Cestwise AI← Volver al inicio

Registro de Actividades de Tratamiento (RAT)

Documento elaborado en cumplimiento del artículo 30 del Reglamento (UE) 2016/679 (RGPD) y de la guía de la Agencia Española de Protección de Datos (AEPD) para el cumplimiento del deber de registrar las actividades de tratamiento. La presente versión es la resumida y pública del RAT interno completo, mantenido y actualizado por el Responsable y a disposición de la AEPD a requerimiento.

1. Datos del Responsable

  • Responsable del tratamiento: D. Ramiro Losada Gómez, NIF 04191908C, empresario individual con actividad económica en territorio español.
  • Datos completos del Responsable: ver Aviso Legal y apartado 1 de la Política de Privacidad.
  • Canal de contacto en materia de protección de datos: privacidad@cestwise.com.
  • Designación de DPO: no procede a la fecha por no alcanzar los umbrales del artículo 37 RGPD; el propio Responsable asume las funciones de garantía interna.

2. Inventario de actividades de tratamiento

RAT-01 — Gestión de cuentas de usuario

  • Finalidad: registro, autenticación, mantenimiento de la cuenta, recuperación de contraseña.
  • Categorías de interesados: usuarios registrados.
  • Categorías de datos: identificativos (nombre, email), credenciales (hash bcrypt), datos de sesión.
  • Base jurídica: ejecución de contrato (art. 6.1.b).
  • Plazo de conservación: mientras la cuenta esté activa; tras baja, eliminación en 30 días salvo retención legal.
  • Destinatarios: Supabase Inc. (UE), Vercel Inc. (USA con SCC + DPF).
  • Transferencias internacionales: sí (Vercel) — SCC + DPF.
  • Medidas de seguridad: cifrado en tránsito y en reposo, MFA opcional, RLS Postgres, audit log.

RAT-02 — Operación del Servicio (listas, comparativa, optimización)

  • Finalidad: permitir al Usuario crear y gestionar listas de la compra, planificar menús, despensa, alertas y obtener comparativa de precios y optimización algorítmica de cesta.
  • Interesados: usuarios registrados y miembros del hogar incorporados por el Usuario.
  • Datos: listas, items, marcas preferidas, hábitos de consumo, código postal, calendario menús, despensa.
  • Base jurídica: ejecución de contrato (art. 6.1.b).
  • Plazo: mientras la cuenta esté activa.
  • Destinatarios: Supabase, Vercel; Anthropic, OpenAI y Google (modo zero data retention) para inferencia IA.
  • Transferencias internacionales: sí (proveedores IA en USA con SCC + DPF).
  • Medidas: minimización de payloads enviados a modelos IA, opción de modo incógnito, anonimización en analítica.

RAT-03 — OCR de tickets de compra

  • Finalidad: extracción estructurada de información de tickets aportados voluntariamente por el Usuario para conciliación y métricas.
  • Interesados: usuarios registrados.
  • Datos: imagen del ticket (con posibles datos del Usuario si aparecen impresos), líneas del ticket, importes, fechas, supermercado.
  • Base jurídica: ejecución de contrato (art. 6.1.b).
  • Plazo: imagen original eliminada 30 días tras OCR; datos estructurados conservados mientras la cuenta esté activa.
  • Destinatarios: Supabase Storage, Anthropic / OpenAI / Google (modo zero data retention).
  • Medidas: bucket privado con URLs firmadas, hashing para deduplicación, redacción automática de datos sensibles detectados.

RAT-04 — Asistente de Compra automatizado

  • Finalidad: ejecutar pedidos en supermercados por cuenta del Usuario en virtud de mandato civil.
  • Interesados: usuarios registrados que activen el Asistente.
  • Datos: credenciales del supermercado (cifradas en vault), cookies de sesión transitorias, códigos MFA recibidos del Usuario, histórico de runs (productos añadidos, importes).
  • Base jurídica: ejecución de contrato (art. 6.1.b).
  • Plazo: credenciales mientras el Usuario las mantenga activas, eliminadas inmediatamente al revocar; runs conservados 12 meses para auditoría.
  • Destinatarios: Supabase, Vercel; el supermercado de destino mediante automatización en navegador (Playwright).
  • Medidas: cifrado AES-GCM, mínimo privilegio, eliminación de códigos MFA tras uso, audit log inmutable, kill-switch por cadena.

