Política de privacidad

• Responsable: Dario Vallés Stahnke
• NIF: 44024379X
• Domicilio fiscal: En proceso de registro mercantil · contacto legal único: [email protected]
• Contacto: [email protected]

• No recopilamos datos de tu familia. Ni un contador, ni un token opaco, ni un hash.
• Sin cuenta de usuario. Cada mensaje entre el móvil del mayor (Quiles Mayor) y el del cuidador va cifrado E2E con vuestra clave familiar (AES-GCM, secreto compartido X25519 derivado al escanear el QR).
• Tenemos un relay (api.quiles.app, Cloudflare Worker) que entrega esos sobres opacos cuando los dos móviles están en redes distintas. No vemos lo que contienen y no almacenamos los sobres.
• La medicación, la ficha médica, los contactos, la auditoría, el hash del PIN y las claves viven solo en los dos móviles. Si dejaras de tener móviles, no quedaría nada de tu familia en ningún sitio.
• Si el mayor usa Quiles Mayor sin emparejar (modo solo), no hay relay: todo vive únicamente en su móvil.

El relay es ciego por construcción. Para que las cuentas claras, esta es la lista completa de lo que pasa por api.quiles.app:

• Ve: un familyId aleatorio (identificador opaco, sin nombres ni email), el tamaño del sobre, su timestamp y la dirección mayor↔cuidador.
• Ve: la IP de origen del que se conecta (la deja Cloudflare en el log de acceso, igual que cualquier web). Se conserva 24 horas como máximo en los logs anti-abuso.
• No ve: contenido del sobre, medicación, ficha médica, recordatorios, ubicaciones, audio, ni el contenido de un SOS.
• No ve: los nombres de la familia, los del mayor, ni los dispositivos.
• No ve: con qué frecuencia abres Localizar más allá del timestamp del sobre.
• No persiste: el sobre se entrega y se descarta. Si el destinatario no está conectado, el sobre se mantiene en memoria un máximo de 30 segundos y se borra. Sin disco.

Sobre Localizar y SOS: usan un WS opaco aparte con las mismas reglas. El relay ve timestamps y tamaños, nunca posiciones ni audio. La sesión Localizar dura 15 minutos máximo.

Sobre la zona segura (geovalla): el aviso de entrada/salida también viaja cifrado por el relay. El sobre solo lleva el ID de la zona y el timestamp; nuestro servidor no sabe qué zona es ("Casa" vive solo en vuestros móviles) ni dónde estaba tu familiar.

El emparejamiento genera un par de claves X25519 en cada móvil. Al escanear el QR, ambos derivan el mismo secreto compartido por ECDH y de él una clave AES-GCM. A partir de ahí, cada sobre se cifra con esa clave en el origen y solo se descifra en el destino. Nuestro servidor no tiene ninguna pieza del material criptográfico, no podemos descifrar aunque quisiéramos.

Para rotar la clave, repites el emparejamiento. No existe un endpoint para "olvidar mi clave" porque no podemos olvidar lo que nunca tuvimos.

Si los dos móviles están cerca y no hay internet, los sobres viajan directamente por Bluetooth Low Energy. Más lento, pero offline. La elección es automática: si hay red, va por el relay; si no, va por BT. En ambos casos el sobre va cifrado con la misma clave familiar.

Android: el móvil mantiene una conexión WebSocket cifrada permanente con nuestro relay. Sin Firebase, sin Google Play Services para mensajería, sin servicios de Google de por medio. Cuando llega un cambio del otro lado, el relay lo empuja por la misma conexión. La conexión vive dentro del servicio en primer plano de Quiles.

iOS (móvil del cuidador): usamos Apple Push Notification service (APNs) — no hay alternativa: Apple no permite despertar una app en segundo plano sin pasar por APNs. Guardamos el token APNs en el relay, asociado al familyId. Es un identificador opaco que solo Apple sabe interpretar. El token no lleva contenido; el contenido va por separado, cifrado punto a punto.

