Last Updated: June 12, 2026
Solaia ("we", "us", "our") operates the Solaia mobile application (the "Service"). This Privacy Policy explains how we collect, process, store, and protect your personal data, including health data (a special category of data under Article 9 of the GDPR).
This policy is written to comply with the EU General Data Protection Regulation (GDPR), the UK GDPR, and applicable national data protection laws.
The data controller responsible for your personal data is:
As a non-EU controller processing personal data of individuals located in the European Union, Solaia LLC has designated an EU Representative who serves as the point of contact for EU supervisory authorities and data subjects:
Processing of your health data is based exclusively on your explicit consent, obtained through a dedicated checkbox displayed in the app before any health data leaves your device.
Users who completed onboarding before the explicit consent flow was introduced are presented with a mandatory consent dialog upon their next app launch.
You can withdraw your consent at any time by deleting your account from the app settings. Withdrawing consent does not affect the lawfulness of processing carried out before withdrawal.
Account creation, authentication, subscription management, and core app functionality are processed to perform the contract between you and us (our Terms of Service).
We use product analytics (Amplitude) to understand how the Service is used and to improve it. No health data values are sent to Amplitude. We send only step identifiers and aggregated metrics (e.g. step completed, button tapped). You can object to this processing at any time by contacting dpo@solaia.app.
The majority of your data is hosted within the European Union to ensure strong data protection:
| Data type | Service | Region |
|---|---|---|
| User documents | Cloud Firestore | eur3 (Multi-region EU) |
| Cloud backups (your synced data) | Cloud Storage | europe-west1 (Belgium) |
| New meal photos | Cloud Storage | europe-west1 (Belgium) |
| Server-side logic | Cloud Functions | europe-west1 (Belgium) |
Meal photos uploaded before June 12, 2026 may remain on a US-based bucket (us-central1, Iowa). These photos are protected by access rules limiting visibility to you alone and are covered under the EU-US Data Privacy Framework (Google LLC certified). They will be migrated or deleted within 6 months.
Some processing partners are located in the United States. All such transfers are protected by the EU-US Data Privacy Framework (DPF) — an adequacy decision by the European Commission ensuring an equivalent level of protection.
| Subprocessor | Purpose | Location | Safeguard |
|---|---|---|---|
| Google LLC (Firebase, Cloud Storage, Firestore, Cloud Functions, Authentication, Messaging) | Hosting, authentication, sync, push notifications | EU (primary), USA (legacy) | DPF |
| Amplitude Inc. | Product analytics (no health data) | USA | DPF |
| Stripe Inc. | Payment processing (web) | USA | DPF |
| RevenueCat Inc. | Subscription management (mobile) | USA | DPF |
| Sentry (Functional Software Inc.) | Crash reporting (no health data values) | USA | DPF |
| OpenAI / Anthropic | Large Language Model for assessment generation | USA | DPF |
| Data type | Retention period |
|---|---|
| Active account data (all categories) | Until account deletion |
| Cloud backups | Until account deletion |
| Meal photos | Until account deletion |
| Amplitude analytics events | 36 months |
| Sentry crash reports | 30 days |
| Inactive account (no login for 24 months) | Automatically deleted after email notice |
After account deletion, residual backups may persist for up to 30 days for technical recovery purposes, then are permanently erased.
To exercise these rights, contact our DPO at dpo@solaia.app. We respond within 30 days (Art. 12.3).
Solaia is not intended for users under the age of 16. We do not knowingly collect personal data from children under 16. If you become aware that a child has provided personal data to us, please contact contact@solaia.app and we will take immediate action to delete it.
We may update this Privacy Policy from time to time. For material changes affecting how we process your health data, we will request renewed explicit consent through an in-app dialog before continuing processing.
Solaia LLC (EIN 37-2219151)
30 N Gould St, STE R, Sheridan, WY 82801, USA
Email: contact@solaia.app
Data Protection Officer: dpo@solaia.app
EU Representative (Art. 27): eu-rep@solaia.app
For complaints, you can contact your national Data Protection Authority. In France:
CNIL (Commission Nationale de l'Informatique et des Libertés)
www.cnil.fr
3 Place de Fontenoy — TSA 80715 — 75334 PARIS CEDEX 07, France
Dernière mise à jour : 12 juin 2026
Solaia (« nous », « notre ») exploite l'application mobile Solaia (le « Service »). Cette politique de confidentialité explique comment nous collectons, traitons, conservons et protégeons vos données personnelles, y compris vos données de santé (catégorie particulière au sens de l'article 9 du RGPD).
