Gandeo IconGandeo
ESGL

Cumplimiento RGPD / LOPDGDD

1. Resumen Ejecutivo

Gandeo es una plataforma SaaS para la gestión de explotaciones ganaderas de vacuno de carne. Como responsable del tratamiento, Gandeo cumple con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

Este documento resume el estado de cumplimiento, los tratamientos realizados, las garantías implementadas y los derechos de los interesados.

2. Ámbito de Aplicación

Esta política de cumplimiento aplica a:

  • Todos los datos personales tratados a través de https://gandeo.com y https://app.gandeo.com.
  • Los datos procesados a través del bot de Telegram @Gandeobot.
  • Los datos de contactos de terceros (proveedores, clientes) introducidos por los usuarios.
  • Los documentos subidos a la plataforma que contengan datos personales.

3. Principios del Tratamiento (Art. 5 RGPD)

Gandeo aplica los siguientes principios en todo tratamiento de datos personales:

| Principio | Aplicación en Gandeo |

|---|---|

| Licitud, lealtad y transparencia | Informamos claramente al usuario sobre qué datos tratamos, por qué y con quién los compartimos. No utilizamos prácticas engañosas. |

| Limitación de la finalidad | Los datos se recogen para fines determinados, explícitos y legítimos (gestión ganadera, seguridad, cumplimiento legal). No se tratan de forma incompatible con dichos fines. |

| Minimización de datos | Solo solicitamos los datos estrictamente necesarios para prestar el servicio. No exigimos más información de la necesaria. |

| Exactitud | El usuario puede rectificar sus datos en cualquier momento. Implementamos validaciones para detectar inconsistencias. |

| Limitación del plazo de conservación | Los datos se conservan solo durante el tiempo necesario. Se establecen plazos de conservación diferenciados por categoría de datos. |

| Integridad y confidencialidad | Cifrado en tránsito y en reposo, control de acceso por roles (RLS), autenticación segura, auditoría y copias de seguridad. |

| Responsabilidad proactiva | Documentación de tratamientos, registro de decisiones, evaluaciones de impacto cuando proceda, y formación continua. |

4. Registro de Actividades de Tratamiento (RAT)

4.1. Tratamiento: Gestión de usuarios y autenticación

  • Responsable: Iago Vázquez Quiroga / Gandeo
  • Finalidad: Crear, autenticar y gestionar cuentas de usuario.
  • Categorías de datos: Email, nombre, identificador de Telegram, credenciales de acceso (gestionadas por Supabase Auth), dirección IP.
  • Categorías de interesados: Usuarios registrados.
  • Destinatarios: Supabase, Inc. (encargado).
  • Transferencias internacionales: Posible a Estados Unidos (Supabase). Protegidas con DPA y cláusulas contractuales tipo.
  • Plazo de conservación: Mientras la cuenta esté activa + plazos legales (5 años para obligaciones fiscales).
  • Medidas de seguridad: Cifrado TLS, códigos OTP, RLS en base de datos, rate limits.

4.2. Tratamiento: Gestión documental y operativa

  • Responsable: Iago Vázquez Quiroga / Gandeo
  • Finalidad: Almacenar, organizar y procesar documentos y datos de la explotación.
  • Categorías de datos: Documentos fiscales, sanitarios y operativos; datos de contactos de terceros; datos de transacciones económicas; datos de animales y lotes.
  • Categorías de interesados: Usuarios, contactos de proveedores/clientes, veterinarios, transportistas.
  • Destinatarios: Supabase (almacenamiento), Mistral AI (OCR, como encargado), OpenCode (estructuración IA, como encargado).
  • Transferencias internacionales: Posible a Estados Unidos (Supabase). La lectura OCR se realiza dentro de la UE (Mistral AI es europeo).
  • Plazo de conservación: Mientras la explotación esté activa. Datos fiscales: 5 años.
  • Medidas de seguridad: Bucket privado en Storage, URLs firmadas temporales, RLS, auditoría, confirmación humana obligatoria.

4.3. Tratamiento: Comunicaciones y soporte

  • Responsable: Iago Vázquez Quiroga / Gandeo
  • Finalidad: Atender consultas, resolver incidencias y enviar comunicaciones operativas.
  • Categorías de datos: Email, nombre, contenido de la consulta, datos técnicos de la sesión.
  • Destinatarios: Ningún tercero salvo el proveedor de email.
  • Plazo de conservación: 2 años para consultas de soporte.

4.4. Tratamiento: Seguridad del sistema

  • Responsable: Iago Vázquez Quiroga / Gandeo
  • Finalidad: Detectar y prevenir accesos no autorizados, abusos y fraudes.
  • Categorías de datos: Dirección IP (hash), timestamp de acceso, identificadores de sesión, registros de auditoría.
  • Base jurídica: Interés legítimo (art. 6.1.f RGPD).
  • Plazo de conservación: 1 año para logs de seguridad.

