Registro de Actividades del Tratamiento

RAT · Registro de Actividades del Tratamiento

Nuestro RAT, en público.

El Art. 30 RGPD exige a responsables y encargados mantener un Registro de Actividades del Tratamiento. Su publicación no es legalmente obligatoria — la mantenemos pública como evidencia de responsabilidad proactiva (Art. 5.2 RGPD) y de cumplimiento documentado, en el espíritu de la doctrina Audiencia Nacional · Diligencia previa atenuante que rebajó la sanción a Mercadona de 170.000€ a 7.000€ por documentación previa robusta.

ÚLTIMA ACTUALIZACIÓN · 18 MAYO 2026 · REVISIÓN SEMESTRAL

Identificación del responsable

ResponsableAIM ÆGIS · operado por Biomag S.L.U. DomicilioMadrid · España Contactoprivacidad@aim-aegis.eu DPOVer designación → Comunicación AEPDDPO comunicado mediante formulario oficial

Inventario de actividades

Siete actividades documentadas. Cada una con los nueve elementos exigidos por el Art. 30.1 RGPD: responsable, finalidades, categorías de interesados y datos, destinatarios, transferencias, plazos de supresión y medidas de seguridad.

A-01 Gestión de cuentas de usuario

FinalidadCrear, mantener y autenticar cuentas de Free / Pro / Partner / Enterprise; gestionar la relación contractual. Base jurídicaArt. 6.1.b RGPD · Ejecución de contrato DatosEmail, nombre, contraseña con hash adaptativo de alto coste, organización, rol, fecha de alta, último login OrigenEl propio interesado al registrarse DestinatariosPersonal interno autorizado de AIM ÆGIS · Encargados de hosting (infraestructura UE) TransferenciasNinguna fuera del EEE para esta actividad ConservaciónVida del contrato + 1 año (período de prescripción) · Después supresión segura Seguridadhash adaptativo de alto coste · HTTPS+HSTS · CSRF · MFA opcional · Logs inmutables de alta/baja/cambio rol

A-02 Conversaciones con el agente IA

FinalidadProducir respuestas razonadas a consultas del usuario sobre cumplimiento normativo. Persistir el historial para que el usuario pueda revisarlo. Base jurídicaArt. 6.1.b RGPD · Ejecución de contrato DatosTexto de preguntas, respuestas del agente, cadenas de razonamiento, citas verificadas OrigenEl propio interesado al usar el servicio DestinatariosPersonal interno autorizado para soporte (sólo bajo solicitud) · Proveedor de inferencia de IA (encargado) TransferenciasEE. UU. (proveedor de inferencia de IA) bajo DPF UE-EE.UU. + SCC 2021/914 + TIA documentado ConservaciónVida del contrato · El usuario puede borrar cualquier conversación en cualquier momento (supresión inmediata en la aplicación, propagada a backups en próxima rotación ≤7 días) SeguridadCifrado en tránsito (HTTPS/TLS 1.3) · Cifrado en reposo (a nivel de base de datos) · Aislamiento por tenant_id · No fine-tuning de modelos con datos de usuarios

A-03 Demo pública anónima

FinalidadPermitir que cualquier visitante pruebe el agente sin registro; prevenir el abuso mediante rate-limiting por IP. Base jurídicaArt. 6.1.f RGPD · Interés legítimo en prevenir abuso · ponderado contra expectativas del visitante DatosDirección IP truncada, pregunta libre, timestamp · NO se almacena identidad OrigenEl propio visitante DestinatariosPersonal interno autorizado para mantenimiento del rate-limiter TransferenciasEE. UU. (proveedor de inferencia de IA) para preguntas libres no canónicas, en cobertura DPF + SCC ConservaciónCounter de IP: 30 días desde última actividad, supresión automática · Preguntas: NO se almacenan tras producir la respuesta SeguridadRate-limiting 3 req/24h por IP · IP truncada a /24 (IPv4) o /48 (IPv6) en logs · Audit log diferenciado canonical vs live