Cette politique est conforme au Règlement Général sur la Protection des Données (RGPD) ainsi qu'aux lois nationales applicables.
Le responsable du traitement de vos données est :
En tant que responsable de traitement non établi dans l'Union européenne traitant des données de personnes situées dans l'UE, Solaia LLC a désigné un Représentant UE qui sert de point de contact pour les autorités de contrôle européennes et les personnes concernées :
Le traitement de vos données de santé repose exclusivement sur votre consentement explicite, recueilli via une case à cocher dédiée dans l'application, avant tout transfert de données de santé hors de votre appareil.
Les utilisatrices ayant complété l'onboarding avant la mise en place du flux de consentement explicite se voient présenter une boîte de dialogue de consentement obligatoire à leur prochain lancement de l'app.
Vous pouvez retirer votre consentement à tout moment en supprimant votre compte depuis les paramètres de l'app. Le retrait du consentement ne remet pas en cause la licéité du traitement effectué avant ce retrait.
La création de compte, l'authentification, la gestion d'abonnement et les fonctionnalités essentielles de l'app reposent sur l'exécution du contrat entre vous et nous (nos Conditions Générales d'Utilisation).
Nous utilisons un outil d'analytics produit (Amplitude) pour comprendre comment le Service est utilisé et l'améliorer. Aucune valeur de donnée de santé n'est envoyée à Amplitude. Nous envoyons uniquement des identifiants d'étape et des métriques agrégées (par ex. étape complétée, bouton cliqué). Vous pouvez vous opposer à ce traitement à tout moment en contactant dpo@solaia.app.
La majorité de vos données est hébergée au sein de l'Union Européenne :
| Type de donnée | Service | Région |
|---|---|---|
| Documents utilisateur | Cloud Firestore | eur3 (Multi-régions UE) |
| Sauvegardes cloud (données synchronisées) | Cloud Storage | europe-west1 (Belgique) |
| Nouvelles photos de repas | Cloud Storage | europe-west1 (Belgique) |
| Logique côté serveur | Cloud Functions | europe-west1 (Belgique) |
Les photos de repas envoyées avant le 12 juin 2026 peuvent encore résider sur un bucket américain (us-central1, Iowa). Ces photos sont protégées par des règles d'accès limitant la visibilité à vous seule, et couvertes par le Data Privacy Framework UE-USA (Google LLC certifié). Elles seront migrées ou supprimées dans un délai de 6 mois.
Certains sous-traitants sont situés aux États-Unis. Tous ces transferts sont protégés par le Data Privacy Framework UE-USA (DPF) — une décision d'adéquation de la Commission européenne garantissant un niveau de protection équivalent.
| Sous-traitant | Finalité | Localisation | Garantie |
|---|---|---|---|
| Google LLC (Firebase, Cloud Storage, Firestore, Cloud Functions, Auth, Messaging) | Hébergement, authentification, sync, notifications push | UE (principal), USA (historique) | DPF |
| Amplitude Inc. | Analytics produit (sans donnée de santé) | USA | DPF |
| Stripe Inc. | Paiement (web) | USA | DPF |
| RevenueCat Inc. | Gestion d'abonnement (mobile) | USA | DPF |
| Sentry (Functional Software Inc.) | Rapports de crash (sans valeur de donnée de santé) | USA | DPF |
| OpenAI / Anthropic | LLM pour la génération du bilan | USA | DPF |
| Type de donnée | Durée |
|---|---|
| Compte actif (toutes catégories) | Jusqu'à suppression du compte |
| Sauvegardes cloud | Jusqu'à suppression du compte |
| Photos de repas | Jusqu'à suppression du compte |
| Events analytics Amplitude | 36 mois |
| Rapports de crash Sentry | 30 jours |
| Compte inactif (24 mois sans connexion) | Suppression automatique après notification par email |
Après suppression du compte, des sauvegardes résiduelles peuvent persister jusqu'à 30 jours pour des raisons techniques, puis sont définitivement effacées.
