Luna.

Privacy Policy · Version 2026-06-22

🔐 Política de Privacidad de Luna
Actualizada: junio de 2026

📋 RESPONSABLE
icoso Consulting SL («Luna FemTech»)
Representada por: Daniel Osorio Fernandez
Calle Juan de Herrera 18, plantas 4.ª y 5.ª
ES-39002 Santander (Cantabria), España (UE)
Contacto de privacidad: privacy@icoso.es

🎯 BREVE Y HONESTO
Luna cifra tus datos de salud en tu dispositivo (AES-256) antes de que lleguen a nuestros servidores: a nosotros solo nos llega código ilegible. En el modo estándar es posible recuperar la contraseña (la clave está custodiada en el servidor); solo en el modo Máxima Privacidad únicamente tu clave de recuperación da acceso.

🔒 CIFRADO (KEK/DEK)
• Todos los datos de salud (ciclo, síntomas, estados de ánimo, TBC, diario) se cifran con una clave de datos aleatoria (DEK) AES-256
• La DEK se protege con tu contraseña (KEK)
• Modo estándar: recuperación de contraseña posible (DEK custodiada en el servidor)
• Modo Máxima Privacidad: solo tú tienes la clave (clave de recuperación) — sin recuperación en el servidor

📊 QUÉ DATOS TRATAMOS
Almacenados cifrados:
• Nombre, avatar, datos de perfil
• Datos del ciclo, síntomas, estados de ánimo, TBC
• Entradas del diario
• Predicciones del ciclo (calculadas de forma determinista en la app)

Almacenados sin cifrar:
• Dirección de correo electrónico (para iniciar sesión; autenticación mediante nuestro propio servicio en servidores de la UE)
• Ajustes de la app (idioma, esquema de color)
• Metadatos operativos de los recordatorios: frecuencias, horas, categoría del medicamento, modo anticonceptivo. Los valores (cifras hormonales, nombres de medicamentos, notas) van cifrados — los campos operativos quedan en claro porque el planificador local debe leerlos para disparar los recordatorios.

🤖 SERVICIOS DE IA Y APIS EXTERNAS
• Claude AI (Anthropic vía AWS Bedrock, región eu-central-1 Fráncfort): consejos de nutrición y estilo de vida. Los datos se anonimizan antes de enviarse — sin nombres, IDs ni fechas exactas. Además, nuestro servidor elimina antes del envío los identificadores que tú mismo pudieras teclear en el chat (direcciones de correo, números de teléfono, IBAN). Por cada solicitud registramos metadatos anonimizados para asegurar la calidad (idioma, fase del ciclo, longitud de la respuesta, un hash seudónimo de tu identificador) — SIN contenido del chat, retención máx. 180 días. El procesamiento de texto por IA permanece íntegramente en la UE.
• Imágenes de recetas e ilustraciones: gpt-image-1 (OpenAI). La generación de imágenes se procesa en EE. UU. (OpenAI, EE. UU., amparada por las Cláusulas Contractuales Tipo de la UE). Solo se transmite un término de búsqueda en inglés del motivo (p. ej., salmon bowl) — sin datos de salud ni IDs.
• Búsqueda por código de barras: al escanear un envase de medicamento, el EAN se envía a bases de datos públicas de productos (OpenFoodFacts) para sugerir el nombre. La petición pasa por nuestro backend en la UE — los servicios externos no ven ni tu identidad ni tu IP. Los EAN cacheados en nuestra base de datos no llevan identificador de usuario.
• Autocompletado de localidad: al introducir opcionalmente tu lugar de residencia, el nombre que escribes se envía a través de nuestro backend de la UE a OpenStreetMap Nominatim para mostrar sugerencias. El servicio externo no ve ni tu identidad ni tu IP; la localidad elegida se guarda solo en tu perfil (cifrado).
• Envío de correos: los correos de registro y confirmación se envían mediante Scaleway Transactional Email (París, UE). Se transmite tu dirección de correo; el tratamiento permanece en la UE.
• Diagnóstico de fallos: los informes de errores y caídas se recogen mediante Sentry (región UE) para garantizar estabilidad y seguridad. El contenido personal se elimina automáticamente (scrubbing) antes del envío. Puedes desactivar los informes de fallos en cualquier momento en Ajustes (Privacidad) — el cambio surte efecto al reiniciar la app.
• Gestión de suscripciones: las compras y suscripciones se gestionan mediante RevenueCat (EE. UU., amparado por las Cláusulas Contractuales Tipo de la UE). Solo se transmiten el estado de la suscripción y un identificador anonimizado (un hash sha256 de tu ID de cuenta, no la ID en sí — RevenueCat no puede vincularlo contigo) — sin datos de salud.

Todas las peticiones pasan por nuestro backend en la UE — tu dispositivo nunca contacta directamente con servicios externos. El procesamiento de texto por IA (Claude) permanece en la UE.

⚖️ BASES JURÍDICAS (RGPD)
• Art. 6(1)(a): Consentimiento — para el coaching con IA y las sugerencias de recetas
• Art. 6(1)(b): Ejecución del contrato — para el seguimiento del ciclo y las funciones esenciales
• Art. 6(1)(f): Interés legítimo — para el diagnóstico de fallos (Sentry) y para el aseguramiento anonimizado de la calidad de las respuestas de la IA (solo metadatos, sin contenido del chat; ver "Servicios de IA"). Puedes oponerte en cualquier momento (art. 21), lo más sencillo es el interruptor de informes de fallos en Ajustes o por correo a privacy@icoso.es.
• Art. 9(2)(a): Consentimiento explícito — para datos de salud (categoría especial)

🌍 INFRAESTRUCTURA Y TRANSFERENCIAS A TERCEROS PAÍSES
• Backend: Hetzner Cloud (UE)
• Base de datos: gestionada por nosotros en servidores de Hetzner Online GmbH (UE)
• Copias de seguridad cifradas: Scaleway Object Storage (París, UE) - solo texto cifrado, ilegible en claro para nosotros y para Scaleway
• Tus datos de salud permanecen en la UE.

A EE. UU. se transfiere exclusivamente:
• Generación de imágenes (OpenAI): solo términos de búsqueda en inglés — sin datos de salud ni identidad (Cláusulas Contractuales Tipo de la UE).
• Gestión de suscripciones (RevenueCat): solo estado de suscripción e identificador anonimizado (un hash sha256 de tu ID de cuenta, no la ID en sí — RevenueCat no puede vincularlo contigo) — sin datos de salud (Cláusulas Contractuales Tipo de la UE).
Apple (App Store) y Google (Play) tratan los datos de pago y de la tienda como responsables independientes conforme a sus propias políticas de privacidad.

🍎 APPLE HEALTH Y GOOGLE HEALTH CONNECT
Con tu consentimiento explícito, Luna importa datos de salud de Apple HealthKit o Google Health Connect (p. ej., sueño, pulso en reposo, temperatura corporal) para mejorar tus análisis del ciclo.
Estos datos se usan exclusivamente para las funciones de la app — NO para publicidad, NO se venden y NO se comparten con terceros.
Como todos tus datos de salud, se almacenan cifrados de extremo a extremo. Puedes revocar el acceso en cualquier momento en los ajustes del dispositivo.

🛡️ DATOS BIOMÉTRICOS
• Face ID / Touch ID se procesan solo localmente en tu dispositivo
• No almacenamos datos biométricos
• La contraseña guardada reside en el Llavero de iOS / Keystore de Android (protección por hardware)

❌ LO QUE NO HACEMOS
• Sin publicidad, sin rastreadores, sin analítica
• Sin venta ni cesión de datos
• Sin algoritmos de perfilado

✅ TUS DERECHOS (RGPD)
• Art. 15: Acceso → Ajustes > Descargar datos
• Art. 16: Rectificación → perfil editable en cualquier momento
• Art. 17: Supresión → Ajustes > Eliminar cuenta (inmediato, irreversible)
• Art. 20: Portabilidad → exportación JSON de todos los datos
• Art. 21: Oposición al tratamiento basado en interés legítimo (informes de fallos) → interruptor en Ajustes o privacy@icoso.es
• Art. 7(3): Retirada del consentimiento → posible en cualquier momento
• Art. 77: Derecho a reclamar ante una autoridad de protección de datos — p. ej., la AEPD española (www.aepd.es) o la autoridad de tu lugar de residencia

🔄 CONSERVACIÓN DE DATOS
• Al eliminar tu cuenta, tus datos se retiran de inmediato de nuestros sistemas activos
• Las copias residuales en backups técnicos cifrados se eliminan en un plazo de 7 días con el ciclo diario de copias; si excepcionalmente se restaurase un backup, un procedimiento registrado vuelve a eliminar las cuentas ya borradas
• Los informes de fallos (Sentry) se eliminan automáticamente tras la retención estándar del proveedor (90 días); al eliminar la cuenta, tus eventos se purgan activamente

📧 Contacto: privacy@icoso.es

🌙 Made with ❤️ in the EU