Política de Privacidad
Última actualización: Marzo 2026
1. Información general
1.1 Responsable del tratamiento
- Denominación social: ENTROPY BAY, S.L.
- Nombre comercial: Hermet
- CIF: B26671842
- Domicilio social: Madrid, España
- Correo electrónico: hola@hermet.ai
- Email protección de datos: privacidad@hermet.ai
- Sitio web: https://hermet.ai
1.2 Marco normativo
Esta Política de Privacidad se rige por:
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD).
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
- Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE).
1.3 Delegado de Protección de Datos (DPO)
Dado el tamaño de la organización y la naturaleza de los tratamientos, ENTROPY BAY, S.L. no está obligada a designar un Delegado de Protección de Datos. No obstante, puede dirigir cualquier consulta relacionada con la protección de datos a: privacidad@hermet.ai
2. Datos personales que tratamos
2.1 Datos recabados directamente del usuario
- Datos identificativos: Nombre, apellidos (Formularios web, registro)
- Datos de contacto: Teléfono, email (Formularios web, registro)
- Datos demográficos: Edad, fecha de nacimiento, género, apodo, provincia (Registro servicio)
- Preferencias: Horarios de llamada, temas de interés (Configuración servicio)
- Datos del titular de la cuenta: Nombre, teléfono, email, contraseña (almacenada cifrada), relación con la persona mayor (Registro servicio)
- Historia de vida: Texto libre con información biográfica, recuerdos, experiencias y preferencias de la persona mayor (hasta 10.000 caracteres) (Proporcionada por el suscriptor durante el registro o posterior configuración)
- Datos del formulario de contacto: Nombre, email, mensaje (Formulario de contacto web)
2.2 Datos generados por el servicio
- Datos de uso: Duración de llamadas, frecuencia, historial (Uso del servicio María)
- Resúmenes conversacionales: Temas tratados, estado de ánimo (Procesamiento IA)
- Alertas: Cambios detectados en bienestar (Análisis automatizado)
- Datos de la app Hermet Family: Resúmenes de llamadas, tendencias de ánimo, alertas, datos de uso de la aplicación (Procesamiento IA y uso de la aplicación móvil)
2.3 Datos de categorías especiales (Art. 9 RGPD)
El servicio María puede procesar datos relativos a la salud del usuario, tales como:
- Estado emocional y bienestar percibido
- Referencias a estado físico o cognitivo
- Información sobre medicación, citas médicas u otros aspectos de salud que el usuario mencione voluntariamente
Estos datos se consideran datos de categorías especiales conforme al artículo 9 del RGPD y reciben una protección reforzada.
2.4 Datos técnicos
- Datos de navegación: Dirección IP, tipo de navegador, dispositivo (Acceso al sitio web)
- Cookies: Identificadores, preferencias (Ver Política de Cookies)
- Almacenamiento local del navegador: Datos de sesión de registro (sessionStorage), preferencias temporales (Proceso de registro y navegación)
3. Finalidades y bases legales del tratamiento
3.1 Tabla de tratamientos
| Finalidad | Datos tratados | Base legal (RGPD) | Plazo conservación |
|---|---|---|---|
| Prestación del servicio María | Identificativos, contacto, preferencias, conversaciones | Art. 6.1.b) Ejecución de contrato | Duración del contrato + 5 años |
| Detección de alertas de salud | Datos de salud, estado emocional | Art. 9.2.a) Consentimiento explícito | Duración del contrato + 1 año |
| Comunicación con titular de la cuenta | Alertas, resúmenes | Art. 6.1.b) Ejecución de contrato | Duración del contrato |
| Atención al cliente y soporte | Identificativos, contacto, consultas | Art. 6.1.b) Ejecución de contrato | 3 años desde última comunicación |
| Envío de comunicaciones comerciales | Email, nombre | Art. 6.1.a) Consentimiento | Hasta revocación consentimiento |
| Lista de espera | Nombre, email, teléfono | Art. 6.1.a) Consentimiento | 2 años o hasta baja voluntaria |
| Mejora del servicio y análisis estadístico | Datos anonimizados/agregados | Art. 6.1.f) Interés legítimo | Indefinido (datos anonimizados) |
| Cumplimiento de obligaciones legales | Datos fiscales, contractuales | Art. 6.1.c) Obligación legal | Según normativa aplicable (mín. 6 años) |
| Gestión de consultas del formulario de contacto | Nombre, email, mensaje | Art. 6.1.b) Ejecución de contrato / Art. 6.1.f) Interés legítimo | 2 años desde última comunicación |
| Prestación del servicio Hermet Family (app móvil) | Resúmenes de llamadas, tendencias de ánimo, alertas, datos de uso | Art. 6.1.b) Ejecución de contrato | Duración del contrato + 1 año |
3.2 Tratamiento de datos de categorías especiales
Para el tratamiento de datos de salud derivados del servicio María, la base legal es el consentimiento explícito del interesado (Art. 9.2.a RGPD), que se recaba en el momento del registro.