Pour exercer ces droits, contactez notre DPO à dpo@solaia.app. Nous répondons sous 30 jours (Art. 12.3).
Solaia n'est pas destinée aux utilisateurs de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles de mineurs de moins de 16 ans. Si vous constatez qu'un mineur nous a fourni des données personnelles, contactez contact@solaia.app et nous les supprimerons immédiatement.
Nous pouvons mettre à jour cette politique de temps à autre. Pour des changements substantiels affectant le traitement de vos données de santé, nous solliciterons un nouveau consentement explicite via une boîte de dialogue dans l'app avant de poursuivre le traitement.
Solaia LLC (EIN 37-2219151)
30 N Gould St, STE R, Sheridan, WY 82801, USA
Email : contact@solaia.app
Délégué à la Protection des Données : dpo@solaia.app
Représentant UE (Art. 27) : eu-rep@solaia.app
Pour toute réclamation, vous pouvez contacter la CNIL :
CNIL (Commission Nationale de l'Informatique et des Libertés)
www.cnil.fr
3 Place de Fontenoy — TSA 80715 — 75334 PARIS CEDEX 07, France
Zuletzt aktualisiert: 12. Juni 2026
Solaia („wir", „uns", „unser") betreibt die mobile App Solaia (der „Dienst"). Diese Datenschutzerklärung erläutert, wie wir Ihre personenbezogenen Daten, einschließlich Gesundheitsdaten (besondere Kategorie nach Art. 9 DSGVO), erheben, verarbeiten, speichern und schützen.
Diese Richtlinie entspricht der EU-Datenschutz-Grundverordnung (DSGVO) und den anwendbaren nationalen Datenschutzgesetzen.
Verantwortlich für Ihre personenbezogenen Daten ist:
Als nicht in der EU niedergelassener Verantwortlicher, der personenbezogene Daten von in der EU befindlichen Personen verarbeitet, hat Solaia LLC einen EU-Vertreter benannt, der als Ansprechpartner für EU-Aufsichtsbehörden und betroffene Personen dient:
Die Verarbeitung Ihrer Gesundheitsdaten beruht ausschließlich auf Ihrer ausdrücklichen Einwilligung, eingeholt über ein eigenes Kontrollkästchen in der App, bevor irgendwelche Gesundheitsdaten Ihr Gerät verlassen.
Nutzerinnen, die das Onboarding vor Einführung des expliziten Einwilligungsflusses abgeschlossen haben, sehen beim nächsten Start einen verpflichtenden Einwilligungsdialog.
Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie Ihr Konto in den App-Einstellungen löschen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.
Kontoerstellung, Authentifizierung, Abo-Verwaltung und Kernfunktionen der App basieren auf der Erfüllung des Vertrags zwischen Ihnen und uns (unseren Nutzungsbedingungen).
Wir nutzen Produktanalytics (Amplitude), um zu verstehen, wie der Dienst genutzt wird, und ihn zu verbessern. Keine Gesundheitsdatenwerte werden an Amplitude gesendet. Wir senden nur Schritt-Kennungen und aggregierte Metriken (z. B. abgeschlossene Schritte, angetippte Buttons). Sie können dieser Verarbeitung jederzeit widersprechen: dpo@solaia.app.
Der Großteil Ihrer Daten wird innerhalb der Europäischen Union gehostet:
| Datentyp | Dienst | Region |
|---|---|---|
| Nutzerdokumente | Cloud Firestore | eur3 (EU-Multiregion) |
| Cloud-Backups | Cloud Storage | europe-west1 (Belgien) |
| Neue Mahlzeitenfotos | Cloud Storage | europe-west1 (Belgien) |
| Server-Logik | Cloud Functions | europe-west1 (Belgien) |
Mahlzeitenfotos, die vor dem 12. Juni 2026 hochgeladen wurden, liegen evtl. noch in einem US-Bucket (us-central1, Iowa). Diese Fotos sind durch Zugriffsregeln auf Sie allein beschränkt und unterliegen dem EU-US Data Privacy Framework (Google LLC zertifiziert). Sie werden innerhalb von 6 Monaten migriert oder gelöscht.
