Marco legal y cumplimiento

Política de Privacidad

Cómo tratamos sus datos personales y de salud en MetaQare, conforme a GDPR, AI Act, HIPAA y a la normativa sanitaria aplicable.

Última actualización: diciembre 2025

1. Objeto y ámbito de aplicación

Esta Política de Privacidad describe cómo MetaQare Global Holdings (“MetaQare”, “nosotros”) trata los datos personales cuando usted utiliza MetaQare.com, MetaQare AI, Authors of Clinical AI (ACAI), nuestras aplicaciones móviles y cualquier otro servicio digital relacionado (conjuntamente, los “Servicios”).

MetaQare cumple con el Reglamento (UE) 2016/679 (GDPR), la normativa española y europea en materia de protección de datos, el Reglamento Europeo de Inteligencia Artificial (AI Act) y, cuando resulta aplicable, la normativa HIPAA de los Estados Unidos para la protección de la información sanitaria.

2. Responsable del tratamiento y DPO

El responsable del tratamiento es MetaQare Global Holdings. Puede contactar con nosotros en:

  • Email general: privacy@metaqare.com
  • Delegado de Protección de Datos (DPO): dataprotection@metaqare.com

Cuando MetaQare actúe como proveedor de servicios para aseguradoras, hospitales u otros prestadores sanitarios, podrá hacerlo como encargado del tratamiento o como “Business Associate” (HIPAA), según corresponda.

3. Categorías de datos personales tratados

Podemos tratar las siguientes categorías de datos:

3.1. Datos identificativos y de contacto

  • Nombre y apellidos
  • Correo electrónico, teléfono
  • País, idioma preferido y zona horaria
  • Datos de cuenta de usuario y credenciales cifradas

3.2. Datos de salud y otra información sensible

Para prestar orientación clínica y servicios de salud digital, MetaQare puede tratar datos de salud, considerados categorías especiales de datos en el GDPR:

  • Síntomas, antecedentes médicos y diagnósticos previos
  • Resultados de pruebas diagnósticas e informes médicos
  • Tratamientos, medicación actual y alergias
  • Datos introducidos por usted en conversaciones con la IA o en formularios clínicos
  • Notas clínicas generadas por médicos o por los modelos ACAI

3.3. Datos técnicos y de uso

  • Dirección IP, identificadores de dispositivo y navegador
  • Registros de actividad, logs de seguridad y auditoría
  • Información sobre la interacción con los modelos de IA (prompts, respuestas, feedback)

4. Finalidades del tratamiento

Sus datos se utilizan para las siguientes finalidades principales:

  • Prestar servicios de orientación clínica mediante IA y permitir el uso de Authors of Clinical AI (ACAI).
  • Facilitar el contacto con profesionales sanitarios, incluyendo videoconferencia y mensajería segura.
  • Gestionar su cuenta de usuario y sus preferencias.
  • Mejorar la precisión, seguridad y rendimiento de los modelos IA, mediante análisis y entrenamiento adicional con datos adecuadamente pseudonimizados o anonimizados.
  • Cumplir con obligaciones legales y regulatorias en materia de protección de datos, sanidad y supervisión de sistemas de IA de alto riesgo.
  • Realizar estadísticas agregadas y estudios clínicos con datos anonimizados que no permitan su identificación.

5. Base jurídica del tratamiento

La base jurídica del tratamiento de sus datos será, según el caso:

  • Consentimiento explícito para el tratamiento de datos de salud (art. 6.1.a y 9.2.a GDPR).
  • Ejecución de un contrato para la prestación de los Servicios (art. 6.1.b GDPR).
  • Cumplimiento de obligaciones legales en materia sanitaria y de protección de datos (art. 6.1.c GDPR).
  • Interés legítimo de MetaQare en mejorar la seguridad y calidad de los Servicios, siempre con datos adecuadamente minimizados o anonimizados (art. 6.1.f GDPR).

