Política de Privacidad

Este documento cumple la obligación de información al interesado prevista en el artículo 13 del RGPD (Reglamento UE 2016/679) y en el artículo 11 de la Ley Orgánica 3/2018 (LOPD-GDD). Si no encuentras lo que buscas, escríbenos a info@bemental.es y te resolvemos la duda en un plazo máximo de un mes.

1. Responsable del tratamiento

Responsable: Carolina Hebrero Rey (persona física, autónoma)
NIF: 51126154Y
Nº Colegiada (Colegio Oficial de la Psicología de Madrid): M-37860
Domicilio: Glorieta López de Hoyos, 8 — 28002 Madrid (España)
Email de contacto: info@bemental.es

Delegado/a de Protección de Datos (DPD): dado el volumen actual de tratamiento, BeMental no ha designado un DPD externo. El propio responsable atiende las solicitudes en materia de protección de datos a través del email de contacto. Cuando el volumen o la complejidad del tratamiento lo requiera, se designará un/a DPD externo/a y se comunicará en esta misma sección.

2. Datos que recopilamos

2.1 Datos de registro

Nombre completo
Dirección de email
Fecha de nacimiento
Tipo de cuenta (psicólogo/a o paciente)
Contraseña (siempre cifrada, nunca legible para nadie — ni siquiera para el equipo de BeMental)

2.2 Datos de uso del servicio

Conversaciones con el asistente de IA: todos los mensajes enviados y recibidos quedan registrados, cifrados en la base de datos.
Documentos terapéuticos: subidos por el/la psicólogo/a para cada paciente.
Foto de perfil (opcional): si decides subir una foto, se comprime y se guarda en nuestro proveedor de almacenamiento en la UE. Puedes cambiarla o eliminarla en cualquier momento desde tu configuración.
Cuestionarios clínicos validados (PHQ-9, GAD-7, AUDIT, PCL-5, PSS-10, ISI, DASS-21, WHO-5 y otros): cuando rellenas un cuestionario, las respuestas se guardan cifradas una a una junto con la puntuación total y el nivel de severidad.
Diario emocional y valoraciones de ánimo: las entradas que escribes en el diario y las puntuaciones de ánimo (escala 1-10 después de cada conversación) se guardan cifradas.
Videollamadas (cuando tu psicólogo/a inicia una videosesión): la imagen y la voz se transmiten en directo mientras dura la sesión. No se graba ni se almacena el contenido; en nuestra base de datos solo queda el registro de que hubo una llamada (fecha y caducidad de la sala), sin imagen ni audio.
Notas privadas del/de la psicólogo/a sobre el/la paciente: el/la profesional puede tomar notas privadas que NO son visibles para ti como paciente ni se envían al asistente de IA. Se guardan cifradas y solo las ve quien las escribió.
Histórico clínico previo (opcional): si tu psicólogo/a decide importar un PDF/Word con tu histórico de sesiones anteriores, el sistema lo procesa con IA para generar un resumen narrativo. Tanto el texto original como el resumen se guardan cifrados y solo los ve tu profesional.
Resúmenes pre-sesión: cuando tu profesional pide un resumen antes de la cita, la IA prepara un texto narrativo de los últimos días, que se guarda cifrado.
Alertas clínicas automáticas: si el sistema detecta patrones como caídas de ánimo o cambios de tono, registra una alerta interna asociada a tu cuenta para que tu profesional pueda revisarla.
Datos de facturación (DNI/NIE/pasaporte, dirección fiscal): no se piden hoy porque el servicio es gratuito. Si en el futuro hay modalidades de pago y rellenas estos datos, el número de documento se guarda cifrado en la base de datos.
Datos técnicos básicos de tu conexión (dirección IP, navegador y huella anónima del dispositivo) cuando inicias sesión o aceptas un consentimiento legal, para detectar accesos desde dispositivos nuevos y para dejar constancia de cuándo y desde dónde se firmó cada consentimiento.

