Política de Privacidad

Nuestro compromiso fundamental Memoriia fue diseñado con privacidad como principio de arquitectura, no como requisito regulatorio. No vendemos datos. No mostramos publicidad. No compartimos tu información con terceros para ningún fin comercial. Esta política explica con total transparencia qué hacemos con tus datos y por qué.

1. Identidad del Responsable del Tratamiento

Empresa	Bremen Core LLC
Jurisdicción	Estado de Wyoming, Estados Unidos
Producto	Memoriia (plataforma de recordatorios vía WhatsApp)
Contacto / DPO	contact@memoriia.io
Representante UE	A designar conforme a Art. 27 GDPR si supera umbrales. Contacto habilitado en contact@memoriia.io.

Bremen Core actúa como Responsable del Tratamiento (Controller bajo GDPR/UK GDPR, Controlador bajo LGPD) de los datos recopilados directamente a través de Memoriia, y como Encargado del Tratamiento (Processor) respecto a los contenidos que el Usuario ingresa voluntariamente en el servicio.

2. Definiciones Clave

Término	Definición
Dato personal	Cualquier información que identifique o haga identificable a una persona física.
Tratamiento	Cualquier operación sobre datos personales: recopilación, almacenamiento, uso, transmisión o eliminación.
Subprocesador	Proveedor externo autorizado que trata datos en nombre de Bremen Core bajo contrato con garantías equivalentes.
Contacto Emergencia	Tercero designado por el Usuario para recibir notificaciones automatizadas en protocolos de escalamiento.
Dato biométrico	Datos derivados de características fisiológicas del cuerpo humano: frecuencia cardíaca, ECG, temperatura, acelerómetro.
Dato de localización	Coordenadas GPS o equivalentes que permiten determinar la ubicación física de una persona en tiempo real.

3. Categorías de Datos Personales Tratados

3.1 Datos proporcionados directamente

Dato	Descripción
Número de teléfono	Identificador principal. Vinculado a la cuenta WhatsApp. Obligatorio para el servicio.
Contenido de recordatorios	Texto libre, audio transcrito o imágenes enviadas a Memoriia. Íntegramente controlado por el Usuario.
Contacto de emergencia	Nombre y número de un tercero designado voluntariamente. Ver §9.
Preferencias	Idioma, zona horaria, configuración, plan contratado.

3.2 Datos generados automáticamente

Dato	Retención
Metadatos de interacción	Fecha/hora de mensajes y confirmaciones. Hasta cancelación.
Logs del sistema	Registros técnicos. Anonimizados tras 90 días.
Datos de auditoría	Registro de acciones del sistema. Hasta 12 meses.

3.3 Datos de facturación

Los datos de tarjetas son procesados exclusivamente por Stripe, Inc. (PCI-DSS Nivel 1). Bremen Core nunca recibe, almacena ni procesa datos de medios de pago.

Datos sensibles: Memoriia puede recibir contenido relacionado con salud si el Usuario lo ingresa voluntariamente (ej. recordatorios de medicación). Este contenido se trata con idéntica seguridad técnica, sin categorización especial ni procesamiento adicional.

3b. Datos Biométricos y de Geolocalización — Régimen Especial

El uso del sistema de monitoreo biométrico y geolocalización de Memoriia (funcionalidad Smartwatch y Geo-Guardián) implica el tratamiento de categorías especiales de datos que requieren protección reforzada bajo la legislación de todos los países donde operamos. Estos datos se tratan exclusivamente con el consentimiento explícito, libre, informado, inequívoco y revocable del Usuario.

Datos Biométricos — Tratamiento y Base Legal

Memoriia puede recibir del reloj inteligente del Usuario: frecuencia cardíaca (BPM), electrocardiograma (ECG), temperatura corporal, datos del acelerómetro (detección de caída), saturación de oxígeno (SpO2) y patrones de actividad física.

