Política de Privacidad

1. Información general

KADMEIA SLU (en adelante, "KADMEIA", "nosotros" o "la empresa") es el responsable del tratamiento de los datos personales recabados a través del sitio web kybervet.com y la plataforma KYBERVET Academy, de acuerdo con el Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

KYBERVET es una marca comercial titularidad de KADMEIA SLU.

Datos de contacto del responsable

2. Datos que recopilamos

Datos de contacto e identificación

• Nombre completo
• Dirección de correo electrónico
• Número de teléfono (opcional)
• Empresa u organización (opcional)

Datos de la cuenta de KYBERVET Academy

• Credenciales de acceso (email y contraseña cifrada)
• Preferencia de idioma
• Progreso en cursos (lecciones completadas, resultados de quizzes)
• Licencias de acceso a productos
• Fecha de registro y último acceso

Datos de transacción (cuando realizas una compra)

• Datos de facturación (nombre, dirección fiscal, CIF/NIF si aplica)
• Historial de compras (producto adquirido, fecha, importe)
• Identificador de transacción de Stripe (NO almacenamos datos de tarjeta de crédito — ver sección 6)

Datos técnicos

• Dirección IP
• Información del navegador y dispositivo
• Páginas visitadas y tiempo de permanencia
• Referencia de origen

3. Cómo utilizamos sus datos

• Prestación del servicio formativo: Gestionar su cuenta en KYBERVET Academy, proporcionar acceso a los cursos adquiridos, registrar su progreso y emitir certificados de finalización.
• Gestión de compras: Procesar pagos, emitir facturas, gestionar reembolsos y atender reclamaciones relacionadas con las compras.
• Gestión de licencias: Verificar los derechos de acceso a los productos, gestionar códigos de invitación y controlar el uso autorizado de los cursos.
• Gestión de consultas: Responder a solicitudes de información y soporte técnico.
• Comunicación comercial: Envío de información sobre nuestros servicios, nuevos cursos o actualizaciones, únicamente con consentimiento explícito.
• Mejora de servicios: Análisis agregado y anónimo para mejorar la web, los cursos y las soluciones ofrecidas.
• Cumplimiento legal: Cumplimiento de obligaciones legales, fiscales y contables.

4. Base legal del tratamiento

El tratamiento de los datos personales se basa en:

• Ejecución contractual (art. 6.1.b RGPD): Necesario para la prestación del servicio formativo contratado, la gestión de la cuenta de usuario y el procesamiento de compras.
• Consentimiento (art. 6.1.a RGPD): Para el envío de comunicaciones comerciales y el uso de cookies analíticas.
• Interés legítimo (art. 6.1.f RGPD): Para la mejora de nuestros servicios y la prevención del fraude.
• Cumplimiento de obligaciones legales (art. 6.1.c RGPD): Para obligaciones fiscales, contables y de facturación.
• Funcionamiento del asistente «Diagnóstico IA» (procesamiento temporal de tus mensajes, incluido el envío al proveedor de IA para generar las respuestas): interés legítimo (art. 6.1.f RGPD) en atender la orientación que usted mismo inicia. Cuando usted pide un informe, ese tratamiento pasa a ampararse en la ejecución de medidas precontractuales a su solicitud (art. 6.1.b RGPD). El aviso de IA que se muestra antes de empezar es información de transparencia (art. 50 del Reglamento de IA), no una base jurídica de consentimiento.
• Preparación y envío del informe que usted solicita (conservación de la conversación y de sus datos de contacto el tiempo necesario para elaborarlo, revisarlo por una persona y enviárselo): medidas precontractuales a su petición (art. 6.1.b RGPD). Es un tratamiento necesario para prestarle el servicio que pide; sin él no podemos elaborar el informe. La conservación se limita a ese fin (véase el apartado 5).
• Contacto comercial sobre el diagnóstico, conservación ampliada para su seguimiento, acceso al curso gratuito y comunicaciones comerciales: consentimiento (art. 6.1.a RGPD), otorgado de forma separada para cada finalidad mediante casillas opcionales. Solo si autoriza el contacto/ seguimiento conservamos sus datos durante un plazo ampliado (apartado 5).

5. Conservación de datos

• Datos de cuenta: Mientras la cuenta permanezca activa. Si solicitas la baja, los datos se eliminan salvo las obligaciones legales de conservación.
• Datos de transacción y facturación: Se conservan durante el plazo legal exigido por la normativa fiscal (5 años según la Ley General Tributaria).
• Datos de progreso formativo: Mientras la licencia del curso esté activa o la cuenta exista.
• Comunicaciones comerciales: Hasta que el usuario retire su consentimiento.
• Conversaciones del asistente «Diagnóstico IA»: La transcripción se conserva 7 días por defecto. Si usted pide un informe, la transcripción y sus datos de contacto se conservan 30 días, el tiempo necesario para elaborarlo, revisarlo por una persona y enviárselo (art. 6.1.b RGPD). Ese plazo se amplía a un máximo de 180 días únicamente si usted autoriza, mediante la casilla correspondiente, que le contactemos para su seguimiento (art. 6.1.a RGPD). Transcurridos los plazos, los datos se eliminan automáticamente; se conserva únicamente la evidencia de consentimiento y el acuse del aviso de IA, sin contenido personal asociado.

6. Destinatarios de los datos y encargados del tratamiento

Sus datos pueden ser comunicados a los siguientes terceros, que actúan como encargados del tratamiento:

Stripe, Inc. (procesador de pagos)

Finalidad: Procesamiento seguro de pagos con tarjeta de crédito/débito.

Datos tratados: Email, nombre, datos de pago (tarjeta). KADMEIA SLU NO tiene acceso a los datos completos de su tarjeta de crédito. Stripe cumple con el estándar PCI DSS Nivel 1.

Sede: Estados Unidos. Transferencia amparada por el EU-US Data Privacy Framework.

Política de privacidad: https://stripe.com/privacy

Supabase, Inc. (proveedor de infraestructura y autenticación)

Finalidad: Alojamiento de la base de datos de la academia, gestión de autenticación de usuarios y almacenamiento de datos de progreso.

Datos tratados: Email, contraseña cifrada, datos de perfil, progreso formativo, licencias.

Sede: Estados Unidos. Datos alojados en la región de la Unión Europea (Irlanda, eu-west-1). Transferencia amparada por cláusulas contractuales tipo (SCCs).

Política de privacidad: https://supabase.com/privacy

Google LLC (analítica web, si está activado)

Finalidad: Análisis agregado del tráfico web.

Datos tratados: Datos de navegación anonimizados.

Sede: Estados Unidos. Transferencia amparada por el EU-US Data Privacy Framework.

Resend (Plus Five Five, Inc.) — envío de correo electrónico

Finalidad: Envío de emails transaccionales de la plataforma (bienvenida, confirmaciones de compra, recuperación de contraseña) y, en el asistente «Diagnóstico IA», el email de confirmación de la dirección (doble opt-in). Además, cuando usted solicita un informe, utilizamos este mismo proveedor para hacer llegar internamente a nuestro equipo de KYBERVET un borrador del informe para su revisión humana antes de enviárselo; ese correo interno contiene su dirección de email y el contenido del borrador.

Datos tratados: Dirección de email del destinatario, el contenido del propio correo (incluido, en el caso del borrador interno, el texto del informe) y un identificador interno de la sesión/solicitud que acompaña al aviso para nuestra gestión.

Sede: Estados Unidos. Transferencia amparada por cláusulas contractuales tipo (SCCs) y el Acuerdo de Tratamiento de Datos (DPA) de Resend.

Política de privacidad: https://resend.com/legal/privacy-policy

Anthropic PBC (modelo de IA del asistente «Diagnóstico IA»)

Finalidad: Generar las respuestas del asistente conversacional «Diagnóstico IA» y el borrador de informe a partir de lo que usted escribe.

Datos tratados: El contenido de los mensajes que usted envía al asistente. Le pedimos expresamente que no introduzca datos de pacientes ni datos personales de terceros; antes de persistirlos aplicamos una redacción automática de patrones evidentes (emails, teléfonos).

Sede: Estados Unidos. Transferencia amparada por cláusulas contractuales tipo (SCCs) y el Acuerdo de Tratamiento de Datos (DPA) de Anthropic. Anthropic elimina por defecto las entradas y salidas de su API en un plazo de 30 días, salvo las excepciones publicadas por Anthropic (por ejemplo, conservación durante más tiempo por obligaciones legales o por motivos de confianza y seguridad).

