Cumplimiento RGPD
Última actualización: 24 de marzo de 2026
CalmCall, operado por CalmCall SRL (Bucarest, Rumanía), se compromete a cumplir plenamente con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (« RGPD »).
Dado que CalmCall trata datos sensibles sobre la salud mental, nos comprometemos a respetar los más altos estándares de protección y transparencia.
1. Delegado de Protección de Datos (DPD)
Hemos designado un Delegado de Protección de Datos al que usted puede contactar para cualquier consulta relacionada con sus datos personales:
- Puesto: Delegado de Protección de Datos
- Empresa: CalmCall SRL
- Email: dpo@calmcall.ai
- Dirección: Bucarest, Rumanía
- Plazo de respuesta: Máximo 30 días naturales
2. Bases Legales para el Tratamiento de Datos
Tratamos sus datos personales sobre la base de los fundamentos jurídicos siguientes previstos por el RGPD:
- Consentimiento explícito (Art. 6(1)(a) y Art. 9(2)(a)): Para el tratamiento de datos sensibles sobre la salud mental (conversaciones IA, evaluaciones emocionales, entradas de diario). Se solicita el consentimiento al crear la cuenta y puede ser retirado en cualquier momento.
- Ejecución del contrato (Art. 6(1)(b)): Para proporcionar los servicios de CalmCall, la gestión de cuentas y el tratamiento de pagos.
- Obligación legal (Art. 6(1)(c)): Para cumplir con los requisitos fiscales, contables y legales aplicables.
- Interés vital (Art. 6(1)(d)): En casos excepcionales de detección de un riesgo inminente para la vida del usuario.
- Interés legítimo (Art. 6(1)(f)): Para la mejora de los servicios, la seguridad y la prevención del fraude, respetando los derechos e intereses de los usuarios.
3. Duraciones de Conservación de los Datos
Los datos se conservan estrictamente durante el tiempo necesario para la finalidad para la cual fueron recogidos:
| Categoría de Datos | Duración de Conservación |
|---|---|
| Datos de cuenta (email, nombre) | Duración de la cuenta + 30 días |
| Conversaciones IA | Duración de la cuenta + 30 días (eliminación individual disponible) |
| Diario terapéutico | Duración de la cuenta + 30 días |
| Datos de pago | 5 años (obligación legal fiscal) |
| Registros técnicos | 90 días |
| Cookies analíticas | 13 meses (según las recomendaciones de la CNIL) |
| Copias de seguridad cifradas | 90 días después de la eliminación de los datos originales |
| Correspondencia de soporte | 2 años |
4. Subcontratistas Terceros
Trabajamos con los siguientes subcontratistas terceros, todos conformes al RGPD con acuerdos de tratamiento de datos firmados (DPA):
- Hetzner Online GmbH (Alemania): Alojamiento e infraestructura de servidor. Servidores ubicados en la UE (Alemania).
- Stripe Inc. (USA/Irlanda): Procesamiento de pagos. Certificado PCI DSS Nivel 1. Cláusulas contractuales estándar para la transferencia UE-USA.
- OpenAI (USA): Procesamiento IA para el compañero vocal. Datos tratados según el DPA con cláusulas contractuales estándar. Los datos de los usuarios no se utilizan para el entrenamiento de modelos.
- ElevenLabs (USA): Síntesis de voz para el compañero IA. Cláusulas contractuales estándar.
- Google Analytics (USA/Irlanda): Análisis del tráfico anonimizado. IP anonimizadas, sin cookies de identificación.
