Saltar a contenido

Protección de Datos — RGPD y LOPDGDD

SmallCountry está concebido para devolver a las personas el control sobre su vida digital. La privacidad y la soberanía son sus cimientos. Sin embargo, el cumplimiento de la normativa de protección de datos —el Reglamento General de Protección de Datos europeo y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales española— requiere, además de una arquitectura impecable, una serie de procesos formales, documentación pública y un compromiso de mejora continua. Este informe es un ejercicio de transparencia: reconoce las áreas donde SmallCountry todavía debe mejorar y traza un plan concreto para conseguirlo.

1. Diagnóstico de riesgos: qué podría fallar

1.1. Riesgos legales por ausencia de documentación formal

La normativa exige documentar de forma escrita y accesible cómo se tratan los datos personales. SmallCountry carece actualmente de:

  • Registro de Actividades de Tratamiento (RAT): El artículo 30 del RGPD obliga a todo responsable del tratamiento a mantener un registro de las operaciones con datos personales: qué datos se tratan, con qué finalidad, durante cuánto tiempo se conservan y qué medidas de seguridad se aplican. Sin este documento, no es posible acreditar el cumplimiento ante una auditoría o una reclamación.
  • Evaluación de Impacto en la Protección de Datos (AIPD/EIPD): La consulta de psicología trata datos de salud, una categoría especial de datos que exige una evaluación de impacto obligatoria según el artículo 35 del RGPD. No haber realizado ni documentado esta evaluación es el riesgo más grave desde el punto de vista normativo.
  • Análisis de riesgos general: Aunque SmallCountry implementa medidas técnicas sólidas, no existe un documento formal que evalúe los riesgos para el resto de tratamientos (datos de la familia, de la empresa, de la finca) y que justifique las medidas adoptadas.

1.2. Riesgos en la gestión de brechas de seguridad

SmallCountry dispone de mecanismos técnicos para detectar anomalías, pero no tiene un procedimiento formal que defina cómo actuar ante una brecha de datos personales:

  • Detección: Prometheus, Alertmanager y Uptime Kuma monitorizan el sistema en tiempo real y notifican incidencias. Sin embargo, no hay una clasificación específica de brechas de datos personales ni un criterio para determinar su gravedad.
  • Notificación a la autoridad: El RGPD obliga a notificar a la AEPD las brechas de datos personales en un plazo máximo de 72 horas. Sin un procedimiento escrito, este plazo podría incumplirse por desconocimiento o por falta de claridad sobre quién debe hacerlo.
  • Comunicación a los interesados: Cuando una brecha supone un alto riesgo para los derechos de las personas, la normativa exige comunicárselo sin dilación indebida. SmallCountry no tiene definido quién redactaría esa comunicación, ni en qué formato, ni en qué plazo.

1.3. Riesgos en el ejercicio de derechos ARCO

Técnicamente, SmallCountry permite a cada persona acceder, exportar y eliminar sus datos. La mayoría de los servicios incluyen interfaces para ello. Sin embargo, no existe un procedimiento formal y público que explique cómo un interesado puede ejercer sus derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición. Esto podría generar indefensión ante una solicitud legítima y dificultar la respuesta en el plazo de un mes que establece la ley.

1.4. Riesgos en la publicación de datos para ciencia abierta

La finca comparte datos de biodiversidad y agricultura regenerativa con fines científicos. Aunque no se trata de datos personales en la mayoría de los casos, SmallCountry no ha establecido un protocolo formal de anonimización o seudonimización para garantizar que ningún dato personal —como geolocalizaciones muy precisas asociadas a una propiedad— pueda ser reidentificado a partir de los datasets publicados.

1.5. Riesgos en la gestión del consentimiento para servicios públicos

Si en el futuro se habilitan servicios accesibles desde internet sin VPN (red privada virtual) —como una tienda en línea o un portal de ciencia abierta—, será necesario implementar mecanismos de consentimiento para cookies y otras tecnologías de seguimiento. Actualmente, SmallCountry no utiliza cookies de seguimiento ni publicidad, pero no se ha preparado un banner de consentimiento ni una política de cookies para ese escenario.

2. Herramientas con las que ya cuenta SmallCountry

A pesar de las carencias documentales, SmallCountry dispone de una base técnica formidable para la protección de datos. Esta es la lista completa de herramientas y cómo contribuyen al cumplimiento:

2.1. Soberanía y residencia local de los datos

  • Proxmox VE — Hipervisor donde corren todos los servicios. Los datos nunca abandonan el hardware propio.
  • Nextcloud — Archivos, calendario y contactos en servidores locales.
  • Immich — Álbum de fotos con IA local. Las imágenes nunca salen del sistema.
  • Joplin Server — Notas y documentos en infraestructura propia, con cifrado de extremo a extremo.

2.2. Cifrado integral (en tránsito y en reposo)

  • WireGuard y NetBird — Túneles cifrados para acceso remoto sin exponer servicios a internet.
  • Caddy — Proxy inverso que asegura TLS (cifrado de comunicaciones) en todas las comunicaciones internas, con certificados de la CA interna (autoridad certificadora propia).
  • ZFS — Sistema de archivos con cifrado nativo para proteger los datos en reposo.
  • Joplin Server — Cifrado de extremo a extremo para notas sensibles (consulta de psicología).

