Volver al inicio
Documento Legal

Política de
Privacidad

En cumplimiento del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), LevelCast informa a sus usuarios sobre el tratamiento de sus datos personales. LevelCast es un servicio de monitoreo de glucosa que procesa datos de salud de conformidad con la normativa vigente de protección de datos.

Última actualización: Abril 2026

01 — Responsable

Responsable del Tratamiento

Nombre / Name Mikel Granero
Sitio web / Website levelcast.org
Email de privacidad / Privacy email [email protected]

Mikel Granero actúa como titular y responsable del tratamiento de todos los datos personales recogidos a través de la plataforma LevelCast (levelcast.org). Para cualquier cuestión relativa a la privacidad o al ejercicio de derechos, puede contactar directamente en [email protected].

02 — Datos

Datos Personales Recogidos

LevelCast recoge únicamente los datos que el usuario introduce de forma activa al utilizar la plataforma, así como ciertos datos técnicos generados automáticamente por el funcionamiento del servicio (dirección IP, user-agent). A continuación se detallan todas las categorías y campos almacenados en la base de datos:

Datos de cuenta

  • Nombre Nombre identificativo del usuario en la plataforma, introducido durante el registro.
  • Email Dirección de correo electrónico, utilizada como identificador único de acceso y para comunicaciones del servicio.
  • Contraseña Almacenada en formato hash bcrypt; nunca se guarda en texto plano ni es accesible por el equipo.
  • Imagen de perfil Avatar opcional del usuario, alojado en nuestros servidores o mediante proveedor OAuth.
  • Idioma preferido Preferencia de idioma seleccionada para personalizar la interfaz (ES, EN, EU, DE, HI).
  • Fecha de creación y actualización Marcas temporales de cuando se creó y modificó por última vez la cuenta.

Datos de sesión

  • Token de sesión Identificador de sesión cifrado que mantiene la autenticación activa de forma segura.
  • Dirección IP IP desde la que se inició la sesión, conservada para seguridad y prevención de accesos fraudulentos.
  • User-Agent Información del navegador y sistema operativo, usada para identificar el dispositivo de acceso.
  • Expiración de sesión Timestamp de expiración automática de la sesión de seguridad.

Datos de pacientes

  • Nombre y apellidos Nombre del paciente monitoreado, introducido manualmente por el usuario.
  • Tipo de diabetes Categoría de diabetes del paciente: Tipo 1, Tipo 2, Gestacional, u otras. Dato de salud especialmente sensible, tratado con medidas reforzadas.
  • Tratamiento Modalidad de tratamiento del paciente: pastillas o insulina. Dato de salud especialmente sensible.
  • Unidad de glucosa Unidad de medida configurada: mg/dL o mmol/L.
  • Almacenamiento de lecturas Configuración sobre si las lecturas de glucosa deben persistirse en base de datos.

Lecturas de glucosa

  • Valor de glucosa Medición numérica de glucosa en sangre (mg/dL o mmol/L), obtenida del sensor CGM o sensor Flash.
  • Fecha y hora Timestamp exacto del momento en que se registró la medición.
  • Tipo de evento Clasificación del evento (BG Check, CGM, etc.) y del tipo de lectura (intersticial, capilar).
  • Origen de la lectura Aplicación o dispositivo que generó la lectura (xDrip4iOS, LibreLinkUp, Nightscout, etc.).
  • ID externo Identificador compatible con Nightscout/MongoDB para interoperabilidad con sistemas de monitoreo externos.

Conexiones a proveedores CGM

  • Proveedor CGM Nombre del proveedor de datos de glucosa: LibreLinkUp, Dexcom, Nightscout u otros.
  • Credenciales del proveedor Email y contraseña de la cuenta LibreLinkUp u otro proveedor, necesarias para obtener las lecturas automáticamente. Se almacenan cifradas.
  • Región Región geográfica de la cuenta del proveedor, requerida por algunas APIs (p. ej. LibreLinkUp EU).
  • Estado de sincronización Estado de la conexión (activo, error, desconectado) y timestamp de la última sincronización correcta.
  • Último error Mensaje de error de la última sincronización fallida, para facilitar el diagnóstico.