Puede revocar su consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
4. Destinatarios de los datos
4.1 Comunicaciones autorizadas
- Titular de la cuenta: Alertas, resúmenes de llamadas - Gestión de la cuenta y seguimiento del bienestar (Ejecución de contrato)
4.2 Encargados del tratamiento
Hermet utiliza proveedores de servicios que acceden a datos personales en calidad de encargados del tratamiento:
- Proveedores cloud (AWS/GCP): Alojamiento (UE / EEE) - Cláusulas contractuales tipo
- Proveedores de IA: Procesamiento de lenguaje natural (EE.UU.) - Decisión de adecuación / SCCs
- Proveedores de telefonía: Servicio de llamadas (UE) - Contrato encargado tratamiento
- Stripe, Inc.: Procesamiento de pagos y facturación (EE.UU. / Irlanda) - Decisión de adecuación / SCCs, certificación PCI DSS
Todos los encargados del tratamiento han suscrito contratos que garantizan el cumplimiento del RGPD.
4.3 Transferencias internacionales
Algunos de nuestros proveedores pueden estar ubicados fuera del Espacio Económico Europeo. En tales casos, las transferencias se realizan con las garantías adecuadas:
- Decisiones de adecuación de la Comisión Europea.
- Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.
- Medidas complementarias cuando sea necesario.
4.4 Comunicaciones a autoridades
Podremos comunicar sus datos a autoridades públicas cuando exista obligación legal o requerimiento judicial.
4.5 No venta de datos
Hermet no vende, alquila ni cede datos personales a terceros con fines comerciales o publicitarios.
5. Derechos de los interesados
5.1 Derechos reconocidos
Conforme al RGPD y la LOPDGDD, puede ejercer los siguientes derechos:
- Acceso (Art. 15 RGPD): Obtener confirmación de si tratamos sus datos y acceder a ellos.
- Rectificación (Art. 16 RGPD): Solicitar la corrección de datos inexactos o incompletos.
- Supresión (Art. 17 RGPD): Solicitar la eliminación de sus datos cuando ya no sean necesarios, retire su consentimiento u otros supuestos legales.
- Limitación (Art. 18 RGPD): Solicitar la limitación del tratamiento en determinadas circunstancias.
- Portabilidad (Art. 20 RGPD): Recibir sus datos en formato estructurado y transmitirlos a otro responsable.
- Oposición (Art. 21 RGPD): Oponerse al tratamiento de sus datos en determinadas circunstancias.
- No ser objeto de decisiones automatizadas (Art. 22 RGPD): No ser objeto de decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos o le afecten significativamente.
5.2 Cómo ejercer sus derechos
Para ejercer sus derechos, envíe un correo electrónico a privacidad@hermet.ai indicando:
- Nombre y apellidos
- Documento de identidad (DNI/NIE/Pasaporte)
- Derecho que desea ejercer
- Dirección de correo electrónico asociada a su cuenta (si aplica)
Plazo de respuesta: Responderemos en un plazo máximo de un mes desde la recepción de la solicitud. Este plazo podrá prorrogarse otros dos meses en caso de solicitudes complejas o numerosas, informándole de ello.
Gratuidad: El ejercicio de estos derechos es gratuito, salvo solicitudes manifiestamente infundadas o excesivas.
5.3 Derecho a reclamar ante la Autoridad de Control
Si considera que el tratamiento de sus datos vulnera la normativa, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD):
- Web: https://www.aepd.es
- C/ Jorge Juan, 6, 28001 Madrid
- 901 100 099 / 91 266 35 17
6. Medidas de seguridad
ENTROPY BAY, S.L. ha implementado medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
6.1 Medidas técnicas
- Cifrado: Datos cifrados en tránsito (TLS 1.3) y en reposo (AES-256).