Einige Auftragsverarbeiter befinden sich in den USA. Alle Übermittlungen sind durch das EU-US Data Privacy Framework (DPF) abgesichert — ein Angemessenheitsbeschluss der Europäischen Kommission.
| Auftragsverarbeiter | Zweck | Standort | Schutz |
|---|---|---|---|
| Google LLC (Firebase, Cloud Storage, Firestore, Cloud Functions, Auth, Messaging) | Hosting, Authentifizierung, Sync, Push-Benachrichtigungen | EU (primär), USA (Altdaten) | DPF |
| Amplitude Inc. | Produktanalytics (keine Gesundheitsdaten) | USA | DPF |
| Stripe Inc. | Zahlungsabwicklung (Web) | USA | DPF |
| RevenueCat Inc. | Abo-Verwaltung (Mobile) | USA | DPF |
| Sentry (Functional Software Inc.) | Crash-Berichte (ohne Gesundheitsdatenwerte) | USA | DPF |
| OpenAI / Anthropic | LLM für die Auswertungserstellung | USA | DPF |
| Datentyp | Dauer |
|---|---|
| Aktive Kontodaten (alle Kategorien) | Bis zur Kontolöschung |
| Cloud-Backups | Bis zur Kontolöschung |
| Mahlzeitenfotos | Bis zur Kontolöschung |
| Amplitude-Analytics-Events | 36 Monate |
| Sentry-Crash-Berichte | 30 Tage |
| Inaktives Konto (24 Monate ohne Login) | Automatische Löschung nach E-Mail-Hinweis |
Nach der Kontolöschung können Rest-Backups bis zu 30 Tage für technische Wiederherstellung bestehen bleiben und werden dann endgültig gelöscht.
Zur Ausübung dieser Rechte kontaktieren Sie unseren DPO: dpo@solaia.app. Wir antworten innerhalb von 30 Tagen (Art. 12.3).
Solaia richtet sich nicht an Nutzer unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen unter 16 Jahren. Sollten Sie feststellen, dass ein Minderjähriger uns Daten übermittelt hat, kontaktieren Sie contact@solaia.app, und wir löschen sie umgehend.
Wir können diese Richtlinie von Zeit zu Zeit aktualisieren. Bei wesentlichen Änderungen der Verarbeitung Ihrer Gesundheitsdaten holen wir eine erneute ausdrückliche Einwilligung über einen In-App-Dialog ein.
Solaia LLC (EIN 37-2219151)
30 N Gould St, STE R, Sheridan, WY 82801, USA
E-Mail: contact@solaia.app
Datenschutzbeauftragter: dpo@solaia.app
EU-Vertreter (Art. 27): eu-rep@solaia.app
Bei Beschwerden können Sie sich an Ihre nationale Aufsichtsbehörde wenden, z. B.:
BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit)
www.bfdi.bund.de
Última actualización: 12 de junio de 2026
Solaia («nosotros», «nuestro») opera la aplicación móvil Solaia (el «Servicio»). Esta Política de Privacidad explica cómo recopilamos, procesamos, almacenamos y protegemos tus datos personales, incluidos los datos de salud (categoría especial según el artículo 9 del RGPD).
Esta política cumple con el Reglamento General de Protección de Datos (RGPD) de la UE y las leyes nacionales aplicables.
El responsable del tratamiento de tus datos es:
Como responsable no establecido en la UE que trata datos de personas situadas en la Unión Europea, Solaia LLC ha designado un Representante en la UE como punto de contacto con las autoridades de control europeas y los interesados:
El tratamiento de tus datos de salud se basa exclusivamente en tu consentimiento explícito, recabado mediante una casilla de verificación dedicada en la app, antes de que ningún dato de salud salga de tu dispositivo.
Las usuarias que completaron el onboarding antes de la implementación del flujo de consentimiento explícito ven un diálogo de consentimiento obligatorio al siguiente arranque de la app.