Niveles personalizados

  • Umbrales de glucosa Valores límite configurados por el usuario para identificar rangos: muy bajo, bajo, normal, alto y muy alto.
  • Colores de alerta Colores asignados a cada rango de glucosa para su visualización en el dashboard y en el frame.

Frames de visualización

  • Nombre del frame Nombre descriptivo del frame creado por el usuario (p. ej. "TV Salón", "Monitor Trabajo").
  • Configuración del frame Ajustes de visualización: tema, escala, formato de hora, mostrar tendencia, etc., almacenados como JSON.

Webhooks e integraciones

  • URL del webhook Endpoint externo configurado por el usuario para recibir notificaciones de lecturas de glucosa.
  • Logs de webhook Historial de ejecuciones: código de respuesta HTTP, payload enviado, respuesta recibida, duración y resultado.
  • Credenciales de integraciones Tokens de acceso para servicios integrados como Telegram, Nightscout o Home Assistant. Se almacenan cifradas.
  • Reglas de automatización Condiciones y acciones configuradas por el usuario para disparar notificaciones (p. ej. "si glucosa > 200, notificar por Telegram").
  • Logs de ejecución Registro de ejecuciones de reglas: datos que dispararon la regla, acciones ejecutadas, resultado y tiempo de ejecución.

Claves de API

  • API Key Token de acceso programático generado por el usuario para integrar LevelCast con aplicaciones externas.
  • Nombre y estado Nombre descriptivo y estado activo/inactivo de cada clave de API.
  • Log de llamadas Registro de solicitudes por API key: endpoint, método HTTP, código de respuesta, tiempo y timestamp.

Donaciones

  • Email del donante Dirección de correo electrónico asociada al pago, proporcionada voluntariamente.
  • Importe y divisa Cantidad donada en la divisa correspondiente (por defecto EUR).
  • Estado del pago Estado de la transacción: pendiente, completada o fallida.
  • ID de transacción Payment Intent ID de Stripe para trazabilidad. No se almacenan datos de tarjeta.

Exportaciones de datos

  • Solicitudes de exportación Registro de exportaciones solicitadas: formato (CSV, JSON, XLSX, XML), estado, rango de fechas y fecha de expiración del fichero.

Tours de onboarding

  • Estado de tours guiados Registro de qué tutoriales ha completado el usuario, para no mostrarlos repetidamente.

Importante: No se recogen datos bancarios ni datos completos de tarjeta de crédito. El procesamiento de pagos por donaciones es gestionado íntegramente por Stripe, que actúa como encargado del tratamiento conforme a sus propias políticas PCI-DSS. LevelCast únicamente almacena el identificador de la transacción proporcionado por Stripe.

03 — Finalidad

Finalidad del Tratamiento

Los datos personales facilitados se tratan con las siguientes finalidades:

  • Prestación del servicio Crear y gestionar la cuenta del usuario, autenticar el acceso y mantener activa la sesión de forma segura.
  • Monitoreo de glucosa Obtener lecturas de glucosa desde los proveedores CGM configurados (LibreLinkUp, Dexcom, Nightscout, etc.) y mostrarlas en tiempo real en el dashboard y los frames.
  • Almacenamiento de lecturas Persistir el historial de lecturas de glucosa para análisis, visualización de tendencias y exportación, solo si el usuario lo ha habilitado.
  • Alertas y automatizaciones Ejecutar las reglas de automatización configuradas por el usuario (alertas por Telegram, webhooks, etc.) cuando se cumplan las condiciones definidas.
  • Frames de visualización Mostrar lecturas de glucosa en pantallas externas (televisores, monitores) mediante el sistema de Frames.
  • Integración con servicios Facilitar la integración con servicios externos configurados exclusivamente por el usuario (Telegram, Nightscout, Home Assistant, IFTTT, etc.).
  • Exportación de datos Generar ficheros de exportación del historial de lecturas en los formatos solicitados por el usuario (CSV, JSON, XLSX, XML).
  • Seguridad Analizar la dirección IP y el user-agent de las sesiones para detectar accesos no autorizados o actividades sospechosas.
  • Mejora del servicio Analizar de forma agregada y anónima el uso de la plataforma para identificar áreas de mejora.
  • Donaciones Gestionar las donaciones voluntarias de usuarios que deseen apoyar el proyecto.

