Política de Privacidad
La presente Política de Privacidad describe cómo MENTINESS HEALTH CARE, S.L. (en adelante, «Mentiness» o el «Responsable») recoge, trata y protege los datos personales de las personas que se relacionan con nosotros, incluidos los usuarios de nuestra plataforma y de las herramientas basadas en inteligencia artificial que ponemos a disposición de las empresas y sus equipos.
Esta política se redacta en cumplimiento del Reglamento (UE) 2016/679 General de Protección de Datos («RGPD»), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales («LOPDGDD»), y las directrices aplicables de la Agencia Española de Protección de Datos («AEPD»).
1.- IDENTIFICACIÓN Y DATOS DE CONTACTO DEL RESPONSABLE
| Titular | MENTINESS HEALTH CARE, S.L. |
| NIF | B06962302 |
| Domicilio | Calle Santa Eulalia N4 6A, CP 36600, Vilagarcía de Arousa (Pontevedra) |
| hola@mentiness.com | |
| Delegado de Protección de Datos (DPO) | Contacto: hola@mentiness.com |
| Registro Mercantil | Pontevedra — Tomo 4371, Libro 4371, Folio 105, Sección 8, Hoja PO 68655, Inscripción 1 (14.07.2021) |
2.- ROL DE MENTINESS EN EL TRATAMIENTO DE LOS DATOS PERSONALES
Mentiness actúa en una doble condición según el contexto:
- Responsable del tratamiento de los datos de sus propios clientes, proveedores, personas trabajadoras, colaboradores, contactos comerciales y solicitantes de información.
- Encargado del tratamiento respecto a los datos de los empleados de las empresas clientes que acceden a la plataforma y a las herramientas de IA (incluida LeIA). Esta relación se formaliza mediante el correspondiente Acuerdo de Tratamiento de Datos (DPA) suscrito con cada cliente conforme al artículo 28 del RGPD.
3.- DESCRIPCIÓN DE LOS SERVICIOS Y HERRAMIENTAS DE IA
Mentiness ofrece una plataforma integral de bienestar y desarrollo en el entorno laboral que incluye, entre otros, los siguientes servicios:
3.1 Servicios de bienestar y psicología
- Sesiones individuales con psicólogos habilitados y cualificados.
- Talleres, formación online y programas de bienestar.
- Evaluaciones psicométricas de clima, cultura y engagement.
3.2 LeIA — Simulador de conversaciones con IA
LeIA es una herramienta de simulación conversacional impulsada por inteligencia artificial, diseñada para entrenar habilidades de comunicación y liderazgo de mandos intermedios y directivos. Su funcionamiento es el siguiente:
- El usuario (manager) accede a escenarios de práctica (por ejemplo: feedback difícil, gestión de conflictos, bajo rendimiento) y mantiene una conversación simulada con un avatar-IA que interpreta a un empleado ficticio.
- Al finalizar la simulación, LeIA genera un feedback personalizado con sugerencias prácticas para mejorar la comunicación en situaciones reales.
- Las puntuaciones y evaluaciones individuales son visibles exclusivamente para el propio usuario. La empresa cliente únicamente recibe métricas agregadas y anonimizadas.
LeIA no es un servicio de salud mental, ni constituye asesoramiento profesional de ningún tipo. Es una herramienta formativa basada en simulaciones ficticias.
3.3 Asistente de salud con IA
Herramienta de acompañamiento personalizado basada en inteligencia artificial que ofrece orientación general sobre bienestar. No sustituye a un profesional de la salud mental ni proporciona diagnósticos clínicos.
3.4 Asistente de onboarding con IA (beta)
Herramienta en fase beta que facilita el proceso de incorporación de nuevos empleados mediante conversaciones guiadas con IA. Su objetivo es agilizar la adaptación al entorno de trabajo.
