Quiénes somos
Cliny Pet es un servicio multilingüe de triaje veterinario asistido por IA. Ayudamos a las personas dueñas de mascotas a decidir si —y con qué urgencia— deben consultar a un veterinario con licencia. No somos veterinarios, no emitimos diagnósticos médicos y no recetamos medicamentos. Este aviso de privacidad explica qué datos procesamos cuando usas Cliny Pet y cómo los mantenemos seguros.
Qué datos recopilamos
Procesamos las siguientes categorías de datos personales:
- Datos de la cuenta: dirección de correo electrónico, contraseña con hash, preferencia de idioma, país de residencia y marca de tiempo de creación de la cuenta.
- Perfiles de mascotas: nombre de la mascota, especie, raza, edad, sexo, estado de esterilización, peso, condiciones crónicas, medicamentos actuales y un avatar opcional.
- Fotos y contenido de la conversación: imágenes de tu mascota que subes con cada sesión de triaje y la descripción de síntomas en texto libre que escribes.
- Resultados del triaje: la evaluación estructurada de la IA (nivel de urgencia, observaciones, acciones sugeridas) devuelta en cada sesión.
- Metadatos de pago: nivel de suscripción, ciclo de facturación e identificador de cliente de Stripe tokenizado (Stripe es nuestro único procesador de pagos para todos los mercados). No almacenamos números de tarjeta completos; los identificadores tokenizados los conserva Stripe.
- Eventos de consentimiento: cada vez que aceptas o cambias tus preferencias de cookies o privacidad, registramos la marca de tiempo y la versión de la política vigente en ese momento.
- Registros de diagnóstico: registros mínimos del servidor (marcas de tiempo de solicitudes, errores depurados) necesarios para operar el servicio de forma segura.
Dónde se almacenan tus datos
Cliny Pet opera en la Unión Europea. Tus datos se alojan en centros de datos de la UE ubicados en Alemania y Francia, y nuestra base de datos y sus copias de seguridad permanecen en todo momento dentro de la UE. Las fotos que subes se conservan en un almacenamiento de imágenes de la región de la UE.
Esta postura de residencia de datos respalda el cumplimiento del Reglamento General de Protección de Datos de la UE (RGPD). Cuando el procesamiento de IA requiere enviar una carga útil depurada a nuestro proveedor de modelos, solo se transmite el contenido mínimo necesario para esa sesión de triaje.
Cómo usamos tus datos
Usamos tus datos únicamente para:
- Generar las evaluaciones de triaje que solicitas activamente.
- Mantener tu cuenta y tu suscripción.
- Proporcionar texto de la interfaz adecuado al idioma en la configuración regional que elijas.
- Enviar correos electrónicos esenciales del servicio (verificación, recibos de facturación, avisos de seguridad).
- Mejorar la fiabilidad del servicio mediante la supervisión de errores (no se extraen datos personales para entrenamiento; véase a continuación).
No vendemos tus datos, no usamos el contenido de los clientes para entrenar modelos de IA de terceros y no mostramos publicidad de terceros en el servicio de Cliny Pet.
Tus derechos (RGPD)
Tienes derecho a:
- Acceder a los datos personales que conservamos sobre ti.
- Exportar tus datos en un formato portátil.
- Corregir datos inexactos a través de la configuración de tu cuenta.
- Eliminar tu cuenta y tus datos personales (sujeto a los plazos legales de conservación limitados que se describen a continuación).
- Retirar el consentimiento para el procesamiento cuando el consentimiento sea la base jurídica.
- Oponerte al procesamiento o restringirlo cuando corresponda.
- Presentar una reclamación ante la autoridad de protección de datos competente que te supervise.
Para ejercer cualquiera de estos derechos, contáctanos a través del canal indicado en «Contáctanos» más abajo. Respondemos dentro del plazo que exige el RGPD (un mes, conforme al Artículo 12(3)).
Cuánto tiempo conservamos tus datos
- Cuentas activas: mientras tu suscripción esté activa.
