Cómo Therapy withVR se relaciona con leyes, normas y marcos

Resumen

El detalle y las citas de fuente para cada fila aparecen en las secciones siguientes, organizadas según las nueve categorías de la Technology Checklist for SLPs.

Una nota sobre la estructura. Las secciones siguientes reflejan las nueve categorías de nuestra Technology Checklist for SLPs pública - el mismo marco que recomendamos a los clínicos para evaluar cualquier tecnología, incluida esta. Esta página es el ejemplo desarrollado para nuestro propio producto.

1. Privacidad de datos y cumplimiento

GDPR y UK GDPR

withVR BV es el responsable del tratamiento de los datos personales procesados a través de Therapy withVR. Todos los datos de la plataforma se alojan en Google Cloud / Firebase en Frankfurt, Alemania (europe-west1) - dentro del EEE. Los datos personales se tratan lícitamente según GDPR Article 6 sobre las bases de ejecución contractual, intereses legítimos, obligación legal y consentimiento (para comunicaciones de marketing). Los datos personales del Reino Unido se tratan bajo UK GDPR con bases jurídicas equivalentes. Las transferencias del Reino Unido a terceros países se rigen por el UK IDTA o el UK Addendum to EU SCCs, según corresponda. Los interesados disponen de plenos derechos de acceso, rectificación, supresión, limitación, portabilidad, oposición y retirada del consentimiento conforme a GDPR Articles 15-22.

Fuente: Privacy Policy §3, §7, §9 · Terms of Service §11

HIPAA - fuera del alcance por diseño

Therapy withVR no es una HIPAA covered entity y no funciona como Business Associate bajo HIPAA. La plataforma está diseñada de manera que la Protected Health Information (PHI) no entra al sistema - no se almacenan registros clínicos, diagnósticos, identificadores de pacientes ni historias clínicas. Para entornos sanitarios estadounidenses, la plataforma queda fuera del alcance de los requisitos de Business Associate Agreement por diseño. Que un proveedor no tenga BAA no implica necesariamente incumplimiento; en nuestro caso significa que la arquitectura evita la PHI desde el diseño. Los usuarios en entornos sanitarios estadounidenses son responsables de garantizar que ninguna PHI se introduzca en la plataforma.

Fuente: Privacy Policy §12 · ToS §11.1

FERPA - fuera del alcance por diseño

Las obligaciones FERPA recaen en las instituciones educativas, no en los proveedores. Therapy withVR no está directamente sujeta a FERPA. La plataforma está diseñada de modo que los expedientes educativos del estudiante no necesitan entrar al sistema - los datos de sesión consisten únicamente en ajustes de configuración y etiquetas de texto, que no constituyen un expediente educativo según la definición FERPA. El profesional supervisor es responsable de asegurar que no se introduzcan datos protegidos por FERPA. Para distritos escolares estadounidenses, withVR BV revisará el acuerdo FERPA estándar de su institución o el Student Data Privacy Consortium (SDPC) National DPA y trabajará con ustedes para encontrar un camino apropiado - firmar tal como se presenta cuando los términos sean viables, proponer enmiendas cuando sea necesario, o aportar una plantilla withVR en su lugar. Contacten legal@withvr.app para iniciar la conversación.

Fuente: Educational Use Policy §3.1, §7 · Privacy Policy §13

COPPA

COPPA se aplica a servicios en línea que recopilan información personal de menores de 13 años. Therapy withVR no está dirigida a niños y no recopila información personal directamente de ningún usuario, incluidos los niños. Cuando la plataforma se utiliza con menores de 13 años en un contexto escolar, la escuela actúa como titular de la cuenta bajo la school official exception de COPPA - los estudiantes no interactúan directamente con la plataforma como usuarios. Las instituciones educativas son responsables de los procedimientos de consentimiento parental aplicables a su jurisdicción.

Fuente: Educational Use Policy §3.2

Leyes estatales y regionales de privacidad estudiantil

Diversos estados de EE. UU. han promulgado leyes de privacidad estudiantil más allá de FERPA - incluidos California (SOPIPA), Nueva York (Education Law 2-d), Colorado, Texas y otros. Los compromisos arquitectónicos anteriores (sin recogida de PII, sin publicidad a estudiantes, sin venta de datos, sin seguimiento conductual, sin elaboración de perfiles) están diseñados para apoyar el cumplimiento de estos marcos. Las instituciones en jurisdicciones con requisitos específicos más allá de lo descrito aquí pueden solicitar acuerdos suplementarios desde legal@withvr.app.

