| Categoría | Detalles |
|---|---|
| Interesados | Empleados del Responsable, usuarios invitados, personas cuyos datos se introducen y personas referenciadas en contenido, eventos, mensajes, llamadas o fuentes públicas |
| Tipos de datos | Contacto, credenciales, uso, contenido (texto/imágenes/audio/archivos/URLs), prompts y resultados, embeddings, tokens API/OAuth, metadatos de calendario/asistentes, SMS/WhatsApp/voz, técnicos, pago (Stripe) |
| Ubicaciones | UE primaria (DE, SE), EE. UU. y otros terceros países para APIs bajo DPF/SCCs, Reino Unido para ciertos servicios de voz |
| Retención | Duración contractual + 30 días salvo retención específica más corta, retirada de consentimiento, retención legal o auditoría/seguridad |
| Finalidad | Servicios de plataforma IA, simulaciones dirigidas por clientes, integraciones, fuentes, mensajería/voz, seguridad y soporte. Sin entrenamiento de modelos generales salvo opt-in expreso. |
| Tecnología | APIs LLM, voz (ElevenLabs, Fish Audio, Deepgram), búsqueda/fuentes (Tavily, Firecrawl, Apify, Serper, OCR.space), integraciones (Google Calendar, Twilio), infraestructura (DigitalOcean Frankfurt, Supabase Stockholm), seguridad (Cloudflare, TLS 1.2+, AES-256). |
| Riesgo | Probabilidad | Gravedad | Residual | Mitigación |
|---|---|---|---|---|
| Acceso no autorizado | Baja | Alta | Baja | MFA, RBAC, AES-256, Row-Level Security, tokens limitados y revocables |
| Brecha de datos | Baja | Alta | Baja | TLS 1.2+, copias cifradas, Cloudflare, proceso de incidentes, aviso 48h |
| Entrenamiento IA con datos de cliente sin instrucción | Muy baja | Alta | Muy baja | No-training por defecto, opt-in, contratos, controles ZDR/no-retención cuando existan |
| Fuga entre clientes | Muy baja | Crítica | Muy baja | Row-Level Security, controles tenant, tests automatizados |
| Acceso gubernamental | Baja | Media | Baja | Infra UE, DPF/SCCs, revisión de transferencias, transparencia |
| Uso indebido de voz/imagen/voz clonada | Baja | Alta | Media | Consentimiento, uso aceptable, logs, retirada y suspensión |
| Uso indebido de tokens Calendar/OAuth | Baja | Alta | Baja | Permisos limitados, tokens cifrados, desconexión, limpieza webhooks, auditoría |
| Extracción pública ilícita o sensible | Media | Media | Media | Garantías del usuario, prohibiciones, logging, minimización, eliminación |
| Brecha de transparencia/procedencia IA antes del art. 50 | Media | Media | Media | Etiquetas visibles, metadatos de generación, preparación para 2 de agosto de 2026 |
| Pérdida de disponibilidad | Baja | Media | Baja | Backups diarios, PITR, RPO 24h, RTO 8h |