Política de privacidad
10 Minuten Coaching — Última actualización: abril de 2026
1. Responsable del tratamiento
XD Consulting GmbH
Marchfeldstraße 17/2/25
1200 Viena
Austria
Objeto social: Servicios de procesamiento automatizado de datos y tecnologías de la información
Número de registro mercantil: FN 612534k
Jurisdicción / registro mercantil: Tribunal Mercantil de Viena
Número de IVA intracomunitario: ATU79850859
GLN: 9110010394455
GISA: 26538570, 34919811
Correo electrónico:
2. Resumen de los tratamientos
| Categoría de datos | Datos concretos | Finalidad | Base jurídica |
|---|---|---|---|
| Datos de perfil | Nombre, franja de edad, género, profesión, etapa vital, objetivos, mayor desafío, motivaciones, experiencia en coaching | Personalización del coaching | Art. 6, ap. 1, b) RGPD (ejecución del contrato) |
| Datos de sesión | Historial de conversación, resúmenes de sesión, indicadores de estado de ánimo | Realización y contextualización de las sesiones de coaching | Art. 6, ap. 1, b) RGPD (ejecución del contrato) |
| Identificador de dispositivo | identifierForVendor (UUID específico del fabricante) | Limitación de uso (rate limiting) frente a abusos | Art. 6, ap. 1, f) RGPD (interés legítimo) |
| Datos de suscripción | Estado de suscripción (Free/Pro), verificación de transacciones a través de StoreKit | Prestación del servicio contratado | Art. 6, ap. 1, b) RGPD (ejecución del contrato) |
| Datos de consentimiento | Marca de tiempo del consentimiento a la política de privacidad y al aviso de exención de responsabilidad | Prueba del consentimiento | Art. 6, ap. 1, c) RGPD (obligación legal) |
| Datos de uso | Contador de racha (streak), fecha de la última sesión | Funciones motivacionales en la app | Art. 6, ap. 1, b) RGPD (ejecución del contrato) |
| Datos de atestación | Identificador de dispositivo, clave criptográfica pública (EC P-256), contador de firmas, recibo de Apple, identificador de clave, entorno del dispositivo | Verificación de la integridad del dispositivo (App Attest) frente a abusos de la API | Art. 6, ap. 1, f) RGPD (interés legítimo) |
3. Categorías especiales de datos (art. 9 RGPD)
En el contexto de las sesiones de coaching, usted puede compartir voluntariamente información que tenga la consideración de categoría especial de datos personales — en particular, indicadores de estado de ánimo y contenidos de coaching que puedan permitir conclusiones sobre su estado de salud.
El tratamiento de estos datos se realiza exclusivamente sobre la base de su consentimiento explícito conforme al art. 9, ap. 2, a) RGPD. Usted otorga este consentimiento al usar la app por primera vez y puede retirarlo en cualquier momento (véase apartado 9).
4. Almacenamiento local
Sus datos de perfil, historiales de sesión y resúmenes se almacenan localmente en su dispositivo (SwiftData). No se realiza un almacenamiento de sus contenidos de coaching en servidor. Usted mantiene el control total sobre sus datos y puede eliminarlos en cualquier momento desde los ajustes de la app.
5. Copia de seguridad iCloud
Si tiene activada la copia de seguridad iCloud en su dispositivo, los datos de la app almacenados localmente pueden incluirse en una copia del dispositivo en su iCloud. Esta copia es iniciada por el usuario y está protegida por el cifrado de extremo a extremo de Apple. El tratamiento de datos por parte de Apple se rige por su propia política de privacidad.
6. Comunicación con la API
Cuando realiza una sesión de coaching se transmiten los siguientes datos a través de una conexión cifrada (HTTPS/TLS):
- App → Supabase Edge Function (UE / Frankfurt): mensajes de la conversación (system prompt y los 40 mensajes más recientes), identificador de dispositivo (para limitación de uso y atestación), versión de la app, firma de App Attest e identificador de clave
- Supabase → API de OpenAI (EE. UU.): mensajes de la conversación (sin identificador de dispositivo, sin versión de la app, sin datos de atestación)
El identificador de dispositivo se utiliza únicamente para la limitación de uso del lado del servidor y la verificación de integridad y no se transmite a OpenAI. La versión de la app y los datos de atestación se eliminan antes de la transmisión a OpenAI.
