Política de privacidad

1. Responsable del tratamiento

Bonus Service BS GmbH Dorotheenstr. 5, 45130 Essen, Alemania

  • Correo electrónico: datenschutz@bonusflow.de
  • Teléfono: 0201-89083160

El responsable del tratamiento decide solo o conjuntamente con otros sobre los fines y medios del tratamiento de datos personales.

2. Resumen

La siguiente información proporciona un resumen de lo que sucede con sus datos personales cuando utiliza BonusFlow. BonusFlow es un asistente personal basado en voz para la gestión de tareas, recordatorios y entradas de calendario.

Los datos personales son toda la información que puede utilizarse para identificarle personalmente.

3. Recopilación de datos

3.1 Registro y cuenta de usuario

Datos recopilados:

  • Nombre
  • Dirección de correo electrónico
  • Contraseña (almacenada de forma cifrada)

Finalidad: Provisión del servicio BonusFlow y gestión de su cuenta de usuario conforme al Art. 6 (1) (b) RGPD (ejecución del contrato).

Duración de conservación: Mientras su cuenta de usuario esté activa. Tras la eliminación de la cuenta, sus datos se eliminarán en un plazo de 30 días, salvo que existan obligaciones legales de conservación.

3.2 Autenticación e inicio de sesión

BonusFlow utiliza Better Auth para la autenticación – una solución autoalojada que funciona completamente en nuestros propios servidores en Alemania. No utilizamos servicios de autenticación de terceros. El inicio de sesión se realiza por correo electrónico y contraseña.

Base jurídica: Art. 6 (1) (b) RGPD (ejecución del contrato).

3.3 Entrada de voz y transcripción (Speech-to-Text)

Funcionamiento: Sus grabaciones de voz se transmiten (cifrado TLS) a Mistral AI Voxtral y se convierten allí en texto. Mistral AI es una empresa europea con sede en Francia.

Proveedor: Mistral AI SAS, 16 Passage Jouffroy, 75009 París, Francia (UE)

Qué se transmite: Su grabación de audio por micrófono.

Lugar de procesamiento: Principalmente UE (Francia). En casos excepcionales, Mistral puede recurrir a subencargados del tratamiento fuera de la UE; en tales casos se aplican las Cláusulas Contractuales Tipo de la UE conforme al Art. 46 RGPD.

Duración de conservación en Mistral: Según la política de privacidad de Mistral, los datos de entrada y salida se conservan durante un máximo de 30 días rotativos para la detección de abusos y luego se eliminan automáticamente. Como clientes de pago de la API, tenemos la garantía contractual de que sus datos no se utilizan para entrenar modelos de IA.

Salida de voz (Text-to-Speech): La lectura de respuestas por parte de la app se realiza completamente en local en su dispositivo a través de la síntesis de voz nativa de su sistema operativo (Web: Browser Speech API, Móvil: expo-speech, Escritorio: síntesis de voz nativa del SO). Ningún dato sale de su dispositivo durante la salida de voz.

Base jurídica: Art. 6 (1) (b) RGPD (ejecución del contrato).

Política de privacidad de Mistral: https://legal.mistral.ai/terms/privacy-policy

3.4 Procesamiento de texto mediante IA (reconocimiento de intención)

Tras la transcripción, el texto resultante (sus comandos de voz) se transmite a otro punto final de la API de Mistral para el reconocimiento de intención y la estructuración.

Proveedor: Mistral AI SAS, 16 Passage Jouffroy, 75009 París, Francia (UE)

Qué se transmite: El texto transcrito de su grabación de voz.

Lugar de procesamiento: Principalmente UE (Francia), análogo a la transcripción.

Finalidad: Comprensión de su intención y extracción de datos estructurados (tareas, recordatorios, entradas de calendario, listas) conforme al Art. 6 (1) (b) RGPD (ejecución del contrato).

Duración de conservación en Mistral: Como en 3.3 — 30 días rotativos para detección de abusos, sin uso para el entrenamiento del modelo.

Política de privacidad de Mistral: https://legal.mistral.ai/terms/privacy-policy

3.5 Tareas, recordatorios y entradas de calendario

Datos recopilados:

  • Tareas (título, descripción, fecha de vencimiento, estado)
  • Recordatorios (texto, fecha/hora)
  • Entradas de calendario (título, fecha/hora, notas)

Finalidad: Función principal de BonusFlow – gestión de sus tareas personales y agenda conforme al Art. 6 (1) (b) RGPD (ejecución del contrato).

Lugar de almacenamiento: Sus datos se almacenan en nuestros servidores en Hetzner Online GmbH en Alemania.