Fuente: Educational Use Policy §3.4

Alojamiento, transferencias y subencargados

Todos los datos de la plataforma se alojan en Google Cloud / Firebase en Frankfurt, Alemania. Las transferencias a OpenAI (Estados Unidos, solo para funciones de IA opcionales) se rigen por las EU Standard Contractual Clauses 2021 conforme a GDPR Article 46(2)(c). Las transferencias de Stripe operan bajo SCCs y participación en el EU-US Data Privacy Framework cuando proceda. La lista completa de subencargados con el rol, ubicación y mecanismo de transferencia de cada proveedor se publica en withvr.app/sub-processor-list; se da aviso con al menos 30 días de antelación antes de añadir cualquier nuevo subencargado.

Fuente: Privacy Policy §5, §7 · Sub-Processor List

Datos que no recopilamos

Sin grabaciones de audio o vídeo de las sesiones. Sin muestras de habla de la persona dentro de VR. Sin datos biométricos de los sensores del visor VR. Sin PHI. Sin expedientes educativos. Sin datos de localización precisa. Sin datos financieros de pago (Stripe gestiona las tarjetas). Sin categorías especiales de datos bajo GDPR Article 9. Los nombres de perfil se cifran a nivel de aplicación mediante AES-256 con vectores de inicialización únicos por registro.

Fuente: Privacy Policy §2.6, §8

Plazos de conservación

Datos de cuenta y suscripción: 5 años tras la finalización de la suscripción (plazo belga de prescripción comercial). Datos de sesión y perfil: 3 años tras la finalización de la suscripción. Datos de investigación bajo un Research Agreement: 24 meses tras el fin del proyecto. Registros contables: 7 años (ley contable belga). Se puede solicitar la supresión anticipada en cualquier momento en legal@withvr.app y se atiende en un plazo de 30 días, salvo cuando la ley exija una conservación más larga.

Fuente: Privacy Policy §6

2. IA y transparencia

Clasificación bajo el EU AI Act

Therapy withVR ha sido evaluada formalmente conforme al EU AI Act y no está clasificada como sistema de IA de alto riesgo bajo Article 6 ni Annex III. No evalúa resultados de aprendizaje, no monitorea el comportamiento del estudiante, no califica evaluaciones, no realiza toma de decisiones clínicas y no asiste funciones de dispositivo médico. Aun si se considerase que alguna funcionalidad incide en una categoría del Annex III, se aplicarían las exenciones del Article 6(3) (tareas procedimentales acotadas, mejorar el resultado de una actividad humana previa, no sustituir la evaluación humana). No se requiere evaluación de conformidad, registro en la base de datos de la UE ni marcado CE.

Fuente: EU AI Act Statement §2

Article 5 - prácticas prohibidas

Revisado y confirmado: no se presentan prácticas prohibidas conforme al Article 5. Sin técnicas subliminales, sin explotación de vulnerabilidades, sin puntuación social, sin identificación biométrica remota en tiempo real, sin reconocimiento de emociones en contextos laborales o educativos.

Fuente: EU AI Act Statement §2.4

Article 4 - alfabetización en IA

En vigor desde febrero de 2025. Conforme. withVR BV imparte formación de onboarding en directo a todos los usuarios cubriendo el uso, las limitaciones y el uso responsable de las funciones de IA. La documentación de las funciones de IA está incluida en la documentación de la plataforma. Las instituciones son responsables de asegurar que su personal disponga de un nivel suficiente de alfabetización en IA; nuestro onboarding apoya esta obligación.

Fuente: EU AI Act Statement §3

Article 50 - transparencia para voces sintetizadas y texto generado por IA

Aplicable desde el 2 de agosto de 2026. En preparación. La divulgación ya está presente en la EULA, ToS, Privacy Policy y EU AI Act Compliance Statement. La divulgación dentro de la plataforma se confirmará conforme antes del plazo del 2 de agosto de 2026. Las voces de los avatares en cada sesión son sintetizadas por IA mediante Google Text-to-Speech; cuando se activan funciones opcionales de OpenAI, el texto introducido en los campos de IA es procesado por un sistema de IA. Los profesionales supervisores son responsables de informar a las personas con quienes trabajan donde lo exijan las obligaciones profesionales o institucionales.

