This is a translation of the English original. In case of discrepancy, the English version prevails, except where local law requires otherwise.

Política de Privacidad

Fecha de vigencia: 6 de abril de 2026 Versión: 1.1.0

---

1. Identidad del Responsable del Tratamiento

HearQA es operado por HC DESENVOLVIMENTO DE SOFTWARES LTDA, una empresa constituida conforme a las leyes de la República Federativa de Brasil. Somos el responsable del tratamiento de sus datos personales conforme al Reglamento General de Protección de Datos de la UE (RGPD), la Ley General de Protección de Datos de Brasil (LGPD, Lei nº 13.709/2018) y la Ley de Privacidad del Consumidor de California (CCPA).

Para el procesamiento de pagos, utilizamos Paddle.com como nuestro Comerciante Oficial (Merchant of Record). Paddle procesa todas las transacciones con tarjeta, recauda los impuestos y gestiona los reembolsos, y aparece como vendedor en su estado de cuenta. Consulte la §6 para la lista completa de procesadores de terceros.

• Contacto de privacidad: legal@hearqa.com

• Reportes de seguridad: security@hearqa.com

• Domicilio social: Rua Guaicui, 715, CEP 30.380-342, Bairro Luxemburgo, Belo Horizonte, MG, Brasil

---

2. Qué datos recopilamos

HearQA recopila y trata las siguientes categorías de datos:

2.1 Audio

El micrófono de su dispositivo captura audio a través de la API de micrófono del navegador. El audio se transmite directamente a la API Groq Whisper para su transcripción en tiempo real. El audio nunca se almacena, se carga en los servidores de HearQA ni se conserva. Es descartado inmediatamente después de la transcripción por el procesador externo.

2.2 Texto de transcripción

Texto producido por Groq a partir de su flujo de audio. Este texto se envía a servicios de IA (AWS Bedrock Claude 3.5 Haiku o Google Vertex AI Gemini como respaldo) para generar respuestas de asistencia. El texto de transcripción se conserva únicamente durante una sesión activa en nuestra base de datos. No se almacena de forma permanente después de que finalice la sesión, a menos que usted decida conservar un resumen de sesión.

2.3 Fotos e imágenes

Imágenes cargadas a través de la cámara de su dispositivo o el selector de archivos. Estas se procesan para la extracción de texto mediante OCR (reconocimiento óptico de caracteres). Las imágenes se almacenan temporalmente en AWS S3 durante una sesión activa y se eliminan automáticamente cuando la sesión finaliza.

2.4 Capturas de pantalla

En dispositivos de escritorio, el contenido de la pantalla puede capturarse a través de la API getDisplayMedia del navegador. Las capturas de pantalla se procesan durante la sesión para la extracción de texto mediante OCR. Las capturas de pantalla no se conservan ni se almacenan.

2.5 Grabaciones de video

Videoclips cortos (de hasta 20 segundos) grabados a través de la cámara de su dispositivo, grabación de pantalla, webcam o cargados desde su dispositivo. Los videos se cargan en AWS S3, se procesan mediante Google Vertex AI (Gemini 2.5 Flash) para la extracción de texto y, a continuación, se procesan mediante AWS Bedrock (Claude) para asistencia de IA. Los archivos de video se eliminan automáticamente de S3 en un plazo de 24 horas mediante la política de ciclo de vida del bucket. Solo el texto extraído se conserva durante la sesión.

2.6 Información de la cuenta

Su dirección de correo electrónico y nombre, proporcionados a través del inicio de sesión con Google o el registro por correo electrónico/contraseña. Estos datos se almacenan en AWS Cognito (para autenticación) y AWS DynamoDB (para su perfil de usuario).

2.7 Metadatos de sesión

Información sobre sus sesiones, incluyendo el tipo de sesión, la plantilla utilizada, la duración, el número de respuestas de IA y las marcas de tiempo. Se almacenan en DynamoDB hasta que usted elimine su cuenta.

2.8 Resúmenes de sesión

Revisiones de rendimiento generadas por IA creadas al final de una sesión. Se almacenan en DynamoDB. Puede eliminar resúmenes individuales en cualquier momento, o todos los resúmenes se eliminan cuando usted elimina su cuenta.

