Política de privacidad

1. Acerca de esta política

Exora es una plataforma personal de datos de salud que te ayuda a organizar tus registros médicos utilizando inteligencia artificial. Subes tus documentos médicos y nuestra IA extrae y estructura la información de salud para tu uso personal.

Esta política de privacidad explica cómo Exora Health Pty Ltd (“Exora”, “nosotros”, “nos”, “nuestro”) recopila, utiliza, almacena y protege tu información personal cuando visitas nuestro sitio web de marketing (exora.au) o usas la plataforma Exora (nuestra aplicación móvil y aplicación web en app.exora.au).

Estamos sujetos a la Ley de Privacidad Australiana de 1988 (Cth) y los 13 Principios de Privacidad Australianos (APP). La información de salud se clasifica como información sensible bajo la Ley, y la tratamos con cuidado adicional.

Exora no es un dispositivo médico, proveedor de salud ni sistema de apoyo a decisiones clínicas. La información proporcionada por Exora, incluidos los resúmenes generados por IA y los registros de salud estructurados, es solo para tu referencia personal y no constituye asesoramiento médico, diagnóstico ni tratamiento. Siempre consulta a un profesional de la salud calificado para decisiones médicas.

2. ¿Qué recopilamos?

Información de la cuenta: Tu nombre, dirección de correo electrónico o número de teléfono, fecha de nacimiento y campos opcionales como sexo biológico e identidad de género. Tu PIN se almacena solo como un hash seguro; nunca vemos ni almacenamos el PIN en bruto. Si verificas tu identidad a través de ConnectID, recibimos tu nombre legal verificado y fecha de nacimiento de tu banco.

Información de salud: Documentos médicos que subes (PDF, imágenes, escaneos) y los datos clínicos que nuestra IA extrae de ellos, incluidas condiciones, medicamentos, alergias, signos vitales, resultados de laboratorio, procedimientos y registros de vacunación. Esta es información sensible bajo la Ley de Privacidad y solo se recopila con tu consentimiento expreso.

Datos de chat: Mensajes que envías a nuestro asistente de salud con IA y fotos que compartes en el chat para análisis. Las fotos compartidas en el chat se almacenan en nuestros servidores junto con tu historial de chat y se eliminan cuando borras la sesión de chat o tu cuenta.

Entrada de voz a texto (micrófono del compositor de chat): Cuando tocas el micrófono en el compositor de chat, tu clip de voz grabado se transcribe a texto mediante el servicio de voz a texto de Google. El audio se transcribe y se descarta inmediatamente; no retenemos clips de voz en nuestros servidores.

Conversaciones de voz con IA (Funciones Beta): Cuando habilitas las conversaciones de voz con IA en Ajustes -> Funciones Beta y aceptas explícitamente el diálogo de consentimiento la primera vez que las usas, puedes mantener una conversación hablada con nuestro asistente de IA. Tu audio de micrófono se transmite en tiempo real al servicio Gemini Live AI de Google durante la duración de la conversación. Los fragmentos de audio no se almacenan como audio; solo se conservan los metadatos estructurados de la sesión y la transcripción de texto de la conversación (ver Sección 8). Ver Sección 9 para la descripción completa de cómo funciona esto.

Información del dispositivo: Un identificador único generado por la aplicación (no un ID de hardware del dispositivo), el nombre de tu dispositivo, plataforma (iOS o Android), versión de la aplicación y token de notificación push si habilitas las notificaciones.

Información de contacto de marketing: Si envías cualquier formulario en nuestro sitio web (formulario de contacto, suscripción “sigue las novedades” del blog, solicitud de historia familiar, futuras superficies de EOI), recopilamos tu dirección de correo electrónico, el formulario enviado y metadatos limitados de envío (URL de la página, parámetros UTM, país e idioma al momento del envío, dirección IP y el texto exacto de consentimiento que viste). Esto se almacena en nuestra base de datos Supabase alojada en Sídney (ver Sección 6) y se utiliza como se describe en la Sección 4.

Lo que no recopilamos: Datos de ubicación, contactos, historial de navegación, identificadores publicitarios, datos biométricos (Face ID y Touch ID se procesan completamente en tu dispositivo) ni información de pago.

3. ¿Cómo lo recopilamos?