Fuente: EU AI Act Statement §5

Funciones de IA: proveedor, datos, postura sobre entrenamiento

Siempre activas: síntesis de voz de avatar (Google Text-to-Speech). Solo se envía el texto del habla del avatar para la síntesis de voz; ningún dato de usuario, cliente o participante. Opcionales, desactivadas por defecto: traducción de oraciones, generación de texto, autocorrección, reconocimiento de voz Whisper, gramática del hablante, ajuste de formalidad, habla emocional (todas mediante OpenAI API). Bajo la política de uso de datos de la API de OpenAI, las entradas de la API no se utilizan por defecto para entrenar los modelos de OpenAI. Ningún nombre de cliente, grabación de sesión o PII sobre las personas con quienes trabaja se envía a ninguno de los proveedores en el funcionamiento normal. Se instruye explícitamente a los usuarios para que no introduzcan PII en los campos de texto con IA.

Fuente: Privacy Policy §4 · Sub-Processor List

3. Consentimiento informado

El profesional supervisor es responsable de obtener el consentimiento informado de las personas con quienes trabaja, conforme a su código profesional, la política institucional y la legislación aplicable. Para apoyar esto, withVR ofrece una VR Informed Consent Template gratuita, un folleto explicativo de VR en lenguaje claro para clientes y familias gratuito, y la EU AI Act Compliance Statement con texto de divulgación listo para incorporar en sus propios documentos de consentimiento. La participación de la IA (voces sintéticas y cualquier función OpenAI activada) debe divulgarse cuando lo exijan sus estándares profesionales o la legislación aplicable.

Fuente: Acceptable Use Policy §2 · EU AI Act Statement

4. Idioma y accesibilidad

WCAG 2.2 nivel AA

Sitio de marketing (withvr.app): autoevaluación contra WCAG 2.2 AA completada en abril de 2026. Lighthouse Accessibility 100/100 en escritorio y móvil en las páginas prioritarias. Los análisis automatizados de pa11y y axe-core muestran todos los hard failures resueltos. Web App: en progreso contra WCAG 2.2 AA, con vacíos parciales conocidos documentados honestamente en la Accessibility Statement (zoom del navegador, pruebas formales de lector de pantalla, auditoría formal de contraste). VR App: seguimiento de manos como alternativa a los mandos; la accesibilidad física de VR es una decisión clínica del profesional supervisor.

Fuente: Accessibility Statement §1, §4, §5

VPAT / ACR

VPAT v2.5 (International Edition) completado en marzo de 2026, cubriendo WCAG 2.0/2.1/2.2, Section 508 y EN 301 549 para la plataforma v4.0.0. Disponible bajo solicitud en legal@withvr.app.

European Accessibility Act, EN 301 549, Section 508

EAA en vigor desde junio de 2025. Therapy withVR es principalmente una plataforma B2B para profesionales; la aplicabilidad de la EAA a herramientas B2B se monitorea conforme se desarrollan las directrices belgas de transposición. Las mejoras de accesibilidad apuntan a EN 301 549 / WCAG 2.2 AA con independencia de la aplicabilidad de la EAA. Section 508: alineamiento parcial mediante el trabajo en WCAG 2.2 AA; sin evaluación formal Section 508 completada.

Fuente: Accessibility Statement §3, §7

Idiomas

Interfaz de la Web App disponible en 59 idiomas. 52 combinaciones idioma-región de voces de avatar. Sitio de marketing disponible en 11 localizaciones (inglés más neerlandés, francés, alemán, noruego, italiano, checo, español, portugués, griego, árabe, turco), con atributo lang correcto y soporte RTL para el árabe.

5. Adecuación cultural y clínica

Todos los escenarios, oraciones y contenido de conversación son configurables por el profesional supervisor - la pertinencia cultural y contextual la determina el usuario, no nosotros. Los entornos de habla personalizables y una sala vacía libremente configurable apoyan una práctica que refleja el contexto real del individuo. Los estudios revisados por pares que utilizan Therapy withVR o escenarios desarrollados por withVR están catalogados en el Evidence Hub con cita completa, resumen en lenguaje claro y justificación de certeza para cada uno. La plataforma no realiza ninguna afirmación de eficacia clínica propia; la evidencia procede de la literatura.