2.9 Documentos

Archivos que usted carga (PDFs, archivos de texto) para su uso como contexto de IA mediante generación aumentada por recuperación (RAG). Se almacenan en un bucket dedicado de AWS S3. Puede eliminar cualquier documento en cualquier momento a través de la configuración de su cuenta.

2.10 Información de pago

Todo el procesamiento de pagos es gestionado íntegramente por Paddle. HearQA nunca ve, almacena ni procesa los datos de su tarjeta de pago. Solo recibimos su correo electrónico de cliente y la confirmación de intención de pago de Paddle para gestionar su suscripción.

---

3. Base legal del tratamiento

Tratamos sus datos personales bajo las siguientes bases legales, conforme lo exigen el RGPD (Artículo 6) y la LGPD (Artículo 7):

| Tipo de dato | Base legal | Justificación | |-----------|-------------|---------------| | Información de la cuenta | Ejecución del contrato | Necesario para crear y mantener su cuenta y prestar el servicio al que se suscribió. | | Flujo de audio | Ejecución del contrato | Necesario para proporcionar la transcripción en tiempo real, una función esencial del servicio. | | Texto de transcripción | Ejecución del contrato | Necesario para generar respuestas de asistencia de IA durante su sesión. | | Fotos e imágenes | Ejecución del contrato | Necesario para proporcionar funciones de OCR e IA basada en documentos que usted inicia. | | Capturas de pantalla | Ejecución del contrato | Necesario para proporcionar funciones de OCR basadas en pantalla que usted inicia. | | Grabaciones de video | Ejecución del contrato | Necesario para proporcionar la extracción de texto basada en video y la asistencia de IA que usted inicia. | | Metadatos de sesión | Ejecución del contrato; Interés legítimo | Necesario para aplicar los límites del plan y mejorar la fiabilidad del servicio. | | Resúmenes de sesión | Ejecución del contrato | Generados a su solicitud para proporcionar revisiones de rendimiento de la sesión. | | Documentos | Ejecución del contrato | Cargados por usted para su uso como contexto de IA en sus sesiones. | | Datos de pago (vía Paddle) | Ejecución del contrato | Necesario para procesar los pagos de su suscripción. | | Correos electrónicos transaccionales | Ejecución del contrato; Interés legítimo | Necesario para comunicar información relacionada con la cuenta (por ejemplo, recibos de pago, cambios de plan). | | Seguimiento de errores (Sentry) | Interés legítimo | Datos no identificables personalmente utilizados para mantener la estabilidad del servicio y diagnosticar problemas. |

Cuando nos basamos en el interés legítimo, hemos realizado pruebas de ponderación para garantizar que nuestros intereses no prevalezcan sobre sus derechos y libertades fundamentales. Puede oponerse al tratamiento basado en interés legítimo en cualquier momento contactando a legal@hearqa.com.

---

4. Cómo utilizamos sus datos

Utilizamos sus datos para los siguientes fines:

• Prestación del servicio — Proporcionar transcripción en tiempo real, asistencia de IA, OCR y respuestas basadas en documentos durante sus sesiones.
• Asistencia de IA — Enviar texto de transcripción y contexto de documentos a modelos de IA (AWS Bedrock, Google Vertex AI) para generar asistencia relevante y contextual.
• Gestión de cuenta — Autenticar su identidad, gestionar su perfil y mantener su historial de sesiones y documentos.
• Seguimiento de uso y aplicación del plan — Supervisar el número de sesiones, las duraciones y los volúmenes de respuestas de IA para aplicar los límites de su plan de suscripción (Free, Pro, Session Pack o Annual).
• Correos electrónicos transaccionales — Enviar confirmaciones de pago, notificaciones de cambio de plan y comunicaciones esenciales de la cuenta a través de AWS SES.
• Mejora del servicio — Analizar datos de error no identificables personalmente (a través de Sentry) y patrones de uso agregados para mejorar la fiabilidad y el rendimiento.

No utilizamos sus datos para publicidad, perfilado, toma de decisiones automatizada con efectos legales ni venta a terceros.

