1. Identidad y contacto del responsable
Responsable del tratamiento: Erick Rico, desarrollador independiente ("Responsable", "Operador", "nosotros").
Correo: support@oneiric-diary.com
Disponibilidad inicial: México. Expansión prevista: Latinoamérica y Norteamérica.
Este Aviso se emite en cumplimiento de la LFPDPPP (México), sin afirmar cumplimiento total con GDPR, CCPA u otras normas extranjeras hasta realizar adaptaciones específicas.
2. Datos personales recopilados
Oneiric Diary recopila los siguientes datos según las funciones utilizadas:
2.1 Datos de identificación y cuenta
a. nombre completo; b. apodo (nickname); c. correo electrónico (identificador único); d. contraseña (almacenada como hash BCrypt, nunca en texto plano); e. identificador interno de usuario; f. método de registro (email, google, apple, facebook); g. identificador OAuth del proveedor, cuando aplique; h. estado de verificación de correo; i. estado de cuenta (activa, pendiente de eliminación, etc.).
2.2 Datos demográficos (opcionales)
a. género; b. fecha de nacimiento.
2.3 Datos de perfil (opcionales)
a. URL de imagen de perfil; b. número de teléfono y código de país (campos reservados; actualmente no se solicitan activamente en todas las versiones).
2.4 Contenido proporcionado por el usuario
a. texto de sueños y títulos; b. clasificación de tipo y frecuencia de sueño; c. método de entrada (texto manual o voz/dictado); d. idioma del contenido; e. resultados de análisis: emociones detectadas, entidades nombradas (personas, lugares, organizaciones), palabras lematizadas; f. interpretaciones de IA generadas; g. imágenes generadas por IA, cuando la función esté disponible.
2.5 Audio y voz
Cuando el usuario utilice dictado por voz, el procesamiento de audio puede realizarse en el dispositivo (mediante servicios del sistema operativo). El servidor recibe principalmente el texto transcrito, no el archivo de audio original, salvo que se indique lo contrario en una versión futura.
2.6 Datos técnicos, de dispositivo y de uso
a. tipo de plataforma (ANDROID/IOS); b. token de dispositivo para notificaciones push (Firebase Cloud Messaging); c. versión de la aplicación; d. versión del sistema operativo (en solicitudes de soporte); e. dirección IP (para seguridad, rate limiting y diagnóstico); f. tokens de sesión (JWT de acceso y refresh, almacenados hasheados); g. identificadores de transacción de suscripción (tokens de compra de Google Play, originalTransactionId de Apple); h. estado de suscripción y tier de cuenta (FREE_USER/PREMIUM_USER); i. timestamps de actividad (último login, creación, actualización).
2.7 Datos NO recopilados actualmente
- ubicación geográfica precisa o aproximada del usuario (no se solicita permiso de ubicación en la implementación actual del backend);
- datos completos de tarjetas bancarias (gestionados exclusivamente por Apple/Google);
- cookies (aplicación móvil nativa, no navegador web);
- identificadores publicitarios o datos para publicidad comportamental.
3. Datos sensibles o contenido privado
Oneiric Diary no solicita intencionalmente datos personales sensibles. Sin embargo, por la naturaleza de un diario de sueños, el usuario podría ingresar voluntariamente información privada, íntima o sensible (salud, emociones, creencias, orientación sexual, relaciones, datos de terceros mencionados en sueños, etc.).
El usuario debe evitar ingresar datos sensibles de terceros, información de menores, datos médicos, financieros, contraseñas o documentos oficiales.
Cuando el usuario introduzca datos sensibles voluntariamente, serán tratados únicamente para prestar las funciones solicitadas (almacenar, analizar, interpretar). Cuando la ley lo requiera, se solicitará consentimiento expreso adicional.
4. Finalidades primarias
a. crear, verificar, autenticar y administrar la cuenta; b. registrar, almacenar y organizar sueños; c. procesar texto para NLP, emociones, entidades y nubes de palabras; d. generar interpretaciones de sueños con IA local; e. enviar notificaciones push sobre interpretaciones; f. administrar plan gratuito y Morpheus Premium; g. verificar suscripciones con Google Play y App Store; h. brindar soporte técnico; i. enviar correos transaccionales (verificación, restablecimiento de contraseña, confirmación/eliminación de cuenta); j. prevenir fraude, abuso e inyección de prompts; k. aplicar Términos y Condiciones; l. cumplir obligaciones legales; m. atender derechos ARCO y solicitudes de eliminación.
