento seguro de los pagos a través de nuestro proveedor Stripe. La base jurídica es la necesidad para la ejecución de un contrato (Art. 6(1)(b) del RGPD).
- Para analizar el uso del sitio y del servicio con fines de mejora y seguridad: Utilizamos los Datos de uso y los datos de las Cookies (Analíticas como Microsoft Clarity, Google Analytics). La base jurídica para el uso de cookies no esenciales es su Consentimiento (Art. 6(1)(a) del RGPD), recopilado a través del banner de cookies. Para los aspectos relacionados con la seguridad del servicio, la base jurídica es nuestro Interés legítimo (Art. 6(1)(f) del RGPD).
- Para mejorar nuestros modelos de IA: Para ayudarnos a mejorar nuestro servicio para todos, podemos utilizar sus datos tras un proceso irreversible de agregación y anonimización (que imposibilita su identificación, incluso mediante referencias cruzadas) para entrenar y mejorar nuestros algoritmos. Tal como se detalla en nuestras Condiciones del servicio, usted siempre tiene derecho a oponerse a este proceso contactándonos en contact@bloodsense.ai. Este tratamiento se basa en nuestro interés legítimo (RGPD, art. 6(1)(f)), sin perjuicio de su derecho de oposición.
- Para analizar la eficacia de las campañas de marketing: Podemos utilizar datos de cookies (publicidad/marketing, como las de Google Ads). La base legal es su consentimiento (RGPD, art. 6(1)(a)).
- Para responder a sus solicitudes: Utilizamos sus Datos de identificación, de Contacto y de Comunicación cuando se pone en contacto con el servicio de atención al cliente o hace preguntas. La base jurídica es la necesidad para la ejecución de un contrato (Art. 6(1)(b) del RGPD) o nuestro Interés legítimo (Art. 6(1)(f) del RGPD) para responder a sus consultas.
- Para cumplir con las obligaciones legales y regulatorias: Podemos tratar datos personales para cumplir obligaciones legales (GDPR Art. 6(1)(c)).
Pseudonimización y mejora de la IA
Nuestra herramienta interna elimina sus datos de identificación directa (nombre) de su análisis de laboratorio antes de cualquier análisis de IA. Este proceso constituye una pseudonimización según lo define el artículo 4(5) del RGPD: sus datos de salud ya no son directamente identificativos, pero siguen siendo datos personales en el sentido de las leyes de protección de datos aplicables, siempre que puedan vincularse a usted a través de su dirección de correo electrónico. La información adicional necesaria para volver a identificar los datos (su dirección de correo electrónico) se conserva por separado y está sujeta a medidas técnicas y organizativas para garantizar la no atribución.
Posteriormente, tras un proceso adicional de agregación y anonimización irreversibles (que imposibilita su identificación, incluso mediante referencias cruzadas), podremos utilizar estos datos seudonimizados para entrenar y mejorar nuestros modelos de IA y así lograr explicaciones más precisas y útiles. Una vez anonimizados de forma irreversible, los datos dejan de considerarse datos personales según el RGPD y pueden conservarse indefinidamente. Este tratamiento se basa en nuestro interés legítimo. Usted tiene derecho a oponerse al uso de sus datos para la mejora de los modelos de IA en cualquier momento enviando un correo electrónico a contact@bloodsense.ai, tal como se indica en nuestros Términos de Servicio.
5. Compartir tus datos personales
No vendemos sus datos personales. Podemos compartir sus datos personales con terceros únicamente en los siguientes casos y con las garantías adecuadas:
Proveedores de servicios (subprocesadores)
- Alojamiento: Microsoft Azure (Microsoft Ireland Operations Limited para usuarios del EEE, con servidores ubicados en Francia que cuentan con la certificación de Alojamiento de Datos de Salud — HDS —; Microsoft Corporation para usuarios fuera del EEE, con servidores ubicados en Estados Unidos), para el alojamiento seguro de nuestros sistemas y sus datos.
- Procesamiento de pagos: Stripe, Inc. (con sede en Estados Unidos) procesa sus pagos de forma segura. Stripe puede recopilar directamente sus datos de pago.
- Proveedor de infraestructura de IA: OpenRouter, Inc. (con sede en Estados Unidos) utiliza modelos de IA de terceros para generar su informe. Solo enviamos datos anonimizados a OpenRouter; su nombre e identificadores directos se eliminan mediante nuestros sistemas internos antes de cualquier transferencia. OpenRouter y los proveedores de los modelos de IA subyacentes nunca tienen acceso a su información de identificación personal.
- Entrega de correos electrónicos transaccionales: Utilizamos SendGrid (Twilio Inc.), un proveedor de servicios de correo electrónico, para enviarle por correo electrónico el informe generado por IA. Este proveedor actúa como subprocesador y procesa temporalmente su dirección de correo electrónico y el contenido del informe (que contiene datos de salud) exclusivamente para fines de enrutamiento y entrega.