Directamente de ti: Cuando creas una cuenta, configuras perfiles, subes documentos, envías mensajes de chat, tomas fotos o usas la entrada de voz.

Automáticamente de tu dispositivo: Los identificadores del dispositivo, información de la plataforma y tokens de notificación push se recopilan cuando usas la aplicación.

De tus documentos mediante procesamiento con IA: Cuando subes un documento médico, nuestra IA lo lee y extrae información de salud estructurada. Este procesamiento lo inicias tú y sirve al propósito principal de organizar tus datos de salud.

De proveedores de verificación de identidad: Si eliges verificar tu identidad, ConnectID devuelve tu nombre verificado y fecha de nacimiento de tu banco. Esto solo ocurre cuando tú inicias el proceso.

De fuentes externas de datos de salud: En el futuro, podemos permitirte conectar Exora a fuentes externas de datos de salud como registros de salud gubernamentales o proveedores de patología. Si lo hacemos, tú iniciarás y autorizarás cada conexión, y podrás desconectarte en cualquier momento. Actualizaremos esta política antes de lanzar cualquier integración de este tipo.

4. ¿Por qué lo utilizamos?

Recopilamos tu información para proporcionarte una plataforma personal de datos de salud impulsada por IA. Específicamente:

• Prestación del servicio: Almacenar, organizar y mostrar tus registros de salud; procesar tus documentos a través de nuestro sistema de IA; alimentar el asistente de salud con IA
• Gestión de la cuenta: Autenticación, gestión de dispositivos, notificaciones push (con tu permiso)
• Compartir: Permitirte compartir tus datos de salud con personas y proveedores de salud que elijas
• Verificación de identidad: Verificar tu identidad cuando eliges usar ConnectID
• Mejora del servicio: Usar patrones de uso agregados y desidentificados para mejorar la plataforma (no usamos datos de salud individuales para este propósito)
• Comunicaciones de marketing: Crear una lista de personas que han enviado un formulario expresando interés en Exora, para enviarles códigos de invitación cuando estén disponibles, actualizaciones de producto y boletines ocasionales. Cada correo electrónico de marketing incluye un enlace de cancelación de suscripción de un clic. Puedes revocar en cualquier momento en exora.au/unsubscribe (usa el enlace de cualquier correo que te hayamos enviado) o escribiéndonos a hello@exora.au.
• Cumplimiento legal: Cumplir con nuestras obligaciones bajo la ley australiana

Para que nunca usamos tus datos: Publicidad, venta a terceros, entrenamiento de modelos de IA, minería de datos ni perfilado comercial. No enviamos mensajes de marketing a menos que optes explícitamente por recibirlos.

Cuando subes un documento médico, consientes su procesamiento por nuestros sistemas de IA para extraer, estructurar y organizar tus datos de salud. También enviamos comunicaciones de servicio necesarias (códigos de autenticación, alertas de seguridad, actualizaciones de políticas) por correo electrónico o SMS, las cuales no son marketing.

5. ¿Con quién lo compartimos?

Personas que tú eliges: Tú controlas quién ve tus datos de salud. Puedes compartir registros específicos con familiares, cuidadores o proveedores de salud a través de las funciones de uso compartido de Exora. Tú eliges el nivel de permiso y puedes revocar el acceso en cualquier momento. Todas las acciones de uso compartido se registran.

Proveedores de servicios: Utilizamos los siguientes proveedores para operar Exora:

• Supabase - base de datos y almacenamiento de archivos (datos alojados en Sídney, Australia)
• Google Cloud Platform - infraestructura (computación del worker, OCR, almacenamiento en Sídney, Australia)
• Google Cloud Gemini Enterprise (Vertex AI) - inferencia de IA para comprensión de documentos, chat (texto), generación de narrativas y transcripción de voz a texto. Enrutado a través del endpoint global de Google Cloud bajo nuestro Cloud Data Processing Addendum firmado, con el almacenamiento en caché de datos a nivel de proyecto desactivado y exclusión solicitada del registro de revisión por abuso. Las entradas y salidas no son retenidas por Google después de que la solicitud se completa.
• Google AI Studio (Gemini Live API) - inferencia de IA para conversaciones de voz con IA en tiempo real (Beta). Este es un producto de Google diferente a Gemini Enterprise mencionado arriba. El audio se transmite a la infraestructura global de Google (actualmente con sede en EE.UU. para el modelo que utilizamos); el Cloud Data Processing Addendum que cubre nuestro uso de Gemini Enterprise no se extiende aquí. El uso está restringido a través de habilitación explícita por perfil y consentimiento informado (ver Sección 9). Estamos evaluando la migración de este flujo a Vertex AI Sídney una vez que Google publique la variante del modelo de audio en vivo allí; esta política se actualizará cuando eso ocurra.
• Anthropic (Claude) - procesa el texto de tus documentos y mensajes de chat
• OpenAI - procesa el texto de tus documentos y mensajes de chat
• Vercel - aloja nuestro sitio web de marketing y nuestras rutas de API (capa de tránsito sin estado para los datos de la aplicación; los datos de la aplicación se almacenan en Australia). También proporciona analítica agregada sin cookies para el sitio web de marketing (ver Sección 12)
• ConnectID - verificación de identidad (solo Australia)
• Expo - enrutamiento de entrega de notificaciones push
• Resend - entrega de correos electrónicos para mensajes de autenticación y correos de marketing (recibe solo tu dirección de correo electrónico; nunca recibe datos de salud)
• Twilio - entrega de SMS para mensajes de autenticación (recibe solo tu número de teléfono)

Los proveedores de entrega de autenticación (Resend, Twilio) reciben solo tu correo electrónico o número de teléfono para entregar códigos de inicio de sesión. No reciben datos de salud.

Quién no puede acceder a tus datos: Otros usuarios de Exora (a menos que compartas con ellos), anunciantes, intermediarios de datos, compañías de seguros o empleadores. Podemos divulgar tu información personal si lo requiere la ley o un proceso legal (como una orden judicial). Si recibimos una solicitud legal de tus datos, te notificaremos antes de divulgarlos a menos que la ley nos prohíba hacerlo.

6. ¿Dónde se almacenan y procesan tus datos?

Almacenados en Australia. Tus registros de salud, documentos y datos de cuenta se almacenan en Sídney, Australia, usando Supabase (en AWS ap-southeast-2) y Google Cloud Platform (australia-southeast1).

El procesamiento con IA puede involucrar servicios en el extranjero. Cuando nuestra IA procesa tus documentos, mensajes de chat o conversaciones de voz, el contenido se envía a proveedores de IA externos. Nuestro proveedor principal para documentos y chat con IA es Google Cloud Gemini Enterprise. Para conversaciones de voz con IA en tiempo real (una función Beta restringida por tu consentimiento explícito), usamos adicionalmente la API Gemini Live de Google AI Studio. También podemos usar Anthropic (Claude API) y OpenAI para funciones específicas. Estas empresas tienen sede en los Estados Unidos. Podemos cambiar, agregar o eliminar proveedores de IA en función de la calidad, confiabilidad y costo. Términos por proveedor:

• Google Cloud Gemini Enterprise (nuestro proveedor principal): procesado bajo nuestro Cloud Data Processing Addendum firmado. El almacenamiento en caché de datos del lado del servidor está explícitamente desactivado a nivel de proyecto. Las entradas y salidas no son retenidas por Google después de que la solicitud se completa. Adicionalmente hemos solicitado la exclusión del registro de revisión de seguridad y abuso de Google.
• Google AI Studio - Gemini Live API (solo conversaciones de voz): El audio en tiempo real se transmite desde nuestro servidor proxy de Sídney al endpoint global Gemini Live de Google, que actualmente se enruta a infraestructura con sede en EE.UU. para el modelo de audio que utilizamos. A partir de esta versión de la política, este flujo no está cubierto por nuestro Cloud Data Processing Addendum con Gemini Enterprise. Bajo los términos de AI Studio de Google para el nivel gratuito, Google puede usar los mensajes y respuestas enviados para mejorar sus productos y servicios. Mientras la voz está en Beta interna (solo pruebas de Wave 2), operamos conscientemente en el nivel gratuito. Antes de que se otorgue acceso de voz a cualquier usuario que no sea de Wave 2, vamos a (a) migrar a un nivel pago de AI Studio o equivalente de Vertex AI que prohíba contractualmente este uso de entrenamiento, o (b) actualizar esta política con divulgación clara de la postura de uso de datos vigente en ese momento. Puedes desactivar la voz para cualquier perfil en Ajustes -> Funciones Beta.
• OpenAI y Anthropic (cuando se usen): procesados bajo sus términos comerciales de API; los datos no se usan para el entrenamiento de modelos de IA; los proveedores pueden retener datos de API hasta 30 días para monitoreo de seguridad y abuso.
• Todos los proveedores: los datos se procesan y se nos devuelven; no se usan para entrenar modelos de IA; no se almacenan a largo plazo.