2.3 Datos de menores

Para personas menores de 14 años, además de los datos generales, se recopilan los siguientes datos de la persona tutora legal que otorga el consentimiento:

Nombre y apellidos completos.
DNI o NIE (si el/la tutor/a es extranjero/a residente).
Dirección de email (se le envía un enlace de verificación de un solo uso antes de activar la cuenta del/de la menor).
Fecha y hora de la verificación del email del tutor (prueba del consentimiento, Art. 7.1 RGPD).

IMPORTANTE - Datos de salud: Las conversaciones terapéuticas y los documentos clínicos constituyen datos de categoría especial (datos de salud) según el artículo 9 del RGPD. Su tratamiento se basa en el consentimiento explícito del interesado (art. 9.2.a RGPD).

3. Finalidad del tratamiento

Finalidad	Base legal
Gestión de cuentas de usuario y autenticación	Ejecución de contrato (art. 6.1.b RGPD)
Prestación del servicio de asistente de IA	Ejecución de contrato (art. 6.1.b RGPD)
Prestación de videollamadas (videosesión en directo entre paciente y psicólogo/a)	Ejecución de contrato (art. 6.1.b RGPD)
Gestión de citas (solicitud y acuerdo del día y la hora dentro de la propia plataforma, sin salir a webs externas)	Ejecución de contrato (art. 6.1.b RGPD)
Tratamiento de datos de salud (conversaciones, documentos clínicos)	Consentimiento explícito (art. 9.2.a RGPD)
Supervisión por el/la psicólogo/a de las conversaciones de sus pacientes	Consentimiento explícito + interés legítimo profesional
Protocolo de crisis y derivación a emergencias	Interés vital del interesado (art. 6.1.d RGPD y art. 9.2.c RGPD)
Registro de consentimientos legales	Obligación legal (art. 6.1.c RGPD)
Generación automática de la "ficha viva" del/de la paciente cada ~10 mensajes	Consentimiento explícito (art. 9.2.a RGPD). Derecho de oposición (art. 21 RGPD).
Auto-titulado de cada conversación nueva (la IA genera un título corto de 5-10 palabras tras el primer intercambio para que sea fácil distinguir conversaciones)	Ejecución de contrato (art. 6.1.b RGPD)
Resumen pre-sesión bajo demanda del/de la psicólogo/a	Consentimiento explícito (art. 9.2.a RGPD). Derecho de oposición (art. 21 RGPD).
Detección automática de patrones emocionales (caídas de ánimo, cambios de tono, baja frecuencia de uso)	Consentimiento explícito (art. 9.2.a RGPD). Derecho de oposición (art. 21 RGPD) — salvo crisis vital, que se mantiene siempre activa por interés vital (art. 9.2.c RGPD)
Detección automática de cuestionarios en la conversación (la IA sugiere rellenar PHQ-9 o GAD-7 si lo ve oportuno)	Consentimiento explícito (art. 9.2.a RGPD)
Filtro automático de contenido en documentos terapéuticos subidos por el/la psicólogo/a (detecta contenido prohibido o no clínico)	Interés legítimo en la seguridad de la plataforma (art. 6.1.f RGPD)
Monitorización antifraude: rate-limits, detección de patrones anómalos de exportación y borrado, alertas de dispositivo nuevo, honeypots	Interés legítimo en la seguridad de la plataforma y de las personas usuarias (art. 6.1.f RGPD)

Qué significa "puedes oponerte": los procesamientos marcados con "Derecho de oposición (art. 21 RGPD)" puedes desactivarlos en cualquier momento desde /configuracion/oposicion-tratamiento, sin tener que dar de baja la cuenta. El resto de procesamientos son necesarios para que el servicio funcione (no puedes oponerte selectivamente al cifrado o al registro de la sesión, por ejemplo — si no estás de acuerdo, la vía es darse de baja o pausar la cuenta).