OpenAI no utiliza los datos transmitidos a través de la API para entrenar sus modelos (de acuerdo con la política de uso de datos de la API de OpenAI). OpenAI conserva las solicitudes de la API durante un máximo de 30 días para detección de abusos.
Síntesis de voz (TTS): las respuestas de coaching pueden reproducirse opcionalmente como audio. El texto de la respuesta se transmite a través de la Supabase Edge Function a la API TTS de OpenAI. Se aplican las mismas medidas de protección que para la comunicación de chat (sin identificador de dispositivo a OpenAI, transmisión cifrada).
App Attest (verificación de integridad): al iniciar la app por primera vez se genera en su dispositivo una clave criptográfica mediante el servicio App Attest de Apple (DeviceCheck). Apple verifica la integridad del dispositivo y de la instalación. El objeto de atestación resultante se transmite a nuestra Supabase Edge Function y se verifica allí. En cada solicitud de API se adjunta una firma criptográfica (assertion) para garantizar la autenticidad. La clave privada permanece siempre en el Secure Enclave de su dispositivo. El identificador de clave se almacena en el llavero de iOS (con protección por hardware, excluido de las copias de seguridad).
7. Destinatarios y transferencias internacionales
| Destinatario | Finalidad | Ubicación | Garantías |
|---|---|---|---|
| Apple Inc. | Distribución de la app, compras integradas (verificación de transacciones y procesamiento de pagos vía StoreKit), copia de seguridad iCloud, App Attest (vía DeviceCheck) | EE. UU. | EU-US Data Privacy Framework (DPF) |
| Supabase Inc. | Edge Function proxy (intermediación de API, limitación de uso); base de datos PostgreSQL (credenciales de atestación, contadores de rate limit) | UE (Frankfurt) | Tratamiento en la UE; Cláusulas Contractuales Tipo (CCT) |
| OpenAI Inc. | Modelo de lenguaje IA para las respuestas de coaching | EE. UU. | EU-US Data Privacy Framework (DPF); Cláusulas Contractuales Tipo (CCT); ningún uso de datos de la API para entrenar modelos |
| Hostinger International Ltd. | Hosting web y DNS para el sitio 10minutes.app (registros de servidor con direcciones IP, marcas de tiempo, páginas visitadas) | Lituania / UE | Tratamiento en la UE; contrato de encargo de tratamiento (DPA) |
Con Supabase, OpenAI y Hostinger se han suscrito contratos de encargo de tratamiento (DPA) conforme al art. 28 RGPD.
8. Plazos de conservación
- Datos locales (perfil, sesiones, resúmenes): hasta su eliminación por usted desde los ajustes de la app o desinstalación de la misma.
- Challenges de atestación (identificador de dispositivo + nonce): máximo 5 minutos en la base PostgreSQL de Supabase, eliminación automática.
- Credenciales de atestación (identificador de dispositivo, clave pública, contador, recibo): máximo 90 días en la base PostgreSQL de Supabase, eliminación automática. Al reinstalar la app, las credenciales existentes se reemplazan.
- Datos de rate limiting (identificador de dispositivo + contador): máximo 48 horas en la base PostgreSQL de Supabase, eliminación automática.
- Logs de la API de OpenAI: máximo 30 días, eliminación automática por OpenAI.
- Marcas de tiempo de consentimiento: almacenadas localmente, hasta la eliminación de los datos de la app.