---

5. Intercambio de datos y procesadores externos

Compartimos sus datos únicamente con los procesadores externos necesarios para prestar el servicio. No vendemos, alquilamos ni comercializamos sus datos personales.

| Servicio | Finalidad | Datos recibidos | Región de procesamiento | |---------|---------|---------------|-------------------| | Groq (Whisper API) | Transcripción de audio | Flujo de audio (descartado inmediatamente después de la transcripción) | Infraestructura de Groq | | AWS Bedrock (Claude 3.5 Haiku) | Respuestas de asistencia de IA | Transcripción de texto, contexto de documentos | us-east-1 (N. Virginia, EE. UU.) | | Google Vertex AI (Gemini) | Asistencia de IA (respaldo) + extracción de texto de video | Transcripción de texto, contexto de documentos, fotogramas de video | us-central1 (Iowa, EE. UU.) | | Paddle | Procesamiento de pagos | Correo electrónico del cliente, intención de pago | Infraestructura de Paddle | | AWS Cognito | Autenticación de usuarios | Correo electrónico, nombre, tokens OAuth | us-east-1 (N. Virginia, EE. UU.) | | AWS DynamoDB | Almacenamiento de datos | Datos de cuenta, metadatos de sesión, resúmenes | us-east-1 (N. Virginia, EE. UU.) | | AWS S3 | Almacenamiento de documentos y cargas | Documentos del usuario, cargas de sesión | us-east-1 (N. Virginia, EE. UU.) | | AWS SES | Correo electrónico transaccional | Correo electrónico del destinatario, contenido del mensaje | us-east-1 (N. Virginia, EE. UU.) | | Sentry (opcional) | Seguimiento de errores | Datos de error no identificables personalmente, trazas de pila | Infraestructura de Sentry |

Cada procesador está vinculado por acuerdos de tratamiento de datos que les exigen procesar los datos únicamente según las instrucciones, implementar medidas de seguridad adecuadas y no utilizar los datos para sus propios fines.

---

6. Transferencias internacionales de datos

HearQA opera desde Brasil, pero la mayor parte del procesamiento de datos se realiza en Estados Unidos (AWS us-east-1, N. Virginia). Si usted se encuentra en Brasil, el Espacio Económico Europeo (EEE) u otras jurisdicciones con restricciones de transferencia de datos, sus datos serán transferidos a Estados Unidos.

Garantizamos transferencias lícitas a través de las siguientes salvaguardas:

• Brasil (LGPD): Las transferencias internacionales se realizan de conformidad con el Artículo 33 de la Lei nº 13.709/2018 y la Resolución CD/ANPD nº 19/2024, basándose en Cláusulas Contractuales Tipo y la adecuación de las medidas de protección de datos implementadas por nuestros procesadores.
• UE/EEE (RGPD): Las transferencias a procesadores fuera del EEE se rigen por las Cláusulas Contractuales Tipo (CCT) adoptadas por la Comisión Europea, de conformidad con el Capítulo V del RGPD, garantizando un nivel adecuado de protección de datos.
• General: Todos los datos en tránsito están cifrados mediante TLS. Todos los datos en reposo están cifrados mediante cifrado gestionado por AWS. Nuestros procesadores (AWS, Paddle, Groq, Sentry) mantienen sus propias certificaciones de cumplimiento (SOC 2, ISO 27001 o equivalente).

---

7. Conservación de datos

Conservamos sus datos únicamente durante el tiempo necesario para los fines descritos en esta política. Los períodos de conservación varían según el tipo de dato:

| Tipo de dato | Período de conservación | |-----------|-----------------| | Audio | Nunca se almacena. Descartado inmediatamente después de la transcripción en tiempo real por Groq. | | Texto de transcripción | Solo durante la sesión activa. Se elimina cuando la sesión finaliza, a menos que el usuario conserve un resumen de sesión. | | Fotos e imágenes | Solo durante la sesión activa. Se eliminan de S3 cuando la sesión finaliza. | | Capturas de pantalla | Nunca se almacenan. Se procesan únicamente durante la sesión. | | Grabaciones de video | Eliminadas automáticamente en un plazo de 24 horas. Solo el texto extraído se conserva durante la sesión activa. | | Información de la cuenta | Hasta que usted elimine su cuenta. | | Metadatos de sesión | Hasta que usted elimine su cuenta. | | Resúmenes de sesión | Hasta que usted elimine el resumen o elimine su cuenta. | | Documentos | Hasta que usted elimine el documento o elimine su cuenta. | | Registros de pago | Conservados por Paddle según su política de conservación. HearQA conserva únicamente el estado de la suscripción y el tipo de plan. | | Registros de errores (Sentry) | Según la política de conservación de Sentry (normalmente 90 días). No contienen información de identificación personal. |

Cuando usted elimina su cuenta, su Contenido de Usuario permanece disponible para exportación durante 30 días después de la solicitud de eliminación, según se describe en la Sección 17 de nuestros Términos de Servicio. Después de esa ventana de 30 días, todos sus datos se purgan permanentemente de DynamoDB y S3. Esta purga es irreversible.

También puede solicitar la purga inmediata e irrevocable (omitiendo la ventana de exportación de 30 días) enviando un correo electrónico a legal@hearqa.com. Confirmaremos la solicitud antes de ejecutarla.

---

8. Sus derechos

Independientemente de su ubicación, proporcionamos los siguientes derechos a todos los usuarios de HearQA:

• Derecho de acceso — Puede consultar su perfil y los datos de su cuenta en cualquier momento a través de la configuración de su cuenta, o solicitando una copia a legal@hearqa.com.
• Derecho a la portabilidad de datos — Puede exportar todos sus datos personales en formato JSON a través de la función de Exportación de Datos en Configuración.
• Derecho de rectificación — Puede actualizar la información de su perfil en cualquier momento a través de la configuración de su cuenta.
• Derecho de supresión (eliminación) — Puede eliminar su cuenta por completo a través de Configuración. Esto elimina permanentemente todos sus datos de nuestros sistemas (DynamoDB, S3, Cognito). También puede eliminar resúmenes de sesión individuales o documentos sin eliminar toda su cuenta.
• Derecho a la limitación del tratamiento — Puede solicitar que limitemos la forma en que tratamos sus datos contactando a legal@hearqa.com.
• Derecho de oposición — Puede oponerse al tratamiento basado en interés legítimo contactando a legal@hearqa.com.
• Derecho a retirar el consentimiento — Cuando el tratamiento se base en el consentimiento, puede retirarlo en cualquier momento. La retirada no afecta la licitud del tratamiento realizado antes de la retirada.

Para ejercer cualquiera de estos derechos, contáctenos en legal@hearqa.com. Responderemos en un plazo de 15 días para solicitudes de la LGPD, 30 días para solicitudes del RGPD y 45 días para solicitudes de la CCPA, según lo exija la legislación aplicable.

---

9. Para usuarios en Brasil (LGPD)

Si usted se encuentra en Brasil, esta sección proporciona información adicional requerida por la Lei Geral de Proteção de Dados (Lei nº 13.709/2018).

• Responsable del tratamiento: HC DESENVOLVIMENTO DE SOFTWARES LTDA, Rua Guaicui, 715, CEP 30.380-342, Bairro Luxemburgo, Belo Horizonte, MG, Brasil.
• Oficial de Protección de Datos (Encarregado): Contactable en legal@hearqa.com. El Encarregado es responsable de recibir comunicaciones de los titulares de datos y de la ANPD.
• Bases legales: El tratamiento se basa en el Artículo 7 de la LGPD, específicamente: ejecución del contrato (inciso V), interés legítimo (inciso IX) y consentimiento cuando corresponda (inciso I).
• Autoridad supervisora: La Autoridade Nacional de Proteção de Dados (ANPD) es la autoridad competente en materia de LGPD. Usted tiene derecho a presentar una petición ante la ANPD si considera que se han vulnerado sus derechos de protección de datos.
  • Sitio web de la ANPD: https://www.gov.br/anpd
• Transferencias internacionales: Sus datos se transfieren a Estados Unidos de conformidad con el Artículo 33 de la LGPD y la Resolución CD/ANPD nº 19/2024.
• Tiempo de respuesta: Responderemos a sus solicitudes en un plazo de 15 días, según lo exige la LGPD.

---

10. Para usuarios en la UE/EEE (RGPD)

Si usted se encuentra en la Unión Europea o el Espacio Económico Europeo, esta sección proporciona información adicional requerida por el Reglamento General de Protección de Datos (UE 2016/679).

• Bases legales: Nuestras actividades de tratamiento y sus bases legales se detallan en la Sección 3 anterior. Las bases principales son la ejecución del contrato (Artículo 6(1)(b)) y el interés legítimo (Artículo 6(1)(f)).
• Derecho a presentar una reclamación: Usted tiene derecho a presentar una reclamación ante su autoridad supervisora local de protección de datos. Una lista de las autoridades supervisoras de la UE/EEE está disponible en https://edpb.europa.eu/about-edpb/about-edpb/members_en.
• Transferencias internacionales: Los datos se transfieren a Estados Unidos bajo las Cláusulas Contractuales Tipo (CCT) adoptadas por la Comisión Europea, de conformidad con el Capítulo V del RGPD.
• Oficial de Protección de Datos: Para consultas relacionadas con el RGPD, contacte a legal@hearqa.com.
• Toma de decisiones automatizada: HearQA no realiza toma de decisiones automatizada ni perfilado que produzca efectos legales o efectos igualmente significativos sobre usted. Las respuestas de asistencia de IA son únicamente informativas y no constituyen decisiones automatizadas conforme al Artículo 22.
• Tiempo de respuesta: Responderemos a sus solicitudes en un plazo de 30 días, con una posible extensión de 60 días adicionales para solicitudes complejas, según lo permite el Artículo 12(3).

---

11. Para usuarios en California (CCPA)

Si usted es residente de California, esta sección proporciona información adicional requerida por la Ley de Privacidad del Consumidor de California (Cal. Civ. Code Section 1798.100 et seq.) y la Ley de Derechos de Privacidad de California (CPRA).

• No vendemos información personal. HearQA nunca ha vendido ni venderá su información personal a terceros.
• No compartimos información personal para publicidad conductual entre contextos.
• Derecho a saber: Usted tiene derecho a solicitar las categorías y los datos específicos de información personal que hemos recopilado sobre usted durante los últimos 12 meses.
• Derecho de eliminación: Usted tiene derecho a solicitar la eliminación de su información personal. Puede hacerlo directamente a través de la configuración de su cuenta o contactando a legal@hearqa.com.
• Derecho de corrección: Usted tiene derecho a solicitar la corrección de información personal inexacta.
• Derecho a excluirse de la venta: Dado que no vendemos información personal, no existe venta de la cual excluirse.
• No discriminación: No lo discriminaremos por ejercer cualquiera de sus derechos bajo la CCPA. No recibirá precios diferentes, una calidad de servicio diferente ni se le negará el servicio por ejercer sus derechos.
• Tiempo de respuesta: Responderemos a las solicitudes verificables del consumidor en un plazo de 45 días, según lo exige la CCPA.

Categorías de información personal recopilada (según categorías de la CCPA):

| Categoría CCPA | Ejemplos | Recopilada | |---------------|----------|-----------| | Identificadores | Dirección de correo electrónico, nombre | Sí | | Información comercial | Plan de suscripción, historial de pagos (vía Paddle) | Sí | | Actividad en Internet o red | Metadatos de sesión (tipo, duración, marcas de tiempo) | Sí | | Información de audio | Audio del micrófono (transmitido, nunca almacenado) | Solo transitorio | | Información audiovisual | Grabaciones de video (hasta 20 segundos, eliminadas automáticamente en un plazo de 24 horas) | Solo transitorio | | Información profesional | Contenido de sesión relacionado con entrevistas, exámenes, certificaciones | Sí (solo duración de sesión) | | Inferencias | Resúmenes de sesión generados por IA | Sí (iniciados por el usuario) |

---

12. Privacidad de menores

HearQA no está destinado para uso por personas menores de 16 años. No recopilamos intencionalmente información personal de menores de 16 años.

• Conforme a la Ley de Protección de la Privacidad en Línea de los Niños de EE. UU. (COPPA), no recopilamos datos de menores de 13 años.
• Conforme al RGPD, no tratamos datos de personas menores de 16 años sin consentimiento parental, y no disponemos de un mecanismo para obtener dicho consentimiento.
• Conforme a la LGPD, el tratamiento de datos de niños y adolescentes requiere el consentimiento específico y destacado de un padre o tutor legal (Artículo 14).

Si tenemos conocimiento de que hemos recopilado datos personales de un menor de 16 años, eliminaremos esos datos de inmediato. Si cree que un menor de 16 años nos ha proporcionado información personal, contáctenos en legal@hearqa.com.

---

13. Cookies y tecnologías de seguimiento

HearQA no utiliza cookies, balizas web, píxeles ni tecnologías de seguimiento similares.

No utilizamos cookies de primera ni de terceros. No realizamos seguimiento entre sitios, publicidad conductual ni recopilación de huellas digitales. Los tokens de autenticación se almacenan en el sessionStorage de su navegador, que se borra cuando cierra la pestaña del navegador y no es accesible para otros sitios web.

Dado que no utilizamos cookies ni tecnologías de seguimiento, no existe un aviso de consentimiento de cookies y no es necesario ningún mecanismo de exclusión.

---

14. Medidas de seguridad

Implementamos medidas técnicas y organizativas adecuadas para proteger sus datos personales:

• Cifrado en reposo: Todos los datos almacenados en DynamoDB y S3 están cifrados con claves de cifrado gestionadas por AWS (AES-256).
• Cifrado en tránsito: Todos los datos transmitidos entre su navegador, nuestros servidores y los procesadores externos están cifrados mediante TLS 1.2 o superior.
• Controles de acceso: El acceso a los sistemas de producción y a los datos está restringido al personal autorizado mediante controles de acceso basados en roles y autenticación multifactor.
• Seguridad de la infraestructura: Todos los servicios se ejecutan en la infraestructura de AWS, que mantiene certificaciones de cumplimiento SOC 1/2/3, ISO 27001 y otras.
• Seguridad de autenticación: Las contraseñas de los usuarios son gestionadas por AWS Cognito con hashing estándar de la industria. Los tokens OAuth siguen el flujo PKCE (Proof Key for Code Exchange) para mayor seguridad.
• Aislamiento de datos: Los datos de los usuarios están lógicamente aislados en DynamoDB mediante el diseño de clave de partición. Cada usuario solo puede acceder a sus propios datos.
• Revisiones periódicas: Realizamos revisiones de seguridad periódicas y monitoreamos vulnerabilidades en nuestras dependencias e infraestructura.

Divulgación de vulnerabilidades: Si descubre una vulnerabilidad de seguridad, repórtela a security@hearqa.com. Tomamos todos los informes en serio y responderemos con prontitud.

---

15. Cambios en esta política

Podemos actualizar esta Política de Privacidad periódicamente para reflejar cambios en nuestras prácticas, tecnología, requisitos legales u otros factores.

• Cambios sustanciales: Para cambios significativos que afecten sus derechos o la forma en que tratamos sus datos, le notificaremos con al menos 30 días de antelación por correo electrónico a la dirección asociada a su cuenta.
• Cambios no sustanciales: Las aclaraciones menores o actualizaciones de formato pueden realizarse sin previo aviso.
• Historial de versiones: La fecha de "Última actualización" en la parte superior de esta política refleja la fecha de la revisión más reciente. El número de versión sigue el versionado semántico.

Le animamos a revisar esta política periódicamente. El uso continuado de HearQA después de que los cambios entren en vigor constituye la aceptación de la política actualizada.

---

16. Contacto

Para cualquier pregunta, inquietud o solicitud relacionada con esta Política de Privacidad o sus datos personales:

• Consultas de privacidad y legales: legal@hearqa.com
• Reportes de vulnerabilidades de seguridad: security@hearqa.com

Para consultas de soporte sobre su suscripción o servicio, los suscriptores Pro y Session Pack activos pueden utilizar el formulario de contacto en su portal.

Dirección postal: HC DESENVOLVIMENTO DE SOFTWARES LTDA Rua Guaicui, 715 CEP 30.380-342, Bairro Luxemburgo Belo Horizonte, MG, Brasil

Nos esforzamos por responder a todas las consultas relacionadas con la privacidad en un plazo de 15 días.