Privacy Policy

Last Updated: June 12, 2026

Solaia ("we", "us", "our") operates the Solaia mobile application (the "Service"). This Privacy Policy explains how we collect, process, store, and protect your personal data, including health data (a special category of data under Article 9 of the GDPR).

This policy is written to comply with the EU General Data Protection Regulation (GDPR), the UK GDPR, and applicable national data protection laws.

1. Data Controller

The data controller responsible for your personal data is:

1.1 EU Representative (GDPR Art. 27)

As a non-EU controller processing personal data of individuals located in the European Union, Solaia LLC has designated an EU Representative who serves as the point of contact for EU supervisory authorities and data subjects:

2. Categories of Personal Data We Process

2.1 Account & Profile Data

2.2 Health Data (GDPR Art. 9 — Special Category)

2.3 Visual Data

2.4 Usage & Technical Data

3. Legal Basis for Processing

3.1 Health Data — Explicit Consent (Art. 9.2.a)

Processing of your health data is based exclusively on your explicit consent, obtained through a dedicated checkbox displayed in the app before any health data leaves your device.

Users who completed onboarding before the explicit consent flow was introduced are presented with a mandatory consent dialog upon their next app launch.

You can withdraw your consent at any time by deleting your account from the app settings. Withdrawing consent does not affect the lawfulness of processing carried out before withdrawal.

3.2 Account & Service Operation — Contract (Art. 6.1.b)

Account creation, authentication, subscription management, and core app functionality are processed to perform the contract between you and us (our Terms of Service).

3.3 Product Analytics — Legitimate Interest (Art. 6.1.f)

We use product analytics (Amplitude) to understand how the Service is used and to improve it. No health data values are sent to Amplitude. We send only step identifiers and aggregated metrics (e.g. step completed, button tapped). You can object to this processing at any time by contacting dpo@solaia.app.

4. Where Your Data Is Stored

The majority of your data is hosted within the European Union to ensure strong data protection:

Data typeServiceRegion
User documentsCloud Firestoreeur3 (Multi-region EU)
Cloud backups (your synced data)Cloud Storageeurope-west1 (Belgium)
New meal photosCloud Storageeurope-west1 (Belgium)
Server-side logicCloud Functionseurope-west1 (Belgium)

4.1 Legacy data

Meal photos uploaded before June 12, 2026 may remain on a US-based bucket (us-central1, Iowa). These photos are protected by access rules limiting visibility to you alone and are covered under the EU-US Data Privacy Framework (Google LLC certified). They will be migrated or deleted within 6 months.

4.2 Transfers outside the EU

Some processing partners are located in the United States. All such transfers are protected by the EU-US Data Privacy Framework (DPF) — an adequacy decision by the European Commission ensuring an equivalent level of protection.

5. Subprocessors

SubprocessorPurposeLocationSafeguard
Google LLC (Firebase, Cloud Storage, Firestore, Cloud Functions, Authentication, Messaging)Hosting, authentication, sync, push notificationsEU (primary), USA (legacy)DPF
Amplitude Inc.Product analytics (no health data)USADPF
Stripe Inc.Payment processing (web)USADPF
RevenueCat Inc.Subscription management (mobile)USADPF
Sentry (Functional Software Inc.)Crash reporting (no health data values)USADPF
OpenAI / AnthropicLarge Language Model for assessment generationUSADPF

6. Data Retention

Data typeRetention period
Active account data (all categories)Until account deletion
Cloud backupsUntil account deletion
Meal photosUntil account deletion
Amplitude analytics events36 months
Sentry crash reports30 days
Inactive account (no login for 24 months)Automatically deleted after email notice

After account deletion, residual backups may persist for up to 30 days for technical recovery purposes, then are permanently erased.

7. Your Rights Under GDPR

To exercise these rights, contact our DPO at dpo@solaia.app. We respond within 30 days (Art. 12.3).