4.- FINALIDAD DE LOS TRATAMIENTOS REALIZADOS, CATEGORÍAS DE DATOS Y BASE JURÍDICA
Mentiness trata los datos con diferentes finalidades:
| Categoría de interesado | Finalidad | Datos tratados | Base jurídica |
|---|---|---|---|
| Clientes (empresas) | Gestión de la relación contractual y prestación de servicios | Datos de contacto de interlocutores, datos de facturación | Art. 6.1.b) RGPD (ejecución contractual) y art. 6.1.c) (obligación legal) |
| Proveedores | Gestión de la relación contractual | Datos de contacto, datos fiscales | Art. 6.1.b) RGPD |
| Personas trabajadoras de Mentiness | Gestión de la relación laboral | Datos identificativos, laborales, fiscales | Art. 6.1.b) y 6.1.c) RGPD |
| Contactos y solicitantes de información | Atención de consultas, envío de información comercial | Nombre, email, empresa, mensaje | Art. 6.1.a) RGPD (consentimiento) |
| Usuarios de la plataforma (bienestar / psicología) | Prestación del servicio contratado por su empresa; seguimiento del bienestar | Datos identificativos, datos derivados de evaluaciones psicométricas, datos de uso | Art. 6.1.b) RGPD (ejecución del contrato con la empresa) + consentimiento del usuario |
| Usuarios de LeIA | Simulación conversacional, generación de feedback, métricas de uso agregadas | ID pseudonimizado, nombre, email (vía SSO), escenarios completados, duración, contenido de la conversación, puntuaciones de habilidades, logros de gamificación | Art. 6.1.b) RGPD (ejecución del contrato con la empresa) + consentimiento del usuario al acceder a la plataforma |
| Usuarios de Asistentes de IA (salud / onboarding) | Acompañamiento personalizado, facilitación del onboarding | Datos identificativos, contenido de las interacciones, datos de uso | Art. 6.1.b) RGPD + consentimiento del usuario |
| Análisis de datos y mejora del servicio | Anonimización de datos con fines estadísticos, de investigación y de mejora | Datos anonimizados (sin identificación personal) | Art. 6.1.f) RGPD (interés legítimo) |
Los datos se conservarán conforme a los plazos detallados en la sección 6 de esta Política. Con carácter general, mientras dure la relación contractual o exista una obligación legal de conservación. Transcurrido el tiempo legal obligatorio y previo bloqueo, procederemos a su supresión.
Servicios prestados en calidad de encargado de tratamiento: Mentiness proporciona servicios externos a empresas que pueden incluir la gestión de riesgos psicosociales conforme a la normativa laboral vigente, así como herramientas formativas basadas en IA (como LeIA). En estos supuestos, Mentiness actúa como encargado del tratamiento y gestiona los datos exclusivamente conforme a las instrucciones del responsable (la empresa cliente), formalizando en todo caso el correspondiente Acuerdo de Tratamiento de Datos (DPA) según lo previsto en el artículo 28 del RGPD.
5.- TRATAMIENTO DE DATOS EN LeIA — INFORMACIÓN ESPECÍFICA
Dada la naturaleza innovadora de LeIA y el uso de inteligencia artificial, proporcionamos a continuación información detallada sobre el tratamiento de datos en este servicio.
5.1 Datos recogidos en LeIA
- Datos de identificación: nombre, apellidos y dirección de correo electrónico (proporcionados por el usuario o derivados del SSO corporativo). Internamente se asigna un ID pseudonimizado.
- Datos de actividad: escenarios seleccionados y completados, fecha y hora de inicio/fin de cada sesión, duración, resultado básico (completado/no completado), logros y retos de gamificación.
- Contenido de las conversaciones: el texto que el usuario escribe durante las simulaciones y las respuestas generadas por la IA se almacenan mientras el servicio esté contratado por la empresa cliente, con el fin de permitir al usuario revisar sus sesiones anteriores.
- Puntuaciones y feedback: las evaluaciones de habilidades generadas por la IA se almacenan para que el usuario pueda consultarlas posteriormente.