Política de privacidad: https://www.anthropic.com/legal/privacy

Telegram FZ-LLC (notificación interna de leads)

Finalidad: Cuando usted solicita un informe, nuestro equipo recibe un aviso interno por Telegram para gestionarlo. El aviso NO incluye la transcripción de la conversación: contiene únicamente un indicador de que hay un nuevo contacto, el nombre de su clínica (si lo facilitó), si su consulta encaja con nuestros servicios y si ha pedido un informe (y si está pendiente de que confirme su email), y un enlace interno —protegido— a su ficha.

Datos tratados: Nombre de la clínica (si se facilitó), un indicador de idoneidad de la consulta y del estado de su solicitud de informe, e identificador interno de la conversación. No se envían por este canal su email ni el contenido de los mensajes.

Sede: Emiratos Árabes Unidos. Transferencia amparada por cláusulas contractuales tipo (SCCs).

Política de privacidad: https://telegram.org/privacy

Cloudflare, Inc. (protección antiabuso del asistente «Diagnóstico IA»)

Finalidad: Verificar que quien usa el asistente es una persona y proteger el chat y el envío del formulario frente a usos automatizados (servicio Cloudflare Turnstile).

Base jurídica: Interés legítimo (art. 6.1.f RGPD) en proteger el servicio frente a abusos y usos automatizados. Cloudflare, además de actuar por nuestra cuenta para esa verificación, trata determinadas señales como responsable propio para mejorar de forma agregada su detección de bots, sobre la base de su interés legítimo, según describe en su Adenda de Privacidad de Turnstile.

Datos tratados: Dirección IP y señales técnicas del navegador necesarias para la verificación antiabuso (token de Turnstile). No se utiliza para perfilado publicitario.

Sede: Estados Unidos. Transferencia amparada por cláusulas contractuales tipo (SCCs) y la Adenda de Tratamiento de Datos de Cloudflare.

Política de privacidad: https://www.cloudflare.com/privacypolicy/ · Adenda de Privacidad de Turnstile

El proyecto de base de datos del asistente «Diagnóstico IA» está alojado por Supabase en la región de la UE (Irlanda, eu-west-1).

Fuera de los casos anteriores, los datos no serán cedidos a terceros salvo obligación legal.

7. Transferencias internacionales de datos

Algunos de nuestros encargados del tratamiento tienen sede en Estados Unidos. Las transferencias de datos se realizan al amparo de:

• El EU-US Data Privacy Framework (para entidades certificadas como Stripe y Google).
• Cláusulas contractuales tipo aprobadas por la Comisión Europea (para otros proveedores).

Puede obtener más información sobre las garantías adoptadas contactándonos en info@kybervet.com.

8. Derechos del usuario

De conformidad con el RGPD y la LOPDGDD, puede ejercer los siguientes derechos:

• Acceso: Conocer qué datos personales tratamos sobre usted.
• Rectificación: Solicitar la corrección de datos inexactos.
• Supresión ("derecho al olvido"): Solicitar la eliminación de sus datos cuando ya no sean necesarios.
• Oposición: Oponerse al tratamiento de sus datos en determinadas circunstancias.
• Limitación del tratamiento: Solicitar la restricción del tratamiento en casos específicos.
• Portabilidad: Recibir sus datos en un formato estructurado y de uso común.
• Retirada del consentimiento: Retirar el consentimiento otorgado en cualquier momento, sin que ello afecte a la licitud del tratamiento previo.

Para ejercer estos derechos, envíe un correo a info@kybervet.com indicando su solicitud y adjuntando copia de su documento de identidad.

Plazo de respuesta: 30 días desde la recepción de la solicitud.

También puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) — www.aepd.es — si considera que sus derechos no han sido respetados.

9. Seguridad de los datos

Implementamos medidas técnicas y organizativas adecuadas para proteger sus datos personales, incluyendo:

• Cifrado de contraseñas mediante algoritmos seguros (bcrypt).
• Comunicaciones cifradas mediante protocolo HTTPS/TLS.
• Control de acceso basado en roles para datos administrativos.
• Copias de seguridad periódicas.
• Procesamiento de pagos delegado en Stripe (certificado PCI DSS Nivel 1), sin almacenamiento de datos de tarjeta en nuestros servidores.

10. Modificaciones de esta política

Nos reservamos el derecho de actualizar esta política de privacidad en cualquier momento. Las modificaciones serán efectivas desde su publicación en esta página. En caso de cambios significativos, informaremos a los usuarios registrados por correo electrónico.