- Análisis de la audiencia y la interacción: Google LLC (Analytics, Ads) y Microsoft Corporation (Clarity), sujeto a sus opciones de consentimiento de cookies expresadas a través de nuestro banner de cookies.
Otras divulgaciones
- Obligaciones legales: Si la ley lo requiere, podemos divulgar sus datos a las autoridades competentes (tribunales, reguladores, fuerzas del orden).
- Operaciones corporativas: En caso de fusión, adquisición o venta, los datos podrán transferirse bajo compromisos de confidencialidad equivalentes.
Tenga en cuenta que los datos enviados a los proveedores de infraestructura de IA se anonimizan mediante nuestros sistemas (se eliminan los identificadores directos) antes de la transferencia. Estos proveedores procesan los datos en nuestro nombre y tienen prohibido contractualmente utilizarlos para sus propios fines, incluido el entrenamiento de sus propios modelos de IA.
6. Transferencias internacionales de datos
Sus datos pueden ser procesados fuera del Reino Unido/EEE, en particular en los Estados Unidos, por nuestros proveedores de servicios (OpenRouter, Stripe, Google). Estas transferencias se realizan utilizando las salvaguardas adecuadas, que incluyen:
- El Marco de Protección de Datos UE-EE. UU. (DPF) y su extensión para el Reino Unido, para empresas certificadas como Stripe, Google y Microsoft.
- Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea y/o la Oficina del Comisionado de Información del Reino Unido, acompañadas, cuando sea necesario, de evaluaciones de impacto de la transferencia.
- Se han implementado medidas de seudonimización para los datos enviados a proveedores de IA, garantizando que los datos personales que permitan la identificación directa se eliminen antes de cualquier transferencia fuera del EEE.
7. Seguridad de los datos
Hemos implementado medidas de seguridad técnicas y organizativas adecuadas para prevenir la pérdida accidental, el uso no autorizado, el acceso, la modificación o la divulgación de sus datos personales. Estas incluyen:
- El alojamiento se realiza en servidores seguros y certificados (Microsoft Azure, con certificación HDS en Francia para usuarios del EEE; conforme a las normas ISO 27001 y SOC 2 Tipo II para todos los usuarios). Nuestra infraestructura está diseñada con prácticas de seguridad alineadas con las medidas de protección técnica de HIPAA.
- Seudonimización de los informes (eliminación de sus identificadores directos) antes de su procesamiento por la IA.
- Cifrado de datos en tránsito (TLS 1.2+) y en reposo (AES-256).
- Controles de acceso estrictos para limitar el acceso a los datos personales únicamente a aquellas personas que lo necesiten para desempeñar sus funciones.
- Procedimientos para el manejo de presuntas violaciones de datos, de conformidad con los artículos 33 y 34 del RGPD.
8. Período de retención de datos
Conservamos distintos tipos de datos durante periodos específicos, en función de los requisitos legales y las necesidades operativas:
- Prueba de laboratorio original (PDF): Durante un máximo de 90 días tras la generación y entrega exitosas del informe de IA, tras lo cual se elimina de forma segura. Esto se ajusta al principio de minimización de datos (RGPD, art. 5(1)(c)).
- Datos de cuenta y contacto: Durante el tiempo que dure la relación de cuenta activa, más un máximo de 3 años después de la última interacción o desactivación de la cuenta, tras lo cual se elimina de forma permanente.
- Informe generado por IA y datos de salud contextuales: Durante la vigencia de la cuenta activa, más un máximo de 3 años después de la desactivación de la cuenta, para permitir la reactivación de la misma y el acceso a través de un futuro portal para pacientes.
- Datos de la transacción: Durante al menos 6 años para cumplir con las leyes contables y fiscales del Reino Unido, y hasta 10 años para facturas y registros contables de conformidad con el Código de Comercio francés (Art. L123-22), cuando corresponda.
- Datos de cookies analíticas (Google Analytics): Durante un período máximo de 14 meses, de conformidad con las recomendaciones de la CNIL y las autoridades de protección de datos equivalentes.
- Datos de cookies de publicidad y consentimiento (Clarity, Google Ads): Por un período máximo de 6 meses.
- Registros del servidor (IP): Por un período máximo de 90 días, en base a nuestro interés legítimo en garantizar la seguridad del servicio.
- Datos anonimizados y agregados de forma irreversible para la mejora de la IA: Los datos que han sido anonimizados de forma irreversible (lo que imposibilita su reidentificación, incluso mediante referencias cruzadas) ya no se consideran datos personales según el RGPD y pueden conservarse indefinidamente para la investigación y la mejora de los modelos de IA.
Una solicitud de eliminación definitiva de la cuenta conllevará el borrado de todos los datos mencionados anteriormente, excepto los datos que estamos legalmente obligados a conservar (por ejemplo, datos de transacciones para el cumplimiento de las obligaciones fiscales) y los datos que ya hayan sido anonimizados de forma irreversible.