6. Consentimiento para datos de salud y uso de IA

Antes de utilizar las funciones clínicas de MetaQare, se le solicitará su consentimiento explícito para el tratamiento de datos de salud y para el uso de sistemas de inteligencia artificial de alto riesgo aplicados a su caso.

Podrá retirar su consentimiento en cualquier momento, sin carácter retroactivo, mediante los canales habilitados en su área privada o escribiendo a privacy@metaqare.com.

7. Destinatarios y transferencias internacionales

Podrán tener acceso a sus datos:

  • Profesionales sanitarios y entidades colaboradoras con las que usted decida interactuar.
  • Proveedores tecnológicos (cloud, infraestructura, analítica) que actúan como encargados del tratamiento.
  • Aseguradoras y sistemas de salud, exclusivamente cuando exista una relación contractual y siempre bajo su autorización o marco legal aplicable.

Cuando se realicen transferencias internacionales de datos fuera del Espacio Económico Europeo, MetaQare aplicará las salvaguardas adecuadas, incluyendo Cláusulas Contractuales Tipo de la Comisión Europea, cifrado robusto y evaluaciones de impacto de transferencia (TIA).

8. Plazos de conservación

Los datos se conservarán durante los siguientes plazos:

  • Datos de cuenta y uso del servicio: mientras mantenga su cuenta activa y, posteriormente, bloqueados durante los plazos de prescripción legal aplicables.
  • Datos de salud: mientras sean necesarios para la prestación de los Servicios y, en su caso, durante los periodos exigidos por la normativa sanitaria aplicable.
  • Logs y registros de auditoría IA: durante un plazo máximo de 2 años, salvo obligación legal de conservación superior.

9. Derechos de las personas usuarias

Usted puede ejercer los siguientes derechos en cualquier momento:

  • Derecho de acceso a sus datos personales.
  • Derecho de rectificación de datos inexactos o incompletos.
  • Derecho de supresión (“derecho al olvido”) cuando proceda.
  • Derecho a la limitación del tratamiento.
  • Derecho a la portabilidad de sus datos.
  • Derecho de oposición al tratamiento basado en interés legítimo.
  • Derecho a no ser objeto de decisiones basadas únicamente en tratamientos automatizados, incluida la elaboración de perfiles, con los efectos previstos en el art. 22 GDPR.

Para ejercer estos derechos, puede escribir a rights@metaqare.com indicando el derecho que desea ejercer y acompañando una prueba de identidad. También puede dirigirse a la autoridad de control competente en materia de protección de datos si considera que se han vulnerado sus derechos.

10. Medidas de seguridad

MetaQare implementa medidas técnicas y organizativas para proteger sus datos frente a accesos no autorizados, pérdida, destrucción o alteración, incluyendo:

  • Cifrado de tránsito (TLS) y en reposo (AES-256 o equivalente).
  • Control de accesos basado en roles y principio de mínimo privilegio.
  • Registros de auditoría de acceso a datos de salud y actividad de modelos de IA.
  • Revisión periódica de seguridad, pruebas de penetración y evaluación de vulnerabilidades.

11. Cumplimiento AI Act y supervisión humana

Los modelos de inteligencia artificial utilizados por MetaQare en el ámbito clínico se consideran sistemas de alto riesgo conforme al AI Act. MetaQare mantiene documentación técnica, un sistema de gestión de riesgos y un plan de supervisión humana que garantiza que:

  • Las recomendaciones de IA no sustituyen el juicio clínico de los profesionales.
  • Los médicos pueden revisar, cuestionar y apartarse de las sugerencias de la IA en cualquier momento.
  • Se monitoriza el rendimiento y posibles sesgos de los modelos de forma continua.

12. Cambios en la Política de Privacidad

MetaQare podrá modificar esta Política de Privacidad para adaptarla a cambios normativos o a la evolución de los Servicios. En caso de cambios sustanciales, se lo notificaremos a través de la plataforma o por correo electrónico.