Política de Privacidad

La entidad responsable del tratamiento de tus datos personales es:

• Plataforma: Genomic Analysis Engine
• Sitio web: dnainfolab.org
• Contacto: [email protected]

Recogemos y tratamos los siguientes datos, proporcionados voluntariamente por ti o generados automáticamente:

• Datos de cuenta: nombre de usuario, correo (si inicias sesión con Google), contraseña hasheada (bcrypt). Nunca almacenamos contraseñas en texto plano.
• Datos genéticos (categoría especial según el art. 9 RGPD): SNPs del fichero de ADN que subes y las puntuaciones de riesgo derivadas.
• Datos de sesión: identificador de sesión en cookie HttpOnly para mantenerte conectado.
• Datos técnicos: dirección IP y user-agent, registrados únicamente en logs de error (conservados 90 días).

Tus datos se tratan estrictamente con las siguientes finalidades:

• Crear y gestionar tu cuenta.
• Cruzar tus SNPs con las bases de datos GWAS Catalog, PharmGKB y ClinVar y calcular puntuaciones de riesgo poligénico.
• Generar, almacenar y mostrar tus informes genéticos.
• Generar explicaciones con IA en lenguaje claro. Esto implica enviar a Anthropic (Claude) las puntuaciones, nombres de genes, identificadores de variantes (rsids), tus genotipos en esas variantes e IDs de estudios de PubMed. NO enviamos el fichero de ADN completo.

• Consentimiento (art. 6.1.a y 9.2.a RGPD): Nos proporcionas consentimiento explícito para tratar tus datos genéticos al subir un fichero de ADN y generar un informe. Puedes retirar el consentimiento en cualquier momento eliminando tus datos o tu cuenta.
• Contrato (art. 6.1.b RGPD): El tratamiento de los datos de cuenta es necesario para proporcionarte el servicio que has solicitado.
• Interés legítimo (art. 6.1.f RGPD): Los logs de error con IP y user-agent se conservan 90 días para diagnosticar incidencias y prevenir abusos.

Utilizamos los siguientes encargados de tratamiento para operar el servicio:

• Google OAuth: Sólo para autenticación (si usas Iniciar sesión con Google). Recibimos tu ID de Google y correo. Google actúa como responsable independiente — consulta su política de privacidad.
• Anthropic Claude API: Sólo para explicaciones con IA. Enviamos puntuaciones, nombres de genes, rsids, tus genotipos y PMIDs. No se transmite el fichero de ADN crudo. Anthropic trata los datos en EE.UU. bajo Cláusulas Contractuales Tipo (art. 46 RGPD).
• NCBI PubMed: Base de datos pública de investigación (NCBI, EE.UU.). Consultamos PubMed por PMID para obtener resúmenes — no se envían datos personales.

• Tus datos de ADN e informes se conservan mientras tu cuenta esté activa. Puedes borrar cualquier análisis en cualquier momento desde el historial.
• Los logs de error se purgan automáticamente tras 90 días.
• Al eliminar tu cuenta, todos tus datos personales y genéticos se eliminan de nuestra base de datos activa en un plazo de 24 horas. Las copias de seguridad cifradas se rotan cada 7 días y se sobrescriben dentro de ese periodo.

Tienes los siguientes derechos sobre tus datos personales (arts. 15–22 RGPD):

• Derecho de acceso — obtener una copia de los datos que tenemos sobre ti (autoservicio en Cuenta → Descarga tus datos).
• Derecho de rectificación — corregir datos inexactos.
• Derecho de supresión — eliminar tu cuenta y todos los datos asociados.
• Derecho de portabilidad — recibir tus datos en un formato legible por máquina (exportación JSON desde tu página de Cuenta).
• Derecho de oposición — retirar el consentimiento u oponerte a tratamientos específicos.

Para ejercer cualquiera de estos derechos, escribe a [email protected]. Te responderemos en un plazo máximo de 30 días.

Aplicamos medidas técnicas y organizativas razonables para proteger tus datos:

• Las contraseñas se hashean con bcrypt (coste 12). Nunca se almacenan en texto plano.
• Las cookies de sesión son HttpOnly, SameSite=Strict y Secure (sólo HTTPS) en producción.
• Todo el tráfico se cifra en tránsito mediante TLS (HTTPS). Los servidores están en Alemania (UE) en Hetzner Online GmbH.
• Protección CSRF: validación del header Origin + header personalizado X-Requested-With en todas las peticiones que modifican estado.
• Cabeceras Content Security Policy y X-Frame-Options: DENY para prevenir XSS y clickjacking.
• HSTS activado en producción para forzar HTTPS en todas las conexiones futuras.