Fuente: Evidence Hub · Scenarios

6. Seguridad y notificación de brechas

Cifrado y almacenamiento

Todos los datos en reposo en Google Cloud Firestore se cifran mediante AES-256 (cifrado de infraestructura por defecto de Google Cloud). Los nombres de perfil se cifran adicionalmente a nivel de aplicación con AES-256 con vectores de inicialización únicos por registro. Todos los datos en tránsito se cifran mediante TLS 1.2 o superior. Las contraseñas se gestionan íntegramente por Firebase Authentication - withVR BV nunca tiene acceso a las contraseñas de los usuarios.

Fuente: Privacy Policy §8 · DPA §6 (bajo solicitud)

Gestión de parches

Parches críticos (CVSS 9.0+, zero-days, vulnerabilidades que afectan Firebase auth o storage): en 48 horas. Altos (CVSS 7.0-8.9): en 7 días. Medios (CVSS 4.0-6.9): en 30 días o en la siguiente entrega. Identificación mediante boletines de proveedores, NVD/CVE y GitHub Dependabot. Alineado con las obligaciones del GDPR Article 32 y la transposición belga de NIS2.

Fuente: Patch Management Policy §4 (bajo solicitud)

Notificación de brechas

Notificación de brecha de datos personales a la autoridad belga de protección de datos (GBA) en un plazo de 72 horas desde el conocimiento (GDPR Article 33). Notificación a la UK ICO bajo UK GDPR. Los usuarios afectados son notificados sin demora indebida cuando la brecha pueda implicar un alto riesgo. Los clientes institucionales con un DPA firmado son notificados en un plazo de 72 horas conforme a los términos del DPA.

Fuente: Privacy Policy §10 · ToS §11.3 · DPA §11 (bajo solicitud)

Disponibilidad y resiliencia del servicio

Alojado en Google Cloud Firebase (Frankfurt) bajo el SLA de tiempo de actividad del 99,95% de Google. Replicación multi-zona dentro de la región UE. Firestore point-in-time recovery con ventana de 7 días. Copias de seguridad diarias conservadas 30 días, copias semanales conservadas 98 días. Prioridades de respuesta a incidentes (P1 caída total / brecha en 2 horas; P2 caída parcial en 4 horas; P3 degradación menor el siguiente día laborable). La Web App opera independientemente del sitio de marketing, y la VR App opera independientemente del canal de distribución Meta Quest Store tras la instalación.

Fuente: Business Continuity & Disaster Recovery Summary (bajo solicitud)

Certificaciones de seguridad independientes

Postura honesta: withVR BV no posee actualmente certificaciones SOC 2 Type II ni ISO 27001 independientes. La infraestructura de la plataforma hereda ambas de Google Cloud / Firebase, que las mantiene. Las certificaciones independientes se evaluarán a medida que la plataforma madure. Actualmente no se realizan pruebas de penetración programadas; también se evaluarán a medida que la plataforma madure.

Fuente: Patch Management Policy §9 · BCDR §8.2 (bajo solicitud)

Acceso administrativo

Postura honesta: withVR BV es operado por una sola persona (el fundador). El acceso administrativo al proyecto Firebase está restringido a esa persona. Ningún otro personal o tercero tiene acceso directo a la base de datos de producción ni a la infraestructura. La autenticación multifactor en cuentas administrativas está planificada. La infraestructura subyacente de la plataforma se ejecuta sobre servicios gestionados de Google Cloud que operan con independencia de la implicación diaria de withVR BV, lo que mitiga la dependencia de una sola persona a nivel de infraestructura. Los escenarios de indisponibilidad del fundador se abordan en el Business Continuity Summary.

