Política de privacidad

Holimata es un producto desarrollado por Iván Marqués Campillo e Isabel Aunión Ruiz, con domicilio en España. Contacto: [email protected].

Holimata es una herramienta para profesionales que trabajan en sesión 1:1 (terapeutas, coaches, nutricionistas, consultores). Te ayuda a capturar sesiones, generar notas clínicas, gestionar clientes y automatizar tareas repetitivas — manteniendo tú siempre el control de la relación con tu cliente.

Hay tres categorías que conviene distinguir:

1. Tus datos como profesional (responsable del tratamiento)

• Nombre, email, profesión y país (los que nos das al darte de alta).
• Configuración de tu agente (Hermes), tonos, módulos activos.
• Credenciales de integraciones (Brevo, Stripe, Telegram, Google…) cifradas con AES-256-GCM.
• La IA va incluida en el servicio: no necesitas aportar una API key propia ni pagar a Anthropic por separado. Si en un caso a medida o heredado configuras una API key de Anthropic Claude, queda cifrada y nunca te la repetimos en respuestas.

2. Datos de tus clientes (tú eres responsable; nosotros encargados)

Cuando registras un cliente, subes una transcripción de sesión o pides a Hermes que redacte un mensaje, almacenamos ese contenido por tu cuenta. Tú decides qué metes y para qué. Holimata es solo el sistema técnico que lo guarda y lo procesa cuando se lo pides.

• Datos de contacto del cliente (nombre, email, teléfono, etiquetas que tú le pongas).
• Transcripciones de sesiones que tú o tu extensión Hermes en vivo suban.
• Notas clínicas generadas por Hermes a partir de esas transcripciones.
• Mensajes entrantes/salientes que canalices a través de Holimata.

3. Datos técnicos

• Logs de actividad del sistema (qué endpoints se invocan, errores) con PII redactada.
• Métricas agregadas de uso (sin contenido personal).
• Cookie firmada de sesión (`holimata-tenant`) con HMAC-SHA256.

4. Formulario de propuesta Personalizada

Cuando rellenas el formulario en /personalizado/propuesta recogemos los siguientes campos: nombre, email, descripción del proyecto, lista de necesidades, tipo de equipo y situación actual. Adicionalmente registramos la IP (para rate-limit anti-spam, máximo 3 envíos/24h por IP) y los parámetros UTM si vienes desde una campaña. El propósito es exclusivo: que Iván o Isa puedan estudiar tu caso, prepararte una propuesta a medida y responderte por email en menos de 48h laborables.

Estos datos se almacenan en la tabla leads_personalizado de nuestra base de datos y se consultan desde un panel admin interno (acceso restringido a Iván + Isa únicamente). No se comparten con terceros, no se usan para entrenar modelos, y se eliminan cuando lo solicitas (ver sección "Tus derechos") o cuando la propuesta queda cerrada sin acuerdo en un máximo de 6 meses.

• Operar la app: que las funciones que has activado (notas IA, agenda, integraciones) funcionen.
• Mejorar tu experiencia personal: Hermes aprende patrones de tu negocio (cómo cobras, tu tono, tus procesos) para servirte mejor en futuras conversaciones.
• Soporte: si reportas un fallo, podemos consultar logs para diagnosticarlo.
• Seguridad: detectar anomalías, abusos, intentos de intrusión.

Lo que NO hacemos: no vendemos tus datos, no los usamos para entrenar modelos de IA propios, no los compartimos con anunciantes. Anthropic (el proveedor de Claude) procesa tus datos según su propia política, pero solo para responder a las peticiones que tú envías; no entrena con ellos (Anthropic Enterprise terms).

• Ejecución del contrato (art. 6.1.b): para todo lo necesario para que el servicio que has contratado funcione.
• Interés legítimo (art. 6.1.f): seguridad, prevención de fraude, métricas agregadas anónimas para mejora del producto.
• Consentimiento (art. 6.1.a): para integraciones con terceros que tú activas (Google, Telegram, Stripe…). Lo retiras desconectando la integración cuando quieras.

Para que Holimata funcione usamos servicios de terceros. Cada uno solo recibe los datos estrictamente necesarios:

• Railway (Estados Unidos) — hosting de la aplicación.
• Turso / libSQL (Unión Europea, región eu-west-1) — base de datos.
• Anthropic (Estados Unidos) — modelo Claude que procesa los prompts de Hermes y las transcripciones.
• Resend (Estados Unidos) — envío de magic links de login y notificaciones por email.
• Cloudflare (global) — DNS y CDN del dominio holimata.app.
• GitHub (Estados Unidos) — repositorio del código y backups semanales de la base de datos.

Las transferencias internacionales se cubren con cláusulas contractuales tipo de la Comisión Europea (SCCs).

• Mientras tu cuenta esté activa: todo lo que hayas guardado.
• Si cierras tu cuenta: borramos tus datos en un máximo de 30 días, excepto los registros que la ley nos obligue a conservar (facturación: 6 años AEAT).
• Si pides explícitamente la supresión: 7 días desde la solicitud.
• Los logs técnicos se rotan automáticamente: máximo 90 días.

• Todo el tráfico viaja sobre HTTPS (TLS 1.3).
• Las credenciales de integraciones de terceros se almacenan cifradas con AES-256-GCM en base de datos.
• La cookie de sesión se firma con HMAC-SHA256.
• Aislamiento estricto multi-tenant: cada query a base de datos filtra por tu identificador; con FK + ON DELETE CASCADE para garantizar la integridad.
• Backups diarios cifrados con retención de 90 días.
• Detección heurística de credenciales en chat para evitar que tus secrets queden persistidos en plano.

Como ciudadano de la UE / España, tienes los siguientes derechos sobre tus datos:

• Acceso: pedirnos copia de todo lo que tenemos sobre ti.
• Rectificación: corregir datos inexactos.
• Supresión: borrar tus datos (excepto los que la ley nos obligue a conservar).
• Portabilidad: pedirnos un export de tus datos en formato estructurado.
• Oposición: oponerte a un tratamiento concreto.
• Limitación: pedir que solo guardemos pero no procesemos.

Para ejercerlos escríbenos a [email protected]. Te respondemos en menos de 30 días.

Si crees que no tratamos tus datos correctamente, puedes reclamar ante la Agencia Española de Protección de Datos.

Si actualizamos algo relevante te avisamos por email con al menos 15 días de antelación. La fecha de "Última actualización" arriba indica la versión vigente.

Cualquier duda sobre esta política, sobre tus datos, o sobre cómo usamos Holimata: [email protected].