- Métricas de uso técnicas: eventos técnicos (errores, timestamps) para soporte y mantenimiento. No incluyen contenido de las conversaciones.
5.2 Datos NO enviados al modelo de IA
No se envía información de identificación personal (PII) del usuario al modelo de inteligencia artificial. El modelo recibe únicamente el contexto del escenario y los mensajes de la simulación, sin datos que permitan identificar al usuario (como nombre, email o empresa).
5.3 Qué ve la empresa cliente (HR) y qué NO ve
Visible para HR:
- Estado de registro del usuario (registrado o no).
- Escenarios completados por cada usuario.
- Logros y retos completados (gamificación).
NO visible para HR, en ningún caso:
- Contenido de las conversaciones (texto de las simulaciones).
- Puntuaciones individuales de habilidades o evaluaciones personales.
- Logs técnicos con IP o user-agent del usuario.
- Cualquier métrica que identifique o permita reidentificar a menos de 5 personas.
Métricas agregadas (visibles para HR con anonimización k-anónima ≥5):
- Número de usuarios activos, sesiones totales, tiempo invertido, porcentaje de completitud por escenario, tasa de adopción y puntuaciones medias de habilidades por segmento.
- Toda segmentación (por ubicación, unidad, escenario o periodo) se realiza garantizando un mínimo de 5 personas en cada grupo (k-anonimato ≥5), de modo que no sea posible la identificación individual.
Finalidad operativa: las métricas agregadas se proporcionan a la empresa cliente exclusivamente para impulsar la adopción del servicio y medir el impacto formativo a nivel colectivo, nunca para la evaluación individual de empleados.
5.4 Ausencia de decisiones automatizadas con efectos jurídicos o significativos
Las puntuaciones y el feedback generados por LeIA tienen una finalidad exclusivamente formativa y de autodesarrollo del usuario. En ningún caso se utilizan —ni por Mentiness ni por la empresa cliente— para la toma de decisiones laborales tales como evaluaciones de rendimiento, promociones, sanciones o despidos. Esta prohibición se recoge expresamente en los contratos de servicio y en los Acuerdos de Tratamiento de Datos (DPA) suscritos con cada cliente.
De conformidad con el artículo 22 del RGPD, Mentiness no realiza decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos o significativos sobre los usuarios.
5.5 Gamificación
LeIA puede incluir funcionalidades de gamificación (calendario personalizado de escenarios, retos y logros) con el objetivo de fomentar la participación y el uso continuado. Los logros y retos son visibles entre usuarios del mismo programa, pero nunca se exponen puntuaciones de habilidades ni evaluaciones individuales a otros usuarios ni a la empresa.
6.- PLAZOS DE CONSERVACIÓN DE LOS DATOS
| Tipo de dato | Plazo de conservación |
|---|---|
| Datos de clientes, proveedores y trabajadores | Durante la relación contractual/laboral + plazo legal de conservación aplicable (fiscal, mercantil, laboral). Tras ello, bloqueo y supresión. |
| Datos de contactos y solicitantes | Hasta la revocación del consentimiento o, en su defecto, 2 años desde la última interacción. |
| Datos de usuarios de la plataforma (bienestar) | Mientras el servicio esté contratado por la empresa cliente. Tras la finalización, supresión conforme a los plazos del DPA. |
| Contenido de conversaciones y puntuaciones de LeIA | Mientras el servicio esté contratado por la empresa cliente. Tras la finalización del contrato o solicitud de supresión, eliminación conforme a los plazos establecidos en el DPA (por defecto: métricas en bruto ≤90 días; copias de seguridad 35 días adicionales). |
| Datos de actividad de LeIA (escenarios, logros) | Mismo plazo que el contenido de conversaciones. |
| Métricas agregadas anónimas | Se conservan indefinidamente, ya que no contienen datos personales identificables. Se emplean para benchmarking y mejora del servicio. |
7.- DESTINATARIOS Y TRANSFERENCIAS INTERNACIONALES
Los datos personales no se ceden a terceros salvo que sea necesario para la correcta prestación del servicio o cuando así lo exija la ley.
Mentiness trabaja con los siguientes proveedores que pueden tener acceso a datos personales en calidad de subencargados del tratamiento:
| Proveedor | Servicio | Ubicación de los datos | Mecanismo de transferencia | Política de privacidad |
|---|---|---|---|---|
| OpenAI Ireland Ltd | Modelo de IA para simulaciones (LeIA) y asistentes | EE.UU. (contrato vía entidad irlandesa para clientes EEE) | Cláusulas Contractuales Tipo (SCCs) + DPA | openai.com/enterprise-privacy |
| Microsoft Azure OpenAI | Modelo de IA con hosting en la UE | Unión Europea (West Europe / Data Zone EUR) | Sin transferencia internacional (datos en UE) | microsoft.com/privacy |
| HeyGen | Avatares de vídeo con IA | EE.UU. (AWS) | EU-US Data Privacy Framework (DPF) + SCCs + DPA | heygen.com/privacy |
| Zoom | Videollamadas para sesiones de psicología | EE.UU. | SCCs + DPA | zoom.us/privacy-and-legal |
| Google (Meet, Calendar, API) | Videoconferencia, sincronización de calendarios | UE / EE.UU. | SCCs + DPA | policies.google.com/privacy |
Cuando los datos se transfieren fuera del Espacio Económico Europeo (EEE), Mentiness se asegura de que existan garantías adecuadas conforme al Capítulo V del RGPD, incluyendo la suscripción de Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea, la verificación de la adhesión al EU-US Data Privacy Framework (DPF) cuando aplique, y/o la existencia de decisiones de adecuación. Mentiness tiene suscritos Acuerdos de Tratamiento de Datos (DPA) con todos sus proveedores.
Estos proveedores de servicios pueden recopilar y tener acceso a la información que les sea necesaria para desempeñar sus funciones, pero no tienen permiso para compartir o utilizar la información para ningún otro propósito. Los proveedores de IA están contractualmente obligados a no utilizar los datos de los usuarios para el entrenamiento de sus modelos.
En el caso de Google Calendar únicamente se obtiene información para poder facilitar la sincronización de los calendarios de los profesionales. El uso y la transferencia de información obtenida por Google API será adherida a los términos y condiciones de «Google API Services User Data Policy» incluyendo los requerimientos para «Limited Use» (uso limitado).
MENTINESS HEALTH CARE, S.L. compartirá la información cuando exista obligación legal, o cuando sea necesario para hacer cumplir sus términos y condiciones, o por cuestiones de seguridad.
8.- DERECHOS DEL USUARIO
De conformidad con el RGPD y la LOPDGDD, toda persona tiene derecho a:
- Acceso: conocer si sus datos están siendo tratados y obtener una copia de los mismos.
- Rectificación: corregir datos inexactos o incompletos.
- Supresión: solicitar la eliminación de sus datos cuando concurran las circunstancias previstas legalmente.
- Portabilidad: recibir sus datos en formato estructurado y de uso común cuando la base legal sea el contrato o el consentimiento.
- Oposición: oponerse al tratamiento basado en interés legítimo, salvo motivos legítimos imperiosos.
- Limitación: solicitar la suspensión del tratamiento en los supuestos previstos legalmente.
- Revocación del consentimiento: retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento previo.
¿Cómo ejercer sus derechos?
- Correo electrónico: hola@mentiness.com
- Domicilio: Calle Santa Eulalia N4 6A, CP 36600, Vilagarcía de Arousa (Pontevedra)
Mentiness atenderá su solicitud en un plazo máximo de un mes desde la recepción, prorrogable por dos meses adicionales en caso de complejidad o volumen de solicitudes, informando al interesado de dicha prórroga dentro del primer mes.