Cero dependencia de Google. La única empresa externa que ve un identificador nuestro es Apple, y solo para el móvil del cuidador en iOS.

Cuando el mayor dispara un SOS, su móvil avisa a los contactos que la familia haya configurado. El sobre del SOS puede incluir la última ubicación conocida del mayor y los campos de emergencia de su ficha médica; todo viaja cifrado E2E con la clave familiar, y el relay solo ve bytes opacos.

Las dos terminales intentan además abrir una llamada de audio y vídeo entre ellas. Es WebRTC peer-to-peer: el audio y el vídeo viajan directos entre los dos móviles, nunca pasan por nuestro servidor.

Si los dos extremos no se ven directamente (NAT estricto, redes móviles), usamos Cloudflare Realtime TURN como retransmisor cifrado de último recurso. Cloudflare reenvía paquetes opacos; ve tráfico cifrado, no contenido.

Para coordinar la conexión, los dos móviles intercambian unos mensajes de señalización (oferta/respuesta SDP y candidatos ICE). También viajan cifrados de punta a punta con tu clave familiar — el relay solo ve bytes opacos y los reenvía entre los dos extremos sin abrir nada. Esos mensajes contienen metadatos de red imprescindibles para WebRTC; ni voz ni vídeo.

En modo silencioso, el móvil del mayor envía además dos fotos miniatura (cámara frontal y trasera, 360×360, JPEG calidad 50, cifradas con la clave familiar). Las recibe el cuidador dentro del sobre del SOS; el relay nunca las descifra.

Quiles Mayor trata datos de categoría especial: la medicación del mayor (qué medicamentos toma, los horarios de recordatorio y el registro de tomas — tomada u omitida) y su ficha médica (alergias, condiciones, medicación, grupo sanguíneo y datos de contacto de emergencia). Así los tratamos:

• Viven solo en los móviles. Se guardan cifrados en reposo (AES-GCM-256) en el móvil del mayor. La sincronización con el móvil del cuidador va cifrada de extremo a extremo con la clave familiar. No existe copia en nuestros servidores y el relay no puede descifrarlos: no somos encargados de tratamiento de datos de salud en la nube.
• Adherencia solo con consentimiento explícito. Compartir con el cuidador si el mayor tomó u omitió su medicación está desactivado por defecto y requiere el consentimiento explícito del mayor en su propio móvil (Art. 9.2.a RGPD). Puede retirarlo en cualquier momento desde Ajustes, con efecto inmediato (Art. 7.3): desde ese instante no se envía ninguna toma más.
• Retención: 90 días. El historial de tomas se purga automáticamente a los 90 días en el móvil del mayor. El registro de cuidado del móvil del cuidador se purga igualmente a los 90 días.
• Tarjeta médica de emergencia. Si la familia rellena la ficha médica, un subconjunto de campos puede mostrarse en la pantalla de bloqueo del mayor y dentro del aviso de SOS, para que quien le atienda en una emergencia lo vea. Es deliberado y bajo vuestro control: solo se muestra lo que vosotros decidís rellenar.
• Modo solo. Sin emparejar, la medicación y la ficha médica viven únicamente en el móvil del mayor y nunca salen de él.

La batería y los avisos del filtro de estafas no son datos de salud: son datos personales ordinarios tratados bajo el interés legítimo de la relación de cuidado (Art. 6.1.f), y siguen el mismo camino cifrado.

Cifrado en reposo, exclusivamente local:

• Hash del PIN de familia (Argon2id; el PIN en claro nunca se escribe en disco).
• Contactos de confianza del mayor (con foto opcional), medicación, recordatorios y ficha médica (ver sección 2).
• Registro de auditoría local en el móvil del cuidador (avisos de SOS, batería, estafas detectadas y, solo con consentimiento, tomas de medicación). Se purga a los 90 días. Nosotros nunca lo transmitimos.
• Material de emparejamiento: pares de claves X25519 y secreto compartido derivado.
• Fixes de ubicación durante una sesión Localizar (15 min) o un SOS: cifrados E2E con la clave familiar, en memoria mientras la sesión está activa, no persistimos plaintext. Histórico desactivado por defecto; si lo activas, vive cifrado en tu móvil y se purga a los 7 días.
• Zona segura opcional (geovalla, desactivada por defecto). La definición del círculo y los eventos de entrada/salida viven cifrados en vuestros móviles; el evento que recibes solo lleva nombre de zona y timestamp, nunca una ruta.