8. Security Measures

9. Children's Privacy

Solaia is not intended for users under the age of 16. We do not knowingly collect personal data from children under 16. If you become aware that a child has provided personal data to us, please contact contact@solaia.app and we will take immediate action to delete it.

10. Changes to This Policy

We may update this Privacy Policy from time to time. For material changes affecting how we process your health data, we will request renewed explicit consent through an in-app dialog before continuing processing.

11. Contact

Solaia LLC (EIN 37-2219151)
30 N Gould St, STE R, Sheridan, WY 82801, USA
Email: contact@solaia.app
Data Protection Officer: dpo@solaia.app
EU Representative (Art. 27): eu-rep@solaia.app

For complaints, you can contact your national Data Protection Authority. In France:

CNIL (Commission Nationale de l'Informatique et des Libertés)
www.cnil.fr
3 Place de Fontenoy — TSA 80715 — 75334 PARIS CEDEX 07, France

Politique de confidentialité

Dernière mise à jour : 12 juin 2026

Solaia (« nous », « notre ») exploite l'application mobile Solaia (le « Service »). Cette politique de confidentialité explique comment nous collectons, traitons, conservons et protégeons vos données personnelles, y compris vos données de santé (catégorie particulière au sens de l'article 9 du RGPD).

Cette politique est conforme au Règlement Général sur la Protection des Données (RGPD) ainsi qu'aux lois nationales applicables.

1. Responsable du traitement

Le responsable du traitement de vos données est :

1.1 Représentant UE (Art. 27 RGPD)

En tant que responsable de traitement non établi dans l'Union européenne traitant des données de personnes situées dans l'UE, Solaia LLC a désigné un Représentant UE qui sert de point de contact pour les autorités de contrôle européennes et les personnes concernées :

2. Catégories de données personnelles traitées

2.1 Compte et profil

2.2 Données de santé (RGPD Art. 9 — Catégorie particulière)

2.3 Données visuelles

2.4 Données d'usage et techniques

3. Base légale du traitement

3.1 Données de santé — Consentement explicite (Art. 9.2.a)

Le traitement de vos données de santé repose exclusivement sur votre consentement explicite, recueilli via une case à cocher dédiée dans l'application, avant tout transfert de données de santé hors de votre appareil.

Les utilisatrices ayant complété l'onboarding avant la mise en place du flux de consentement explicite se voient présenter une boîte de dialogue de consentement obligatoire à leur prochain lancement de l'app.

Vous pouvez retirer votre consentement à tout moment en supprimant votre compte depuis les paramètres de l'app. Le retrait du consentement ne remet pas en cause la licéité du traitement effectué avant ce retrait.

3.2 Compte et fonctionnement — Contrat (Art. 6.1.b)

La création de compte, l'authentification, la gestion d'abonnement et les fonctionnalités essentielles de l'app reposent sur l'exécution du contrat entre vous et nous (nos Conditions Générales d'Utilisation).

3.3 Analytics produit — Intérêt légitime (Art. 6.1.f)

Nous utilisons un outil d'analytics produit (Amplitude) pour comprendre comment le Service est utilisé et l'améliorer. Aucune valeur de donnée de santé n'est envoyée à Amplitude. Nous envoyons uniquement des identifiants d'étape et des métriques agrégées (par ex. étape complétée, bouton cliqué). Vous pouvez vous opposer à ce traitement à tout moment en contactant dpo@solaia.app.

4. Où sont stockées vos données

La majorité de vos données est hébergée au sein de l'Union Européenne :

Type de donnéeServiceRégion
Documents utilisateurCloud Firestoreeur3 (Multi-régions UE)
Sauvegardes cloud (données synchronisées)Cloud Storageeurope-west1 (Belgique)
Nouvelles photos de repasCloud Storageeurope-west1 (Belgique)
Logique côté serveurCloud Functionseurope-west1 (Belgique)

4.1 Données historiques

Les photos de repas envoyées avant le 12 juin 2026 peuvent encore résider sur un bucket américain (us-central1, Iowa). Ces photos sont protégées par des règles d'accès limitant la visibilité à vous seule, et couvertes par le Data Privacy Framework UE-USA (Google LLC certifié). Elles seront migrées ou supprimées dans un délai de 6 mois.