Duración de conservación: Mientras su cuenta esté activa. Puede eliminar entradas individuales en cualquier momento.

3.6 Áreas de vida y conocimiento personal

Datos recopilados:

  • Áreas de vida (p. ej., lista de compras, deporte, salud, suplementos)
  • Entradas en áreas de vida (contenidos, notas, información de dosificación)
  • Hechos personales (p. ej., alergias, contactos, preferencias – solo cuando los almacena activamente mediante el comando «Recuerda»)

Finalidad: Organización de su vida cotidiana en áreas temáticas conforme al Art. 6 (1) (b) RGPD (ejecución del contrato).

Lugar de almacenamiento: Sus datos se almacenan en nuestros servidores en Hetzner Online GmbH en Alemania.

Duración de conservación: Mientras su cuenta esté activa. Puede eliminar entradas individuales en cualquier momento.

Nota sobre datos de salud: La información sobre medicamentos, suplementos o hechos de salud que almacene voluntariamente puede considerarse como categorías especiales de datos personales (Art. 9 RGPD). El tratamiento se basa en su consentimiento explícito (Art. 9 (2) (a) RGPD), que otorga al almacenar activamente dicha información.

3.7 Búsqueda semántica (Second Brain)

Funcionamiento: Para permitir la búsqueda semántica sobre sus datos, el contenido textual de sus entradas (tareas, recordatorios, entradas de calendario, áreas de vida, hechos personales) se convierte en representaciones vectoriales (embeddings).

Proveedor del cálculo de embeddings: Mistral AI SAS (UE, Francia) – idéntico al procesamiento de texto por IA (véase 3.4). Solo se transmite el texto de sus entradas, no datos de audio.

Almacenamiento de vectores: Los datos vectoriales calculados se almacenan en una base de datos vectorial Qdrant autoalojada en nuestro servidor en Hetzner en Alemania. No se transmiten a terceros.

Finalidad: Permite la búsqueda inteligente y semántica sobre todos sus datos (p. ej., «¿Cuándo fue mi última cita médica?») conforme al Art. 6 (1) (b) RGPD (ejecución del contrato).

Disponibilidad: Esta función solo está disponible en el plan Pro y durante el período de prueba.

Eliminación: Al eliminar su cuenta, todos los datos vectoriales se eliminan completamente junto con sus demás datos.

3.8 Datos de pago

Datos recopilados:

  • La información de pago es recopilada y procesada directamente por nuestro procesador de pagos Stripe (con acuerdo de procesamiento de datos en la UE).
  • No almacenamos números de tarjetas de crédito ni datos bancarios.

Finalidad: Procesamiento de pagos para suscripciones de BonusFlow conforme al Art. 6 (1) (b) RGPD (ejecución del contrato).

Información sobre protección de datos: https://stripe.com/es/privacy

3.9 Archivos de registro del servidor

Información recopilada automáticamente:

  • Tipo y versión del navegador
  • Sistema operativo
  • URL de referencia
  • Nombre del host del ordenador que accede
  • Hora de la solicitud del servidor
  • Dirección IP

Sin fusión con otras fuentes de datos. Base jurídica: Art. 6 (1) (f) RGPD (interés legítimo en una presentación técnicamente correcta y optimización). Duración de conservación: 7 días.

4. Cookies

Cookies técnicamente necesarias

  • Cookie de sesión: Necesaria para la autenticación y el mantenimiento de su inicio de sesión
  • Cookie de idioma: Almacena su preferencia de idioma

No utilizamos ninguna cookie de seguimiento, ninguna cookie publicitaria y ninguna cookie de análisis.

Base jurídica: Art. 6 (1) (f) RGPD (interés legítimo) – no se requiere un banner de consentimiento de cookies para cookies exclusivamente técnicas.

5. Alojamiento y proveedores de servicios técnicos

5.1 Alojamiento del servidor

Proveedor: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Alemania

Ubicación del servidor: Alemania

Base jurídica: Art. 6 (1) (f) RGPD. Existe un acuerdo de procesamiento de datos conforme al Art. 28 RGPD.

Información sobre protección de datos: https://www.hetzner.com/de/rechtliches/datenschutz

5.2 Procesamiento de texto por IA

Proveedor: Mistral AI SAS, 16 Passage Jouffroy, 75009 París, Francia (UE)

Qué se procesa: Exclusivamente texto transcrito de comandos de voz – sin datos de audio.

Ubicación del servidor: UE (Francia)

Base jurídica: Art. 6 (1) (b) RGPD (ejecución del contrato). Existe un acuerdo de procesamiento de datos.