RAT-05 — Facturación, cobros PAU y suscripciones

  • Finalidad: gestión de planes Premium, add-ons, fees PAU, emisión de facturas y reclamación de impagos.
  • Interesados: usuarios contratantes (consumidores y empresas).
  • Datos: datos identificativos y fiscales, importes facturados, referencias Stripe (stripe_customer_id, payment_method_id), metadatos de transacción.
  • Base jurídica: ejecución de contrato (art. 6.1.b); obligación legal (art. 6.1.c) para conservación fiscal.
  • Plazo: 6 años (art. 30 Código de Comercio; art. 70 LGT).
  • Destinatarios: Stripe Payments Europe (Irlanda); autoridades fiscales bajo requerimiento.
  • Medidas: nunca almacenamos datos completos de tarjeta; tokenización Stripe; backups cifrados.

RAT-06 — Soporte al usuario

  • Finalidad: atender consultas, gestionar incidencias, tramitar derechos del interesado.
  • Interesados: usuarios y representantes legales.
  • Datos: identificativos, contacto, contenido de las comunicaciones.
  • Base jurídica: obligación legal (art. 6.1.c) e interés legítimo del Responsable en gestionar el Servicio.
  • Plazo: 3 años desde la última interacción; las tramitaciones de derechos hasta prescripción de acciones legales.
  • Destinatarios: proveedor de email transaccional (Resend o equivalente).

RAT-07 — Comunicaciones comerciales

  • Finalidad: envío de novedades, promociones y recomendaciones del Servicio.
  • Interesados: usuarios que hayan otorgado consentimiento expreso.
  • Datos: identificativos, contacto, segmentación básica.
  • Base jurídica: consentimiento (art. 6.1.a).
  • Plazo: hasta retirada del consentimiento.
  • Destinatarios: proveedor de email transaccional.
  • Medidas: link de baja en cada email; opt-out inmediato.

RAT-08 — Analítica de producto

  • Finalidad: mejora del Servicio mediante medición agregada del uso.
  • Interesados: usuarios con consentimiento aceptado en el banner de cookies.
  • Datos: identificadores anónimos de sesión, eventos de uso, IP truncada, user agent.
  • Base jurídica: consentimiento (art. 6.1.a).
  • Plazo: 12 meses; agregaciones anonimizadas a posteriori.
  • Destinatarios: PostHog (UE Self-Hosted EU).

RAT-09 — Seguridad y prevención del fraude

  • Finalidad: detección y prevención de accesos no autorizados, ataques, abusos.
  • Interesados: visitantes y usuarios registrados.
  • Datos: dirección IP, user-agent, timestamp, recurso accedido.
  • Base jurídica: interés legítimo (art. 6.1.f).
  • Plazo: 12 meses; ampliable durante investigación de incidentes.
  • Destinatarios: Vercel (logs edge), Sentry (UE) para errores.

RAT-10 — Datos relativos a salud (categoría especial)

  • Finalidad: personalización de recomendaciones y recetas según alergias, intolerancias o dietas médicas declaradas por el Usuario.
  • Interesados: usuarios y miembros del hogar que hayan declarado este tipo de información.
  • Datos: alergias e intolerancias alimentarias, dietas (vegetariana, vegana, sin gluten, baja en sodio, etc.).
  • Base jurídica: consentimiento explícito (art. 9.2.a).
  • Plazo: hasta retirada del consentimiento; tras retirada, eliminación inmediata.
  • Destinatarios: Supabase; modelos IA en zero data retention.
  • Medidas: separación lógica de tablas, no se comparte con analítica; el Usuario puede revocar en cualquier momento.

3. Mecanismo interno de actualización del RAT

El RAT interno completo se mantiene en formato estructurado por el Responsable, incluyendo todos los campos del artículo 30.1 RGPD así como la justificación detallada de cada base jurídica, los diagramas de flujo, los contratos con encargados (art. 28 RGPD) y las garantías documentales de transferencias internacionales. Cualquier alta o modificación material del tratamiento conlleva:

  1. Actualización del RAT interno con fecha y motivo del cambio.
  2. Análisis previo de impacto (DPIA) cuando concurran los supuestos del art. 35 RGPD.
  3. Actualización de la Política de Privacidad y, en su caso, del DPA.
  4. Notificación a los interesados cuando proceda conforme al art. 13/14 RGPD.

4. Acceso al RAT por la autoridad de control

El Responsable pondrá el RAT interno completo a disposición de la AEPD cuando ésta así lo requiera, conforme al artículo 30.4 RGPD, mediante los canales formales habilitados.

Versión 1.0 · Última actualización: 2 de mayo de 2026.