Plantilla de Evaluación de Impacto de Protección de Datos
Última actualización: 2026-05-04
Plantilla pre-armada para tu revisión interna de DPIA.
Los DPIAs son obligatorios bajo el Artículo 35 del RGPD para procesamientos de alto riesgo. Esta plantilla es la estructura sección-por-sección que tu Data Protection Officer puede adjuntar al DPIA interno, poblada con los detalles de procesamiento de Mycelium. Envía a privacy@myceliumai.co por las versiones editables en Markdown y DOCX.
1. Descripción del procesamiento
- Naturaleza: ingestión de memoria tipada, ruteo determinístico, y write-back en un vault por tenant.
- Alcance: vault por tenant bajo alcance JWT, con lookup bi-temporal sobre el grafo tipado.
- Contexto: SaaS B2B para empresas Fortune 100 adoptando agentes de IA internamente.
- Propósito: dar a los agentes de IA memoria organizacional persistente que sobrevive los límites de sesión, los cambios de modelo, y la rotación de equipo.
2. Necesidad y proporcionalidad
- Base legal: Artículo 6(1)(b) contrato con el responsable, y Artículo 6(1)(f) intereses legítimos donde el cliente es el responsable.
- Compromiso de minimización de datos: solo se procesa la memoria que el cliente ingesta. Sin enriquecimiento de perfil desde fuentes externas, sin inferencia cross-tenant, sin brokerage de datos a terceros.
- Compatibilidad de propósitos: la memoria se usa solo como el cliente instruye. Sin uso secundario. Sin entrenamiento sobre datos del cliente sin opt-in explícito, por escrito, por tenant.
3. Identificación de riesgos
| Riesgo | Probabilidad | Severidad |
|---|---|---|
| Acceso no autorizado a la memoria de un tenant | Bajo (alcance JWT + vault root por tenant + RBAC) | Alto |
| Manipulación del registro de auditoría | Muy bajo (historial Git + log de transacciones + endpoint de replay solo para administrador) | Alto |
| Divulgación de subprocesador | Bajo (DPA + aviso de 30 días + veto del cliente) | Medio |
| Manejo de solicitudes de interesados | Bajo (el vault Markdown es legible para humanos) | Medio |
| Transferencia transfronteriza | Bajo (CCT Módulo Dos) | Medio |
4. Mitigaciones de riesgo
Cada mitigación mapea de regreso a una fila de la Sección 3:
- Técnico: alcance JWT, webhooks validados con HMAC, RBAC, AES-256 en reposo, TLS 1.3 en tránsito, historial Git inmutable, stream de eventos SSE por tenant.
- Operacional: respuesta a incidentes dentro de una hora hábil, revisiones de accesos trimestrales, drills de restauración de backups trimestrales.
- Contractual: DPA, BAA, CCT Módulo Dos, veto del cliente sobre subprocesadores con aviso de 30 días.
5. Riesgo residual y aprobación
Después de aplicar las mitigaciones de la Sección 4, el riesgo residual en cada fila de la Sección 3 es aceptable para el procesamiento descrito por el responsable. Esta es la firma del cliente, no de Mycelium.
Firma
Nombre del responsable: __________________________________________
Nombre del DPO: ________________________________________________
Fecha: ________________________________________________________
Firma: ________________________________________________________
6. Consulta
Registra cualquier consulta con tu Data Protection Officer, tu autoridad supervisora, o los interesados afectados en las filas de abajo.
- Consulta con DPO: fecha, nombres, resultado
- Consulta con autoridad supervisora (si se requiere bajo el Artículo 36): fecha, resultado
- Consulta con interesados (si aplica): método, tamaño de muestra, resultado
La versión editable en Markdown y DOCX de esta plantilla se envía a las solicitudes a privacy@myceliumai.co dentro de un día hábil. Mycelium no almacena el DPIA completado del cliente en nuestra infraestructura.
Mycelium · fundado en 2026