4.2 Transferts hors UE

Certains sous-traitants sont situés aux États-Unis. Tous ces transferts sont protégés par le Data Privacy Framework UE-USA (DPF) — une décision d'adéquation de la Commission européenne garantissant un niveau de protection équivalent.

5. Sous-traitants

Sous-traitantFinalitéLocalisationGarantie
Google LLC (Firebase, Cloud Storage, Firestore, Cloud Functions, Auth, Messaging)Hébergement, authentification, sync, notifications pushUE (principal), USA (historique)DPF
Amplitude Inc.Analytics produit (sans donnée de santé)USADPF
Stripe Inc.Paiement (web)USADPF
RevenueCat Inc.Gestion d'abonnement (mobile)USADPF
Sentry (Functional Software Inc.)Rapports de crash (sans valeur de donnée de santé)USADPF
OpenAI / AnthropicLLM pour la génération du bilanUSADPF

6. Durée de conservation

Type de donnéeDurée
Compte actif (toutes catégories)Jusqu'à suppression du compte
Sauvegardes cloudJusqu'à suppression du compte
Photos de repasJusqu'à suppression du compte
Events analytics Amplitude36 mois
Rapports de crash Sentry30 jours
Compte inactif (24 mois sans connexion)Suppression automatique après notification par email

Après suppression du compte, des sauvegardes résiduelles peuvent persister jusqu'à 30 jours pour des raisons techniques, puis sont définitivement effacées.

7. Vos droits au titre du RGPD

Pour exercer ces droits, contactez notre DPO à dpo@solaia.app. Nous répondons sous 30 jours (Art. 12.3).

8. Mesures de sécurité

9. Protection des mineurs

Solaia n'est pas destinée aux utilisateurs de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles de mineurs de moins de 16 ans. Si vous constatez qu'un mineur nous a fourni des données personnelles, contactez contact@solaia.app et nous les supprimerons immédiatement.

10. Modifications de cette politique

Nous pouvons mettre à jour cette politique de temps à autre. Pour des changements substantiels affectant le traitement de vos données de santé, nous solliciterons un nouveau consentement explicite via une boîte de dialogue dans l'app avant de poursuivre le traitement.

11. Contact

Solaia LLC (EIN 37-2219151)
30 N Gould St, STE R, Sheridan, WY 82801, USA
Email : contact@solaia.app
Délégué à la Protection des Données : dpo@solaia.app
Représentant UE (Art. 27) : eu-rep@solaia.app

Pour toute réclamation, vous pouvez contacter la CNIL :

CNIL (Commission Nationale de l'Informatique et des Libertés)
www.cnil.fr
3 Place de Fontenoy — TSA 80715 — 75334 PARIS CEDEX 07, France

Datenschutzerklärung

Zuletzt aktualisiert: 12. Juni 2026

Solaia („wir", „uns", „unser") betreibt die mobile App Solaia (der „Dienst"). Diese Datenschutzerklärung erläutert, wie wir Ihre personenbezogenen Daten, einschließlich Gesundheitsdaten (besondere Kategorie nach Art. 9 DSGVO), erheben, verarbeiten, speichern und schützen.

Diese Richtlinie entspricht der EU-Datenschutz-Grundverordnung (DSGVO) und den anwendbaren nationalen Datenschutzgesetzen.

