Protección de datos

Evaluación de Impacto en Protección de Datos (DPIA)

Última actualización: abril de 2026

1. Descripción del tratamiento

Responsable: CODECONTRACT SL, Pérez Galdós Kalea 22, 48010 Bilbao, España.

DPO: privacy@codecontract.io

Finalidad: Plataforma SaaS de gestión documental con IA para recogida, validación, certificación y firma de documentos.

2. Datos que tratamos

Categoría	Datos	Base legal
Identificación	Nombre, email, teléfono	Ejecución contractual
Organización	Nombre empresa, sector, CIF, dominio	Ejecución contractual
Documentos	PDFs, imágenes, contratos subidos	Ejecución contractual
Firmas	Rúbrica dibujada, IP, timestamp, OTP	Consentimiento
Comunicaciones	Emails, mensajes WhatsApp/SMS	Ejecución contractual
Técnicos	IP, user agent, sesiones, logs	Interés legítimo
IA	Texto extraído de documentos	Ejecución contractual
Blockchain	Hashes SHA-256, Merkle roots, timestamps	Interés legítimo

3. Evaluación de necesidad y proporcionalidad

Minimización: solo se recogen datos necesarios para la funcionalidad.
Limitación de finalidad: datos usados exclusivamente para gestión documental.
Exactitud: los usuarios pueden editar y eliminar sus datos.
Limitación de conservación: retención configurable por organización (default 5 años fiscal).
Integridad y confidencialidad: AES-256-GCM, bcrypt, TLS 1.3, RBAC.

4. Riesgos identificados

Riesgo	Prob.	Impacto	Mitigación
Acceso no autorizado a documentos	Baja	Alto	Multi-tenant, RBAC, 2FA, session timeout
Filtración de datos personales	Baja	Alto	Cifrado at rest, CSP, rate limiting
Pérdida de datos	Muy baja	Alto	Backups automáticos Neon, retención configurable
Uso indebido de IA	Baja	Medio	IA solo extrae datos pedidos, no almacena modelos
Firma fraudulenta	Baja	Alto	OTP email/SMS, timestamp, IP, audit log

5. Subprocesadores

Listado completo y actualizado en el Trust Center.

Cambios en subprocesadores se notifican con 30 días de antelación.

6. Derechos del interesado

Acceso: exportar datos desde la plataforma.
Rectificación: editar perfil y contactos.
Supresión: solicitar a privacy@codecontract.io.
Portabilidad: exportar en JSON/CSV/XLSX.
Oposición: configurar notificaciones, desactivar IA.

7. Conclusión

El tratamiento es proporcionado y necesario. Los riesgos están mitigados con medidas técnicas y organizativas adecuadas. Se recomienda revisión anual de esta DPIA.

Fecha: Abril 2026 · Próxima revisión: Abril 2027