4. Destinatarios de los datos (encargados del tratamiento)

Las empresas que se listan a continuación procesan datos personales por nuestra cuenta como encargadas del tratamiento en los términos del artículo 28 del RGPD. Con cada una existe un contrato de encargado del tratamiento firmado que las obliga a tratar los datos solo siguiendo nuestras instrucciones, a aplicar medidas de seguridad apropiadas y a no usarlos para sus propios fines.

Psicólogo/a vinculado: tiene acceso completo a las conversaciones y documentos de sus pacientes asignados. Cada acceso queda registrado internamente para poder consultar quién, cuándo y a qué accedió.
OpenAI Ireland Ltd. — proveedor del modelo de inteligencia artificial. Concretamente, se envían a OpenAI los siguientes contenidos para los siguientes usos:
- Mensajes del chat (paciente ↔ asistente) → para generar la respuesta del asistente.
- Transcripciones de mensajes de voz → si envías una nota de voz, el audio se transcribe a texto con el modelo Whisper.
- Fragmentos breves de tus documentos terapéuticos → para generar un "embedding" (representación numérica) que permite a la IA encontrar el fragmento relevante cuando te responde. El texto se envía cifrado en tránsito y no se almacena en OpenAI.
- Tu ficha clínica narrativa ("ficha viva") cada ~10 mensajes → para que la IA la actualice.
- Resúmenes pre-sesión bajo demanda de tu psicólogo/a → para que la IA prepare un texto narrativo de tus últimos días de actividad.
- El título de cada conversación nueva → tras el primer intercambio la IA genera un título corto de 5-10 palabras para que tú y tu profesional podáis distinguir conversaciones.
- Patrón de mensajes recientes → para detectar cambios de tono significativos (alerta clínica no urgente al profesional, salvo que te hayas opuesto vía Art. 21).
- Documentos subidos por tu psicólogo/a → pasan por la API de moderación de OpenAI y por un clasificador automático para rechazar contenido prohibido (autolesión con instrucciones, abuso, violencia explícita) y para verificar que el material es clínico.
Existe un acuerdo firmado de protección de datos con OpenAI: los datos no se almacenan tras procesar la petición y nunca se usan para entrenar modelos de IA. La transferencia internacional está cubierta por el EU-US Data Privacy Framework (Decisión de Adecuación de la Comisión Europea de julio de 2023). Política de privacidad de OpenAI.
Render Inc. — proveedor del alojamiento. Los datos se almacenan en servidores ubicados en Frankfurt (Alemania, dentro de la UE). No hay transferencia internacional para los datos vivos.
Whereby AS — proveedor de las videollamadas (videosesión en directo entre paciente y psicólogo/a). El audio y el vídeo se transmiten en tiempo real y no se graban ni se almacenan. Whereby está domiciliada en Noruega (Espacio Económico Europeo) y aloja su infraestructura en la UE (Amazon Web Services, Irlanda/Luxemburgo): no hay transferencia internacional fuera del EEE. Existe un acuerdo de protección de datos (art. 28 RGPD) con Whereby. DPA de Whereby.
Cloudflare, Inc. — proveedor de CDN (red de distribución), DNS y cortafuegos de aplicación (WAF) que protege la plataforma frente a ataques de denegación de servicio y bots maliciosos. Procesa únicamente metadatos técnicos de la conexión (dirección IP, cabeceras del navegador, ruta de la URL) para decidir si la petición es legítima. No tiene acceso al contenido cifrado de tus mensajes ni a la base de datos. Transferencia cubierta por EU-US Data Privacy Framework. Política de privacidad de Cloudflare.
Backblaze Inc. — almacenamiento de copias de seguridad. Las copias de seguridad se cifran antes de salir de la UE; la clave de cifrado nunca llega a Backblaze, por lo que el contenido es ilegible para ellos.
Resend Inc. — envío de emails (verificaciones, recuperación de contraseña, avisos importantes). Solo recibe lo estrictamente necesario para entregar el email.
Dinahosting S.L. — registro del dominio. Empresa española (A Coruña). No almacena datos de personas usuarias.
UptimeRobot LLC — comprueba periódicamente que la web está disponible. No accede ni almacena ningún dato de personas usuarias.
No se venden datos a terceros bajo ninguna circunstancia.
Transferencias internacionales fuera del Espacio Económico Europeo (Arts. 44-46 RGPD): las únicas son las mencionadas (OpenAI, Cloudflare, Backblaze y Resend, todas con sede en Estados Unidos). Todas están cubiertas por el EU-US Data Privacy Framework (Decisión de Adecuación (UE) 2023/1795 de la Comisión Europea, de 10 de julio de 2023), que las equipara legalmente a una transferencia dentro de la UE. En el caso de las copias de seguridad, además se aplica cifrado adicional que garantiza que el contenido nunca sea accesible para el proveedor.