1. Verantwortlicher

Verantwortlich für Ihre personenbezogenen Daten ist:

1.1 EU-Vertreter (Art. 27 DSGVO)

Als nicht in der EU niedergelassener Verantwortlicher, der personenbezogene Daten von in der EU befindlichen Personen verarbeitet, hat Solaia LLC einen EU-Vertreter benannt, der als Ansprechpartner für EU-Aufsichtsbehörden und betroffene Personen dient:

2. Kategorien verarbeiteter Daten

2.1 Konto- und Profildaten

2.2 Gesundheitsdaten (DSGVO Art. 9 — besondere Kategorie)

2.3 Visuelle Daten

2.4 Nutzungs- und technische Daten

3. Rechtsgrundlage der Verarbeitung

3.1 Gesundheitsdaten — Ausdrückliche Einwilligung (Art. 9.2.a)

Die Verarbeitung Ihrer Gesundheitsdaten beruht ausschließlich auf Ihrer ausdrücklichen Einwilligung, eingeholt über ein eigenes Kontrollkästchen in der App, bevor irgendwelche Gesundheitsdaten Ihr Gerät verlassen.

Nutzerinnen, die das Onboarding vor Einführung des expliziten Einwilligungsflusses abgeschlossen haben, sehen beim nächsten Start einen verpflichtenden Einwilligungsdialog.

Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie Ihr Konto in den App-Einstellungen löschen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

3.2 Konto und Betrieb — Vertrag (Art. 6.1.b)

Kontoerstellung, Authentifizierung, Abo-Verwaltung und Kernfunktionen der App basieren auf der Erfüllung des Vertrags zwischen Ihnen und uns (unseren Nutzungsbedingungen).

3.3 Produktanalytics — Berechtigtes Interesse (Art. 6.1.f)

Wir nutzen Produktanalytics (Amplitude), um zu verstehen, wie der Dienst genutzt wird, und ihn zu verbessern. Keine Gesundheitsdatenwerte werden an Amplitude gesendet. Wir senden nur Schritt-Kennungen und aggregierte Metriken (z. B. abgeschlossene Schritte, angetippte Buttons). Sie können dieser Verarbeitung jederzeit widersprechen: dpo@solaia.app.

4. Wo Ihre Daten gespeichert werden

Der Großteil Ihrer Daten wird innerhalb der Europäischen Union gehostet:

DatentypDienstRegion
NutzerdokumenteCloud Firestoreeur3 (EU-Multiregion)
Cloud-BackupsCloud Storageeurope-west1 (Belgien)
Neue MahlzeitenfotosCloud Storageeurope-west1 (Belgien)
Server-LogikCloud Functionseurope-west1 (Belgien)

4.1 Altdaten

Mahlzeitenfotos, die vor dem 12. Juni 2026 hochgeladen wurden, liegen evtl. noch in einem US-Bucket (us-central1, Iowa). Diese Fotos sind durch Zugriffsregeln auf Sie allein beschränkt und unterliegen dem EU-US Data Privacy Framework (Google LLC zertifiziert). Sie werden innerhalb von 6 Monaten migriert oder gelöscht.

4.2 Übermittlungen außerhalb der EU

Einige Auftragsverarbeiter befinden sich in den USA. Alle Übermittlungen sind durch das EU-US Data Privacy Framework (DPF) abgesichert — ein Angemessenheitsbeschluss der Europäischen Kommission.

5. Auftragsverarbeiter

AuftragsverarbeiterZweckStandortSchutz
Google LLC (Firebase, Cloud Storage, Firestore, Cloud Functions, Auth, Messaging)Hosting, Authentifizierung, Sync, Push-BenachrichtigungenEU (primär), USA (Altdaten)DPF
Amplitude Inc.Produktanalytics (keine Gesundheitsdaten)USADPF
Stripe Inc.Zahlungsabwicklung (Web)USADPF
RevenueCat Inc.Abo-Verwaltung (Mobile)USADPF
Sentry (Functional Software Inc.)Crash-Berichte (ohne Gesundheitsdatenwerte)USADPF
OpenAI / AnthropicLLM für die AuswertungserstellungUSADPF