Base legal global: Consentimiento explícito activado por el Usuario durante el onboarding (paso "Conectar Smartwatch"). Sin consentimiento = sin procesamiento. El servicio biométrico es completamente opcional.
GDPR / UK GDPR (Art. 9.2.a): Consentimiento explícito para categorías especiales de datos. El Usuario puede revocar en cualquier momento sin afectar otros servicios.
LGPD Brasil (Art. 11, I): Consentimiento específico y destacado para datos sensibles de salud.
CCPA / CPRA California: Opt-in explícito requerido para datos de salud. Derecho a opt-out en cualquier momento.
LFPDPPP México (Art. 9): Consentimiento expreso para datos sensibles biométricos.
Ley 25.326 Argentina (Art. 7): Prohibición de tratamiento de datos sensibles salvo consentimiento expreso del titular.
PDPA Tailandia / UU PDP Indonesia: Consentimiento explícito previo al tratamiento de datos de salud y biométricos.
POPIA Sudáfrica (Art. 26): Condición especial de consentimiento para información de salud.
PIPEDA Canadá: Consentimiento significativo requerido para datos médicos y de salud.
Privacy Act Australia: APPs 3, 6 y 7: consentimiento como base para recolección y uso de información de salud sensible.

Datos de Geolocalización — Tratamiento y Base Legal

La función Geo-Guardián (geofencing para cuidado de adultos mayores con Alzheimer u otras condiciones) utiliza coordenadas GPS del dispositivo del familiar monitorizado. Memoriia también puede almacenar la última ubicación del Usuario principal para protocolos de emergencia biométrica (Nivel 3).

Doble consentimiento requerido: El guardián activa el servicio (consentimiento 1) Y el titular del dispositivo (o su tutor legal en caso de incapacidad) debe haber sido informado y consentido (consentimiento 2). Memoriia exige declaración expresa del guardián al respecto.
GDPR (Considerando 75 + Art. 6.1.a / 9.2.a): Geolocalización continua = alto riesgo. Requiere DPIA + consentimiento explícito. Disponible bajo solicitud.
LGPD Brasil (Art. 11, I): Dados de localização tratados como dados sensíveis quando vinculados à saúde. Consentimento específico obrigatório.
CCPA / CPRA: Datos de geolocalización precisa = categoría sensible bajo CPRA. Opt-in requerido, opt-out respetado en 15 días.
LFPDPPP México (Art. 16): Datos de localización en aviso de privacidad integral con consentimiento expreso.
Todas las jurisdicciones: El radio de geofencing es configurado por el guardián y puede desactivarse en cualquier momento. Los datos de ubicación del familiar se eliminan inmediatamente al cancelar el add-on o la cuenta.
Menores de edad y personas con capacidades disminuidas: El tutor legal actúa como representante. Memoriia no verifica capacidad legal pero exige declaración de responsabilidad al activar el servicio.

Revocación del consentimiento biométrico/GPS: El Usuario o guardián puede revocar el consentimiento en cualquier momento enviando un mensaje a Memoriia con el texto "DESACTIVAR BIOMÉTRICO" o "DESACTIVAR GPS". La revocación surte efecto inmediato. Los datos biométricos y de localización recopilados hasta ese momento se eliminan dentro de los 30 días siguientes, salvo los retenidos por obligación legal. La revocación no afecta la validez del tratamiento realizado antes de la misma (Art. 7.3 GDPR, Art. 8 §5 LGPD).

4. Finalidades del Tratamiento y Base Legal por Jurisdicción

Finalidad	GDPR (UE)	LGPD (BR)	CCPA (CA)
Prestar el servicio de recordatorios	Art. 6.1.b	Art. 7-II	Negocio
Ejecutar protocolo de escalamiento	Art. 6.1.b	Art. 7-V	Negocio
Monitoreo biométrico y GPS	Art. 9.2.a	Art. 11-I	Opt-in
Geofencing (Geo-Guardián)	Art. 9.2.a	Art. 11-I	Opt-in
Gestión de suscripción y facturación	Art. 6.1.b	Art. 7-II	Negocio
Seguridad y prevención de fraude	Art. 6.1.f	Art. 7-IX	Negocio
Cumplimiento de obligaciones legales	Art. 6.1.c	Art. 7-II	Legal
Mejora del servicio (anonimizado)	Art. 6.1.f	Art. 7-IX	Negocio
Comunicaciones de marketing (opt-in)	Art. 6.1.a	Art. 7-I	Consentim.

5. Principios que Rigen el Tratamiento

① Minimización: Solo recopilamos datos estrictamente necesarios para el funcionamiento del servicio.

