Evaluacion de Impacto en Proteccion de Datos (EIPD/DPIA)
Resumen Publico
Ultima actualizacion: Abril 2026
Nota: Este documento es un resumen publico de la Evaluacion de Impacto en Proteccion de Datos (DPIA) realizada por AuditWaste conforme al Art. 35 del RGPD. La EIPD completa se conserva internamente y esta disponible para la Agencia Espanola de Proteccion de Datos (AEPD) bajo solicitud.
1. Identificacion del Tratamiento
1.1 Responsable del Tratamiento
Alexander Jose Medina Arevalo, operando bajo el nombre comercial AuditWaste
NIF: 60707445A
Calle Teseguite 40, Piso 2, Puerta 2A, 35110 Vecindario, Santa Lucia de Tirajana, Las Palmas, España
DPO: privacy@auditwaste.com
1.2 Descripcion del Tratamiento
AuditWaste es una plataforma digital que permite a operadores de la industria alimentaria:
- Registrar mermas y desperdicios alimentarios con metadatos (categoria, peso, fecha, causa, destino)
- Generar Planes de Prevencion de Desperdicio Alimentario (PPDA) con asistencia de IA
- Obtener predicciones de demanda basadas en datos historicos agregados
- Producir informes de cumplimiento con validez probatoria para inspecciones
- Gestionar escandallos, recetas e ingredientes
1.3 Categorias de Datos Tratados
- Datos identificativos: Nombre, email corporativo, cargo, telefono (opcional)
- Datos de empresa: Nombre del establecimiento, CIF, direccion, sector de actividad
- Datos de actividad: Registros de mermas (categoria, peso, fecha, hora, causa, destino)
- Datos tecnicos: IP anonimizada, dispositivo, navegador, cookies de sesion
- Datos de facturacion: Procesados por Stripe; AuditWaste no almacena datos de tarjetas
1.4 Categorias de Interesados
- Administradores de empresas alimentarias (company_admin, gco)
- Gerentes de establecimiento (local_manager)
- Supervisores de centros de trabajo (work_center_supervisor)
- Operadores que registran mermas (operator)
2. Necesidad y Proporcionalidad
2.1 Finalidad del Tratamiento
El tratamiento de datos es necesario para cumplir con las obligaciones derivadas de la Ley 1/2025 de prevencion de las perdidas y el desperdicio alimentario (BOE-A-2025-6597), que establece obligaciones especificas para operadores de la cadena alimentaria.
2.2 Base Legal
- Art. 6.1.c) RGPD - Obligacion legal: Cumplimiento de la Ley 1/2025 y la obligacion de mantener registros de desperdicio alimentario (para establecimientos obligados).
- Art. 6.1.b) RGPD - Ejecucion de contrato: Para la prestacion de los servicios contratados por el usuario.
- Art. 6.1.f) RGPD - Interes legitimo: Para la mejora continua del servicio mediante analisis agregados y anonimizados.
2.3 Principio de Minimizacion
Solo se recogen los datos estrictamente necesarios para la prestacion del servicio. Los registros de mermas no contienen datos personales de los alimentos desechados, sino unicamente metadatos operativos (categoria, peso, causa, destino). La identificacion del empleado que registra se realiza mediante hash anonimizado, no mediante datos personales directos.
3. Riesgos Identificados y Medidas de Mitigacion
| Riesgo | Probabilidad | Impacto | Medida de Mitigacion | Estado |
|---|---|---|---|---|
| Acceso no autorizado a datos de establecimientos | Baja | Alto | Row Level Security (RLS) + cifrado AES-256 + autenticacion JWT + aislamiento multi-tenant | MITIGADO |
| Perfilado de empleados por patrones de registro | Media | Medio | No se realiza perfilado individual. El campo employee_id_hash es un hash anonimizado. Las analiticas son siempre agregadas. | MITIGADO |
| Transferencias internacionales a proveedores de IA | Alta | Medio | Datos completamente anonimizados antes del envio + Clausulas Contractuales Tipo (SCCs) + DPAs firmados con todos los proveedores | MITIGADO |
| Retencion excesiva de datos | Baja | Medio | Politica de retencion definida: 5 anyos (Ley 1/2025), eliminacion automatica posterior. Logs tecnicos: 90 dias. | MITIGADO |
| Brecha de seguridad con exfiltracion de datos | Baja | Alto | Cifrado en transito (TLS 1.3) y reposo (AES-256), rate limiting, honeypots, cabeceras de seguridad, procedimiento de notificacion de brechas | MITIGADO |
| Sesgo en outputs de IA | Media | Bajo | Supervision humana de outputs, auditorias trimestrales de calidad, mecanismo de feedback, marcado de contenido IA | MITIGADO |
El procedimiento detallado de gestión de brechas de seguridad se encuentra en la Política de Notificación de Brechas.
