← Back to home

Política de Privacidad

Servicio de Transcripción de Voz — Dya Voice

Última actualización: 19 de julio de 2025

Dya Voice (el "Servicio") es publicado por Blue Lantern Sàrl ("Dya", "nosotros"). Procesamos datos personales de manera responsable, de acuerdo con la Ley Federal Suiza de Protección de Datos (nFADP/FDPA) y, cuando corresponda, el RGPD.

Esta política describe qué datos procesamos, con qué fines, sobre qué bases legales, dónde se alojan, a quién pueden divulgarse y qué derechos tienen los interesados.

1. Contacto

Blue Lantern Sàrl

Correo electrónico: contact@dyahq.com

Sitio web: https://www.dyahq.com

Aplicación: https://app.dyahq.com

2. Definiciones y Roles (RGPD)

2.1 Sitio Web Público (dyahq.com)

Para los datos recopilados a través del sitio web (prospectos, formularios, métricas de audiencia), Blue Lantern Sàrl actúa como responsable del tratamiento.

2.2 Aplicación (app.dyahq.com)

Coexisten dos situaciones:

  • Datos de pacientes/clientes finales procesados por una consulta (ej., audio, transcripciones, notas clínicas): Dya actúa como encargado del tratamiento; la consulta/clínica es el responsable del tratamiento.
  • Datos de cuentas de clientes B2B (ej., usuarios autorizados, facturación, soporte): Dya actúa como responsable del tratamiento.

Un Acuerdo de Procesamiento de Datos (DPA/AVV) rige la relación con cada consulta (disponible bajo solicitud).

3. Categorías de Datos Procesados

3.1 Visitantes/Prospectos (Sitio Web)

  • Datos proporcionados a través de formularios (nombre, correo electrónico, empresa, mensaje)
  • Datos técnicos (dirección IP, user-agent, logs, diagnósticos)
  • Datos de uso agregados (medición de audiencia)

3.2 Clientes (Consultas) y Usuarios Autorizados

  • Identidad y datos de contacto profesional
  • Datos de autenticación (contraseñas hasheadas), configuración de cuenta
  • Historial de soporte (tickets, correos electrónicos)
  • Datos contractuales y de facturación (uso, estado de pago, facturas) — excluyendo datos de tarjetas de crédito en bruto, gestionados por Stripe (ver §7)

3.3 Datos Procesados en el Servicio de Transcripción (en nombre de las consultas)

Dependiendo del uso:

  • Grabaciones de audio (voz) y/o archivos de audio importados
  • Transcripciones (texto)
  • Resultados automatizados (ej., resumen, estructuración de notas) generados a partir de audio/texto
  • Datos potencialmente sensibles (ej., salud) si el usuario dicta elementos clínicos

3.4 Logs Técnicos

  • Logs de acceso, eventos de seguridad, registros de auditoría, diagnósticos de aplicación

4. Minimización, Separación y Privacidad por Diseño

Aplicamos principios de minimización y separación de datos:

  • Campos de identidad del paciente: Los campos identificativos (ej., nombre, apellido, datos de contacto, identificadores internos) se almacenan por separado y no se incluyen en las solicitudes a servicios de procesamiento externos.
  • Solicitudes externas: Cuando utilizamos proveedores externos (ej., OpenAI vía API), solo enviamos los elementos necesarios para el procesamiento (ej., audio y/o texto a transcribir/estructurar).
  • Compartimentación: El acceso a los datos está restringido según el principio de "necesidad de conocer" (RBAC), con registro de acciones significativas.