5. Conservación de datos

Datos de cuenta: mientras la cuenta esté activa. Tras solicitud de baja, los datos se eliminan de forma completa (mensajes, notas, ficha clínica, perfil, fotos, documentos y todos sus índices internos). El borrado es inmediato si la persona usuaria no tiene profesional vinculado; si lo tiene, la baja queda programada con 7 días de plazo para que la persona pueda cancelarla y para que se entregue al/a la profesional la documentación clínica que está obligado/a a conservar (ver punto siguiente). Pasado el plazo, el borrado se ejecuta automáticamente.
Conversaciones y datos clínicos del/de la paciente (mensajes, ficha clínica, diario emocional, cuestionarios, valoraciones de ánimo, alertas): se conservan mientras la cuenta del/de la paciente esté activa. Cuando el/la paciente se da de baja o cuando el/la profesional finaliza la atención, BeMental envía automáticamente al/a la profesional un PDF con la historia clínica del/de la paciente para que pueda cumplir la obligación deontológica de conservación de 5 años (norma del Consejo General de la Psicología en España) fuera de la plataforma. Esa conservación es responsabilidad profesional propia. Dentro de BeMental, los datos del/de la paciente desaparecen completamente al ejecutarse la baja.
Consentimientos legales: 5 años desde su otorgamiento (obligación probatoria del Art. 7.1 RGPD).
Documentos terapéuticos del/de la psicólogo/a: mientras el/la profesional los mantenga activos. Si los elimina manualmente, se borran de forma inmediata. Si el/la profesional se da de baja, sus documentos se eliminan junto con su cuenta tras los 7 días de gracia (los documentos no se transfieren a otro/a profesional aunque sus pacientes acepten una transferencia: solo se transfieren las conversaciones).
Registros de auditoría: 5 años. Tras la baja de la cuenta se anonimizan (se elimina la referencia a la persona usuaria) pero se conservan para mantener la integridad técnica de los registros.
Copias de seguridad cifradas: 30 días con rotación automática. Cada copia se cifra antes de salir de la UE.
Cuentas inactivas: si no inicias sesión durante 365 días, te avisamos por email antes de suspender la cuenta automáticamente. Una vez suspendida tienes 30 días de plazo para recurrir por email antes del borrado definitivo. Si recurres a tiempo, la cuenta se reactiva sin pérdida de datos.
Recurso ante suspensión administrativa: si BeMental suspende una cuenta por uso indebido (fraude, suplantación de identidad, abuso del servicio, etc.), la persona afectada dispone de 30 días naturales desde la notificación para presentar recurso por email a info@bemental.es antes del borrado definitivo. Durante ese plazo los datos quedan congelados (no se procesan) pero conservados para poder revertir la decisión si procede.