Nos basamos en protecciones contractuales firmadas (Cloud Data Processing Addendum con Google; términos comerciales de servicio con OpenAI y Anthropic) como nuestra salvaguarda bajo el APP 8 de la Ley de Privacidad. Si un proveedor incumple los APP en el manejo de tus datos, Exora sigue siendo responsable bajo la sección 16C de la Ley de Privacidad.

Nuestras rutas de API están alojadas en Vercel, que puede procesar solicitudes a través de servidores en múltiples regiones durante el tránsito. Todos los datos se almacenan en Australia; Vercel actúa solo como una capa de tránsito sin estado.

Todos los proveedores de infraestructura mantienen registros operativos estándar (incluidas direcciones IP y metadatos de solicitudes) para monitoreo de seguridad y depuración, sujetos a sus propias políticas de retención.

7. ¿Cómo protegemos tu información?

Empleamos las siguientes medidas para proteger tu información:

• Cifrado: Todos los datos están cifrados en tránsito (TLS) y en reposo por nuestros proveedores de infraestructura
• Controles de acceso: Seguridad a nivel de fila en todas las tablas de base de datos clínica garantiza que solo puedas acceder a tus propios datos
• Almacenamiento aislado por usuario: Los documentos de cada usuario se almacenan en su propia carpeta
• Autenticación: Inicio de sesión mediante códigos de un solo uso enviados a tu correo electrónico o teléfono, sin contraseñas que vulnerar
• Desbloqueo biométrico: Face ID y Touch ID se procesan en tu dispositivo; los datos biométricos nunca salen de tu dispositivo
• Seguridad de sesión: Los tokens de autenticación se rotan en cada uso
• Registro de auditoría: Todos los accesos y modificaciones de datos se registran
• Certificación de infraestructura: Nuestro proveedor de base de datos (Supabase) mantiene la certificación SOC 2 Tipo II

Ningún sistema es completamente seguro. Si alguna vez experimentamos una violación de datos que afecte tu información personal, te notificaremos a ti y a la Oficina del Comisionado de Información Australiano según lo requerido por el esquema de Notificación de Violaciones de Datos.

8. ¿Cuánto tiempo lo conservamos?

Mientras tu cuenta está activa: Tus datos de salud, documentos e historial de chat se conservan mientras exista tu cuenta. Puedes eliminar registros individuales en cualquier momento.

Cuando eliminas tu cuenta: Todos los datos se eliminan de los sistemas activos inmediatamente y se vuelven inaccesibles. Tu cuenta entra en una ventana de recuperación de 30 días durante la cual puedes reactivarla iniciando sesión nuevamente. Después de 30 días, un proceso automatizado elimina permanentemente todos tus datos, incluidos registros de salud, documentos, datos de procesamiento, historial de chat y archivos de almacenamiento.

Lo que sobrevive a la eliminación: Las entradas del registro de auditoría se conservan durante 7 años después de la eliminación de la cuenta por motivos de cumplimiento normativo. Estos registros contienen identificadores de usuario, marcas de tiempo y registros de cambios de datos. No están anonimizados. Las métricas de procesamiento agregadas (que no contienen datos de salud) también se conservan.

Retención de copias de seguridad: Las copias de seguridad automáticas de la base de datos se mantienen durante 7 días de forma rotativa. Los documentos subidos se almacenan en almacenamiento de archivos y se conservan mientras tu cuenta esté activa. No se incluyen en las copias de seguridad de la base de datos y se eliminan permanentemente cuando se elimina tu cuenta.

Información de contacto de marketing: Conservada mientras permanezcas suscrito. Cuando canceles la suscripción (un clic desde cualquier correo de marketing o en exora.au/unsubscribe), mantenemos la fila marcada como cancelada para tener prueba de la revocación de tu consentimiento y para no volver a suscribirte accidentalmente. Para solicitar la eliminación completa de la fila, escribe a hello@exora.au; lo gestionaremos dentro de 30 días.