5. Finalidades y Bases Legales (RGPD)

Procesamos datos para:

  1. Prestación del Servicio (grabación/importación de audio, transcripción, generación de resumen/estructuración, respaldo)
    Base legal (B2B): ejecución del contrato. Para datos de pacientes: la consulta determina la base legal aplicable (Dya actúa como encargado).
  2. Seguridad (prevención/detección de incidentes, control de acceso, logs de auditoría)
    Base legal: interés legítimo y/o obligación legal
  3. Soporte al cliente (asistencia, resolución de incidentes)
    Base legal: ejecución del contrato e interés legítimo
  4. Facturación (medición de uso, facturas, pago, comunicaciones operativas)
    Base legal: ejecución del contrato y obligaciones legales (contabilidad)
  5. Mejora del producto (estadísticas agregadas/anonimizadas, corrección de errores)
    Base legal: interés legítimo. Priorizamos métricas agregadas y evitamos analizar contenido de pacientes.

6. Alojamiento, Ubicación, Transferencias y Subencargados

6.1 Alojamiento Principal en Suiza

  • Base de datos y almacenamiento: alojado en Suiza (región de Zúrich) a través de Supabase (Zúrich).
  • Servidores de aplicación: alojados en Suiza en Nine (nine.ch).

6.2 Subencargados y Finalidades

Utilizamos subencargados para proporcionar el Servicio. La lista a continuación puede evolucionar; una versión actualizada puede proporcionarse bajo solicitud.

  • Supabase (Suiza – Zúrich): alojamiento de base de datos, almacenamiento, autenticación (cuando corresponda). DPA: disponible bajo solicitud.
  • Nine (Suiza – Zúrich): alojamiento de servidores de aplicación en Suiza.
  • OpenAI: servicios de transcripción y procesamiento automatizado a través de la API de OpenAI (ej., transcripción, resumen, estructuración). Datos enviados a través de la API de OpenAI: según la documentación de OpenAI, los datos transmitidos a través de la API no se utilizan para entrenar/mejorar los modelos de OpenAI. DPA de OpenAI: https://openai.com/policies/data-processing-addendum/
  • Stripe (potencialmente fuera de Suiza): pagos, facturación y gestión de métodos de pago. Dya no almacena datos de tarjetas de crédito en bruto. DPA de Stripe: https://stripe.com/legal/dpa

6.3 Transferencias Transfronterizas y Garantías

Cuando los datos personales se comunican a subencargados ubicados en el extranjero (directa o indirectamente), implementamos las salvaguardas apropiadas cuando sea necesario (ej., acuerdos de procesamiento de datos (DPA), cláusulas contractuales tipo y medidas técnicas/organizativas).

6.4 Registro

Mantenemos un registro interno de actividades de tratamiento y subencargados, disponible bajo solicitud.

7. Pagos (Stripe)

Los pagos se procesan a través de Stripe. Dya no almacena datos de tarjetas de crédito en bruto. Stripe procesa los datos de pago de acuerdo con sus propios documentos contractuales y políticas.

8. Retención

8.1 Audio

  • Los archivos de audio se eliminan como máximo 24 horas después de su creación/importación (a menudo antes, una vez que se completa el procesamiento).
  • Esta regla también se aplica a los archivos temporales relacionados con el procesamiento.

8.2 Datos de Cuenta, Transcripciones, Notas

  • Se conservan mientras la cuenta esté activa.
  • Al cerrar/eliminar la cuenta, los datos se purgan en un mes (≤ 1 mes), sujeto a obligaciones legales (ej., contabilidad) y restricciones técnicas de respaldo.

8.3 Datos de Facturación y Obligaciones Legales

Ciertos datos (facturas, registros, evidencia) pueden conservarse más tiempo si lo exige la ley suiza (obligaciones contables), incluso después del cierre.

8.4 Logs Técnicos

Se conservan durante un período limitado proporcional a las necesidades de seguridad y auditoría. Respaldos: pueden existir copias de respaldo durante un período limitado; la purga completa ocurre según los ciclos de respaldo, a más tardar en los plazos anteriores, a menos que la ley lo requiera.

9. Derechos del Usuario (Clientes B2B)

Sujeto a límites legales y rol (responsable/encargado), usted tiene los siguientes derechos:

9.1 Acceso

Obtener confirmación de que se están procesando datos que le conciernen y acceder a ellos.