6. Derechos de la persona usuaria (RGPD)

Puedes ejercer tus derechos enviando un email a info@bemental.es con copia de tu DNI o documento equivalente. Algunos derechos también puedes ejercerlos directamente desde tu panel de configuración, sin enviar email ni esperar respuesta:

Acceso (Art. 15): saber qué datos tenemos sobre ti. Disponible además como descarga inmediata desde /configuracion → "Exportar mis datos".
Rectificación (Art. 16): corregir datos inexactos.
Supresión (Art. 17): eliminar tus datos ("derecho al olvido"). Disponible además desde /configuracion → "Dar de baja mi cuenta" (con 7 días de gracia para arrepentirse).
Portabilidad (Art. 20): recibir tus datos en formato estructurado. Disponible como descarga en formato JSON/ZIP desde la propia exportación.
Limitación del tratamiento (Art. 18): puedes pausar tu cuenta sin borrar nada desde /configuracion → "Pausar mi cuenta". Mientras está pausada, los datos se quedan congelados (no se procesan, no se entrena, nadie los lee) y la app no permite chatear. Al reactivar la cuenta todo vuelve igual que antes. Útil si necesitas un descanso de la app pero no quieres perder tu historial.
Oposición a tratamientos automáticos (Art. 21): puedes oponerte por separado a (a) la generación automática de tu ficha clínica narrativa por IA, (b) las alertas clínicas no urgentes que avisan a tu psicólogo/a (caídas sostenidas de ánimo, cambios de tono, baja frecuencia de uso), y (c) el resumen pre-sesión automático que prepara la IA antes de cada cita. Sigues usando la app con normalidad; sólo desactivas esos tratamientos concretos. Gestiona estas preferencias en /configuracion/oposicion-tratamiento. Importante: la detección de crisis vital (mensajes con riesgo inminente de suicidio o autolesión) sigue activa siempre — está protegida por el Art. 9.2.c RGPD (interés vital) y por la deontología profesional de tu psicólogo/a, y no se puede desactivar.
Revisión humana de decisiones automatizadas (Art. 22.3): cualquier respuesta del asistente IA en el chat lleva un botón "👤 Pedir revisión humana" debajo. Al pulsarlo, tu psicólogo/a recibe una notificación con un enlace directo a esa respuesta concreta para revisarla en persona. Si quieres, puedes añadir un motivo opcional explicando por qué te preocupa esa respuesta.
Retirar el consentimiento: en cualquier momento, sin efecto retroactivo.

El ejercicio de estos derechos es gratuito. Te responderemos en un plazo máximo de un mes desde la recepción de la solicitud, prorrogable a dos meses adicionales si la solicitud es especialmente compleja (te avisaríamos por email en ese caso, indicando el motivo de la prórroga). Los derechos que se ejercen directamente desde la app son inmediatos.

Si consideras que el tratamiento de tus datos infringe el RGPD, también puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) conforme al artículo 77 del RGPD: www.aepd.es. La reclamación es gratuita y no es necesario haber escrito antes a BeMental (aunque te lo recomendamos para que podamos resolver el asunto directamente).

7. Medidas de seguridad

Conforme a los artículos 25 (protección de datos desde el diseño y por defecto) y 32 (seguridad del tratamiento) del RGPD, BeMental aplica medidas técnicas y organizativas apropiadas al riesgo de tratar datos de salud. En lenguaje claro:

7.1 Cifrado

Todos los datos sensibles están cifrados al guardarse en la base de datos. Aunque alguien accediese físicamente a los servidores, no podría leer el contenido sin la clave. Concretamente se cifran: tus mensajes con el asistente, los títulos de las conversaciones, las notas del diario, la ficha clínica, las notas privadas del/de la psicólogo/a, las respuestas de los cuestionarios, los resúmenes pre-sesión, el histórico clínico previo (resumen y extracto del texto original), los datos de facturación (DNI/NIE), el motivo opcional que escribas al pausar la cuenta o al pedir revisión humana de una respuesta, los mensajes de las notificaciones internas, las descripciones de los ejercicios que asigna el profesional y los datos que escribes al completarlos, el detalle interno asociado a una suspensión administrativa y el secreto criptográfico del segundo factor de autenticación (2FA).
Usamos el estándar AES-256-GCM (el mismo nivel de cifrado que utiliza la banca online y que recomiendan los organismos de seguridad para datos clasificados).
La conexión con la web siempre es HTTPS (cifrada en tránsito) con TLS 1.3.
Las copias de seguridad están cifradas antes de salir de la UE — la clave de cifrado nunca llega al proveedor de almacenamiento, así que el contenido es ilegible para ellos.
Las contraseñas no se guardan en claro en ningún momento; son irrecuperables incluso para el equipo de BeMental. Si la olvidas, la única vía es restablecerla desde el email.
Las claves de cifrado se rotan cada 90 días (rotación trimestral) sin parar el servicio. Los datos cifrados con claves antiguas siguen siendo legibles hasta que se vuelven a cifrar con la clave nueva en segundo plano.