Puedes retirar tu consentimiento en cualquier momento eliminando tu cuenta desde los ajustes de la app. La retirada no afecta la licitud del tratamiento previo.
La creación de cuenta, autenticación, gestión de suscripción y funcionalidades centrales se procesan para ejecutar el contrato entre tú y nosotros (nuestros Términos del Servicio).
Usamos analítica de producto (Amplitude) para entender cómo se usa el Servicio y mejorarlo. No se envían valores de datos de salud a Amplitude. Solo enviamos identificadores de paso y métricas agregadas (p. ej. paso completado, botón tocado). Puedes oponerte a este tratamiento en cualquier momento: dpo@solaia.app.
La mayoría de tus datos se alojan dentro de la Unión Europea:
| Tipo de dato | Servicio | Región |
|---|---|---|
| Documentos de usuario | Cloud Firestore | eur3 (multirregión UE) |
| Copias de seguridad en la nube | Cloud Storage | europe-west1 (Bélgica) |
| Nuevas fotos de comidas | Cloud Storage | europe-west1 (Bélgica) |
| Lógica del servidor | Cloud Functions | europe-west1 (Bélgica) |
Las fotos de comidas subidas antes del 12 de junio de 2026 pueden permanecer en un bucket de EE. UU. (us-central1, Iowa). Estas fotos están protegidas por reglas de acceso que limitan la visibilidad a ti sola y cubiertas por el Data Privacy Framework UE-EE. UU. (Google LLC certificado). Serán migradas o eliminadas en un plazo de 6 meses.
Algunos subprocesadores están en EE. UU. Todas las transferencias están protegidas por el Data Privacy Framework UE-EE. UU. (DPF) — decisión de adecuación de la Comisión Europea.
| Subprocesador | Finalidad | Localización | Salvaguarda |
|---|---|---|---|
| Google LLC (Firebase, Cloud Storage, Firestore, Cloud Functions, Auth, Messaging) | Hosting, autenticación, sincronización, notificaciones push | UE (principal), EE. UU. (heredado) | DPF |
| Amplitude Inc. | Analítica de producto (sin datos de salud) | EE. UU. | DPF |
| Stripe Inc. | Pagos (web) | EE. UU. | DPF |
| RevenueCat Inc. | Gestión de suscripción (móvil) | EE. UU. | DPF |
| Sentry (Functional Software Inc.) | Informes de fallos (sin valores de datos de salud) | EE. UU. | DPF |
| OpenAI / Anthropic | LLM para generación de la evaluación | EE. UU. | DPF |
| Tipo de dato | Plazo |
|---|---|
| Cuenta activa (todas las categorías) | Hasta la eliminación de la cuenta |
| Copias en la nube | Hasta la eliminación de la cuenta |
| Fotos de comidas | Hasta la eliminación de la cuenta |
| Eventos de analítica Amplitude | 36 meses |
| Informes de fallos Sentry | 30 días |
| Cuenta inactiva (24 meses sin login) | Eliminación automática tras aviso por email |
Tras la eliminación de la cuenta, las copias de seguridad residuales pueden persistir hasta 30 días por motivos técnicos de recuperación, luego son borradas permanentemente.
Para ejercer estos derechos, contacta con nuestro DPO: dpo@solaia.app. Respondemos en 30 días (Art. 12.3).
Solaia no está destinada a usuarios menores de 16 años. No recopilamos a sabiendas datos personales de menores de 16 años. Si detectas que un menor nos ha facilitado datos, contacta con contact@solaia.app y los eliminaremos de inmediato.
Podemos actualizar esta política puntualmente. Para cambios sustanciales que afecten al tratamiento de datos de salud, solicitaremos un nuevo consentimiento explícito mediante un diálogo en la app antes de continuar.
Solaia LLC (EIN 37-2219151)
30 N Gould St, STE R, Sheridan, WY 82801, USA
Email: contact@solaia.app
Delegado de Protección de Datos: dpo@solaia.app
Representante UE (Art. 27): eu-rep@solaia.app
Para reclamaciones, puedes contactar con tu autoridad nacional. En España:
AEPD (Agencia Española de Protección de Datos)
www.aepd.es