5. Garantías del Interés Legítimo

Cuando el tratamiento se base en el interés legítimo de Gandeo, se han aplicado las siguientes garantías:

  • Balance de intereses: El interés de Gandeo en mantener la seguridad y funcionalidad del servicio no prevalece sobre los derechos y libertades fundamentales del usuario.
  • Minimización: Solo se tratan los datos estrictamente necesarios para la finalidad de seguridad.
  • Transparencia: El usuario es informado en la Política de Privacidad y puede oponerse al tratamiento.
  • No perfiles sensibles: No se elaboran perfiles que puedan producir efectos jurídicos significativos sin intervención humana.

6. Decisiones Automatizadas y Perfiles

Gandeo utiliza inteligencia artificial para:

  • Leer documentos mediante OCR (Mistral AI).
  • Proponer datos estructurados a partir del texto leído (OpenCode Go).

Salvaguardas aplicadas:

  • Las propuestas de IA se presentan siempre como borradores revisables.
  • Ningún dato propuesto por IA se convierte en registro definitivo sin confirmación humana explícita.
  • El usuario tiene el control total sobre la aceptación, modificación o rechazo de cada propuesta.
  • No existen decisiones automatizadas que produzcan efectos jurídicos significativos sobre el usuario.

7. Medidas de Seguridad (Art. 32 RGPD)

Gandeo ha implementado las siguientes medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado al riesgo:

7.1. Medidas técnicas

| Medida | Descripción |

|---|---|

| Cifrado en tránsito | TLS 1.2+ para todas las comunicaciones cliente-servidor. |

| Cifrado en reposo | Cifrado de base de datos PostgreSQL y del bucket de almacenamiento (Supabase). |

| Pseudonimización | Los identificadores de rate limits se almacenan como hashes, no en claro. |

| Control de acceso | Row Level Security (RLS) en PostgreSQL: aislamiento de datos por explotación. |

| Autenticación fuerte | Códigos OTP de un solo uso (sin contraseñas persistentes). |

| Copias de seguridad | Backups automatizados periódicos de la base de datos. |

| Rate limiting | Límites de frecuencia en endpoints sensibles para prevenir abusos. |

| Auditoría | Registro de acciones críticas en audit_events. |

7.2. Medidas organizativas

  • Política de privacidad y términos de uso publicados y accesibles.
  • Cláusulas contractuales con todos los encargados de tratamiento.
  • Acceso restringido a datos por parte del equipo de desarrollo.
  • Formación en protección de datos para el personal con acceso a datos.
  • Procedimiento de respuesta a incidentes de seguridad.
  • Procedimiento de notificación a la AEPD y a los interesados en caso de brecha de seguridad.

8. Evaluación de Impacto en la Protección de Datos (EIPD)

Dado el volumen y la naturaleza de los datos tratados, Gandeo ha realizado una evaluación de impacto que concluye:

  • El tratamiento de datos personales de contactos de terceros introducidos por usuarios conlleva un riesgo medio.
  • El tratamiento de documentos fiscales conlleva un riesgo medio-alto por la naturaleza patrimonial de la información.
  • Las medidas de seguridad implementadas (cifrado, RLS, confirmación humana, auditoría) reducen el riesgo a un nivel aceptable.
  • No se tratan categorías especiales de datos (salud, origen étnico, opiniones políticas, etc.) de forma sistemática.

9. Notificación de Brechas de Seguridad

En caso de producirse una brecha de seguridad que afecte a los datos personales de los usuarios:

1. Gandeo evaluará el riesgo para los derechos y libertades de las personas físicas.

2. Si el riesgo es alto, notificará la brecha a la Agencia Española de Protección de Datos (AEPD) en el plazo máximo de 72 horas desde su conocimiento.

3. Si la brecha entraña un alto riesgo para los derechos y libertades, Gandeo notificará directamente a los usuarios afectados sin dilación indebida.

4. El registro de brechas se mantendrá documentado internamente.

10. Derechos de los Interesados

Ver sección 7 de la [Política de Privacidad](./03-politica-privacidad.md).

11. Contacto del Delegado de Protección de Datos

  • Email: dpo@gandeo.com
  • Funciones: Supervisar el cumplimiento del RGPD, asesorar al responsable, cooperar con la AEPD, y actuar como punto de contacto para los interesados.

12. Actualización

Este documento se revisará anualmente o cuando se produzcan cambios significativos en el tratamiento de datos.

Última actualización: 20 de mayo de 2026