Todos los datos almacenados en servidor están seudonimizados (asignación únicamente mediante el identificador de dispositivo) y se eliminan automáticamente al expirar el plazo correspondiente. No es posible la eliminación manual de registros individuales del lado del servidor, dado que no existe cuenta de usuario. Al desinstalar y reinstalar la app se genera un nuevo identificador de dispositivo, por lo que los datos del servidor anteriores ya no pueden vincularse a un dispositivo y se purgan automáticamente al expirar los plazos.
9. Sus derechos (arts. 15–22 RGPD)
Le asisten los siguientes derechos sobre sus datos personales:
- Derecho de acceso (art. 15): puede solicitar información sobre los datos almacenados.
- Derecho de rectificación (art. 16): puede solicitar la corrección de datos inexactos. Los datos de perfil pueden editarse directamente en la app.
- Derecho de supresión (art. 17): puede solicitar la eliminación de sus datos. Los datos locales pueden eliminarse directamente desde los ajustes de la app.
- Derecho a la limitación del tratamiento (art. 18).
- Derecho a la portabilidad (art. 20): puede solicitar sus datos en un formato estructurado y legible por máquina.
- Derecho de oposición (art. 21): puede oponerse al tratamiento basado en interés legítimo.
- Derecho a retirar el consentimiento: los consentimientos otorgados pueden retirarse en cualquier momento con efecto futuro.
Para ejercer sus derechos, contáctenos en .
Derecho a reclamar: puede presentar una reclamación ante la autoridad de protección de datos competente. En España, ante la Agencia Española de Protección de Datos (AEPD), C/ Jorge Juan, 6, 28001 Madrid, www.aepd.es. La autoridad principal del responsable es la autoridad austriaca de protección de datos (Datenschutzbehörde), Barichgasse 40–42, 1030 Viena, www.dsb.gv.at.
10. Sitio web (10minutes.app)
Al visitar nuestro sitio web, el proveedor de hosting (Hostinger) registra automáticamente los siguientes datos en archivos de registro del servidor:
- Dirección IP (anonimizada o completa, según la configuración del servidor)
- Fecha y hora del acceso
- Página visitada (URL)
- URL de procedencia (referrer)
- Navegador y sistema operativo utilizados
- Volumen de datos transferidos
El tratamiento se basa en el art. 6, ap. 1, f) RGPD (interés legítimo en la prestación técnica y la seguridad del sitio). Los registros del servidor se eliminan automáticamente tras un máximo de 30 días. El sitio no utiliza cookies ni herramientas de seguimiento.
11. Cookies y seguimiento
La app y el sitio web no utilizan cookies, ni analítica, ni SDK publicitarios, ni SDK de seguimiento de terceros. No se realiza seguimiento de su comportamiento de uso.
12. Decisiones automatizadas
Las respuestas de coaching generadas por la IA no constituyen decisiones individuales automatizadas en el sentido del art. 22 RGPD que produzcan efectos jurídicos sobre usted o le afecten significativamente de modo similar. Las respuestas sirven exclusivamente como impulso de coaching y carecen de carácter vinculante.
13. Seguridad de los datos
Aplicamos las siguientes medidas técnicas para proteger sus datos:
- iOS Data Protection (cifrado por hardware de los datos locales)
- Transmisión cifrada vía HTTPS/TLS
- Sin almacenamiento en servidor de los contenidos de coaching
- El identificador de dispositivo no se transmite al proveedor de IA
- Limitación de mensajes en el servidor (máximo 40 por solicitud)
- Apple App Attest: verificación criptográfica de integridad con firmas ECDSA (Secure Enclave)
- Protección contra reproducción mediante contadores de firma monótonos en cada solicitud
- Protocolo desafío-respuesta para evitar la falsificación de atestaciones
- Almacenamiento seguro de claves en el llavero de iOS (protegido por hardware, excluido de copias)
14. Modificaciones de esta política
Nos reservamos el derecho a actualizar esta política para adaptarla a cambios legales o de la app. La versión vigente está siempre disponible en esta dirección. Las modificaciones sustanciales se comunicarán mediante una actualización de la app.
15. Contacto
Para cuestiones de protección de datos: