Política de
Privacidad
En cumplimiento del Reglamento (UE) 2016/679 (RGPD)y la Ley Orgánica 3/2018 (LOPDGDD), LevelCast informa a sus usuarios sobre el tratamiento de sus datos personales. LevelCast es un servicio de monitoreo de glucosa que procesa datos de salud de conformidad con la normativa vigente de protección de datos.
Última actualización: Abril 2026
01 — Responsable
Responsable del Tratamiento
Mikel Granero actúa como titular y responsable del tratamiento de todos los datos personales recogidos a través de la plataforma LevelCast (levelcast.org). Para cualquier cuestión relativa a la privacidad o al ejercicio de derechos, puede contactar directamente en privacidad@mikelgranero.com.
02 — Datos
Datos Personales Recogidos
LevelCast recoge únicamente los datos que el usuario introduce de forma activa al utilizar la plataforma, así como ciertos datos técnicos generados automáticamente por el funcionamiento del servicio (dirección IP, user-agent). A continuación se detallan todas las categorías y campos almacenados en la base de datos:
Datos de cuenta
- NombreNombre identificativo del usuario en la plataforma, introducido durante el registro.
- EmailDirección de correo electrónico, utilizada como identificador único de acceso y para comunicaciones del servicio.
- ContraseñaAlmacenada en formato hash bcrypt; nunca se guarda en texto plano ni es accesible por el equipo.
- Imagen de perfilAvatar opcional del usuario, alojado en nuestros servidores o mediante proveedor OAuth.
- Idioma preferidoPreferencia de idioma seleccionada para personalizar la interfaz (ES, EN, EU, DE, HI).
- Fecha de creación y actualizaciónMarcas temporales de cuando se creó y modificó por última vez la cuenta.
Datos de sesión
- Token de sesiónIdentificador de sesión cifrado que mantiene la autenticación activa de forma segura.
- Dirección IPIP desde la que se inició la sesión, conservada para seguridad y prevención de accesos fraudulentos.
- User-AgentInformación del navegador y sistema operativo, usada para identificar el dispositivo de acceso.
- Expiración de sesiónTimestamp de expiración automática de la sesión de seguridad.
Datos de pacientes
- Nombre y apellidosNombre del paciente monitoreado, introducido manualmente por el usuario.
- Tipo de diabetesCategoría de diabetes del paciente: Tipo 1, Tipo 2, Gestacional, u otras. Dato de salud especialmente sensible, tratado con medidas reforzadas.
- TratamientoModalidad de tratamiento del paciente: pastillas o insulina. Dato de salud especialmente sensible.
- Unidad de glucosaUnidad de medida configurada: mg/dL o mmol/L.
- Almacenamiento de lecturasConfiguración sobre si las lecturas de glucosa deben persistirse en base de datos.
Lecturas de glucosa
- Valor de glucosaMedición numérica de glucosa en sangre (mg/dL o mmol/L), obtenida del sensor CGM o sensor Flash.
- Fecha y horaTimestamp exacto del momento en que se registró la medición.
- Tipo de eventoClasificación del evento (BG Check, CGM, etc.) y del tipo de lectura (intersticial, capilar).
- Origen de la lecturaAplicación o dispositivo que generó la lectura (xDrip4iOS, LibreLinkUp, Nightscout, etc.).
- ID externoIdentificador compatible con Nightscout/MongoDB para interoperabilidad con sistemas de monitoreo externos.
Conexiones a proveedores CGM
- Proveedor CGMNombre del proveedor de datos de glucosa: LibreLinkUp, Dexcom, Nightscout u otros.
- Credenciales del proveedorEmail y contraseña de la cuenta LibreLinkUp u otro proveedor, necesarias para obtener las lecturas automáticamente. Se almacenan cifradas.
- RegiónRegión geográfica de la cuenta del proveedor, requerida por algunas APIs (p. ej. LibreLinkUp EU).
- Estado de sincronizaciónEstado de la conexión (activo, error, desconectado) y timestamp de la última sincronización correcta.
- Último errorMensaje de error de la última sincronización fallida, para facilitar el diagnóstico.
Niveles personalizados
- Umbrales de glucosaValores límite configurados por el usuario para identificar rangos: muy bajo, bajo, normal, alto y muy alto.
- Colores de alertaColores asignados a cada rango de glucosa para su visualización en el dashboard y en el frame.
Frames de visualización
- Nombre del frameNombre descriptivo del frame creado por el usuario (p. ej. "TV Salón", "Monitor Trabajo").
- Configuración del frameAjustes de visualización: tema, escala, formato de hora, mostrar tendencia, etc., almacenados como JSON.
Webhooks e integraciones
- URL del webhookEndpoint externo configurado por el usuario para recibir notificaciones de lecturas de glucosa.
- Logs de webhookHistorial de ejecuciones: código de respuesta HTTP, payload enviado, respuesta recibida, duración y resultado.
- Credenciales de integracionesTokens de acceso para servicios integrados como Telegram, Nightscout o Home Assistant. Se almacenan cifradas.
- Reglas de automatizaciónCondiciones y acciones configuradas por el usuario para disparar notificaciones (p. ej. "si glucosa > 200, notificar por Telegram").
- Logs de ejecuciónRegistro de ejecuciones de reglas: datos que dispararon la regla, acciones ejecutadas, resultado y tiempo de ejecución.
Claves de API
- API KeyToken de acceso programático generado por el usuario para integrar LevelCast con aplicaciones externas.
- Nombre y estadoNombre descriptivo y estado activo/inactivo de cada clave de API.
- Log de llamadasRegistro de solicitudes por API key: endpoint, método HTTP, código de respuesta, tiempo y timestamp.
Donaciones
- Email del donanteDirección de correo electrónico asociada al pago, proporcionada voluntariamente.
- Importe y divisaCantidad donada en la divisa correspondiente (por defecto EUR).
- Estado del pagoEstado de la transacción: pendiente, completada o fallida.
- ID de transacciónPayment Intent ID de Stripe para trazabilidad. No se almacenan datos de tarjeta.
Exportaciones de datos
- Solicitudes de exportaciónRegistro de exportaciones solicitadas: formato (CSV, JSON, XLSX, XML), estado, rango de fechas y fecha de expiración del fichero.
Tours de onboarding
- Estado de tours guiadosRegistro de qué tutoriales ha completado el usuario, para no mostrarlos repetidamente.
Importante: No se recogen datos bancarios ni datos completos de tarjeta de crédito. El procesamiento de pagos por donaciones es gestionado íntegramente por Stripe, que actúa como encargado del tratamiento conforme a sus propias políticas PCI-DSS. LevelCast únicamente almacena el identificador de la transacción proporcionado por Stripe.
03 — Finalidad
Finalidad del Tratamiento
Los datos personales facilitados se tratan con las siguientes finalidades:
- Prestación del servicioCrear y gestionar la cuenta del usuario, autenticar el acceso y mantener activa la sesión de forma segura.
- Monitoreo de glucosaObtener lecturas de glucosa desde los proveedores CGM configurados (LibreLinkUp, Dexcom, Nightscout, etc.) y mostrarlas en tiempo real en el dashboard y los frames.
- Almacenamiento de lecturasPersistir el historial de lecturas de glucosa para análisis, visualización de tendencias y exportación, solo si el usuario lo ha habilitado.
- Alertas y automatizacionesEjecutar las reglas de automatización configuradas por el usuario (alertas por Telegram, webhooks, etc.) cuando se cumplan las condiciones definidas.
- Frames de visualizaciónMostrar lecturas de glucosa en pantallas externas (televisores, monitores) mediante el sistema de Frames.
- Integración con serviciosFacilitar la integración con servicios externos configurados exclusivamente por el usuario (Telegram, Nightscout, Home Assistant, IFTTT, etc.).
- Exportación de datosGenerar ficheros de exportación del historial de lecturas en los formatos solicitados por el usuario (CSV, JSON, XLSX, XML).
- SeguridadAnalizar la dirección IP y el user-agent de las sesiones para detectar accesos no autorizados o actividades sospechosas.
- Mejora del servicioAnalizar de forma agregada y anónima el uso de la plataforma para identificar áreas de mejora.
- Newsletter y comunicaciones comercialesSi el usuario ha otorgado su consentimiento explícito mediante la casilla correspondiente en el registro, enviamos correos electrónicos con novedades, ofertas y comunicaciones personalizadas. El usuario puede retirar su consentimiento en cualquier momento mediante el enlace de baja presente en cada correo.
- Comunicaciones funcionales y análisis de campañasEnviamos correos electrónicos funcionales necesarios para el servicio, como alertas de sensor, notificaciones del sistema y avisos de seguridad, activados por defecto por ser inherentes al funcionamiento de la plataforma. Además, para garantizar el correcto funcionamiento del servicio y realizar mejoras internas, utilizamos tecnologías de seguimiento (como píxeles invisibles o web beacons) que nos permiten conocer de forma agregada y anónima métricas como la tasa de apertura de nuestros correos. Este tratamiento se ampara en el interés legítimo del responsable (art. 6.1.f RGPD) al tratarse de datos puramente estadísticos que no conllevan perfiles comerciales individuales. Todos nuestros correos incluyen un enlace de baja para que el usuario pueda oponerse en cualquier momento.
- DonacionesGestionar las donaciones voluntarias de usuarios que deseen apoyar el proyecto.
04 — Base legal
Legitimación
La base legal que legitima el tratamiento de los datos personales es el consentimiento explícito del usuario (art. 6.1.a RGPD), manifestado al registrarse en la plataforma y aceptar la presente política de privacidad. Para el tratamiento de datos de salud (categorías especiales), la base legal adicional es el consentimiento explícito para datos de categoría especial (art. 9.2.a RGPD).
El tratamiento de los datos de sesión con fines de seguridad se ampara además en el interés legítimo del responsable (art. 6.1.f RGPD) para garantizar la integridad y seguridad del servicio.
El envío de comunicaciones funcionales necesarias para el servicio (como alertas de sensor, notificaciones del sistema y avisos de seguridad), así como el análisis agregado y anónimo de métricas de campaña (tasas de apertura y clics), se amparan en elinterés legítimo del responsable (art. 6.1.f RGPD), al tratarse de tratamientos necesarios para la prestación del servicio y la mejora interna de la plataforma, sin que prevalezcan los intereses o derechos del usuario. El usuario puede oponerse a este tratamiento en cualquier momento mediante el enlace de baja presente en cada correo electrónico.
El usuario puede retirar su consentimiento en cualquier momento contactando en privacidad@mikelgranero.com. La retirada del consentimiento implica la imposibilidad de seguir prestando el servicio.
05 — Salud
Datos de Salud — Categoría Especial
LevelCast trata datos de salud de categoría especial conforme al artículo 9 del RGPD: lecturas de glucosa en sangre, tipo de diabetes y modalidad de tratamiento. Estos datos son estrictamente necesarios para la prestación del servicio y se tratan con medidas de seguridad reforzadas.
Los datos de salud almacenados son exclusivamente los que el propio usuario introduce o que su sensor CGM transmite, con el único fin de mostrarlos, analizarlos y enviar alertas configuradas por el propio usuario. LevelCast no comparte estos datos con ningún tercero, con las únicas excepciones de los servicios de integración expresamente configurados y activados por el usuario.
Aviso médico importante: LevelCast no es un dispositivo médico certificado y no debe utilizarse como sustituto del criterio médico profesional. Las lecturas mostradas son informativas. Consulte siempre a su equipo médico para decisiones terapéuticas.
06 — Terceros
Cesión de Datos a Terceros
Los datos personales de los usuarios, y en especial los datos de salud, NO se venden, ceden, alquilan ni comparten con terceros con fines comerciales, publicitarios ni de ningún otro tipo. Nunca.
Existen únicamente las siguientes comunicaciones de datos a terceros, todas bajo control directo del usuario:
- Proveedores CGMLas credenciales del proveedor CGM se envían exclusivamente a la API del propio proveedor para obtener las lecturas. En ningún caso se comparten con otros servicios.
- StripePara el procesamiento de donaciones, los datos de pago son gestionados directamente por Stripe Inc. LevelCast no recibe ni almacena datos de tarjeta.
- Integraciones del usuarioSi el usuario configura integraciones externas (Telegram, Nightscout, Home Assistant, IFTTT, webhooks propios, etc.), los datos de glucosa se envían a los endpoints que el propio usuario ha configurado.
- Obligaciones legalesLos datos podrán comunicarse a las autoridades competentes cuando exista obligación legal o para la defensa de reclamaciones.
07 — Transferencias
Transferencias Internacionales
La infraestructura principal de LevelCast está alojada en servidores ubicados en la Unión Europea. No se realizan transferencias internacionales de datos fuera del Espacio Económico Europeo (EEE) de forma sistemática.
En el caso de las integraciones configuradas por el usuario (p. ej. bots de Telegram con servidores en EE.UU.), el responsable del tratamiento fuera del EEE es el propio servicio de integración. El usuario es consciente de esta circunstancia al configurar voluntariamente dichas integraciones.
08 — Conservación
Plazos de Conservación
Los datos personales se conservarán durante el tiempo estrictamente necesario, aplicándose los siguientes criterios:
- Datos de cuentaMientras el usuario mantenga su cuenta activa. Tras la solicitud de eliminación, los datos se suprimen en un plazo máximo de 30 días.
- Datos de sesiónLas sesiones expiran automáticamente tras un período de inactividad. Los registros se eliminan en ciclos periódicos de limpieza.
- Lecturas de glucosaMientras el usuario mantenga la función de almacenamiento activa. Puede eliminar el historial en cualquier momento desde el dashboard.
- Logs de webhook y APISe conservan durante un período máximo de 90 días con fines de diagnóstico, tras lo cual se eliminan automáticamente.
- Logs de reglasSe conservan durante un período máximo de 30 días con fines de diagnóstico.
- Ficheros de exportaciónLos ficheros generados tienen fecha de expiración. Transcurrida la misma, el fichero se elimina automáticamente del servidor.
- Datos de donacionesSe conservan durante el período legalmente exigible según la normativa fiscal vigente (generalmente 5 años).
09 — Derechos
Derechos del Interesado
De conformidad con el RGPD y la LOPDGDD, el usuario tiene reconocidos los siguientes derechos respecto al tratamiento de sus datos:
Obtener confirmación sobre si se están tratando datos que le conciernen y acceder a todos ellos.
Solicitar la corrección de datos inexactos o la completitud de datos incompletos.
Solicitar la eliminación de sus datos personales cuando ya no sean necesarios o retire su consentimiento.
Solicitar la restricción del tratamiento de sus datos en determinadas circunstancias.
Oponerse al tratamiento de sus datos por motivos relacionados con su situación particular.
Recibir sus datos en un formato estructurado y de lectura mecánica, y transmitirlos a otro responsable.
Estos derechos pueden ejercitarse enviando un correo a privacidad@mikelgranero.com, indicando el derecho que desea ejercer y adjuntando copia de su documento de identidad. Se atenderán las solicitudes en un plazo máximo de 30 días naturales.
Si considera que el tratamiento de sus datos infringe la normativa vigente, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.
10 — Seguridad
Medidas de Seguridad
El responsable aplica las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al artículo 32 del RGPD:
- Cifrado SSL/TLS (HTTPS): Todas las comunicaciones entre el navegador del usuario y los servidores de LevelCast están cifradas mediante SSL/TLS, impidiendo la interceptación de datos en tránsito.
- Hash de contraseñas: Las contraseñas se almacenan mediante bcrypt con sal aleatoria. Ningún miembro del equipo tiene acceso a contraseñas en texto plano.
- Cifrado de credenciales CGM: Las credenciales de acceso a los proveedores CGM se almacenan cifradas. Su transmisión a las APIs de los proveedores se realiza exclusivamente a través de HTTPS.
- Tokens de sesión seguros: Los tokens de sesión son generados criptográficamente, tienen fecha de expiración y se invalidan al cerrar sesión.
- Control de acceso: El sistema aplica controles de autorización para que cada usuario solo pueda acceder a sus propios datos.
- Aislamiento de datos de salud: Los datos de glucosa y salud de cada paciente están asociados al usuario propietario y no son accesibles por otros usuarios.
- Auditoría de API: Se registran los accesos a la API con fines de auditoría y detección de usos anómalos.
Si detecta o sospecha de un acceso no autorizado a su cuenta, comuníquelo inmediatamente a privacidad@mikelgranero.com.
11 — Cookies
Uso de Cookies
LevelCast utiliza cookies propias y de servicios de analítica para el funcionamiento de la plataforma y el análisis del uso del servicio. Para información completa, consulte la Política de Cookies.
12 — Menores
Menores de Edad
LevelCast no está dirigido a menores de 14 años. El registro en la plataforma está reservado a personas mayores de 14 años. Los usuarios de entre 14 y 18 años deberán contar con el consentimiento de sus padres o tutores legales para utilizar el servicio y registrar sus datos de salud.
Si un progenitor o tutor tiene conocimiento de que su hijo/a menor ha facilitado datos personales sin su consentimiento, deberá contactar en privacidad@mikelgranero.com para proceder a su eliminación.
13 — Actualizaciones
Cambios en esta Política
El responsable se reserva el derecho a modificar la presente Política de Privacidad para adaptarla a novedades legislativas, jurisprudenciales o cambios en el servicio. Las modificaciones relevantes serán comunicadas a los usuarios por email o mediante aviso destacado en la plataforma, con al menos 15 días de antelación.
La fecha de última actualización figura siempre en el encabezado de este documento. El uso continuado del servicio tras la publicación de cambios constituye la aceptación de la política actualizada.
¿Tienes alguna pregunta sobre privacidad?