6. Speicherdauer

DatentypDauer
Aktive Kontodaten (alle Kategorien)Bis zur Kontolöschung
Cloud-BackupsBis zur Kontolöschung
MahlzeitenfotosBis zur Kontolöschung
Amplitude-Analytics-Events36 Monate
Sentry-Crash-Berichte30 Tage
Inaktives Konto (24 Monate ohne Login)Automatische Löschung nach E-Mail-Hinweis

Nach der Kontolöschung können Rest-Backups bis zu 30 Tage für technische Wiederherstellung bestehen bleiben und werden dann endgültig gelöscht.

7. Ihre Rechte nach DSGVO

Zur Ausübung dieser Rechte kontaktieren Sie unseren DPO: dpo@solaia.app. Wir antworten innerhalb von 30 Tagen (Art. 12.3).

8. Sicherheitsmaßnahmen

9. Minderjährige

Solaia richtet sich nicht an Nutzer unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen unter 16 Jahren. Sollten Sie feststellen, dass ein Minderjähriger uns Daten übermittelt hat, kontaktieren Sie contact@solaia.app, und wir löschen sie umgehend.

10. Änderungen dieser Richtlinie

Wir können diese Richtlinie von Zeit zu Zeit aktualisieren. Bei wesentlichen Änderungen der Verarbeitung Ihrer Gesundheitsdaten holen wir eine erneute ausdrückliche Einwilligung über einen In-App-Dialog ein.

11. Kontakt

Solaia LLC (EIN 37-2219151)
30 N Gould St, STE R, Sheridan, WY 82801, USA
E-Mail: contact@solaia.app
Datenschutzbeauftragter: dpo@solaia.app
EU-Vertreter (Art. 27): eu-rep@solaia.app

Bei Beschwerden können Sie sich an Ihre nationale Aufsichtsbehörde wenden, z. B.:

BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit)
www.bfdi.bund.de

Política de Privacidad

Última actualización: 12 de junio de 2026

Solaia («nosotros», «nuestro») opera la aplicación móvil Solaia (el «Servicio»). Esta Política de Privacidad explica cómo recopilamos, procesamos, almacenamos y protegemos tus datos personales, incluidos los datos de salud (categoría especial según el artículo 9 del RGPD).

Esta política cumple con el Reglamento General de Protección de Datos (RGPD) de la UE y las leyes nacionales aplicables.

1. Responsable del tratamiento

El responsable del tratamiento de tus datos es:

1.1 Representante en la UE (Art. 27 RGPD)

Como responsable no establecido en la UE que trata datos de personas situadas en la Unión Europea, Solaia LLC ha designado un Representante en la UE como punto de contacto con las autoridades de control europeas y los interesados:

2. Categorías de datos personales tratados

2.1 Datos de cuenta y perfil

2.2 Datos de salud (RGPD Art. 9 — categoría especial)

2.3 Datos visuales

2.4 Datos de uso y técnicos

3. Base legal del tratamiento

3.1 Datos de salud — Consentimiento explícito (Art. 9.2.a)

El tratamiento de tus datos de salud se basa exclusivamente en tu consentimiento explícito, recabado mediante una casilla de verificación dedicada en la app, antes de que ningún dato de salud salga de tu dispositivo.

Las usuarias que completaron el onboarding antes de la implementación del flujo de consentimiento explícito ven un diálogo de consentimiento obligatorio al siguiente arranque de la app.

Puedes retirar tu consentimiento en cualquier momento eliminando tu cuenta desde los ajustes de la app. La retirada no afecta la licitud del tratamiento previo.

3.2 Cuenta y operación — Contrato (Art. 6.1.b)

La creación de cuenta, autenticación, gestión de suscripción y funcionalidades centrales se procesan para ejecutar el contrato entre tú y nosotros (nuestros Términos del Servicio).