Retención de proveedores de IA: Google Cloud Gemini Enterprise (nuestro proveedor principal) no retiene datos de API - el almacenamiento en caché del lado del servidor está desactivado a nivel de proyecto bajo nuestro Cloud Data Processing Addendum. OpenAI y Anthropic (cuando se usen) pueden retener datos de API hasta 30 días para monitoreo de seguridad bajo sus términos comerciales de API.

Datos locales del dispositivo: Las grabaciones de voz almacenadas en tu dispositivo se eliminan automáticamente después de 7 días. Los datos de sesión en caché se borran cuando cierras sesión.

Registros de conversaciones de voz con IA: Cuando tienes una conversación de voz en tiempo real con el asistente de IA, registramos los metadatos de la sesión (hora de inicio, hora de finalización, motivo de finalización, recuento de bytes, estados de error) en nuestro registro de auditoría voice_sessions para fines de seguridad y detección de abusos. También almacenamos la transcripción de texto de la conversación en tu historial de chat para que puedas revisar lo que se dijo. El audio no se conserva, solo los metadatos estructurados y el texto de la transcripción. Los registros de sesión se conservan durante toda la vida útil de tu cuenta y se eliminan con tu cuenta; las transcripciones siguen la misma retención que tu historial de chat.

9. Inteligencia artificial

Lo que hace nuestra IA. Cuando subes un documento médico, nuestra IA lee el contenido completo de ese documento, incluidos nombres, fechas y otros datos personales que contiene, para identificar información de salud (condiciones, medicamentos, alergias, signos vitales, resultados de laboratorio, procedimientos, vacunaciones) y organizarla en tu registro de salud estructurado. Nuestro asistente de chat con IA puede responder preguntas sobre tus datos de salud. También puedes enviar fotos para análisis por IA y usar la entrada de voz que es transcrita por IA.

Proveedores de IA. La comprensión de documentos (extracción de entidades, estructuración, generación de narrativas), el chat y la transcripción de voz se ejecutan principalmente en Google Cloud Gemini Enterprise con modelos Gemini. El escaneo OCR de documentos se ejecuta en Google Cloud Vision. También podemos usar OpenAI y Anthropic para funciones específicas. Podemos cambiar, agregar o eliminar proveedores en función de la calidad, confiabilidad y costo. La lista actual de proveedores y los datos que cada uno recibe se encuentra en la Sección 5.

Tus datos y el entrenamiento de IA. Tus datos de salud no se usan para entrenar modelos de IA. Nuestros proveedores de IA procesan tus datos únicamente para devolverte los resultados, bajo sus términos de API comercial. Los proveedores pueden retener temporalmente datos para monitoreo de seguridad (ver Sección 8). Actualmente no usamos tus datos para entrenar o mejorar los propios sistemas de IA de Exora. En el futuro, podemos ofrecerte la oportunidad de contribuir datos desidentificados para mejorar nuestros sistemas. Cualquier uso de este tipo requerirá tu consentimiento separado y explícito.

Precisión de la IA. La información extraída por IA puede contener errores, omisiones o interpretaciones erróneas. Los indicadores de calidad de datos que se muestran en la aplicación reflejan la confianza del procesamiento y no constituyen validación clínica. Los códigos médicos son asignados por IA y no han sido verificados por un profesional de la salud. Siempre verifica la información de salud importante con tu proveedor de salud y contra tus documentos originales.

Sin decisiones automatizadas. Nuestra IA organiza y resume tu información de salud. No toma decisiones médicas, diagnósticos ni recomendaciones de tratamiento. Nuestros sistemas no toman decisiones automatizadas que afecten tus derechos legales o intereses. Usar Exora no crea una relación médico-paciente ni de proveedor de salud.

Emergencias. Exora no está diseñado para emergencias médicas. Si estás experimentando una emergencia médica, llama al 000 (Australia) o a tu número de emergencia local inmediatamente.

Conversaciones de voz con IA (Beta). Una función Beta separada te permite mantener una conversación hablada en tiempo real con nuestro asistente de IA sobre los registros de salud de un perfil específico. Esto es estructuralmente diferente a la entrada de voz a texto del chat (donde un solo clip se transcribe y se descarta). Aquí, tu audio de micrófono se transmite continuamente, la respuesta hablada de la IA se transmite de vuelta, y la conversación puede incluir múltiples intercambios.