- Acceso restringido: Control de acceso basado en roles y principio de mínimo privilegio.
- Servidores seguros: Infraestructura alojada en la Unión Europea con certificaciones ISO 27001.
- Copias de seguridad: Backups cifrados y distribuidos geográficamente.
- Monitorización: Sistemas de detección de intrusiones y logs de auditoría.
6.2 Medidas organizativas
- Formación: Personal formado en protección de datos.
- Confidencialidad: Acuerdos de confidencialidad con todo el personal y proveedores.
- Evaluaciones: Revisiones periódicas de seguridad y evaluaciones de impacto cuando proceda.
- Gestión de incidentes: Protocolo de respuesta ante brechas de seguridad.
6.3 Notificación de brechas de seguridad
En caso de brecha de seguridad que afecte a sus datos personales, notificaremos a la AEPD en un plazo máximo de 72 horas. Si la brecha supone un alto riesgo para sus derechos, también le notificaremos directamente.
7. Conservación de los datos
Conservaremos sus datos personales durante el tiempo necesario para cumplir con la finalidad para la que fueron recogidos y para determinar las posibles responsabilidades derivadas.
7.1 Plazos específicos
- Datos de clientes/usuarios: Duración contrato + 5 años - Prescripción acciones contractuales (Art. 1964 CC)
- Conversaciones y alertas: Duración contrato + 1 año - Continuidad del servicio
- Datos fiscales/facturación: 6 años - Art. 30 Código de Comercio
- Consentimientos: Duración del tratamiento + 5 años - Prueba del consentimiento
- Datos de lista de espera: 2 años - Interés legítimo
- Cookies: Ver Política de Cookies
7.2 Supresión o anonimización
Una vez transcurridos los plazos, los datos serán suprimidos o anonimizados de forma irreversible para su uso estadístico.
8. Menores de edad
El servicio María está dirigido a personas mayores de edad. No tratamos conscientemente datos de menores de 14 años. Si detectamos que hemos recogido datos de un menor sin consentimiento parental, los eliminaremos inmediatamente.
9. Modificaciones de la política
Nos reservamos el derecho de modificar esta Política de Privacidad para adaptarla a novedades legislativas, jurisprudenciales o de nuestra práctica.
En caso de cambios sustanciales, le notificaremos a través del correo electrónico proporcionado o mediante aviso destacado en el Sitio Web, con al menos 30 días de antelación a su entrada en vigor.
Le recomendamos revisar periódicamente esta política.
10. Política de Cookies
El Sitio Web utiliza cookies propias y de terceros.
10.1 ¿Qué son las cookies?
Las cookies son pequeños archivos de texto que los sitios web almacenan en su dispositivo cuando los visita. Permiten que el sitio web recuerde sus acciones y preferencias.
10.2 Base legal
- Cookies técnicas/necesarias: Interés legítimo (Art. 6.1.f RGPD) y exención de consentimiento (Art. 22.2 LSSI-CE).
- Cookies de análisis: Consentimiento del usuario (Art. 6.1.a RGPD).
10.3 Tipos de cookies que utilizamos
Cookies técnicas (necesarias)
- session_id: Mantener la sesión del usuario (Sesión)
- csrf_token: Seguridad contra ataques CSRF (Sesión)
- cookie_consent: Recordar preferencias de cookies (1 año)
Cookies de análisis (estadísticas)
- _posthog: Distinguir usuarios y sesiones (1 año)
Utilizamos PostHog (cloud europeo) para analítica. Los datos se procesan en servidores dentro del Espacio Económico Europeo (EEE).
Cookies de marketing
Actualmente NO utilizamos cookies de marketing ni publicitarias.
10.4 Cómo gestionar las cookies
Puede modificar sus preferencias de cookies en cualquier momento a través de nuestro panel de configuración de cookies, accesible desde el botón "Configuración de cookies" en el pie de página.
También puede gestionar las cookies a través de la configuración de su navegador.
Puedes personalizar tus preferencias de análisis en nuestro panel de cookies.
11. Contacto
Para cualquier consulta relacionada con esta Política de Privacidad o el tratamiento de sus datos personales:
- Email: privacidad@hermet.ai
- Email: hola@hermet.ai
- Web: https://hermet.ai
© 2024-2026 ENTROPY BAY, S.L. Todos los derechos reservados.