← Security

Compliance · RGPD Art. 35

Data Protection Impact Assessment (DPIA)

Evaluación de impacto sobre el tratamiento que realiza Nexus Legal. Documento público, en formato adaptable como referencia por partners y despachos que necesiten redactar su propia DPIA al integrar nuestra plataforma. Última revisión: 2026-05-21.

1 · Responsable y representante

Responsable del tratamiento: Quantum Nexus Ventures FZCO

Domicilio: Dubai, UAE — Trade License 45880

Marca comercial: Nexus Legal

DPO contacto: dpo@nexusquantum.legal

Representante UE (Art. 27 RGPD): en designación (gestión externa, ETA Q3 2026).

2 · Descripción del tratamiento

Nexus Legal analiza documentos legales aportados por el usuario mediante una arquitectura multi-agente (Nodo A generador + Nodo B auditor + Nodo C red team opcional). El documento se procesa íntegramente en RAM y NO se persiste en disco ni base de datos del responsable. Solo se almacenan metadatos de ejecución (timestamps, modelo usado, costo en créditos) y, si el usuario lo solicita explícitamente, el output anonimizado.

  • Finalidades: análisis jurídico, redacción asistida, comparativa cross-border, consulta legal.
  • Tipología de datos: contenido de documentos legales (puede incluir nombres, direcciones, NIE/DNI, datos financieros, datos contractuales). Categorías especiales solo si el usuario los aporta voluntariamente.
  • Categorías de interesados: el propio usuario (abogado) y terceros mencionados en los documentos.
  • Volumen estimado: ~50 documentos/mes por usuario activo medio.

3 · Necesidad y proporcionalidad

Base jurídica (Art. 6 RGPD): Art. 6.1.b ejecución contractual (el usuario contrata el análisis). Para los terceros mencionados en los documentos: Art. 6.1.f interés legítimo del responsable del documento (el abogado actúa por mandato de su cliente).

Datos especiales (Art. 9): Nexus no solicita estos datos. Si aparecen en un documento aportado por el usuario, el tratamiento se ampara en el Art. 9.2.f (defensa de reclamaciones judiciales) o Art. 9.2.g (interés público sustancial en la administración de justicia), dependiendo del contexto del documento.

Principio de minimización: Zero Retention arquitectural — el documento del cliente NO persiste. El usuario controla si quiere guardar el output anonimizado.

4 · Riesgos identificados

RiesgoProbabilidadImpactoMitigación
Filtración del documento durante procesamientoBajaAltoProcesamiento exclusivamente en RAM; no hay storage del archivo. PII Gatekeeper anonimiza antes de enviar al LLM.
Reentrenamiento de modelos LLM con datos del usuarioBajaAltoContratos con proveedores LLM (Anthropic, DeepSeek, Voyage) con cláusula de no-training. Endpoints "zero retention" de cada proveedor activados.
Acceso no autorizado a la cuenta del usuarioMediaMedioAuth Supabase con 2FA opcional, sesiones cifradas, rate limiting, IP allowlist para Enterprise.
Cita inventada de jurisprudencia/normativa (alucinación)MediaAltoAudit-trail L1-L5 + L4-N. Citas literales desde corpus pre-cargado (no de la memoria del modelo). Auditor adversarial Nodo B detecta inconsistencias.
Transferencia internacional (EU → terceros países)Alta (por defecto)MedioSCCs firmadas con todos los proveedores. Almacenamiento en Supabase EU-west-2 (Londres). LLMs accedidos vía endpoints EU cuando disponibles.

5 · Subencargados (Art. 28.4 RGPD)

  • Anthropic, Inc. (LLM Claude Opus/Sonnet/Haiku) — DPA firmado, retention 0 días, no training.
  • DeepSeek AI Ltd. (LLM DeepSeek V3/V4-Pro) — DPA firmado, retention 0 días.
  • Voyage AI (embeddings) — retention 0 días, no training.
  • Supabase, Inc. (BD + auth) — DPA firmado, región eu-west-2 (London), SOC 2 Type II.
  • Railway (hosting app) — región europe-west4, ISO 27001.
  • Resend (email transaccional) — DPA firmado.
  • Cloudflare (CDN + Turnstile) — DPA firmado, edge EU.
  • Paddle (pagos, MoR) — PCI DSS Level 1, asume responsabilidad fiscal y de fraude.

