Evaluación de Impacto en Protección de Datos (DPIA)

1. Alcance y obligación legal

El art. 35 RGPD obliga a realizar una DPIA cuando el tratamiento, por su naturaleza, alcance o finalidades, suponga un alto riesgo para los derechos y libertades. Afini.ai trata categorías especiales de datos (art. 9 RGPD: rasgos psicológicos, valores, apego, humor, orientación temporal, contexto vital) sobre las que aplica algoritmos automatizados. Por ello, esta DPIA se mantiene viva — se revisa al menos anualmente y siempre que se introduce una nueva capa, un nuevo modelo o un cambio sustantivo en la base jurídica.

2. Mapa del tratamiento

Identificación (email, idioma), datos de pago (procesados por Stripe — Bilbao AI no almacena PAN ni datos bancarios), respuestas a cuestionarios psicométricos, conversaciones con la IA, capas declaradas (vital, ritmos, trayectoria, hobbies, etc.), métricas de uso del proxy LLM y eventos de auditoría. Encargados: Stripe (pagos), Anthropic (LLM bajo DPA — solo procesa, no entrena con tu contenido), Resend (email transaccional), Holded (facturación TicketBAI), Railway (hosting europeo), Cloudflare (CDN/WAF), Sentry (monitorización europea de errores).

3. Riesgos identificados

• Riesgo de inferencia sensible: la combinación de capas puede revelar estados psicológicos no declarados explícitamente.
• Riesgo de re-identificación: los datos pseudonimizados podrían vincularse al sujeto si se cruzan con fuentes externas.
• Riesgo de uso secundario: que terceros utilicen el AfiniTwin o las narrativas para fines distintos al consentido.
• Riesgo de sesgo algorítmico: que los modelos LLM reproduzcan sesgos al interpretar el perfil.
• Riesgo de transferencia internacional: aunque el procesamiento principal es europeo, la API de Anthropic procesa contenido bajo DPA con cláusulas tipo de la UE (SCCs).

4. Medidas de mitigación

• Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256) en todas las capas; segregación de la base de datos en infraestructura europea (Railway eu-west).
• Consentimiento granular y revocable por capa con auditoría de cada cambio (ver la pestaña Consentimientos en tu panel).
• Minimización: solo se inyecta en cada conversación con la IA el subconjunto del perfil estrictamente necesario; el contenido no se utiliza para entrenar modelos.
• Auditoría de sesgo en los prompts del proxy y revisión humana periódica de las narrativas generadas.
• Anonimización agresiva en logs y métricas: hashes salados de IP, sin contenido conversacional, retención limitada (90 días en Sentry, 30 días en logs aplicativos).
• Procedimiento de notificación de brechas (art. 33 RGPD) en menos de 72 h con cadena de custodia documentada.

5. Revisión y gobierno

La DPIA se revisa al menos una vez al año y obligatoriamente cuando se incorpora una capa nueva, un modelo nuevo o una funcionalidad de alto impacto (por ejemplo, exportación a terceros). El responsable del tratamiento aprueba cada revisión y la fecha queda registrada en el Documento de Seguridad. Los usuarios profesionales y empresas pueden solicitar acceso al resumen extendido firmando un acuerdo de confidencialidad.