② Limitación de finalidad: Los datos recopilados con un propósito no se usan para otros fines sin nuevo consentimiento.

③ Exactitud: Facilitamos al Usuario medios para corregir sus datos en cualquier momento.

④ Integridad y confidencialidad: Medidas técnicas y organizativas para proteger los datos frente a acceso no autorizado.

⑤ Responsabilidad proactiva: Bremen Core mantiene registros de tratamiento (ROPA) y puede demostrar cumplimiento ante autoridades reguladoras.

⑥ Privacy by Design: La privacidad está incorporada en la arquitectura del sistema, no añadida como capa posterior.

6. Medidas de Seguridad Técnica y Organizativa

Medida	Descripción
Cifrado en tránsito	TLS 1.3 para todas las comunicaciones entre el Usuario, WhatsApp y los servidores de Memoriia.
Cifrado en reposo	AES-256 para todos los datos almacenados. Claves gestionadas mediante KMS con rotación automática.
Acceso restringido	Sin acceso humano al contenido de recordatorios en texto plano. Solo procesos automatizados.
Separación de entornos	Dev, staging y producción completamente aislados. Datos de producción no se usan en testing.
Row Level Security	Cada Usuario solo puede acceder a sus propios datos a nivel de base de datos.
Rate limiting / Redis	Protección contra fuerza bruta, flooding y abuso automatizado.
Auditoría	Log inmutable de accesos y cambios. Alertas automáticas ante patrones anómalos.
Backups	Copias cifradas con retención limitada. No incluyen datos eliminados a solicitud del Usuario.

En caso de incidente de seguridad, Bremen Core notificará a los Usuarios afectados y a las autoridades reguladoras dentro de los plazos legales aplicables (72 horas bajo GDPR; plazos equivalentes bajo otras normativas).

7. Subprocesadores y Proveedores de Terceros

Proveedor	Función	País
Supabase	Base de datos, autenticación y almacenamiento	USA / UE
Twilio	Llamadas telefónicas automatizadas (protocolo de escalamiento)	USA
Meta / WhatsApp	Canal de mensajería principal (Cloud API)	USA / Global
Stripe	Procesamiento de pagos (PCI-DSS Nivel 1)	USA / UE
OpenAI / Google	Procesamiento de lenguaje natural. Sin retención para entrenamiento.	USA
Upstash / Redis	Rate limiting e idempotencia. No almacena contenido.	USA / UE
n8n (self-hosted)	Orquestación de flujos. Infraestructura propia.	Propia

Bremen Core puede divulgar datos si una autoridad judicial o reguladora competente lo exige mediante orden legal válida. En tal caso, notificaremos al Usuario en la mayor medida permitida por la ley.

8. Transferencias Internacionales de Datos

Jurisdicción	Mecanismo
UE / UK	Cláusulas Contractuales Estándar (SCCs 2021/914) + UK IDTA. DPIA disponible bajo solicitud.
Brasil	Países con nivel adecuado o cláusulas conformes al Art. 33 LGPD.
Argentina	Conforme a Disposición DNPDP 60-E/2016 (Ley 25.326 Art. 12).
México	Cláusulas contractuales conformes al Art. 36 LFPDPPP.
SE Asia (ID/TH)	Conformes a PDPA Tailandia (2019) y UU PDP Indonesia. Consentimiento explícito previo.

9. Datos de Terceros — Contacto de Emergencia

Al designar un Contacto de Emergencia, el Usuario declara y garantiza que:

· Ha informado previamente al tercero sobre el servicio Memoriia y la naturaleza de las notificaciones que podría recibir.
· Ha obtenido el consentimiento explícito del tercero para recibir comunicaciones automatizadas.
· El tercero puede solicitar eliminación de sus datos escribiendo a contact@memoriia.io.

10. Períodos de Retención de Datos

Categoría	Período
Datos de cuenta activa	Durante la suscripción activa
Datos tras cancelación	90 días (reactivación)
Contenido de recordatorios	Eliminación permanente a los 90 días
Datos biométricos y GPS	Eliminación inmediata al desactivar el servicio o a los 30 días de cancelación
Logs de auditoría	Hasta 12 meses (obligación legal)
Datos de facturación	5–7 años (normas fiscales)
Solicitudes de derechos (DSAR)	3 años (prueba de cumplimiento)
Datos de contacto de emergencia	Eliminados al borrar la cuenta o configuración

11. Derechos del Titular de los Datos

Ejercibles escribiendo a contact@memoriia.io. Respuesta en máximo 30 días hábiles (15 días bajo LGPD).