5. Finalidades secundarias
Actualmente Oneiric Diary NO utiliza datos para publicidad comportamental, venta de datos, perfiles publicitarios ni rastreadores publicitarios.
En el futuro, podrían tratarse datos para comunicaciones promocionales, encuestas voluntarias o métricas agregadas/anónimas, previo consentimiento cuando corresponda.
El Contenido del Usuario no se utilizará para marketing ni publicación externa sin consentimiento adicional.
6. Base de tratamiento
El tratamiento se basa en: consentimiento del usuario, relación jurídica derivada del uso de la app, necesidad de prestar el servicio, cumplimiento de obligaciones legales, protección de derechos del Responsable y seguridad de la aplicación.
El usuario puede revocar consentimiento conforme a este Aviso, sin efectos retroactivos y sujeto a limitaciones legales o contractuales.
7. Uso de inteligencia artificial y procesamiento automatizado
Oneiric Diary utiliza procesamiento automatizado e IA para:
a. interpretaciones de sueños (modelo LLM vía Ollama, alojado en servidores propios);
b. análisis emocional (modelos de clasificación de emociones, ejecutados localmente);
c. extracción de entidades y lematización (spaCy, local);
d. nubes de palabras, patrones y estadísticas;
e. imágenes por IA (cuando esté disponible).
IMPORTANTE — Entrenamiento de modelos: El Contenido del Usuario NO se utiliza para entrenar, afinar ni mejorar modelos de inteligencia artificial de terceros. El procesamiento se realiza en infraestructura controlada por el Operador (microservicios propios + Ollama local). Los proveedores cloud utilizados (MongoDB, Firebase, SMTP) no reciben el contenido de los sueños para entrenamiento de IA.
Los resultados de IA son automatizados, pueden ser imprecisos y no constituyen asesoría profesional. Oneiric Diary no toma decisiones automatizadas con efectos legales significativos sobre el usuario.
8. Transferencias y encargados de tratamiento
Oneiric Diary NO vende ni comparte datos con terceros para fines comerciales o publicitarios.
Encargados y proveedores tecnológicos necesarios (julio 2026):
- MongoDB — base de datos principal (ubicación: [región del clúster MongoDB — completar, p. ej. AWS us-east-1]);
- Infraestructura de hosting/servidores — [proveedor de hosting — completar, p. ej. VPS/cloud propio];
- Google SMTP (Gmail) — correos transaccionales (verificación, contraseña, eliminación de cuenta) desde support@oneiric-diary.com;
- Buzón de soporte SMTP — recepción de solicitudes de soporte (correo separado configurado en SUPPORT_SMTP_EMAIL);
- Firebase / Google Cloud Messaging — notificaciones push (tokens de dispositivo);
- Google Play Developer API — verificación de suscripciones Android;
- Apple App Store Server API — verificación de suscripciones iOS;
- Apple y Google — procesamiento de pagos, suscripciones, renovaciones y reembolsos;
- Ollama (autoalojado) — generación de interpretaciones (sin transferencia a APIs cloud de IA);
- Microservicios NLP propios (spaCy, Hugging Face models ejecutados localmente) — análisis de texto;
- Autoridades competentes — cuando exista obligación legal.
Las transferencias internacionales se realizarán solo cuando sean necesarias para las finalidades descritas, con medidas razonables de protección.
9. No venta de datos personales
Oneiric Diary no vende, alquila ni comercializa datos personales. La prestación de datos a encargados tecnológicos no constituye venta, siempre que actúen para prestar servicios técnicos necesarios.
10. Conservación de datos
Plazos operativos (julio 2026):
- Datos de cuenta y contenido de sueños: mientras la cuenta esté activa;
- Tras solicitud de eliminación: periodo de gracia de 14 días, luego eliminación permanente;
- Códigos de verificación de correo: 10 minutos (eliminación automática por TTL);
- Tokens de sesión (refresh): 30 días (eliminación automática por TTL);
- Tokens de confirmación de eliminación web: 24 horas;
- Registros de suscripción y eventos de facturación: durante la relación comercial y plazos legales aplicables (recomendado: 5 años para efectos fiscales/contables — confirmar con contador);
- Solicitudes de soporte: [12 meses recomendado — completar];
- Registros de eventos de eliminación de cuenta (auditoría): [24 meses recomendado — completar];
- Registros de intentos de contenido malicioso bloqueado: [6 meses recomendado — completar];
- Logs de seguridad y diagnóstico: [6-12 meses recomendado — completar];
- Copias de respaldo cifradas: periodo limitado antes de sobrescritura automática (mencionado en correo de confirmación de eliminación al usuario).