Si considera que sus derechos no han sido debidamente atendidos, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), con sede en C/ Jorge Juan 6, 28001 Madrid (www.aepd.es).
9.- USO DE HERRAMIENTAS DE INTELIGENCIA ARTIFICIAL
Mentiness utiliza herramientas de inteligencia artificial para ofrecer servicios más eficaces y personalizados. A continuación, se detallan los principios que rigen su uso:
- Transparencia: el usuario es informado en todo momento de que está interactuando con una herramienta de IA, no con una persona física.
- Confidencialidad: los datos se tratan en entornos seguros y controlados. No se comparten con terceros más allá de los proveedores necesarios para la prestación del servicio, identificados en la sección 7.
- No entrenamiento de modelos con datos personales: no se alimenta el aprendizaje de los modelos de IA de terceros con datos personales ni información individualizada de los usuarios. Los proveedores de IA están contractualmente obligados a no utilizar los datos de los usuarios para el entrenamiento de sus modelos.
- Supervisión humana: los resultados generados por la IA son orientativos y no sustituyen el criterio profesional humano. Las herramientas de IA de Mentiness no toman decisiones autónomas con efectos jurídicos o significativos sobre las personas.
- Minimización de datos: se envía a los modelos de IA exclusivamente la información estrictamente necesaria para la prestación del servicio. En el caso de LeIA, no se envía información de identificación personal (PII) del usuario al modelo.
- Pseudonimización: cuando es técnicamente posible, los datos se pseudonimizan antes de ser procesados, de modo que no sean directamente identificables.
10.- MEDIDAS DE SEGURIDAD
MENTINESS HEALTH CARE, S.L. adopta medidas técnicas y organizativas apropiadas para proteger los datos personales frente a accesos no autorizados, alteración, pérdida o destrucción accidental, incluyendo:
- Cifrado de datos en tránsito (TLS) y en reposo.
- Control de acceso basado en roles y principio de mínimo privilegio.
- Acceso Just-In-Time (JIT) para el equipo de soporte técnico: el acceso a datos operativos solo se activa temporalmente cuando es necesario para resolver incidencias, y queda registrado.
- Auditoría de accesos y monitorización de eventos de seguridad.
- Copias de seguridad periódicas con cifrado.
- Formación periódica del personal en protección de datos y seguridad de la información.
A pesar de estas medidas, Mentiness no puede garantizar la seguridad absoluta de la información, dado que ningún sistema es infalible. No obstante, nos comprometemos a aplicar las mejores prácticas del sector y a mejorar continuamente nuestras medidas de protección.
11.- COOKIES
Mentiness utiliza cookies y tecnologías similares en su página web. Las cookies no esenciales (estadísticas, preferencias, marketing) solo se activan cuando el usuario ha prestado su consentimiento previo y expreso a través del banner de cookies.
Para más información, consulte nuestra Política de Cookies.
12.- EXENCIÓN DE RESPONSABILIDAD
Mentiness responde únicamente por los tratamientos de datos realizados a través de su página web y su plataforma. En caso de que el usuario sea redirigido a páginas web o plataformas de terceros, serán de aplicación las políticas de privacidad de dichos terceros, de las que Mentiness no se hace responsable.
13.- MODIFICACIONES DE ESTA POLÍTICA
Mentiness se reserva el derecho de actualizar esta Política de Privacidad para adaptarla a novedades legislativas, jurisprudenciales o de nuestras propias prácticas. Cualquier modificación será publicada en esta página con indicación de la fecha de la última actualización. Recomendamos revisar esta política periódicamente.
14.- CONTACTO
Para cualquier consulta, sugerencia o reclamación relacionada con el tratamiento de sus datos personales, puede contactar con Mentiness a través de:
- Correo electrónico: hola@mentiness.com
- Domicilio: Calle Santa Eulalia N4 6A, CP 36600, Vilagarcía de Arousa (Pontevedra)
Política actualizada en febrero de 2026
