Cumprimento RXPD / LOPDGDD
1. Resumo Executivo
Gandeo é unha plataforma SaaS para a xestión de explotacións gandeiras de vacún de carne. Como responsable do tratamento, Gandeo cumpre co Regulamento Xeral de Protección de Datos (RXPD) e a Lei Orgánica 3/2018, do 5 de decembro, de Protección de Datos Persoais e Garantía dos Dereitos Dixitais (LOPDGDD).
Este documento resume o estado de cumprimento, os tratamentos realizados, as garantías implementadas e os dereitos dos interesados.
2. Ámbito de Aplicación
Esta política de cumprimento aplica a:
- Todos os datos persoais tratados a través de https://gandeo.com e https://app.gandeo.com.
- Os datos procesados a través do bot de Telegram @Gandeobot.
- Os datos de contactos de terceiros (provedores, clientes) introducidos polos usuarios.
- Os documentos subidos á plataforma que conteñan datos persoais.
3. Principios do Tratamento (Art. 5 RXPD)
Gandeo aplica os seguintes principios en todo tratamento de datos persoais:
| Principio | Aplicación en Gandeo |
|---|---|
| Licitude, lealdade e transparencia | Informamos claramente ao usuario sobre que datos tratamos, por que e con quen os compartimos. Non utilizamos prácticas enganosas. |
| Limitación da finalidade | Os datos recóllense para fins determinados, explícitos e lexítimos (xestión gandeira, seguridade, cumprimento legal). Non se tratan de forma incompatible con ditos fins. |
| Minimización de datos | Só solicitamos os datos estritamente necesarios para prestar o servizo. Non esiximos máis información da necesaria. |
| Exactitude | O usuario pode rectificar os seus datos en calquera momento. Implementamos validacións para detectar inconsistencias. |
| Limitación do prazo de conservación | Os datos consérvanse só durante o tempo necesario. Establécense prazos de conservación diferenciados por categoría de datos. |
| Integridade e confidencialidade | Cifrado en tránsito e en repouso, control de acceso por roles (RLS), autenticación segura, auditoría e copias de seguridade. |
| Responsabilidade proactiva | Documentación de tratamentos, rexistro de decisións, avaliacións de impacto cando proceda, e formación continua. |
4. Rexistro de Actividades de Tratamiento (RAT)
4.1. Tratamento: Xestión de usuarios e autenticación
- Responsable: Iago Vázquez Quiroga / Gandeo
- Finalidade: Crear, autenticar e xestionar contas de usuario.
- Categorías de datos: Email, nome, identificador de Telegram, credenciais de acceso (xestionadas por Supabase Auth), dirección IP.
- Categorías de interesados: Usuarios rexistrados.
- Destinatarios: Supabase, Inc. (encargado).
- Transferencias internacionais: Posible a Estados Unidos (Supabase). Protexidas con DPA e cláusulas contractuais tipo.
- Prazo de conservación: Mentres a conta estea activa + prazos legais (5 anos para obrigas fiscais).
- Medidas de seguridade: Cifrado TLS, códigos OTP, RLS en base de datos, rate limits.
4.2. Tratamento: Xestión documental e operativa
- Responsable: Iago Vázquez Quiroga / Gandeo
- Finalidade: Almacenar, organizar e procesar documentos e datos da explotación.
- Categorías de datos: Documentos fiscais, sanitarios e operativos; datos de contactos de terceiros; datos de transaccións económicas; datos de animais e lotes.
- Categorías de interesados: Usuarios, contactos de provedores/clientes, veterinarios, transportistas.
- Destinatarios: Supabase (almacenamento), Cloudflare (backups), Mistral AI (OCR, como encargado), OpenCode (estruturación IA, como encargado).
- Transferencias internacionais: Posible a Estados Unidos (Supabase). A lectura OCR realízase dentro da UE (Mistral AI é europeo).
- Prazo de conservación: Mentres a explotación estea activa. Datos fiscais: 5 anos.
- Medidas de seguridade: Bucket privado en Storage, URLs asinadas temporais, RLS, auditoría, confirmación humana obrigatoria.
4.3. Tratamento: Comunicacións e soporte
- Responsable: Iago Vázquez Quiroga / Gandeo
- Finalidade: Atender consultas, resolver incidencias e enviar comunicacións operativas.
- Categorías de datos: Email, nome, contido da consulta, datos técnicos da sesión.
- Destinatarios: Ningún terceiro salvo o provedor de email.
- Prazo de conservación: 2 anos para consultas de soporte.
4.4. Tratamento: Seguridade do sistema
- Responsable: Iago Vázquez Quiroga / Gandeo
- Finalidade: Detectar e previr accesos non autorizados, abusos e fraudes.
- Categorías de datos: Dirección IP (hash), timestamp de acceso, identificadores de sesión, rexistros de auditoría.
- Base xurídica: Interese lexítimo (art. 6.1.f RXPD).
- Prazo de conservación: 1 ano para logs de seguridade.
5. Garantías do Interese Lexítimo
Cando o tratamento se basee no interese lexítimo de Gandeo, aplicáronse as seguintes garantías:
- Balance de intereses: O interese de Gandeo en manter a seguridade e funcionalidade do servizo non prevalece sobre os dereitos e liberdades fundamentais do usuario.