- Cuentas eliminadas: se eliminan de forma reversible durante treinta días para permitir la recuperación y luego se eliminan permanentemente del almacenamiento principal.
- Eventos de autenticación y seguridad: se conservan durante el período exigido por la legislación aplicable (normalmente hasta seis meses con fines de investigación de seguridad).
- Registros de consentimiento y eventos de auditoría: se conservan durante el
plazo legal de conservación tras la eliminación (según
policy_versiony la jurisdicción). - Copias de seguridad: se purgan en la ventana de copia de seguridad rotativa del proveedor de almacenamiento correspondiente tras la fecha de eliminación.
Cookies y seguimiento
Cliny Pet usa cookies y tecnologías similares únicamente para:
- Operación esencial: cookies de sesión y autenticación necesarias para mantenerte con la sesión iniciada.
- Memoria de preferencias: selección de idioma y tema.
Para cualquier cosa que vaya más allá de las cookies estrictamente esenciales, obtenemos el consentimiento mediante un banner de cookies de prominencia equivalente. Puedes volver a abrir el panel de preferencias de cookies en cualquier momento desde el enlace del pie de página. Para ver un desglose detallado de cada categoría de cookies, consulta nuestra Política de Cookies.
Contáctanos
Para ejercer tus derechos de privacidad o hacer preguntas sobre esta política, contacta a nuestro punto de contacto de protección de datos en [email protected].
Tus derechos sobre los datos (RGPD)
Tienes un conjunto definido de derechos sobre los datos personales que conservamos sobre ti, en virtud del Reglamento General de Protección de Datos de la UE (RGPD, Artículos 12-22). La siguiente tabla asigna cada derecho al artículo que lo otorga y a la superficie de producto de Cliny Pet que te permite ejercerlo:
| Derecho | RGPD | Dónde ejercerlo |
|---|---|---|
| Derecho a ser informado | Art 13 | Esta política + el aviso permanente del pie de página |
| Derecho de acceso | Art 15 | /settings/privacy → Exportar mis datos |
| Derecho de rectificación | Art 16 | /settings/account + [email protected] |
| Derecho de supresión («derecho al olvido») | Art 17 | /settings/privacy → Eliminar mi cuenta |
| Derecho a la limitación del tratamiento | Art 18 | [email protected] (DSAR — Limitación) |
| Derecho a la portabilidad de los datos | Art 20 | /settings/privacy → Exportar mis datos |
| Derecho de oposición | Art 21 | [email protected] (DSAR — Oposición) |
| Derecho a no ser objeto de decisiones automatizadas | Art 22 | [email protected] (DSAR — Art 22) |
| Derecho a retirar el consentimiento | Art 7(3) | Enlace «Preferencias de cookies» del pie de página |
| Derecho a presentar una reclamación ante una autoridad | Art 77 | La autoridad de protección de datos competente que te supervise |
Nota sobre la portabilidad de los datos (RGPD Art 20): Cliny Pet ofrece la portabilidad de datos en virtud del Artículo 20 del RGPD, que te otorga el derecho a recibir tus datos personales en un «formato estructurado, de uso común y legible por máquina». Recibes un paquete JSON + ZIP de imágenes.
Cómo ejercer tus derechos
La superficie dentro de la aplicación en /settings/privacy es el canal
principal para ejercer los cuatro derechos que Cliny Pet automatiza (acceso,
supresión, portabilidad y retirada del consentimiento). Para los demás derechos
(rectificación de campos que no se gestionan por autoservicio, limitación,
oposición, solicitudes de intervención humana según el Art 22), escribe a
[email protected] indicando el derecho que deseas ejercer.
Tiempo de respuesta: respondemos en un plazo de 30 días desde la recepción de una solicitud completa, conforme al Artículo 12(3) del RGPD. Dado que la eliminación de la cuenta la finaliza un barrido diario de cron, la supresión se completa en un plazo de 31 días desde tu solicitud inicial (ventana de eliminación reversible de 30 días más un máximo de 24 horas hasta el siguiente tic de cron). La eliminación reversible es efectiva de inmediato: tus sesiones se revocan en el momento en que pulsas Eliminar, y la ventana de 30 días existe únicamente para que puedas cambiar de opinión.