5. Transferencias de Datos Transfronterizas
Todos los datos se almacenan en servidores dentro de la Unión Europea. Cuando la transferencia de datos a países fuera del Espacio Económico Europeo es necesaria (por ejemplo, para el procesamiento IA), nos aseguramos de que:
- Cláusulas Contractuales Estándar (CCS) aprobadas por la Comisión Europea sean implementadas
- Los subcontratistas cuenten con certificaciones de conformidad pertinentes (SOC 2, ISO 27001, PCI DSS)
- Se apliquen medidas técnicas adicionales: cifrado de extremo a extremo, seudonimización, minimización de datos
- Se realicen evaluaciones de impacto (Evaluaciones de Impacto de Transferencias) para cada transferencia
6. Solicitudes de Eliminación de Datos
Usted puede solicitar la eliminación completa de sus datos personales a través de:
- Desde la cuenta: Configuración > Privacidad > Eliminar todos los datos
- Email: Envíe una solicitud a dpo@calmcall.ai
- Formulario: Complete el formulario de solicitud RGPD en el sitio web
Proceso de eliminación:
- Confirmación de identidad en un plazo máximo de 3 días hábiles
- Eliminación de los datos principales en un plazo máximo de 30 días
- Eliminación de las copias de seguridad en un plazo máximo de 90 días
- Confirmación de la eliminación final por email
Nota: Algunos datos pueden ser conservados debido a obligaciones legales (datos fiscales — 5 años).
7. Política de Cookies — Detalles
Clasificación completa de las cookies utilizadas en CalmCall:
Cookies Estrictamente Necesarias
- session_id: Identificador de sesión. Duración: sesión del navegador. No se puede desactivar.
- csrf_token: Protección contra ataques CSRF. Duración: sesión. No se puede desactivar.
- auth_token: Token de autenticación. Duración: 30 días o al cerrar sesión. No se puede desactivar.
Cookies Funcionales
- language: Preferencia de idioma. Duración: 1 año. Puede ser desactivado.
- theme: Preferencia de tema visual. Duración: 1 año. Puede ser desactivado.
- cookie_consent: Preferencias de consentimiento. Duración: 1 año.
Cookies Analíticas
- _ga: Google Analytics — identificación anónima de usuarios. Duración: 13 meses. Puede ser desactivado.
- _ga_*: Google Analytics — estado de sesión. Duración: 13 meses. Puede ser desactivado.
No utilizamos cookies de marketing, publicidad o remarketing.
8. Evaluación de Impacto en la Protección de Datos (EIPD)
Dado que CalmCall trata datos sensibles sobre la salud mental a gran escala, hemos realizado una Evaluación de Impacto en la Protección de Datos (EIPD) conforme al Art. 35 RGPD. La EIPD se revisa anualmente o ante cualquier cambio significativo en las actividades de tratamiento. Los resultados de la EIPD están disponibles a solicitud de las autoridades de control.
9. Sus Derechos
En virtud del RGPD, usted tiene los siguientes derechos:
- Derecho de acceso (Art. 15) — obtener una copia de sus datos
- Derecho de rectificación (Art. 16) — corregir datos inexactos
- Derecho a la supresión (Art. 17) — solicitar la eliminación de datos
- Derecho a la limitación (Art. 18) — limitar el tratamiento
- Derecho a la portabilidad (Art. 20) — recibir datos en un formato estructurado
- Derecho de oposición (Art. 21) — oponerse al tratamiento
- Derecho a retirar el consentimiento (Art. 7(3)) — en cualquier momento, sin efecto retroactivo
- Derecho a presentar una queja (Art. 77) — ante la autoridad de control
10. Autoridades de Control
Si usted considera que sus derechos han sido violados, puede presentar una queja ante:
- Rumanía: Autoridad Nacional de Supervisión del Tratamiento de Datos Personales (ANSPDCP) — www.dataprotection.ro
- Chipre: Oficina del Comisionado de Protección de Datos Personales — www.dataprotection.gov.cy
11. Contacto
Para cualquier pregunta o solicitud relacionada con el RGPD y la protección de datos personales:
- Email DPD: dpo@calmcall.ai
- Email general: contact@calmcall.ai
- Empresa: CalmCall SRL, Bucarest, Rumanía