Cestwise AI← Volver al inicio

Evaluación de Impacto relativa a la Protección de Datos (DPIA)

Documento elaborado en cumplimiento del artículo 35 del Reglamento (UE) 2016/679 (RGPD), de la Lista de tipos de tratamientos que requieren DPIA publicada por la AEPD (resolución de 9 de junio de 2017, actualizada en 2024) y de las Directrices del CEPD WP248 rev.01 sobre evaluación de impacto. La presente versión es la pública y resumida; la DPIA completa con análisis cuantitativo de riesgos, matrices y controles compensatorios se conserva internamente y está disponible para la AEPD a requerimiento.

1. Tratamientos sometidos a DPIA

Cestwise ha identificado dos tratamientos que requieren evaluación previa por concurrir alguno de los supuestos del art. 35.3 RGPD y/o de la lista AEPD:

  1. DPIA-01 — Asistente de Compra automatizado: tratamiento que combina (a) uso de credenciales del Usuario en sistemas de terceros, (b) decisiones automatizadas con efectos relevantes sobre el Usuario (ejecución de compras), (c) tratamiento a gran escala potencial.
  2. DPIA-02 — OCR de tickets de compra: tratamiento que implica (a) datos a gran escala de hábitos de consumo, (b) posible inclusión incidental de datos sensibles (medicamentos, productos relacionados con salud), (c) elaboración de perfiles para recomendaciones.

2. DPIA-01 — Asistente de Compra automatizado

2.1. Descripción sistemática del tratamiento

El Asistente automatiza la ejecución de la lista de la compra del Usuario en el sitio web del supermercado mediante navegador controlado por software (Playwright). El Usuario:

  • Otorga mandato civil expreso (arts. 1709 y ss. CC) y acepta los Términos del Asistente.
  • Aporta credenciales del supermercado, cifradas en vault interno.
  • Aprueba el plan de compra antes de la ejecución y revisa el carrito tras la ejecución.
  • Realiza el pago final con su tarjeta en la pasarela del propio supermercado; Cestwise no toca ese paso.

2.2. Necesidad y proporcionalidad

El tratamiento es necesario para la prestación del Servicio contratado y respeta el principio de minimización de datos: solo se recogen las credenciales estrictamente necesarias del supermercado, las cookies de sesión durante la ejecución se descartan al cierre, y los códigos MFA solicitados al Usuario se eliminan tras su uso.

2.3. Identificación de riesgos

  • R1: Acceso no autorizado al vault de credenciales.
  • R2: Captura indebida de cookies de sesión en tránsito.
  • R3: Exposición de códigos MFA por captura intermedia.
  • R4: Ejecución no autorizada del Asistente por terceros con acceso a la cuenta del Usuario.
  • R5: Sanción del supermercado al Usuario por uso de herramientas automatizadas si la cadena las prohíbe.
  • R6: Errores en la automatización que causen compras incorrectas.
  • R7: Decisión automatizada sin intervención humana que afecte significativamente al Usuario.

2.4. Medidas para mitigar los riesgos

  • Frente a R1: cifrado AES-GCM con claves rotables en vault separado de la BD principal; acceso únicamente desde el worker que ejecuta el run; rotación de claves periódica; audit log inmutable.
  • Frente a R2: TLS 1.3 obligatorio; cookies almacenadas únicamente en memoria del worker durante el run.
  • Frente a R3: el código MFA se solicita al Usuario en su sesión segura, se utiliza una sola vez y se elimina del sistema tras su consumo.
  • Frente a R4: autenticación reforzada disponible; aprobación expresa por el Usuario cada vez que se inicia un run; notificación push al Usuario al iniciar.
  • Frente a R5: kill-switch por cadena en checkout_recipe_health; sustitución por flujo deep-link cuando proceda; transparencia hacia el Usuario en los Términos.
  • Frente a R6: el Asistente se detiene siempre antes del paso de pago; la confirmación final es del Usuario; reembolso del fee PAU por error imputable a Cestwise (Política de Precios §8).
  • Frente a R7: intervención humana del Usuario obligatoria en (a) aprobación previa del plan, (b) confirmación final del carrito, (c) ejecución del pago en la pasarela del supermercado.

2.5. Conclusión DPIA-01

Tras la aplicación de las medidas técnicas y organizativas descritas, el riesgo residual del tratamiento se considera bajo a moderado. No procede consulta previa a la AEPD conforme al art. 36 RGPD. El Responsable se compromete a revisar esta DPIA con periodicidad anual o ante cualquier cambio sustancial del tratamiento.

3. DPIA-02 — OCR de tickets de compra

3.1. Descripción

El Usuario sube voluntariamente fotografías de tickets de compra para que Cestwise extraiga la información estructurada y la concilie con el catálogo. El procesado se realiza mediante modelos de visión contratados con Anthropic, OpenAI o Google bajo régimen de zero data retention.

3.2. Necesidad y proporcionalidad

El tratamiento es voluntario y se basa en datos aportados por el propio Usuario. La imagen original se elimina tras el OCR; solo se conservan los datos estructurados estrictamente necesarios.

3.3. Riesgos

  • R1: El ticket puede contener inferencias sobre datos de salud (medicamentos, productos farmacéuticos) o sobre hábitos sensibles.
  • R2: Fuga del ticket original durante el upload.
  • R3: Persistencia indebida de la imagen en sistemas de terceros.
  • R4: Errores del OCR que asignen importes incorrectos.

3.4. Medidas mitigadoras

  • Frente a R1: el Usuario es informado de los datos que se procesarán antes de subir el ticket; los productos identificados como categoría sensible (farmacia, parafarmacia) se marcan separadamente y NO se incluyen en analítica agregada salvo consentimiento expreso adicional.
  • Frente a R2: upload directo a bucket privado de Supabase Storage con URL firmada de uso único; tránsito por TLS 1.3.
  • Frente a R3: los proveedores IA están configurados en modo zero data retention; cumplen con SCC + DPF cuando están en USA.
  • Frente a R4: el OCR muestra al Usuario el resultado estructurado para que confirme; el Usuario puede editar líneas incorrectas; los importes erróneos no afectan al cobro porque el fee PAU se calcula sobre el importe declarado por el Usuario al confirmar.

3.5. Conclusión DPIA-02

Tras la aplicación de las medidas, el riesgo residual se considera bajo. El consentimiento explícito del Usuario para subir cada ticket y la posibilidad de edición posterior son suficientes garantías. No procede consulta previa a la AEPD. Revisión anual programada.

4. Procedimiento de actualización de la DPIA

El Responsable actualizará la DPIA siempre que concurran las circunstancias del art. 35.11 RGPD: cambios en los riesgos del tratamiento, incorporación de nuevas funcionalidades sustancialmente distintas o cambios normativos relevantes. La revisión ordinaria se realiza con periodicidad anual.

5. Conservación y acceso

La DPIA interna completa se conserva durante toda la vida del tratamiento más cinco (5) años posteriores a su finalización para atender posibles inspecciones. La AEPD podrá acceder a su contenido íntegro previa solicitud formal.

Versión 1.0 · Última actualización: 2 de mayo de 2026.