7.2 Autenticación y control de acceso

Verificación en dos pasos (código de 6 dígitos generado en una app autenticadora) obligatoria para psicólogos/as y opcional para pacientes.
Verificación del email obligatoria antes del primer inicio de sesión.
Bloqueo automático tras 5 intentos fallidos durante 15 minutos.
Al cambiar la contraseña, todas las sesiones abiertas se cierran al instante.
Aviso por email al iniciar sesión desde un dispositivo o ubicación no reconocido/a.
Confirmación adicional (con la verificación en dos pasos) para acciones delicadas como eliminar la cuenta o desvincular un/a psicólogo/a.

7.3 Protección de la aplicación

Cabeceras de seguridad estrictas en todas las páginas para impedir que terceros incrusten la web o ejecuten código no autorizado.
Protección frente a ataques que intenten enviar acciones desde otras webs en tu nombre.
Límites de uso por minuto/hora en cada función para impedir abuso (login, registro, chat, subida de documentos…).
Validación estricta de los archivos que se suben (no solo por extensión).
Defensa en varias capas contra intentos de manipular el asistente de IA para que se salga de su rol.

7.4 Auditoría y detección

Registro inalterable de cada acción importante: cada operación importante (login, exportación, borrado, cambio de configuración, etc.) queda registrada con una "cadena de huellas" (cada registro lleva un resumen del anterior, como una cadena de bloques). Si alguien intentase modificar o borrar registros del histórico, el sistema lo detecta automáticamente porque la cadena dejaría de cuadrar.
Detección de dispositivo nuevo: si inicias sesión desde un móvil u ordenador que el sistema no había visto antes, te enviamos un email para que puedas revisar la actividad. Si no fuiste tú, puedes cambiar la contraseña al instante (eso invalida también las sesiones abiertas).
Detección automática de patrones de exfiltración: el sistema vigila comportamientos sospechosos sin leer el contenido de tus mensajes. Específicamente avisa al equipo si en una hora se hacen muchas descargas de PDFs, si hay actividad en franjas horarias inusuales (madrugada), si se hacen borrados masivos, si un profesional consulta casi toda su cartera de pacientes en muy poco tiempo, o si combinación de "dispositivo nuevo + exportaciones masivas" sugiere robo de credenciales.
Cuenta señuelo en la base de datos: si alguien la usa, sabemos que ha habido un intento de acceso indebido.
Alertas automáticas al responsable cuando algo se sale de lo normal, con prioridad según la gravedad detectada.

7.5 Continuidad y respuesta a incidentes

Copias de seguridad automáticas diarias, cifradas y con rotación.
Plan de respuesta documentado: en caso de brecha de seguridad, notificación a la AEPD en menos de 72 horas (Art. 33 RGPD) y a las personas afectadas cuando proceda (Art. 34).

8. Uso de inteligencia artificial

Transparencia (Reglamento UE 2024/1689 — AI Act): Este servicio utiliza inteligencia artificial generativa para responder al chat y para transcribir mensajes de voz. Las respuestas se generan automáticamente, son orientativas y pueden contener errores o imprecisiones. El asistente no toma decisiones autónomas sobre el tratamiento de la persona paciente; el/la psicólogo/a humano/a es siempre quien tiene la responsabilidad terapéutica.