Desinstalar la app, o pulsar "Borrar todos los datos" en Ajustes, elimina todo al instante.

• El servidor no abre los sobres (no puede: no tiene la clave) y no los guarda en disco.
• No incluye analítica, publicidad ni SDK de crash reporting.
• No lee mensajes, llamadas, teclas ni tráfico de red.
• No registra tu ubicación de forma continua. Solo durante una sesión Localizar (15 min) o un SOS. Cada fix viaja cifrado E2E con la clave familiar y nuestro relay solo ve timestamps, tamaños y direcciones, nunca posiciones. Histórico off por defecto; si lo activas, vive en tu móvil cifrado y se purga a los 7 días.
• No inscribe el dispositivo en ningún MDM.
• No transmite los datos de tu familiar a terceros.
• El relay no sabe quién forma tu familia, ni los nombres de los móviles. Solo conoce un familyId aleatorio.

La suscripción se contrata dentro de la app, mediante la compra integrada de la App Store (Apple) o Google Play (Google). Es Apple o Google quien actúa como vendedor (Merchant of Record) y gestiona tu pago, tu tarjeta y tus datos fiscales; nosotros no los vemos. La gestión del estado de la suscripción se apoya en RevenueCat como encargado de tratamiento.

Quiles solo recibe los datos mínimos necesarios para reconocer tu derecho de uso:

• Identificador interno de licencia/suscripción (UUID).
• Identificador anónimo de la app (app user id), sin tu nombre real.
• Estado de la suscripción (activa, en prueba, cancelada) y moneda.

No existe base de datos de compradores en la infraestructura de Quiles ni te enviamos ninguna licencia por email. La cancelación y los reembolsos se gestionan desde la App Store o Google Play, según su política.

Si escribes a [email protected], leemos tu correo en un buzón europeo. Los hilos se conservan hasta 90 días tras el cierre del caso y después se eliminan.

Como no almacenamos datos personales sobre tu familia en nuestros sistemas (el relay solo ve metadatos opacos y los descarta en segundos), no hay un conjunto sobre el que ejercer acceso, rectificación o supresión (Art. 15-17 RGPD). Tus datos — incluidos los de salud — viven en los dos móviles, bajo tu control directo:

• Borrar: Ajustes, Borrar todos los datos en cada móvil, o desinstala la app. Esto elimina también la medicación, el historial de tomas y la ficha médica.
• Retirar el consentimiento de adherencia: en Ajustes del móvil del mayor, con efecto inmediato.
• Invalidar el familyId en el relay: basta con repetir el emparejamiento.

Quiles también puede emparejarse con el móvil de un hijo. A ese producto le aplica exactamente la misma arquitectura descrita arriba: mismo cifrado E2E, mismo relay ciego, ningún dato en servidores. En concreto:

• Perfiles de hijos, apps permitidas, horarios, límites diarios y contactos SOS viven cifrados solo en los dos móviles.
• Las geovallas opcionales por hijo están desactivadas por defecto; el aviso solo lleva nombre de zona y timestamp, nunca una ruta, y nuestro servidor no sabe qué zona es ni dónde estaba el niño.
• No transmitimos los datos del niño a terceros ni podemos verlos.

Cualquier cambio se distribuye con la siguiente versión de la app. No existe canal de configuración remota que pueda alterar la política sin una actualización.

Soporte y RGPD: [email protected].

Responsable: Dario Vallés Stahnke · NIF 44024379X. Domicilio fiscal en proceso de registro; mientras tanto, las notificaciones legales se cursan a [email protected].