- Minimización: Só se tratan os datos estritamente necesarios para a finalidade de seguridade.
- Transparencia: O usuario é informado na Política de Privacidade e pode oporse ao tratamento.
- Sen perfís sensibles: Non se elaboran perfís que poidan producir efectos xurídicos significativos sen intervención humana.
6. Decisións Automatizadas e Perfís
Gandeo utiliza intelixencia artificial para:
- Ler documentos mediante OCR (Mistral AI).
- Propoñer datos estruturados a partir do texto lido (OpenCode Go).
Salvagardas aplicadas:
- As propostas de IA preséntanse sempre como borradores revisables.
- Ningún dato proposto por IA convértese en rexistro definitivo sen confirmación humana explícita.
- O usuario ten o control total sobre a aceptación, modificación ou rexeitamento de cada proposta.
- Non existen decisións automatizadas que produzan efectos xurídicos significativos sobre o usuario.
6 bis. Transparencia e Regulamento Europeo de IA
Gandeo trata a IA como unha ferramenta de apoio documental, non como fonte de verdade nin como sistema decisorio autónomo. O uso de IA limítase a lectura documental, OCR, estruturación de texto e xeración de borradores revisables.
De acordo co Regulamento (UE) 2024/1689:
- O usuario debe saber cando unha proposta foi xerada ou asistida por IA.
- A información sobre o uso de IA debe darse de forma clara e accesible.
- As persoas que operen o sistema deben entender as súas limitacións básicas e revisar os resultados antes de confirmalos.
- Gandeo non usa IA para recoñecemento emocional, categorización biométrica, deepfakes, scoring social nin decisións automatizadas de alto impacto.
- Gandeo non utiliza IA para conceder, denegar ou xestionar oficialmente axudas públicas, subvencións ou dereitos administrativos.
A política pública de uso de IA debe manterse publicada en /{locale}/legal/ia e revisarse cando cambien provedores, finalidades, canles de entrada ou capacidades do sistema.
7. Medidas de Seguridade (Art. 32 RXPD)
Gandeo implementou as seguintes medidas técnicas e organizativas para garantir un nivel de seguridade adecuado ao risco:
7.1. Medidas técnicas
| Medida | Descrición |
|---|---|
| Cifrado en tránsito | TLS 1.2+ para todas as comunicacións cliente-servidor. |
| Cifrado en repouso | Cifrado de base de datos PostgreSQL e do bucket de almacenamento (Supabase). |
| Pseudonimización | Os identificadores de rate limits almacénanse como hashes, non en claro. |
| Control de acceso | Row Level Security (RLS) en PostgreSQL: illamento de datos por explotación. |
| Autenticación forte | Códigos OTP dun só uso (sen contrasinais persistentes). |
| Copias de seguridade | Backups automatizados periódicos da base de datos. |
| Rate limiting | Límites de frecuencia en endpoints sensibles para previr abusos. |
| Auditoría | Rexistro de accións críticas en audit_events. |
7.2. Medidas organizativas
- Política de privacidade e termos de uso publicados e accesibles.
- Cláusulas contractuais con todos os encargados de tratamento.
- Acceso restrinxido a datos por parte do equipo de desenvolvemento.
- Formación en protección de datos para o persoal con acceso a datos.
- Procedemento de resposta a incidentes de seguridade.
- Procedemento de notificación á AEPD e aos interesados en caso de fenda de seguridade.
8. Avaliación de Impacto na Protección de Datos (AIPD)
Dado o volume e a natureza dos datos tratados, Gandeo realizou unha avaliación de impacto que conclúe:
- O tratamento de datos persoais de contactos de terceiros introducidos por usuarios conleva un risco medio.
- O tratamento de documentos fiscais conleva un risco medio-alto pola natureza patrimonial da información.
- As medidas de seguridade implementadas (cifrado, RLS, confirmación humana, auditoría) reducen o risco a un nivel aceptable.
- Non se tratan categorías especiais de datos (saúde, orixe étnica, opinións políticas, etc.) de forma sistemática.
9. Notificación de Fendas de Seguridade
En caso de producirse unha fenda de seguridade que afecte aos datos persoais dos usuarios:
1. Gandeo avaliará o risco para os dereitos e liberdades das persoas físicas.
2. Se o risco é alto, notificará a fenda á Axencia Española de Protección de Datos (AEPD) no prazo máximo de 72 horas desde o seu coñecemento.
3. Se a fenda entraña un alto risco para os dereitos e liberdades, Gandeo notificará directamente aos usuarios afectados sen dilación indebida.
4. O rexistro de fendas manterase documentado internamente.
10. Dereitos dos Interesados
Ver sección 7 da Política de Privacidade.
11. Contacto do Delegado de Protección de Datos
- Email: soporte@gandeo.com
- Funcións: Supervisar o cumprimento do RXPD, asesorar ao responsable, cooperar coa AEPD, e actuar como punto de contacto para os interesados.
12. Actualización
Este documento revisarase anualmente ou cando se produzan cambios significativos no tratamento de datos.
Última actualización: 16 de xuño de 2026