Tras cumplir las finalidades, los datos serán eliminados, bloqueados o anonimizados, salvo obligación legal de conservación.
11. Seguridad de la información
Medidas implementadas (julio 2026):
a. contraseñas hasheadas con BCrypt;
b. tokens de sesión y códigos de verificación almacenados con hash SHA-256;
c. autenticación JWT (acceso: 15 minutos; refresh: 30 días);
d. rate limiting en endpoints sensibles (login, registro, recuperación de contraseña, eliminación de cuenta, soporte);
e. filtrado automatizado de contenido malicioso e inyección de prompts en sueños;
f. hardening de prompts de IA con delimitadores y reglas de sistema;
g. CORS restringido en producción;
h. Swagger/API docs deshabilitados en producción;
i. verificación server-side de suscripciones (nunca confiar solo en el cliente);
j. cifrado en tránsito (HTTPS/TLS) para comunicaciones;
k. STARTTLS para correo electrónico.
Ningún sistema es completamente seguro. El Responsable no garantiza seguridad absoluta.
12. Derechos ARCO
El titular puede ejercer:
Acceso — conocer qué datos se tratan.
Rectificación — corregir datos inexactos (disponible en perfil de la app o por solicitud).
Cancelación — solicitar eliminación (vía app, web o correo).
Oposición — oponerse a tratamientos específicos cuando proceda.
Limitaciones: obligaciones de conservación, prevención de fraude, defensa de derechos, imposibilidad de identificar al solicitante.
13. Procedimiento para ejercer derechos ARCO
Enviar solicitud a: support@oneiric-diary.com
Incluir: nombre, correo asociado a la cuenta, derecho que se ejerce, descripción clara, documentos de identidad si es necesario.
Plazo de respuesta: hasta 20 días hábiles desde recepción de solicitud completa.
14. Eliminación de cuenta y datos
Mecanismos:
a. In-app: Configuración → Eliminar cuenta (requiere contraseña para cuentas email).
b. Web: https://legal.oneiric-diary.com/account-deletion/.
c. Correo: support@oneiric-diary.com
Flujo: solicitud → periodo de gracia de 14 días (cancelable) → eliminación definitiva.
Eliminados: perfil, sueños, análisis NLP, estadísticas, tokens de sesión y dispositivo.
Conservados: eventos de auditoría de eliminación, solicitudes de soporte previas, registros de suscripción, intentos maliciosos bloqueados, respaldos temporales.
La eliminación NO cancela suscripciones de Apple/Google.
15. Notificaciones push
Oneiric Diary utiliza Firebase Cloud Messaging (FCM) de Google para enviar notificaciones push al dispositivo del usuario, principalmente para informar cuando una interpretación de sueño está lista o ha fallado.
Datos tratados: token FCM del dispositivo, identificador de usuario, plataforma (ANDROID/IOS). El token se elimina al cerrar sesión, eliminar cuenta o desinstalar la app (según comportamiento del dispositivo).
El usuario puede desactivar las notificaciones desde la configuración de su dispositivo.
16. Cookies, rastreadores y publicidad
Oneiric Diary no utiliza cookies (aplicación móvil nativa).
Actualmente no utiliza rastreadores publicitarios, SDKs de analítica publicitaria ni comparte datos con redes publicitarias.
Se utilizan tecnologías técnicas necesarias: tokens de autenticación, tokens FCM, validación de suscripciones. Si en el futuro se incorporan analíticas o rastreadores, este Aviso será actualizado.
17. Privacidad de menores
Recomendada para mayores de 18 años. Menores de 18 solo con consentimiento y supervisión de padre/madre/tutor.
Si se detecta recopilación de datos de menores sin consentimiento, se eliminará la cuenta. Contacto: support@oneiric-diary.com
18. Usuarios internacionales
Disponible inicialmente en México. Datos pueden tratarse en México, Estados Unidos (MongoDB, Firebase, Google/Apple APIs, SMTP) u otros países de proveedores.
No se afirma cumplimiento total con GDPR, CCPA, CPRA, PIPEDA o LGPD hasta adaptación específica.
19. Cambios al aviso de privacidad
El Responsable podrá modificar este Aviso. Se comunicará mediante app, web, correo u otro medio razonable. Cambios relevantes pueden requerir consentimiento adicional.
20. Contacto
Responsable: Erick Rico | Correo: support@oneiric-diary.com
URL eliminación de cuenta: https://legal.oneiric-diary.com/account-deletion/
URL Términos: https://legal.oneiric-diary.com/terms/
URL Privacidad: https://legal.oneiric-diary.com/privacy/