Procesamiento automatizado (triaje con IA)
Cliny Pet utiliza procesamiento automatizado (modelo de visión xAI Grok + una capa determinista de anulación de seguridad) para ofrecer recomendaciones de triaje veterinario. El resultado (una evaluación de urgencia de 5 niveles más observaciones, posibles causas, acciones inmediatas, señales de alarma y una recomendación veterinaria) te afecta de forma significativa porque informa una decisión con consecuencias reales de coste, tiempo y bienestar animal.
Base jurídica para el procesamiento con IA: nos basamos en el consentimiento explícito (RGPD Art 22(2)(c)), otorgado en el registro mediante tu aceptación de nuestras Condiciones del Servicio. Las Condiciones incluyen esta divulgación del Artículo 22 textualmente.
Tus derechos respecto al triaje con IA en particular:
- Intervención humana: escribe a [email protected] para solicitar que una persona revise tu triaje. Respondemos en un plazo de 30 días.
- Expresar tu punto de vista: puedes enviar contexto adicional sobre el resultado de tu triaje a la misma dirección; pasará a formar parte del registro de auditoría que conservamos junto al resultado del triaje.
- Impugnar la decisión: puedes cuestionar la evaluación de urgencia o solicitar que la repitamos con un contexto corregido. Ofrecemos información significativa sobre cómo funciona el triaje —y dónde están sus límites— en nuestro blog.
- Anulaciones de seguridad: con independencia del resultado del modelo de IA, Cliny Pet aplica una anulación de seguridad determinista para seis patrones de emergencia veterinaria bien documentados (p. ej., obstrucción uretral en gatos machos, GDV en perros de tórax profundo, estasis gastrointestinal en conejos). Cuando se detecta cualquiera de estos patrones, el nivel de urgencia se eleva obligatoriamente a EMERGENCY, sin importar lo que haya devuelto el modelo de IA.
Subencargados del tratamiento
Cliny Pet se apoya en un conjunto reducido de subencargados del tratamiento. Los dos proveedores que tratan las categorías más significativas de datos personales —nuestro proveedor del modelo de IA y nuestro procesador de pagos— se nombran a continuación. Cada entrada muestra el rol del encargado, el módulo de CCT utilizado para cualquier transferencia restringida desde la UE y las categorías de datos tratados. Cuando el flujo de datos permanece dentro de la UE, no se requieren CCT: esas filas están marcadas como «Residencia en la UE».
| Encargado | Rol | CCT / Régimen de transferencia | Datos tratados |
|---|---|---|---|
| xAI | Proveedor del modelo de IA (Grok) | CCT Módulo 2 (Derecho irlandés según la Cláusula 17 Opción 1) — existe DPA; el Anexo I+II empresarial firmado está pendiente de recuperación por parte de Counsel | Contexto del perfil de la mascota + descripción de síntomas + imagen procesada (tras eliminar EXIF, tras redimensionar) |
| Stripe | Pagos (todos los mercados) | CCT Módulo 2 mediante el DPA de Stripe | País + nivel + referencias de pago tokenizadas |
| Almacenamiento de imágenes (región de la UE) | Almacenamiento de objetos para fotos y exportaciones | Residencia en la UE | Avatares de mascotas + fotos de triaje + ZIP de exportación |
| Entrega de correo transaccional | Correos del servicio | CCT Módulo 2 mediante el DPA del proveedor | Dirección de correo + idioma + contenido del correo |
Más allá de xAI y Stripe, nos apoyamos en un número reducido de proveedores de servicios de infraestructura centrados en la UE, utilizados para el almacenamiento de imágenes (región de la UE), la entrega de correo transaccional y la supervisión de errores. La lista completa y actualizada de subencargados del tratamiento —incluidos los nombres de los proveedores— está disponible previa solicitud a través de [email protected].