04 — Base legal

Legitimación

La base legal que legitima el tratamiento de los datos personales es el consentimiento explícito del usuario (art. 6.1.a RGPD), manifestado al registrarse en la plataforma y aceptar la presente política de privacidad. Para el tratamiento de datos de salud (categorías especiales), la base legal adicional es el consentimiento explícito para datos de categoría especial (art. 9.2.a RGPD).

El tratamiento de los datos de sesión con fines de seguridad se ampara además en el interés legítimo del responsable (art. 6.1.f RGPD) para garantizar la integridad y seguridad del servicio.

El usuario puede retirar su consentimiento en cualquier momento contactando en [email protected]. La retirada del consentimiento implica la imposibilidad de seguir prestando el servicio.

05 — Salud

Datos de Salud — Categoría Especial

LevelCast trata datos de salud de categoría especial conforme al artículo 9 del RGPD: lecturas de glucosa en sangre, tipo de diabetes y modalidad de tratamiento. Estos datos son estrictamente necesarios para la prestación del servicio y se tratan con medidas de seguridad reforzadas.

Los datos de salud almacenados son exclusivamente los que el propio usuario introduce o que su sensor CGM transmite, con el único fin de mostrarlos, analizarlos y enviar alertas configuradas por el propio usuario. LevelCast no comparte estos datos con ningún tercero, con las únicas excepciones de los servicios de integración expresamente configurados y activados por el usuario.

Aviso médico importante: LevelCast no es un dispositivo médico certificado y no debe utilizarse como sustituto del criterio médico profesional. Las lecturas mostradas son informativas. Consulte siempre a su equipo médico para decisiones terapéuticas.

06 — Terceros

Cesión de Datos a Terceros

Los datos personales de los usuarios, y en especial los datos de salud, NO se venden, ceden, alquilan ni comparten con terceros con fines comerciales, publicitarios ni de ningún otro tipo. Nunca.

Existen únicamente las siguientes comunicaciones de datos a terceros, todas bajo control directo del usuario:

  • Proveedores CGM Las credenciales del proveedor CGM se envían exclusivamente a la API del propio proveedor para obtener las lecturas. En ningún caso se comparten con otros servicios.
  • Stripe Para el procesamiento de donaciones, los datos de pago son gestionados directamente por Stripe Inc. LevelCast no recibe ni almacena datos de tarjeta.
  • Integraciones del usuario Si el usuario configura integraciones externas (Telegram, Nightscout, Home Assistant, IFTTT, webhooks propios, etc.), los datos de glucosa se envían a los endpoints que el propio usuario ha configurado.
  • Obligaciones legales Los datos podrán comunicarse a las autoridades competentes cuando exista obligación legal o para la defensa de reclamaciones.

07 — Transferencias

Transferencias Internacionales

La infraestructura principal de LevelCast está alojada en servidores ubicados en la Unión Europea. No se realizan transferencias internacionales de datos fuera del Espacio Económico Europeo (EEE) de forma sistemática.

En el caso de las integraciones configuradas por el usuario (p. ej. bots de Telegram con servidores en EE.UU.), el responsable del tratamiento fuera del EEE es el propio servicio de integración. El usuario es consciente de esta circunstancia al configurar voluntariamente dichas integraciones.

08 — Conservación

Plazos de Conservación

Los datos personales se conservarán durante el tiempo estrictamente necesario, aplicándose los siguientes criterios:

  • Datos de cuenta Mientras el usuario mantenga su cuenta activa. Tras la solicitud de eliminación, los datos se suprimen en un plazo máximo de 30 días.
  • Datos de sesión Las sesiones expiran automáticamente tras un período de inactividad. Los registros se eliminan en ciclos periódicos de limpieza.
  • Lecturas de glucosa Mientras el usuario mantenga la función de almacenamiento activa. Puede eliminar el historial en cualquier momento desde el dashboard.
  • Logs de webhook y API Se conservan durante un período máximo de 90 días con fines de diagnóstico, tras lo cual se eliminan automáticamente.
  • Logs de reglas Se conservan durante un período máximo de 30 días con fines de diagnóstico.
  • Ficheros de exportación Los ficheros generados tienen fecha de expiración. Transcurrida la misma, el fichero se elimina automáticamente del servidor.
  • Datos de donaciones Se conservan durante el período legalmente exigible según la normativa fiscal vigente (generalmente 5 años).