El flujo: tu iPhone abre un WebSocket autenticado a nuestro servidor Cloud Run de Sídney, que mantiene la clave API de Google AI Studio en tu nombre. Tu audio de micrófono se envía a través del servidor de Sídney a la API Gemini Live de Google. El audio de respuesta de la IA regresa por el mismo camino. Registramos metadatos a nivel de sesión (hora de inicio, duración, motivo de finalización, recuento de bytes) y la transcripción de texto para fines de auditoría y detección de abusos, pero no retenemos el audio en sí.

Habilitación por perfil. Las conversaciones de voz están DESACTIVADAS por defecto para todos los perfiles. Para habilitarlas, el propietario del perfil navega a Ajustes -> Funciones Beta y activa “Conversaciones de voz con IA”. La configuración sigue al perfil, no al titular de la cuenta - si compartes un perfil con otra persona, la disponibilidad de voz en ese perfil es elección del propietario.

Consentimiento informado antes del primer uso. La primera vez que realmente inicies una conversación de voz para un perfil, verás un diálogo de consentimiento que resume qué datos se envían, dónde se procesan, qué se conserva y que puedes retirar la función en cualquier momento en Ajustes. Debes tocar “Entiendo y consiento” antes de que cualquier audio salga de tu dispositivo. La aceptación se registra con marca de tiempo.

Retiro del acceso a voz. Desactiva la función en Ajustes -> Funciones Beta en cualquier momento. Los registros de sesión y transcripciones existentes permanecen en tu registro de auditoría e historial de chat bajo tu control (puedes eliminar sesiones de chat individuales). Desactivar la voz no elimina los registros pasados; te recomendamos revisar la sección relevante de esta política para nuestros detalles de retención.

Región de procesamiento. A partir de esta versión de la política, las conversaciones de voz en tiempo real son procesadas por la API Gemini Live de Google en su infraestructura global, actualmente enrutando a servidores con sede en EE.UU. para el modelo de audio que utilizamos. Estamos evaluando la migración a Vertex AI en Sídney una vez que el modelo de audio en vivo se publique en la región australiana. Esta política se actualizará cuando ocurra ese cambio.

Por qué esto se trata diferente del chat de texto. La comprensión de documentos y el chat de texto se ejecutan en Google Cloud Gemini Enterprise (Vertex AI) bajo nuestro Cloud Data Processing Addendum firmado. Ese contrato no se extiende a la API Gemini Live en Google AI Studio. Hemos elegido habilitar la función de voz en vivo en estado Beta mientras evaluamos las opciones de residencia de datos y contractuales. La habilitación, el diálogo de consentimiento y el registro de auditoría están todos en su lugar para darte una elección claramente informada mientras trabajamos en esto.

El asistente de voz no es un profesional médico. Todo en esta sección también se aplica a la voz: la IA organiza y resume tu información; no proporciona asesoramiento médico, diagnósticos ni recomendaciones de tratamiento. No confíes en el asistente de voz en una emergencia médica - llama al 000 (o a tu número de emergencia local) en su lugar.

10. Tus derechos

Bajo los Principios de Privacidad Australianos, tienes derecho a:

Acceder a tus datos. Puedes ver todos tus datos de salud en la aplicación. Para solicitar una copia completa de tu información personal, contáctanos en hello@exora.au. Responderemos dentro de 30 días.

Corregir tus datos. Puedes editar la información de tu perfil en la aplicación. Para los registros de salud extraídos por IA, puedes agregar notas, eliminar registros inexactos o volver a subir documentos corregidos. Si crees que alguna otra información que tenemos es inexacta, contáctanos y la corregiremos.

Eliminar tus datos. Puedes eliminar registros individuales en la aplicación, o eliminar toda tu cuenta desde Configuración. La eliminación de la cuenta remueve todos tus datos (ver Sección 8 para detalles).

Controlar el uso compartido. Tú eliges con quién compartir tus datos de salud, qué compartir y por cuánto tiempo. Puedes revocar el acceso en cualquier momento.

Retirar el consentimiento. Puedes retirar tu consentimiento para el procesamiento de datos de salud en cualquier momento eliminando tus datos o tu cuenta.

Reclamar. Ver Sección 14.