Acceso (DSAR)

Solicitar qué datos poseemos, cómo los usamos y con quién los compartimos.

Rectificación

Corregir datos inexactos, desactualizados o incompletos.

Eliminación / Olvido

Borrado completo en 30 días, salvo retención legal obligatoria.

Portabilidad

Recibir datos en formato estructurado (JSON/CSV) para transferirlos.

Oposición

Oponerse al tratamiento basado en interés legítimo.

Revocación del consentimiento

Retirar el consentimiento en cualquier momento, sin efecto retroactivo.

No discriminación (CCPA)

El ejercicio de derechos no afecta la calidad ni el precio del servicio.

Revisión humana (IA)

Solicitar intervención humana en decisiones automatizadas significativas.

12. Inteligencia Artificial y Decisiones Automatizadas

Memoriia utiliza modelos de IA para interpretar el lenguaje natural de los recordatorios. Los datos enviados a los modelos no se usan para entrenarlos. No se toman decisiones con efectos legales sobre el Usuario basadas únicamente en procesamiento automatizado. El Usuario puede solicitar modo manual mediante solicitud a soporte.

13. Cookies y Tecnologías de Seguimiento

El sitio web memoriia.io utiliza exclusivamente cookies técnicas estrictamente necesarias. No utilizamos cookies de publicidad, píxeles de redes sociales, analytics que identifiquen usuarios individuales, ni fingerprinting de dispositivos. El servicio principal opera vía WhatsApp y no utiliza cookies.

14. Protección de Menores de Edad

Memoriia no está dirigido a personas menores de 18 años. Si tomamos conocimiento de haber procesado datos de un menor sin consentimiento parental verificable, procederemos a notificar a los padres o tutores, eliminar todos los datos de forma inmediata e irreversible, y cancelar la cuenta sin cargo. Contacto: contact@memoriia.io

15. Autoridades de Control por Jurisdicción

País / Región	Autoridad
UE	Autoridad supervisora del Estado miembro (AEPD, CNIL, BfDI, etc.)
UK	Information Commissioner's Office (ICO) — ico.org.uk
Brasil	Autoridade Nacional de Proteção de Dados (ANPD)
Argentina	Agencia de Acceso a la Información Pública (AAIP)
México	Instituto Nacional de Transparencia (INAI)
California	California Privacy Protection Agency (CPPA)
Indonesia	Kementerian Komunikasi dan Digital (Komdigi)

16. Actualizaciones de esta Política

Los cambios materiales serán notificados por WhatsApp con al menos 15 días de antelación. Los cambios no materiales pueden aplicarse sin previo aviso. El uso continuado del servicio implica la aceptación de la Política actualizada.

Lo que Memoriia garantiza en privacidad

Sin publicidad: Nunca vendemos ni alquilamos datos para publicidad o perfilado comercial.
Sin entrenamiento de IA: Tu contenido no entrena modelos de IA de terceros.
Sin lectura humana: Ningún empleado puede leer el contenido de tus recordatorios en texto plano.
Cifrado total: TLS 1.3 en tránsito + AES-256 en reposo en todos los sistemas.
Biométrico y GPS solo con tu consentimiento: Activación explícita requerida. Revocación inmediata disponible en cualquier momento.
Eliminación efectiva: Datos borrados permanentemente, no sólo marcados como inactivos.
Cumplimiento global: GDPR · UK GDPR · LGPD · CCPA/CPRA · LFPDPPP · Ley 25.326 · PDPA · UU PDP · POPIA · PIPEDA.
Stripe aísla pagos: Bremen Core nunca toca datos de tarjetas — responsabilidad 100% de Stripe (PCI-DSS Nivel 1).

Para ejercer derechos de privacidad o consultas legales:

contact@memoriia.io

Memoriia v1.0 · Bremen Core LLC · Wyoming, USA · Política de Privacidad Global v2.0 · Abril 2026

Política de Privacidad.

Datos Biométricos — Tratamiento y Base Legal

Datos de Geolocalización — Tratamiento y Base Legal