Política de Privacidad

El responsable del tratamiento es DietApp (operada por Jorge Quesada hasta migración a entidad legal en curso), con dirección de contacto DevTeam@dietapp.life. Si en el futuro DietApp se constituye como sociedad mercantil, esta Política se actualizará para reflejarlo.

Recopilamos solo los datos necesarios para que el servicio funcione:

• Identificación: email (al registrarte o al iniciar sesión con Apple/Google) y, si lo proporcionas, nombre.
• Perfil nutricional: edad, sexo (opcional), altura, peso, nivel de actividad, objetivo (perder peso, ganar masa, controlar ácido úrico, etc.) y preferencias.
• Datos de salud (opcionales): condiciones médicas, alergias, medicación. Estos datos se cifran con AWS KMS antes de persistirlos. Solo se descifran con tu autorización explícita o por intervención puntual del equipo (con audit log + email automático notificándote).
• Diario alimenticio: cada comida que registras (descripción, calorías, macros, fotografía) y la conversación con el coach IA.
• Fotos de comida: imágenes que subes para que el coach analice. Se almacenan en AWS S3 (bucket privado) y se sirven con URLs firmadas de TTL corto.
• Datos técnicos: tipo de dispositivo, versión del sistema operativo y diagnóstico de errores (anónimo) para mantener la app funcionando.

NO recopilamos: ubicación, contactos, calendario, micrófono ni cualquier dato no listado arriba.

• Operar el servicio: autenticarte, registrar comidas, calcular tu plan, mostrarte tu histórico.
• Permitir que el coach IA te dé recomendaciones contextualizadas (basadas en tu objetivo, condiciones y consumo reciente).
• Mejorar la app: análisis agregado y anónimo de uso para detectar fallos. NO usamos datos personales identificables para entrenar modelos IA propios.
• Cumplir obligaciones legales (responder requerimientos de autoridad competente cuando sea legalmente exigible).

NO vendemos ni cedemos tus datos a terceros con fines comerciales. Punto.

• Consentimiento para datos de salud (categoría especial RGPD art. 9).
• Ejecución de contrato para los datos indispensables del servicio (cuenta, plan, diario).
• Interés legítimo para diagnóstico técnico anónimo y prevención de abuso del servicio.

• Cifrado en tránsito: HTTPS/TLS en todas las comunicaciones.
• Cifrado en reposo: tablas DynamoDB y bucket S3 con cifrado AWS por defecto. Datos de salud cifrados a mayores con AWS KMS (clave gestionada por DietApp con rotación anual).
• Audit log inmutable: cada acceso administrativo a tu cuenta queda registrado en AWS DynamoDB (tabla AdminAuditLog) con identidad del admin, IP, razón y timestamp.
• Autenticación reforzada: cuentas administrativas con autenticación en dos pasos (TOTP) obligatoria.
• Acceso restringido: solo personal estrictamente necesario tiene credenciales para acceder al backend.

Para prestar el servicio, los datos viajan a estos terceros:

• Amazon Web Services (AWS): hosting, almacenamiento (DynamoDB, S3), autenticación (Cognito), cifrado (KMS), email (SES). Región eu-north-1 (Estocolmo). DPA firmado.
• OpenAI (GPT-4o): el coach usa la API de OpenAI para entender tus mensajes y analizar fotos. Las llamadas son zero-retention (OpenAI no entrena con nuestros datos según su DPA comercial).
• Apple Inc. y Google LLC: si inicias sesión con Apple ID o Google. Ellos te autentican y nos devuelven un identificador anónimo + tu email.
• Vercel: hosting de las webs públicas (dietapp.life y admin.dietapp.life). Sin acceso a la base de datos.
• Microsoft 365: buzón de correo DevTeam@dietapp.life para soporte.

Los datos se almacenan en AWS Estocolmo (UE). OpenAI opera desde Estados Unidos: las transferencias se amparan en las Standard Contractual Clauses de la Comisión Europea. Apple y Google operan servicios globales con marcos de cumplimiento equivalentes (DPF / SCCs).

• Mientras tengas cuenta activa, conservamos tus datos para prestarte el servicio.
• Si solicitas borrado, eliminamos tu cuenta y todos los datos asociados (perfil, plan, diario, fotos, conversaciones) en un plazo máximo de 30 días.
• El audit log de acciones administrativas se conserva 5 años por política de seguridad y posibles requerimientos legales (esto NO incluye contenido tuyo: solo registra QUÉ admin hizo QUÉ acción sobre TU cuenta).
• Si la cuenta queda inactiva 24 meses, te avisamos por email y, si no hay respuesta, procedemos al borrado.

Sobre tus datos, tienes derecho a:

• Acceder y obtener una copia de los datos que tenemos sobre ti.
• Rectificar datos inexactos.
• Suprimir tu cuenta y datos asociados (derecho al olvido).
• Portabilidad: exportar tus datos en formato estructurado (JSON).
• Oponerte a tratamientos basados en interés legítimo.
• Limitar el tratamiento mientras se resuelve una disputa.
• Retirar el consentimiento en cualquier momento.
• Reclamar ante la Agencia Española de Protección de Datos (www.aepd.es).

Para ejercer estos derechos: escribe a DevTeam@dietapp.life o usa la opción Eliminar cuenta directamente desde la app. Respondemos en máximo 30 días.

La web pública (dietapp.life) NO usa cookies de seguimiento ni analytics de terceros.

El panel administrativo (admin.dietapp.life) usa cookies HttpOnly de sesión gestionadas por AWS Cognito vía Amplify SSR adapter. Son estrictamente necesarias para la autenticación y caducan al cerrar sesión.

DietApp no está dirigida a menores de 16 años. Si detectamos que una cuenta corresponde a un menor sin autorización parental, procederemos al borrado.

Si actualizamos esta Política, te avisaremos por email (a la dirección registrada) con al menos 14 días de antelación si los cambios son sustanciales. La fecha de última actualización aparece al inicio del documento.

Para cualquier consulta sobre privacidad o datos: DevTeam@dietapp.life.