9. Sus derechos de protección de datos
Dependiendo de la jurisdicción en la que se encuentre, usted puede tener los siguientes derechos con respecto a sus datos personales:
Derechos para todos los usuarios
- Derecho de acceso: Solicite una copia de sus datos personales.
- Derecho de rectificación: Solicitar la corrección de datos inexactos o incompletos.
- Derecho de supresión (“derecho al olvido”): Solicitar la eliminación de sus datos (“derecho al olvido”), sujeto a las obligaciones legales de conservación.
- Derecho a la limitación del tratamiento: Limitar la forma en que procesamos sus datos en determinadas circunstancias.
- Derecho de oposición: Puede oponerse al tratamiento de sus datos basado en nuestro interés legítimo (incluido el uso de sus datos para la mejora de modelos de IA) o al marketing directo.
- Derecho a la portabilidad de los datos: Reciba sus datos en un formato estructurado y legible por máquina.
- Derecho a retirar el consentimiento: Puede revocar su consentimiento en cualquier momento, sin que ello afecte a la legalidad del tratamiento de datos realizado antes de la revocación.
Derechos adicionales para usuarios del EEE y del Reino Unido
Conforme al RGPD y al RGPD del Reino Unido, usted goza de todos los derechos mencionados anteriormente. Responderemos a su solicitud en el plazo de un mes, prorrogable hasta dos meses para solicitudes complejas. No cobraremos ninguna tarifa por tramitar su solicitud, salvo que sea manifiestamente infundada o excesiva.
Derechos adicionales para usuarios estadounidenses
Según su estado de residencia, usted podría tener derechos adicionales conforme a las leyes estatales de privacidad aplicables (como la Ley de Privacidad del Consumidor de California, enmendada por la CPRA, o leyes similares en Virginia, Colorado, Connecticut y otros estados). Estos derechos pueden incluir el derecho a saber qué información personal recopilamos y compartimos, el derecho a eliminarla, el derecho a oponerse a la venta de su información personal (no vendemos sus datos) y el derecho a no ser discriminado por ejercer sus derechos.
Para ejercer cualquiera de estos derechos, envíe un correo electrónico a nuestro responsable de privacidad a contact@bloodsense.ai. Estamos aquí para ayudarle.
10. Niños y menores de edad
Nuestros servicios no están dirigidos a menores de 18 años. Implementamos la verificación de edad y no recopilamos datos de menores de edad a sabiendas. Si detectamos que hemos recopilado datos personales de un menor de 18 años, eliminaremos dicha información de inmediato.
11. Cookies y tecnologías similares
Utilizamos cookies y tecnologías similares en nuestro sitio web. Las cookies son pequeños archivos de texto que se almacenan en su dispositivo cuando visita el sitio, según sus preferencias de consentimiento.
Tipos de cookies que utilizamos
- Cookies estrictamente necesarias: Estas cookies son esenciales para el funcionamiento de nuestro sitio web (por ejemplo, para la gestión de sesiones y la seguridad). No requieren su consentimiento.
- Cookies analíticas: Utilizamos Google Analytics y Microsoft Clarity para comprender cómo interactúan los visitantes con nuestro sitio web. Estas cookies se instalan únicamente con su consentimiento, expresado a través de nuestro banner de cookies.
- Cookies de publicidad/marketing: Podemos utilizar cookies de Google Ads para analizar la eficacia de nuestras campañas de marketing. Estas cookies se instalan únicamente con su consentimiento, expresado a través de nuestro banner de cookies.
Gestionar tus preferencias
Cuando visite nuestro sitio por primera vez, un banner de cookies le permitirá aceptar o rechazar las cookies no esenciales. Puede cambiar sus preferencias en cualquier momento borrando las cookies de su navegador y volviendo a visitar el sitio, o bien utilizando la configuración de cookies disponible en el sitio. También puede configurar su navegador para que rechace todas las cookies, aunque esto podría afectar algunas funcionalidades del sitio.
12. Cambios a esta Política de Privacidad
Es posible que actualicemos esta política periódicamente. La fecha de la última actualización se indica en la parte superior. Si realizamos cambios sustanciales, le notificaremos antes de que entren en vigor. Le recomendamos que la consulte con regularidad.
13. Derecho a presentar una queja
Si tiene alguna duda sobre cómo tratamos sus datos, póngase en contacto primero con nuestro responsable de privacidad. También puede presentar una reclamación ante las autoridades de control.
- Reino Unido: Oficina del Comisionado de Información (ICO) — www.ico.org.uk
- Francia (para usuarios del EEE): Comisión Nacional de Informática y Libertades (CNIL) — www.cnil.fr
- Otros países del EEE: Usted tiene derecho a presentar una reclamación ante la autoridad de control de su país de residencia.
- A NOSOTROS: Para cuestiones generales de privacidad, póngase en contacto con la Comisión Federal de Comercio (FTC, por sus siglas en inglés) en www.ftc.gov o con el Fiscal General de su estado.