5.3 Base de datos vectorial (búsqueda semántica)

Proveedor: Qdrant (software de código abierto), autoalojado en nuestro servidor Hetzner en Alemania

Qué se procesa: Representaciones vectoriales (representaciones numéricas) de sus contenidos textuales. Los contenidos originales no pueden reconstruirse a partir de los vectores.

Ubicación del servidor: Alemania (Hetzner)

Base jurídica: Art. 6 (1) (b) RGPD (ejecución del contrato). No se transmiten datos a terceros – la base de datos vectorial se opera exclusivamente en nuestra propia infraestructura.

5.4 Procesamiento de pagos

Proveedor: Stripe, Inc. (con acuerdo de procesamiento de datos en la UE)

Base jurídica: Art. 6 (1) (b) RGPD (ejecución del contrato).

5.5 Servicio de correo electrónico

Proveedor: ALL-INKL.COM - Neue Medien Münnich, Hauptstraße 68, 02742 Friedersdorf, Alemania

Ubicación del servidor: Alemania

Finalidad: Confirmación de cuenta, restablecimiento de contraseña, notificaciones de servicio

Base jurídica: Art. 6 (1) (b) RGPD (ejecución del contrato).

6. Cifrado SSL/TLS

Este sitio web utiliza cifrado SSL/TLS por razones de seguridad y para proteger la transmisión de contenidos confidenciales. Puede reconocer una conexión cifrada por «https://» en la barra de direcciones.

7. Sus derechos

Usted tiene los siguientes derechos respecto a sus datos personales:

  • Derecho de acceso (Art. 15 RGPD) – ¿Qué datos almacenamos sobre usted?
  • Derecho de rectificación (Art. 16 RGPD) – Corrección de datos inexactos
  • Derecho de supresión (Art. 17 RGPD) – Eliminación de sus datos («derecho al olvido»)
  • Derecho a la limitación del tratamiento (Art. 18 RGPD)
  • Derecho a la portabilidad de datos (Art. 20 RGPD) – Exportación de sus datos en un formato legible por máquina
  • Derecho de oposición (Art. 21 RGPD) – Contra el tratamiento basado en interés legítimo
  • Derecho a revocar el consentimiento (Art. 7 (3) RGPD)
  • Derecho de reclamación ante una autoridad de control (Art. 77 RGPD)

Para ejercer sus derechos, contacte con nosotros en: datenschutz@bonusflow.de

8. Derecho de reclamación ante una autoridad de control

En caso de violaciones del RGPD, tiene derecho a presentar una reclamación ante la autoridad de control competente. La autoridad de control responsable para nosotros es:

Der Landesbeauftragte für den Datenschutz Niedersachsen Prinzenstraße 5, 30159 Hannover https://www.lfd.niedersachsen.de

Una lista de todas las autoridades de protección de datos en Alemania está disponible en: https://www.bfdi.bund.de

9. Seguridad de datos

Implementamos las siguientes medidas técnicas y organizativas:

  • Cifrado SSL/TLS de todas las transmisiones de datos
  • Almacenamiento cifrado de contraseñas (bcrypt)
  • Salida de voz (Text-to-Speech) completamente en el dispositivo del usuario
  • Transcripción y procesamiento de IA a través de Mistral AI, con servidor en la UE (Francia)
  • Infraestructura de servidores para datos estructurados de usuarios en Alemania (Hetzner)
  • Actualizaciones de seguridad regulares y controles de acceso

10. Minimización de datos

BonusFlow está diseñado con el principio de minimización de datos:

  • La transcripción y el reconocimiento de intención se ejecutan en Mistral AI en Francia (UE) — sin proveedores de EE. UU., sin transferencia a terceros países (salvo casos excepcionales con Cláusulas Contractuales Tipo de la UE)
  • Mistral conserva las entradas de audio y texto durante un máximo de 30 días rotativos para la detección de abusos y no las utiliza para entrenar modelos
  • La salida de voz (lectura) se ejecuta completamente en local en su dispositivo — aquí no salen datos del dispositivo
  • Solo almacenamos lo necesario para la prestación del servicio
  • Sin análisis ni seguimiento de su comportamiento

11. Cambios en esta política de privacidad

Última actualización: Marzo 2026

Esta política de privacidad puede actualizarse conforme nuestro servicio evolucione o debido a cambios en los requisitos legales. La versión actual siempre está disponible en nuestro sitio web. Los usuarios registrados serán informados de cambios significativos por correo electrónico.