Registro de Actividades de Tratamiento (RAT)
Versión 1.0 · Última actualización: 2026-05-12
Conforme al artículo 30 del RGPD, llevamos un registro de las actividades de tratamiento que realizamos como Responsable del Tratamiento. Este documento es accesible públicamente en cumplimiento del principio de transparencia.
Tratamiento 1: Gestión de cuentas de usuario
| Categorías de interesados | Usuarios registrados del Servicio |
| Datos personales | Email, nombre, organización, rol, contraseña hasheada |
| Finalidad | Autenticación, autorización, comunicación operativa |
| Base legal | Art. 6.1.b — Ejecución de contrato |
| Conservación | Mientras la cuenta esté activa + 30 días tras cancelación |
| Destinatarios | Supabase Inc. (USA), Vercel Inc. (USA), Resend (USA) |
| Transferencias internacionales | EEUU bajo Cláusulas Contractuales Tipo + Data Privacy Framework |
| Medidas de seguridad | Cifrado en reposo y tránsito, hash bcrypt, RLS Postgres |
Tratamiento 2: Indexación de contenido documental
| Categorías de interesados | Usuarios y terceros mencionados en los documentos cargados |
| Datos personales | Contenido de documentos (puede incluir DNI, IBAN, salarios, datos médicos según el doc) |
| Finalidad | Búsqueda semántica y consultas en lenguaje natural sobre el corpus del cliente |
| Base legal | Art. 6.1.b — Ejecución de contrato (encargado del tratamiento ante datos de terceros incluidos en docs) |
| Conservación | Mientras el documento esté en el corpus + 30 días tras eliminación |
| Destinatarios | Supabase, Voyage AI, Anthropic, Google (Gemini), OpenAI (transcripción opcional) |
| Transferencias internacionales | EEUU y Canadá bajo CCT |
| Medidas de seguridad | RLS multi-tenant, cifrado en reposo, opción de masking PII a nivel org, audit log |
Tratamiento 3: Conversaciones de chat IA
| Categorías de interesados | Usuarios del Servicio |
| Datos personales | Preguntas, respuestas, feedback, citas a documentos |
| Finalidad | Prestación del Servicio + mejora de calidad (basado en feedback explícito) |
| Base legal | Art. 6.1.b — Ejecución de contrato |
| Conservación | Indefinida mientras la cuenta esté activa (el user puede borrar conversaciones) |
| Destinatarios | Supabase, Anthropic, Google (Gemini), Cohere (rerank opcional) |
| Medidas de seguridad | Anthropic API tiene política de NO entrenamiento. Cifrado en tránsito y reposo. |
Tratamiento 4: Facturación y cobros
| Categorías de interesados | Clientes con suscripción activa |
| Datos personales | Email, nombre, dirección facturación, IVA, métricas de consumo |
| Finalidad | Emisión de facturas, cobros, cumplimiento fiscal |
| Base legal | Art. 6.1.b + obligación fiscal (Art. 6.1.c) |
| Conservación | 6 años (obligación fiscal) |
| Destinatarios | Stripe Inc., asesoría fiscal, AEAT |
Tratamiento 5: Auditoría y seguridad
| Categorías de interesados | Usuarios del Servicio |
| Datos personales | IP, user agent, logs de acceso, intentos fallidos de login |
| Finalidad | Detección de uso indebido, prevención de incidentes de seguridad |
| Base legal | Art. 6.1.f — Interés legítimo (seguridad de la plataforma) |
| Conservación | 12 meses; las IPs se anonimizan a los 90 días |
| Destinatarios | Sentry (USA) y servidor propio |
Contacto del Delegado de Protección de Datos (DPO)
dpo@civiax.es — para cualquier consulta relativa a este registro o al tratamiento de datos personales.
Este RAT se actualiza con cada cambio sustancial en los tratamientos. Las versiones previas están archivadas y disponibles bajo petición.