Fuente: Privacy Policy §8 · BCDR §5 (bajo solicitud)

Registro de auditoría

Los Google Cloud Audit Logs están habilitados en todo el proyecto de producción y proporcionan un rastro a prueba de manipulaciones de cada acción administrativa y de cada operación sobre datos de clientes. Los registros Admin Activity siempre activos capturan cada cambio de configuración. Los registros Admin Read, Data Read y Data Write están habilitados para Cloud Firestore (donde residen los datos de los clientes), la Cloud Storage for Firebase API (reglas y configuración) y Google Cloud Storage (operaciones de archivo - carga, descarga, eliminación). Los registros se conservan según la política de retención predeterminada de Google Cloud (400 días para los data access logs, 400 días para los admin activity) y se utilizan únicamente para la investigación de incidentes de seguridad y la verificación de conformidad. Esto forma parte de las medidas técnicas y organizativas de withVR BV en virtud de GDPR Article 32.

Fuente: Google Cloud Audit Logs (proyecto Firebase) · BCDR §6 (bajo solicitud)

Requisitos de red (para TI institucional)

Todo el tráfico de withVR BV utiliza HTTPS en el puerto 443. La Web App requiere withvr.app, firestore.googleapis.com, firebasestorage.googleapis.com, texttospeech.googleapis.com y (solo cuando las funciones de IA están habilitadas) api.openai.com. La VR App no se conecta a OpenAI. El hardware Meta Quest requiere además dominios de la plataforma Meta - las instituciones con redes restringidas (especialmente escuelas) deben asegurarse de que estos no estén bloqueados. La lista completa de dominios, puertos, navegadores y sistemas operativos está en la página Compatibility.

Fuente: página Compatibility · BCDR §8.1 (bajo solicitud)

7. Trabajo con menores y en escuelas

Los titulares de cuenta deben tener 18+ años. La plataforma solo puede usarse con menores bajo supervisión y control directo de un profesional adulto cualificado. Los estudiantes nunca crean cuentas, inician sesión ni envían datos personales directamente a la plataforma. Ningún nombre de estudiante, identificador o PII puede ser introducido en la plataforma. El hardware Meta Quest tiene una edad mínima separada de 10 años establecida por Meta - es política de Meta, no nuestra, y se aplica con independencia de la supervisión profesional.

Pueden aplicarse simultáneamente tres umbrales: la política de edad de la plataforma, la legislación de privacidad aplicable (p. ej. los 13 de COPPA, los 13-16 de GDPR Article 8 según el Estado miembro) y el consentimiento clínico (típicamente menores de 18). Prevalece el umbral más alto. El profesional supervisor es responsable del consentimiento parental o del tutor en su jurisdicción.

Para escuelas estadounidenses, hay disponible un acuerdo FERPA, un Student Data Privacy Agreement o el SDPC National DPA - véase la sección 8 (Acuerdos disponibles) más abajo.

Fuente: Educational Use Policy §1, §3 · EULA §8

8. Preparación organizativa

Certificación de dispositivo médico

Therapy withVR no es un dispositivo médico. Sin marcado CE bajo EU MDR. No regulado por la FDA. Sin marcado UKCA. La plataforma no diagnostica, no trata, no califica, no mide ni toma decisiones clínicas. Todas las decisiones clínicas permanecen como responsabilidad exclusiva del profesional supervisor. Las funciones de IA generan únicamente sugerencias de contenido y no constituyen consejo clínico ni evaluación.

Fuente: EULA §1 · AUP §1 · EU AI Act Statement §2

SLA y disponibilidad

withVR BV no ofrece una garantía de tiempo de actividad separada, pero la plataforma hereda el SLA de tiempo de actividad del 99,95% de Google Cloud para la infraestructura subyacente. Las tareas de mantenimiento programadas se comunican con antelación siempre que sea posible. La indisponibilidad no programada se comunica por correo electrónico y en el sitio web.

Fuente: ToS §12.2 · EULA §11

Precios e impuestos

Suscripción estándar EUR 49 al mes por puesto (sin IVA, en facturación anual). Descuentos plurianuales hasta 5 años. Tantos puestos como sean necesarios. Presupuestos en papel timbrado, facturación por orden de compra y documentación de compras suplementaria disponibles bajo solicitud. Podemos hablar directamente con TI, compras o equipos de protección de datos para resolver los requisitos de onboarding del proveedor.

Fuente: ToS §6 · Refund Policy

Protección del consumidor (UE)

Derecho legal de desistimiento de 14 días bajo la EU Consumer Rights Directive 2011/83/EU y la ley belga de transposición. Derecho belga / jurisdicción de Gante. Los consumidores de la UE conservan el derecho a iniciar procedimientos en su lugar de residencia habitual; la plataforma europea de resolución de litigios en línea está disponible en ec.europa.eu/consumers/odr (se abre en nueva pestaña).