11. Menores y jóvenes

Exora requiere una edad mínima de 14 años para crear una cuenta independiente en Australia. Esto se alinea con la edad a la que las personas obtienen control de su propio My Health Record.

Los padres y tutores pueden gestionar los registros de salud de niños de cualquier edad a través de perfiles de dependientes en su cuenta. El padre o tutor declara su autoridad al crear un perfil de dependiente y controla todos los datos y el uso compartido de ese perfil.

No permitimos conscientemente que menores de la edad mínima de su región creen cuentas independientes. Si descubrimos que una cuenta fue creada por alguien menor de la edad mínima, trabajaremos con el padre o tutor del menor para resolver la situación, lo que puede incluir cerrar la cuenta o migrar los datos a un perfil de dependiente gestionado por el padre.

12. Cookies y rastreo

No utilizamos cookies de publicidad, píxeles de rastreo ni rastreo entre sitios.

Nuestra aplicación web utiliza únicamente cookies esenciales para la autenticación y gestión de sesiones. Estas son necesarias para que la aplicación funcione y no te rastrean a través de otros sitios web.

Analítica del sitio web de marketing. Nuestro sitio web de marketing en exora.au utiliza Vercel Web Analytics y Speed Insights para medir el tráfico de visitantes y el rendimiento de las páginas de forma agregada. Estas herramientas son sin cookies y no te identifican individualmente. Recopilan: la URL de la página visitada, el sitio web de referencia, tu país aproximado (derivado de tu dirección IP, que luego se descarta y no se almacena), el tipo de dispositivo, el navegador, el sistema operativo y las métricas de rendimiento de Core Web Vitals. Los datos se agregan y se utilizan únicamente para entender cómo funciona nuestro sitio de marketing y mejorarlo. Vercel actúa como nuestro encargado del tratamiento de datos.

Esta analítica del sitio web no está activa dentro de nuestras aplicaciones autenticadas (la aplicación móvil ni la aplicación web en app.exora.au). Actualmente no utilizamos herramientas de analítica ni de informe de errores dentro de las aplicaciones. Si las agregamos en el futuro, actualizaremos esta política.

13. Cambios a esta política

Podemos actualizar esta política para reflejar cambios en nuestras prácticas o requisitos legales.

Cambios sustanciales (cambios en los datos que recopilamos, cómo los usamos o con quién los compartimos): Te daremos al menos 14 días de aviso previo mediante notificación en la aplicación y/o correo electrónico antes de que los cambios entren en vigor.

Cambios menores (aclaraciones, formato, corrección de errores): Podemos actualizar la política sin aviso previo.

La fecha en la parte superior de esta política indica cuándo se actualizó por última vez. Las versiones anteriores están disponibles a solicitud contactando a hello@exora.au. El uso continuado de Exora después de que los cambios entren en vigor constituye aceptación de la política actualizada. Si no estás de acuerdo con los cambios, puedes eliminar tu cuenta antes de que entren en vigor.

14. Reclamaciones

Si tienes una inquietud sobre cómo manejamos tu información personal:

Paso 1 - Contáctanos. Envía un correo a nuestro Oficial de Privacidad a hello@exora.au. Acusaremos recibo de tu reclamación dentro de 5 días hábiles.

Paso 2 - Investigación. Investigaremos tu reclamación y proporcionaremos una respuesta sustantiva dentro de 30 días. Si necesitamos más tiempo, te lo haremos saber.

Paso 3 - Escalamiento. Si no estás satisfecho con nuestra respuesta, puedes presentar una reclamación ante la Oficina del Comisionado de Información Australiano (OAIC):

• Sitio web: www.oaic.gov.au
• Teléfono: 1300 363 992
• Formulario de reclamación en línea: www.oaic.gov.au/privacy/privacy-complaints
• Correo postal: GPO Box 5288, Sydney NSW 2001

15. Contáctanos

Exora Health Pty Ltd
ABN 16 690 025 462

Oficial de Privacidad: hello@exora.au

Para preguntas sobre esta política de privacidad, cómo manejamos tus datos o para ejercer cualquiera de tus derechos, contáctanos en la dirección de correo electrónico anterior.

Consulta también nuestros Términos de servicio para las reglas que rigen tu uso de Exora.

Esta política de privacidad se rige por las leyes de Australia.