4. Resumen de Medidas de Mitigacion Implementadas
4.1 Seguridad Tecnica
- Cifrado TLS 1.3 en transito y AES-256 en reposo
- Row Level Security (RLS) para aislamiento multi-tenant
- Hashing SHA-256 para integridad de registros (cadena de bloques interna)
- Triggers de inmutabilidad en audit_ledger
- Rate limiting y proteccion contra DDoS
- Cabeceras de seguridad HTTP (HSTS, CSP, X-Frame-Options)
- Honeypots para deteccion temprana de intrusiones
4.2 Control de Acceso
- Sistema de roles jerarquico (V7): operator, work_center_supervisor, local_manager, company_admin, gco, super_admin
- Prevencion de auto-escalado de privilegios (RLS WITH CHECK en profiles)
- Autenticacion segura con tokens JWT
- Validacion de email obligatoria
- Principio de minimo privilegio
4.3 Privacidad por Diseno
- Minimizacion de datos: solo se recogen datos estrictamente necesarios
- Anonimizacion de datos enviados a proveedores de IA
- Hashing del identificador de empleado (employee_id_hash)
- IPs anonimizadas en logs
- Consentimiento granular para funcionalidades opcionales
5. Opinion del Delegado de Proteccion de Datos
Conclusion: Tras la evaluacion de los tratamientos realizados por AuditWaste, las medidas tecnicas y organizativas implementadas, y el analisis de riesgos efectuado, el Delegado de Proteccion de Datos concluye que el riesgo residual es BAJO.
Los tratamientos de datos personales realizados por AuditWaste son proporcionales y necesarios para la finalidad perseguida (cumplimiento de la Ley 1/2025 y prestacion del servicio contratado). Las medidas de mitigacion implementadas reducen los riesgos identificados a niveles aceptables.
Se recomienda mantener la revision periodica de esta EIPD y actualizarla ante cambios significativos en los tratamientos o en el entorno normativo.
6. Revision y Actualizacion
Esta Evaluacion de Impacto se revisa:
- Periodicamente: Al menos una vez al anyo.
- Ante cambios significativos: Introduccion de nuevos tratamientos, cambio de proveedores de IA, modificaciones normativas relevantes, o incidentes de seguridad.
- Ante nuevas funcionalidades: Cada vez que se anadan funcionalidades que impliquen nuevos tratamientos de datos personales.
La proxima revision completa esta programada para marzo de 2027.
7. Marco Normativo de Referencia
- RGPD, Art. 35: Evaluacion de impacto relativa a la proteccion de datos.
- RGPD, Art. 36: Consulta previa a la autoridad de control (no aplicable al no presentar alto riesgo residual).
- LOPDGDD, Art. 28: Obligaciones generales del responsable y del encargado del tratamiento.
- Guia de la AEPD: Guia practica para las evaluaciones de impacto en la proteccion de datos (2021).
- Ley 1/2025: Ley de prevencion de las perdidas y el desperdicio alimentario (base legal del tratamiento).
- Reglamento (UE) 2024/1689 (AI Act): Marco regulatorio para sistemas de IA, considerado en la evaluacion de riesgos de componentes de IA.
8. Contacto
Alexander Jose Medina Arevalo, operando bajo el nombre comercial AuditWaste
NIF: 60707445A
Calle Teseguite 40, Piso 2, Puerta 2A, 35110 Vecindario, Santa Lucia de Tirajana, Las Palmas, España
Legal: legal@auditwaste.com
Puedes presentar una reclamacion ante la Agencia Espanola de Proteccion de Datos (AEPD):www.aepd.es