3.3 Analítica de producto — Interés legítimo (Art. 6.1.f)

Usamos analítica de producto (Amplitude) para entender cómo se usa el Servicio y mejorarlo. No se envían valores de datos de salud a Amplitude. Solo enviamos identificadores de paso y métricas agregadas (p. ej. paso completado, botón tocado). Puedes oponerte a este tratamiento en cualquier momento: dpo@solaia.app.

4. Dónde se almacenan tus datos

La mayoría de tus datos se alojan dentro de la Unión Europea:

Tipo de datoServicioRegión
Documentos de usuarioCloud Firestoreeur3 (multirregión UE)
Copias de seguridad en la nubeCloud Storageeurope-west1 (Bélgica)
Nuevas fotos de comidasCloud Storageeurope-west1 (Bélgica)
Lógica del servidorCloud Functionseurope-west1 (Bélgica)

4.1 Datos heredados

Las fotos de comidas subidas antes del 12 de junio de 2026 pueden permanecer en un bucket de EE. UU. (us-central1, Iowa). Estas fotos están protegidas por reglas de acceso que limitan la visibilidad a ti sola y cubiertas por el Data Privacy Framework UE-EE. UU. (Google LLC certificado). Serán migradas o eliminadas en un plazo de 6 meses.

4.2 Transferencias fuera de la UE

Algunos subprocesadores están en EE. UU. Todas las transferencias están protegidas por el Data Privacy Framework UE-EE. UU. (DPF) — decisión de adecuación de la Comisión Europea.

5. Subprocesadores

SubprocesadorFinalidadLocalizaciónSalvaguarda
Google LLC (Firebase, Cloud Storage, Firestore, Cloud Functions, Auth, Messaging)Hosting, autenticación, sincronización, notificaciones pushUE (principal), EE. UU. (heredado)DPF
Amplitude Inc.Analítica de producto (sin datos de salud)EE. UU.DPF
Stripe Inc.Pagos (web)EE. UU.DPF
RevenueCat Inc.Gestión de suscripción (móvil)EE. UU.DPF
Sentry (Functional Software Inc.)Informes de fallos (sin valores de datos de salud)EE. UU.DPF
OpenAI / AnthropicLLM para generación de la evaluaciónEE. UU.DPF

6. Plazos de conservación

Tipo de datoPlazo
Cuenta activa (todas las categorías)Hasta la eliminación de la cuenta
Copias en la nubeHasta la eliminación de la cuenta
Fotos de comidasHasta la eliminación de la cuenta
Eventos de analítica Amplitude36 meses
Informes de fallos Sentry30 días
Cuenta inactiva (24 meses sin login)Eliminación automática tras aviso por email

Tras la eliminación de la cuenta, las copias de seguridad residuales pueden persistir hasta 30 días por motivos técnicos de recuperación, luego son borradas permanentemente.

7. Tus derechos según el RGPD

Para ejercer estos derechos, contacta con nuestro DPO: dpo@solaia.app. Respondemos en 30 días (Art. 12.3).

8. Medidas de seguridad

9. Menores

Solaia no está destinada a usuarios menores de 16 años. No recopilamos a sabiendas datos personales de menores de 16 años. Si detectas que un menor nos ha facilitado datos, contacta con contact@solaia.app y los eliminaremos de inmediato.

10. Cambios en esta política

Podemos actualizar esta política puntualmente. Para cambios sustanciales que afecten al tratamiento de datos de salud, solicitaremos un nuevo consentimiento explícito mediante un diálogo en la app antes de continuar.

11. Contacto

Solaia LLC (EIN 37-2219151)
30 N Gould St, STE R, Sheridan, WY 82801, USA
Email: contact@solaia.app
Delegado de Protección de Datos: dpo@solaia.app
Representante UE (Art. 27): eu-rep@solaia.app

Para reclamaciones, puedes contactar con tu autoridad nacional. En España:

AEPD (Agencia Española de Protección de Datos)
www.aepd.es