Fuente: ToS §6.4, §16 · Refund Policy §2, §9

9. Validación entre pares

Therapy withVR se utiliza activamente en investigación revisada por pares en universidades y hospitales de muchos países. El Evidence Hub cataloga cada estudio publicado, con cita completa, resumen en lenguaje claro y calificación de certeza. Universidades, NHS trusts y distritos escolares que ya han completado sus procesos de aprobación institucional están disponibles como referencias - solicitar a través de hello@withvr.app.

Acuerdos disponibles

A petición en legal@withvr.app:

• Data Processing Agreement (DPA) - requerido por muchas instituciones para GDPR. withVR BV es el Encargado del tratamiento. Hay una plantilla estándar disponible; también estamos encantados de revisar el DPA propio de su institución y trabajar con ustedes en una versión acordada.
• Acuerdo FERPA / Student Data Privacy Agreement - requerido por muchos distritos escolares estadounidenses. Revisaremos el acuerdo estándar de su institución (incluido el SDPC National DPA) y trabajaremos con ustedes para encontrar un camino apropiado: firmar tal como se presenta cuando los términos sean viables, proponer enmiendas cuando sea necesario, o aportar una plantilla withVR en su lugar.
• Research Agreement - para uso en investigación académica. Define la titularidad de los datos de investigación (de la institución), los derechos operativos limitados de withVR BV, las libertades de publicación y la conservación de los datos de investigación durante 24 meses tras el fin del proyecto.
• Acuerdo suplementario personalizado - para requisitos específicos de un estado, una institución o una jurisdicción no cubiertos arriba.
• Documentación de Data Protection Impact Assessment (DPIA) - documentación de apoyo para los DPIA institucionales conforme al GDPR Article 35.
• VPAT v2.5 (marzo 2026) - informe de conformidad de accesibilidad que cubre WCAG 2.0/2.1/2.2, Section 508, EN 301 549.
• Business Continuity & Disaster Recovery Summary - para la revisión de compras institucionales.
• Patch Management Policy - para la revisión de seguridad institucional.

Documentos

Todos los documentos públicos están enlazados desde withvr.app/es/legal:

• Privacy Policy (Inglés)
• Terms of Service (Inglés)
• End User License Agreement (Inglés)
• Acceptable Use Policy (Inglés)
• Educational Use Policy (Inglés)
• EU AI Act Compliance Statement (Inglés)
• Accessibility Statement (Inglés)
• Cookie Policy (Inglés)
• Refund and Return Policy (Inglés)
• Sub-Processor List (Inglés)

Lo que no afirmamos

La transparencia sobre los límites es parte del diseño:

• No afirmamos en ningún caso ser un dispositivo médico.
• No afirmamos conformidad HIPAA - estamos fuera del alcance de HIPAA por diseño.
• No afirmamos certificaciones SOC 2 Type II ni ISO 27001 independientes. Heredamos ambas de Google Cloud en la capa de infraestructura; las certificaciones independientes se evaluarán a medida que la plataforma madure.
• No afirmamos haber completado una auditoría WCAG independiente. Tenemos una autoevaluación, análisis automatizados, el VPAT v2.5 y una puntuación Lighthouse de 100/100 en el sitio de marketing. Una auditoría formal encargada está planificada cuando la financiación lo permita.
• No afirmamos conformidad NIS2 - afirmamos alineamiento con la transposición belga de NIS2 mediante la Patch Management Policy.
• No afirmamos que la IA sustituya el juicio clínico. Cada función de IA es opcional, desactivada por defecto y revisable. Las voces de los avatares siempre se divulgan como sintetizadas por IA.

Contacto

Compras, cuestionarios de proveedores, revisiones de seguridad y solicitudes de acuerdos: legal@withvr.app. Nuestra Technology Checklist for SLPs pública es el marco sobre el que se estructura esta página - úsenlo en nosotros, o en cualquier otra herramienta que evalúen.

withVR BV · Jozef Hebbelynckstraat 21, Merelbeke 9820, Belgium · BE-0790.909.294 · última revisión 2026-04-26