Documentación para vuestro asesor jurídico.

Quién es quién en el tratamiento

• Responsable del tratamiento: el centro (residencia o colegio mayor) que contrata el servicio.
• Encargado del tratamiento: Bedel IA, que actúa exclusivamente bajo las instrucciones documentadas del responsable y según el DPA firmado.
• Subencargados autorizados: Supabase (BD y auth, EU), Anthropic (modelo Claude, US, con SCC), Resend (correo transaccional), Meta (WhatsApp Business Cloud API). Lista actualizada en el DPA.
• Autoridad de control: Agencia Española de Protección de Datos (AEPD), Reclamaciones en aepd.es.

Bases legales

• Datos de residente / colegial: ejecución del contrato del centro con el residente (RGPD art. 6.1.b) + consentimiento explícito para datos de salud (alérgenos, art. 9.2.a).
• Datos de familiares: interés legítimo del centro para mantener vías de contacto + consentimiento para comunicaciones no esenciales.
• Datos de staff: ejecución del contrato laboral o de servicios (art. 6.1.b).
• Denuncias confidenciales: cumplimiento de obligación legal — Ley Orgánica 3/2022 de Convivencia Universitaria (art. 6.1.c).

Medidas de seguridad

• Cifrado TLS 1.2+ en tránsito y AES-256 en reposo (Supabase EU).
• Tokens de WhatsApp Business cifrados con AES-256-GCM, claves no accesibles por aplicación.
• Aislamiento por organización mediante Row Level Security (RLS) — ningún cliente puede consultar datos de otro.
• 2FA obligatorio para staff (en despliegue gradual; consultadnos el estado).
• Logs auditables (audit_log + ticket_events) inmutables, exportables a CSV/PDF.
• Notificación de brechas a la AEPD en menos de 72 h conforme al art. 33 RGPD.
• Backups automáticos diarios cifrados con retención de 30 días.

Transferencias internacionales

Anthropic (proveedor del modelo Claude) trata datos en EE. UU. La transferencia se ampara en las cláusulas contractuales tipo (SCC) aprobadas por la Comisión Europea (Decisión 2021/914) más medidas suplementarias post-Schrems II: cifrado en tránsito, política contractual de no entrenamiento con datos del cliente y minimización del payload (sólo se envía el mensaje del residente y el manual del centro, sin datos médicos detallados ni PII innecesaria).

Si el centro lo requiere, podemos limitar el tratamiento exclusivamente a datos no identificativos (anonimización previa) o usar un modelo en EU (sujeto a viabilidad técnica).

Retención y portabilidad

• Mensajes activos: conservados durante la vigencia del contrato + 6 meses post-baja (para reclamaciones y auditorías).
• Tickets resueltos: 24 meses; tras este plazo se anonimizan los datos identificativos.
• Datos de salud (alérgenos): vigencia del contrato del residente con el centro.
• Logs de auditoría: 5 años (auditorías AEPD / ENS / cuentas universitarias).
• Portabilidad: exportación CSV/JSON disponible en cualquier momento desde el panel del centro (endpoint /api/export). Tras la rescisión del contrato disponéis de 90 días para descargar todos los datos antes del borrado certificado.

Derechos de los interesados

Cualquier residente, familiar o miembro del staff puede ejercer sus derechos ARSULIPO (Acceso, Rectificación, Supresión, Limitación, Portabilidad, Oposición y derecho a no ser objeto de decisiones automatizadas). El primer interlocutor es siempre el centro como responsable. Nosotros, como encargado, asistimos en el ejercicio del derecho en menos de 30 días.

Cumplimiento sectorial

• RD 126/2015 + Reglamento UE 1169/2011: información de los 14 alérgenos UE en el comedor del centro, cruces automáticos con la ficha alergénica del residente.
• Ley Orgánica 3/2022 de Convivencia Universitaria: canal de denuncia confidencial integrado, escalado urgente al órgano de dirección.
• Ley Crea y Crece + RD 238/2026: factura electrónica B2B desde 2027 (en hoja de ruta).
• Esquema Nacional de Seguridad (ENS): autoevaluación nivel BÁSICO disponible para centros públicos. Categorización MEDIA en hoja de ruta.
• Política Meta enero 2026: el chatbot declara explícitamente su naturaleza IA al primer contacto, ofrece ruta directa a humano (palabra "HUMANO") y respeta el opt-out del usuario.