La lista actualizada se mantiene en /privacy y se notifica a los clientes con 30 días de antelación ante cualquier cambio (Art. 28.2 RGPD).

6 · Derechos de los interesados (Art. 15-22 RGPD)

Ejercicio de derechos: dpo@nexusquantum.legal. Plazo de respuesta: 30 días naturales prorrogables 60 si la solicitud es compleja.

  • Acceso (Art. 15): exportación DSR vía la propia plataforma (botón en /settings).
  • Rectificación (Art. 16): editable desde /settings.
  • Supresión (Art. 17): botón "borrar cuenta" en /settings con confirmación por token email (Art. 17.2). Borrado completo en cascada (auth.users + user_profiles + jobs + credits_ledger + outputs + time_entries…).
  • Limitación (Art. 18): bloqueo temporal de la cuenta a petición.
  • Portabilidad (Art. 20): export DSR en JSON estructurado.
  • Oposición (Art. 21): revocable desde /settings o por email al DPO.
  • Decisiones automatizadas (Art. 22): consentimiento explícito en el registro. Salvaguardas: cada output es revisable por un humano antes de emitir el dictamen profesional.

7 · Plazos de retención

Política definida en la tabla retention_policies con cron diario que ejecuta el borrado automatizado.

  • Documentos cliente: 0 días (Zero Retention nativo).
  • Analysis outputs (si el usuario opta in): 90 días por defecto, configurable hasta 0 (desactivar persistencia).
  • Audit log: 5 años (obligación legal, Ley 25/2007).
  • Datos de facturación: 6 años (Ley General Tributaria Art. 70).
  • Consent log: 5 años post-revocación (prueba de consentimiento, RGPD Art. 7.1).
  • Cuenta de usuario (perfil): hasta que el usuario solicite supresión, o 24 meses de inactividad (notificación previa con 30 días).

8 · Medidas técnicas y organizativas (Art. 32 RGPD)

  • Cifrado en tránsito: TLS 1.3 obligatorio en todas las superficies. HSTS habilitado.
  • Cifrado en reposo: AES-256 (Supabase) + pgcrypto para secrets sensibles (webhook signing keys).
  • Auth: Supabase con 2FA opcional, sesiones cifradas firmadas. Master/sub-keys con scopes granulares.
  • Anti-bot: Cloudflare Turnstile en register/login/forgot-password.
  • Rate limiting: por IP + por API key. IP allowlist en Enterprise.
  • RLS: Row-Level Security activado en TODAS las tablas con datos del cliente.
  • Logs de acceso: 5 años con timestamp + user_id + endpoint + status + IP enmascarada.
  • Cross-audit: arquitectura multi-agente reduce errores y alucinaciones del modelo único.
  • Backup: Supabase point-in-time recovery 7 días (Pro plan).

9 · Consulta previa (Art. 36 RGPD)

Tras esta DPIA, NO se identifican riesgos residuales altos que requieran consulta previa a la autoridad de control. Si en una iteración futura se introduce un tratamiento nuevo de alto riesgo (ej. análisis biométrico, datos de salud, perfilado masivo), se actualizará esta DPIA y, si procede, se consultará a la AEPD (España) o la autoridad de control del país de residencia del responsable UE Art. 27 cuando se designe.

10 · Revisión periódica

Esta DPIA se revisa al menos una vez al año o cuando cambie: la categoría de datos procesados, los subencargados, la base jurídica, o el contexto del tratamiento. La fecha de la última revisión figura en la cabecera de este documento.

Uso como plantilla por partners

Esta DPIA está pensada como referencia adaptable. Cualquier despacho o partner que integre Nexus Legal puede tomarla como base, sustituyendo los datos del responsable y completando las secciones específicas de su tratamiento. La estructura sigue las recomendaciones del CEPD (antes WP29) — WP248 rev.01.

Si necesitas la DPIA firmada por nuestro DPO para tu expediente de cumplimiento, escribe a dpo@nexusquantum.legal. La emitimos en PDF firmado electrónicamente con timestamp eIDAS en un plazo de 48h.