A-04 Logs de seguridad y auditoría

FinalidadMantener trazabilidad de eventos críticos (alta, baja, cambio de rol, intentos de acceso fallidos, acciones de administrador, brechas potenciales) para cumplir Art. 32 RGPD y Art. 30 ENS si aplica. Base jurídicaArt. 6.1.c RGPD · Obligación legal · Arts. 32 + 33 RGPD DatosEmail del usuario, dirección IP, user-agent, evento, timestamp, payload técnico mínimo OrigenSistema (registrado automáticamente) DestinatariosDPO · Personal autorizado para respuesta a incidentes · Autoridades de control bajo requerimiento legal TransferenciasNinguna por defecto. Si una autoridad europea requiere acceso por proceso legal, se le facilita registrando la solicitud Conservación12 meses desde el evento · Después agregación estadística y supresión de identificadores SeguridadAppend-only (logs inmutables) · Hash chained para detección de manipulación · Acceso restringido al DPO y al equipo de seguridad

A-05 Comunicaciones de servicio

FinalidadNotificar al usuario eventos materiales sobre su cuenta (cambios de precio con preaviso, mantenimientos programados, brechas que le afecten, cambios de política con 30 días de antelación, recuperación de contraseña). Base jurídicaArt. 6.1.b RGPD · Ejecución de contrato · Art. 6.1.c para notificaciones del Art. 34 RGPD DatosEmail, nombre, evento, contenido del mensaje OrigenSistema (eventos disparados por el ciclo de vida del servicio) DestinatariosSolo el interesado destinatario · Encargado: proveedor SMTP transaccional cuando se cablee (Postmark/SendGrid, todos con DPF + SCC) TransferenciasEE. UU. via proveedor SMTP cuando esté operativo, bajo DPF + SCC ConservaciónEmail logs: 30 días por solo motivos operativos. Contenido: en la bandeja del usuario, fuera de nuestro control SeguridadSPF/DKIM/DMARC · TLS obligatorio en envío · Encabezados List-Unsubscribe

A-06 Comunicaciones comerciales · marketing limitado

FinalidadEnviar comunicaciones comerciales sobre nuevas funcionalidades exclusivamente a usuarios existentes que no hayan ejercido oposición. Base jurídicaArt. 6.1.f RGPD · Interés legítimo · LSSI Art. 21.2 (clientes existentes, productos similares) · cumplido test de tres pasos DatosEmail, nombre, segmento (plan) OrigenCuenta registrada del usuario DestinatariosSolo el interesado · Encargado SMTP TransferenciasLas del proveedor SMTP, bajo DPF + SCC ConservaciónVida del contrato + 6 meses · Anulable en cada comunicación vía List-Unsubscribe (RFC 8058 one-click) SeguridadOpt-out efectivo y verificado · Suppression list que persiste tras baja de cuenta

A-07 Facturación

FinalidadEmitir facturas, cobrar mediante Stripe (cuando se integre en v1.6), cumplir obligaciones contables y fiscales españolas. Base jurídicaArt. 6.1.b (ejecución de contrato) · Art. 6.1.c (obligación legal de conservación contable) DatosRazón social, CIF/NIF, dirección de facturación, plan contratado, importe, fecha, comprobante de pago OrigenEl propio interesado al contratar plan de pago · Pasarela de pago (Stripe) para metadatos del pago DestinatariosPersonal autorizado de finanzas · Asesoría fiscal externa bajo contrato Art. 28 · AEAT bajo requerimiento legal TransferenciasEE. UU. (Stripe Inc. cuando se integre) bajo DPF + SCC Conservación6 años desde emisión de la factura · Art. 30 Código de Comercio · LGT 58/2003 SeguridadCifrado en tránsito y reposo · Acceso restringido al equipo financiero · Stripe maneja datos de tarjeta (no llegan a ÆGIS)

Categorías de interesados

Usuarios registrados: profesionales del cumplimiento, DPDs, abogados, consultores que usan el servicio en nombre de sus clientes.
Visitantes de la demo pública: cualquier persona que use el agente sin registro (datos minimizados, IP truncada).
Personal interno y colaboradores: equipo de AIM ÆGIS con acceso a sistemas según rol.

No tratamos datos de menores · El servicio está dirigido exclusivamente a profesionales mayores de edad. Las T&C lo establecen como condición de uso.

No tratamos categorías especiales (Art. 9 RGPD) salvo plan Enterprise con contrato específico que las habilita explícitamente.

Política de privacidad · DPIA · DPO