9.2 Rectificación

Puede corregir/actualizar los datos ingresados (pacientes, títulos, notas, etc.) a través de la aplicación cuando esté disponible, o contactándonos.

9.3 Supresión (Eliminación) y Eliminación Selectiva

  • Eliminación de cuenta: Una opción "Eliminar cuenta" (o solicitud por correo electrónico) activa la eliminación lógica inmediata y luego la purga ≤ 1 mes.
  • Audio: purga ≤ 24h.
  • Eliminación selectiva: puede solicitar la eliminación de un elemento específico (ej., transcripción, paciente, nota) a través de la interfaz cuando esté disponible, o por correo electrónico.

9.4 Portabilidad (Exportación)

Bajo solicitud (o a través de la interfaz cuando esté disponible), puede descargar una exportación JSON/CSV (idealmente un ZIP) que típicamente incluye: Perfil y configuración, Pacientes (datos ingresados en la aplicación), Consultas/transcripciones/notas, Elementos de uso y facturación excluyendo datos de pago en bruto de Stripe.

9.5 Oposición/Restricción

En ciertos casos, puede oponerse a ciertos tratamientos o solicitar su restricción.

9.6 Reclamación

Si se aplica el RGPD, puede presentar una reclamación ante una autoridad de control del EEE. En Suiza, puede contactar al FDPIC (Comisionado Federal de Protección de Datos e Información).

10. Derechos de Terceros Grabados (ej., pacientes, acompañantes)

El Servicio puede utilizarse para grabar la voz e información de terceros (ej., pacientes). En este contexto:

  • La consulta es generalmente el responsable del tratamiento de los datos de pacientes; Dya actúa como encargado.
  • Los terceros pueden ejercer sus derechos principalmente con la consulta (acceso, rectificación, supresión, etc.).
  • Dya asiste a la consulta, bajo instrucción, para responder a las solicitudes relacionadas con los datos procesados a través del Servicio.

Importante: La consulta/usuario es responsable de: informar a los interesados (ej., aviso visible en la sala, información oral), obtener el consentimiento requerido, asegurar una base legal válida para la grabación y el procesamiento, incluso en presencia de datos sensibles.

11. Procedimiento DSAR (Solicitudes RGPD/nFADP)

Para cualquier solicitud (acceso, exportación, eliminación, etc.):

  • Canal: contact@dyahq.com
  • Plazo: Respondemos en principio dentro de 30 días (ampliable si la solicitud es compleja, de acuerdo con el RGPD).
  • Verificación de identidad: Podemos solicitar información adicional razonable para verificar la identidad y/o autoridad (ej., usuario de la consulta).
  • Trazabilidad: Mantenemos un registro de solicitudes (fecha, naturaleza, resultado) con fines de cumplimiento.

12. Seguridad

Implementamos medidas técnicas y organizativas apropiadas al riesgo, incluyendo:

  • Cifrado en tránsito (TLS) y, cuando corresponda, en reposo
  • Registro y monitoreo de seguridad
  • Respaldos y pruebas de restauración
  • Gestión de vulnerabilidades y secretos
  • privacy.sections.security.items.4
  • privacy.sections.security.items.5

Ninguna medida garantiza riesgo cero, pero nos esforzamos por mantener un nivel de seguridad apropiado a la sensibilidad de los datos.

13. Cookies y Tecnologías Similares

Sitio Web Público

Cookies necesarias (idioma, seguridad) y, cuando corresponda, medición de audiencia limitada. Las cookies no esenciales requieren consentimiento.

Aplicación

Google Analytics y Vercel Analytics para medición de audiencia; cookies de autenticación necesarias y almacenamiento local para preferencias de interfaz.

14. Modificaciones

Podemos actualizar esta política en caso de cambios legales, técnicos u operativos. En caso de cambios sustanciales, se proporcionará el aviso apropiado (correo electrónico y/o mensaje en la aplicación). La versión publicada prevalece.