8.1 Para qué se usa la IA en BeMental

Para generar las respuestas del asistente en el chat, la ficha clínica resumen y los resúmenes que se preparan antes de cada sesión.
Para que el asistente tenga en cuenta los documentos terapéuticos que ha subido tu psicólogo/a sobre tu caso (esto se hace mediante una técnica que indexa el contenido para que la IA pueda buscar en él la información más relevante en cada respuesta).
Para transcribir los mensajes de voz a texto cuando envías un audio.

8.2 Garantías frente al proveedor de IA (OpenAI)

Contrato firmado de protección de datos con OpenAI con las garantías legales europeas para las transferencias internacionales.
OpenAI no almacena los datos enviados más allá del tiempo necesario para generar la respuesta.
OpenAI no usa tus datos para entrenar ni mejorar sus modelos de IA.
Minimización del envío: en cada interacción se envía a OpenAI únicamente lo imprescindible para que el asistente pueda responder con coherencia — los últimos 20 mensajes de la conversación actual, un breve resumen del/de la paciente que tu psicólogo/a puede revisar y editar (la "ficha viva"), y fragmentos relevantes de los documentos terapéuticos que tu psicólogo/a haya subido. No se envía el historial completo de todas tus conversaciones: si el asistente "recuerda" cosas de sesiones anteriores es porque están reflejadas en ese resumen, no porque OpenAI conserve nada.

9. Decisiones automatizadas (Art. 22 RGPD) y transparencia de la IA (AI Act)

BeMental no toma decisiones automatizadas que produzcan efectos jurídicos sobre la persona usuaria o le afecten significativamente. Concretamente:

El asistente IA es una herramienta de apoyo, no un terapeuta. No emite diagnósticos clínicos vinculantes ni decisiones terapéuticas formales.
La detección automática de mensajes de crisis (suicidio, autolesión) genera una notificación al/a la psicólogo/a humano/a y muestra teléfonos de emergencia a la persona paciente, pero la actuación clínica es siempre humana.
Las alertas de seguridad anti-exfiltración son revisadas por el responsable; no se aplican sanciones automáticas a los usuarios.
Transparencia sobre la IA (Reglamento UE 2024/1689, AI Act, art. 50): te informamos explícitamente de que estás interactuando con un sistema de inteligencia artificial cada vez que abres una conversación en BeMental. Las respuestas generadas por IA están claramente identificadas como tales en la interfaz. Puedes solicitar revisión humana de cualquier respuesta del asistente pulsando el botón "👤 Pedir revisión humana" debajo del mensaje (derecho del Art. 22.3 RGPD).

10. Cookies

BeMental utiliza únicamente cookies estrictamente necesarias para el funcionamiento del servicio. Estas cookies están exentas del requisito de consentimiento previo por su carácter técnico, conforme al artículo 22.2 de la Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI-CE) y a la Guía de Cookies 2024 de la AEPD. No se usan cookies de rastreo, analíticas externas, perfilado ni publicidad. No se incrustan recursos de redes sociales que puedan rastrearte.

Cookie de sesión: identifica que has iniciado sesión. Caduca a las 24 horas o cuando cierras sesión manualmente. Está protegida frente a accesos desde scripts del navegador y nunca se envía a otros dominios.
Cookie de seguridad para formularios: necesaria para que cuando envías un formulario en BeMental, terceras webs no puedan suplantarte.
Preferencias visuales (tema oscuro/claro, tamaño de letra, etc.): se almacenan solo en tu navegador, nunca llegan al servidor.

11. Modificaciones de esta política

BeMental puede actualizar esta política para reflejar cambios técnicos, legales u operativos. Cualquier modificación sustancial (cambio de proveedor que reciba datos, ampliación de finalidades, cambio en los plazos de conservación, etc.) se comunicará por email a las personas usuarias con un mínimo de 30 días de antelación, y se reflejará en el número de versión y la fecha de la cabecera de este documento. Los cambios menores (correcciones tipográficas, aclaraciones de redacción) se publican directamente.