Kaiku
LEGAL

Security

Última actualización: 17/5/2026

1. Resumen

Kaiku procesa datos sensibles de bienestar: conversaciones, estado de ánimo, mediciones de salud y reflexiones de pareja. Protegemos esta información en varias capas, de modo que aunque la base de datos se filtrara, los mensajes cifrados seguirían siendo ilegibles sin la clave. Esta página describe las capas técnicas concretas que mantenemos en todo momento.

AES-256-GCM Encryption

Messages, memories and other sensitive content are encrypted using AES-256-GCM.

Automatic Anonymization

Summaries are anonymized. Real names never stored in titles.

Access Control

74 Row Level Security rules protect user data.

AI Security

Your messages are not used to train AI models.

You Are in Control

Download data, set auto-deletion, or delete everything.

7. Ubicación de los datos — UE

Todos los datos de la base de datos y analítica se almacenan en servidores ubicados en la UE. Algunos proveedores de IA están en EE. UU., pero las transferencias se realizan con Cláusulas Contractuales Tipo (Decisión de la Comisión UE 2021/914) y, cuando procede, con el Marco de Privacidad de Datos UE-EE. UU. Lista exacta de proveedores: ver la Política de Privacidad.

8. Qué datos se recogen

Lo mínimo posible — solo lo necesario para funcionar. Recopilamos conversaciones, ajustes de usuario y datos de salud si conectas una pulsera o un smartwatch. No recogemos tu ubicación a menos que tú mismo compartas la ruta GPS de un entrenamiento. No recogemos contactos a menos que los adjuntes tú. La analítica de producto solo funciona con tu consentimiento y recopila estadísticas de uso seudonimizadas (visitas de página, uso de funciones) — sin tu nombre ni el contenido de tus mensajes; ver la Política de cookies.

9. Cumplimiento

A qué nos comprometemos:

  • RGPD Art. 9 — consentimiento explícito para el tratamiento de datos sensibles
  • AES-256-GCM — cifrado en reposo
  • TLS 1.3 — cifrado en tránsito
  • Ubicación de datos en la UE
  • EIPD — evaluación de impacto en protección de datos realizada
  • Límite de peticiones — protección DDoS
  • Registros de auditoría — los accesos quedan registrados
  • Eliminación definitiva en un plazo de 30 días desde la solicitud

10. Brechas de seguridad

Si una brecha de datos personales pudiera suponer un riesgo para tus derechos, lo comunicamos a la autoridad de control sin demora indebida y, cuando sea posible, en un plazo de 72 horas desde su detección (RGPD Art. 33), y te informamos a ti sin demora indebida si la brecha pudiera suponer un alto riesgo para tus derechos (Art. 34) — en lenguaje claro. En la comunicación describimos la naturaleza de la brecha, las posibles consecuencias, las medidas tomadas y una persona de contacto.