09 — Derechos

Derechos del Interesado

De conformidad con el RGPD y la LOPDGDD, el usuario tiene reconocidos los siguientes derechos respecto al tratamiento de sus datos:

👁 Acceso

Obtener confirmación sobre si se están tratando datos que le conciernen y acceder a todos ellos.

✏️ Rectificación

Solicitar la corrección de datos inexactos o la completitud de datos incompletos.

🗑️ Supresión

Solicitar la eliminación de sus datos personales cuando ya no sean necesarios o retire su consentimiento.

⏸️ Limitación

Solicitar la restricción del tratamiento de sus datos en determinadas circunstancias.

🚫 Oposición

Oponerse al tratamiento de sus datos por motivos relacionados con su situación particular.

📦 Portabilidad

Recibir sus datos en un formato estructurado y de lectura mecánica, y transmitirlos a otro responsable.

Estos derechos pueden ejercitarse enviando un correo a [email protected], indicando el derecho que desea ejercer y adjuntando copia de su documento de identidad. Se atenderán las solicitudes en un plazo máximo de 30 días naturales.

Si considera que el tratamiento de sus datos infringe la normativa vigente, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.

10 — Seguridad

Medidas de Seguridad

El responsable aplica las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al artículo 32 del RGPD:

  • Cifrado SSL/TLS (HTTPS): Todas las comunicaciones entre el navegador del usuario y los servidores de LevelCast están cifradas mediante SSL/TLS, impidiendo la interceptación de datos en tránsito.
  • Hash de contraseñas: Las contraseñas se almacenan mediante bcrypt con sal aleatoria. Ningún miembro del equipo tiene acceso a contraseñas en texto plano.
  • Cifrado de credenciales CGM: Las credenciales de acceso a los proveedores CGM se almacenan cifradas. Su transmisión a las APIs de los proveedores se realiza exclusivamente a través de HTTPS.
  • Tokens de sesión seguros: Los tokens de sesión son generados criptográficamente, tienen fecha de expiración y se invalidan al cerrar sesión.
  • Control de acceso: El sistema aplica controles de autorización para que cada usuario solo pueda acceder a sus propios datos.
  • Aislamiento de datos de salud: Los datos de glucosa y salud de cada paciente están asociados al usuario propietario y no son accesibles por otros usuarios.
  • Auditoría de API: Se registran los accesos a la API con fines de auditoría y detección de usos anómalos.

Si detecta o sospecha de un acceso no autorizado a su cuenta, comuníquelo inmediatamente a [email protected].

11 — Cookies

Uso de Cookies

LevelCast utiliza cookies propias y de servicios de analítica para el funcionamiento de la plataforma y el análisis del uso del servicio. Para información completa, consulte la Política de Cookies.

12 — Menores

Menores de Edad

LevelCast no está dirigido a menores de 14 años. El registro en la plataforma está reservado a personas mayores de 14 años. Los usuarios de entre 14 y 18 años deberán contar con el consentimiento de sus padres o tutores legales para utilizar el servicio y registrar sus datos de salud.

Si un progenitor o tutor tiene conocimiento de que su hijo/a menor ha facilitado datos personales sin su consentimiento, deberá contactar en [email protected] para proceder a su eliminación.

13 — Actualizaciones

Cambios en esta Política

El responsable se reserva el derecho a modificar la presente Política de Privacidad para adaptarla a novedades legislativas, jurisprudenciales o cambios en el servicio. Las modificaciones relevantes serán comunicadas a los usuarios por email o mediante aviso destacado en la plataforma, con al menos 15 días de antelación.

La fecha de última actualización figura siempre en el encabezado de este documento. El uso continuado del servicio tras la publicación de cambios constituye la aceptación de la política actualizada.

¿Tienes alguna pregunta sobre privacidad?

[email protected] Política de Cookies Aviso Legal