Nota de estado sobre xAI: xAI publica un Acuerdo de Tratamiento de Datos (DPA) que los trata como encargado del tratamiento conforme al Módulo Dos de las CCT, regido por el Derecho irlandés. Las condiciones del DPA de disponibilidad general son públicas; la copia empresarial firmada con el Anexo I (alcance del tratamiento) y el Anexo II (medidas técnicas y organizativas) completados se está recuperando a través de nuestro canal de contacto empresarial. El DPA existe: es un asunto de finalización de documentación, no una laguna no mitigada.
Nota de estado sobre los pagos: Stripe es nuestro único procesador de pagos para todos los mercados (incluida Turquía). Nunca recibimos ni almacenamos el número completo de tu tarjeta: Stripe conserva las referencias de pago tokenizadas fuera de banda. Stripe conserva los registros transaccionales para cumplir con las obligaciones de prevención de blanqueo de capitales (AML) y fiscales (véase la tabla de conservación de datos más abajo).
Conservación de datos
| Categoría de datos | Plazo de conservación | Base jurídica |
|---|---|---|
| Datos de cuenta activa | Duración de la suscripción | RGPD Art 6(1)(b) ejecución del contrato |
| Cuenta eliminada de forma reversible | 30 días (luego cascada de eliminación definitiva) | Permite la restauración; RGPD Art 17 |
| Datos de mascota + triaje + hilo | Eliminados definitivamente con la cuenta en T+30 | RGPD Art 17 |
| Sesiones + tokens de actualización | Revocados al instante en la eliminación reversible; eliminados en T+30 | OWASP + RGPD Art 5(1)(c) minimización de datos |
audit_events (seudonimizados) | 5 años tras la eliminación definitiva | RGPD Art 17(3)(e) defensa de reclamaciones legales |
consent_events (seudonimizados) | 5 años tras la eliminación definitiva | RGPD Art 7(1) prueba de consentimiento |
| Eventos de auditoría relacionados con brechas | 10 años tras la eliminación definitiva | RGPD Art 33(5) deber de documentación de brechas |
| Registros transaccionales de Stripe | Según la conservación AML de Stripe (normalmente 7+ años) | RGPD Art 17(3)(b) obligación legal prevalente (AML) |
| ZIP de exportación de datos | 7 días (política automática de ciclo de vida del almacenamiento) | Ventana de exposición mínima autoimpuesta |
El paso de seudonimización de 5 años elimina los identificadores directos
(user_id, ip, user_agent, metadata.email, metadata.ip) de las filas
conservadas; lo que queda es la taxonomía de eventos y las marcas de tiempo
necesarias para demostrar el consentimiento y responder a posibles auditorías de
una autoridad de protección de datos.
Residencia de los datos
El entorno de ejecución de Cliny Pet está bloqueado en la Unión Europea. En concreto:
- Alojamiento de la aplicación: centros de datos de la UE ubicados en Alemania y Francia.
- Base de datos y copias de seguridad: se mantienen en todo momento dentro de la UE.
- Almacenamiento de imágenes: almacenamiento de objetos en la región de la UE.
- Correo transaccional: un proveedor de entrega centrado en la UE, con salvaguardas de CCT Módulo 2 para cualquier ruta de entrega enrutada a EE. UU.
Este bloqueo de residencia se aplica en el arranque del proceso mediante un guardia de tiempo de ejecución que se niega a iniciar el backend si alguna ubicación configurada de cómputo, base de datos o almacenamiento hace referencia a una región fuera de la UE. Un trabajo de auditoría automatizado diario vuelve a certificar la postura de residencia de la base de datos y del almacenamiento de imágenes; cualquier desviación genera una alerta crítica en nuestro sistema de supervisión de errores y registra un evento de auditoría, de modo que el equipo de ingeniería recibe aviso de inmediato. Exponemos aquí esta transparencia del lado del operador porque creemos que las garantías de residencia de datos deben ser auditables, no solo prometidas.
Esta política se revisa periódicamente y se actualiza siempre que cambian nuestras prácticas. La redacción final de cada apartado está sujeta a revisión continua por parte de Counsel con licencia en las jurisdicciones de TR, UE y EE. UU.