2.3. Control de acceso y minimización de datos

  • Authentik — Autenticación centralizada con 2FA (autenticación en dos pasos) y roles segmentados por perfil (familia, empresa, finca, administrador). Solo se accede a lo necesario para cada función.
  • Vaultwarden — Gestión de contraseñas con cifrado local y caché offline.

2.4. Seguridad perimetral

  • Pi-hole — Bloqueo de anuncios, rastreadores y malware a nivel de red.
  • Fail2ban — Protección contra intentos de acceso no autorizado.
  • Proxmox VE — Segmentación de red mediante bridges independientes. Los datos de la consulta de psicología están aislados del resto del sistema.

2.5. Integridad y disponibilidad

  • ZFS — Verificación de integridad mediante sumas de verificación y snapshots.
  • PBS — Copias de seguridad diarias verificadas funcionalmente con restauración automática.
  • rsync — Replicación de datos en formato original a un disco en Horus (servidor secundario con GPU para IA), garantizando la portabilidad a largo plazo.
  • SAI — Protección eléctrica para el servidor, el router y el switch.
  • Forgejo — Historial de cambios con trazabilidad de quién hizo qué y cuándo.

2.6. Privacidad por diseño en los servicios

  • Searxng — Buscador privado que anonimiza las consultas.
  • Matrix y Element X — Chat con cifrado de extremo a extremo.
  • Jitsi — Videoconferencia autoalojada sin dependencia de plataformas externas.

2.7. Documentación y trazabilidad

  • MkDocs — Documentación técnica completa, versionada y accesible.
  • Forgejo — Repositorio de código y configuraciones, con historial de auditoría.

3. Pasos para solucionar las carencias

A continuación se detallan las acciones concretas para cubrir cada una de las carencias identificadas, ordenadas por prioridad.

3.1. Alta prioridad — Plazo estimado: segundo y tercer trimestre

Carencia Acciones
Designación de Delegado de Protección de Datos 1. Formalizar la designación de un responsable de privacidad (interno o externo) con funciones de DPO. 2. Documentar el nombramiento en Forgejo. 3. Si la actividad lo requiere, comunicarlo a la AEPD. 4. Publicar los datos de contacto en MkDocs.
Evaluación de Impacto (AIPD/EIPD) 1. Realizar una AIPD para el tratamiento de datos de la consulta de psicología, siguiendo el modelo de la AEPD. 2. Documentar los riesgos identificados y las medidas de mitigación. 3. Revisar la AIPD anualmente. 4. Publicar una versión resumida en MkDocs.
Registro de Actividades de Tratamiento 1. Crear un documento de RAT que describa, para cada servicio, la finalidad del tratamiento, las categorías de datos, los destinatarios, los plazos de conservación y las medidas de seguridad. 2. Mantenerlo como documento vivo en Forgejo, versionado y auditado.
Procedimiento de notificación de brechas 1. Diseñar y documentar un procedimiento para evaluar, contener, documentar y notificar brechas de datos personales. 2. Incluir criterios de gravedad, responsable de la decisión y plazo máximo (72 horas). 3. Incorporarlo a los runbooks de emergencia. 4. Probar en simulacros trimestrales.
Protocolo de anonimización para ciencia abierta 1. Definir un protocolo que revise todos los campos de los datasets antes de su publicación. 2. Eliminar metadatos que permitan la reidentificación. 3. Validación por parte del biólogo antes de cada publicación. 4. Documentar en el repositorio de ciencia abierta de Forgejo.

3.2. Media prioridad — Plazo estimado: tercer trimestre

Carencia Acciones
Procedimiento de derechos ARCO 1. Redactar un procedimiento público que describa cómo ejercer los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición. 2. Incluir pasos concretos, plazos de respuesta (máximo un mes) y responsable de la gestión. 3. Publicar en MkDocs y enlazar desde la página de inicio.
Gestión de cookies y consentimiento 1. Preparar un banner de consentimiento de cookies para los servicios que se expongan sin VPN (tienda, ciencia abierta). 2. Redactar una política de cookies clara. 3. La implementación efectiva depende de la activación de servicios públicos, prevista para la Fase 3.

3.3. Baja prioridad — Plazo estimado: al activar la Zona Cero

Carencia Acciones
Contrato de encargado del tratamiento 1. Preparar un modelo de contrato de encargado del tratamiento que cumpla con el artículo 28 del RGPD. 2. Utilizarlo si se externaliza algún procesamiento de datos (por ejemplo, un VPS para la Zona Cero). 3. Mientras todos los datos residan en servidores propios, no es necesario.

4. Hoja de ruta resumida

Prioridad Carencia Plazo estimado
Alta Designación de DPO Segundo trimestre
Alta AIPD para consulta de psicología Tercer trimestre
Alta Registro de Actividades de Tratamiento Tercer trimestre
Alta Procedimiento de notificación de brechas Cuarto trimestre
Media Procedimiento de derechos ARCO Tercer trimestre
Media Protocolo de anonimización para ciencia abierta Tercer trimestre
Media Gestión de cookies y consentimiento Al activar servicios públicos (Fase 3)
Baja Modelo de contrato de encargado del tratamiento Al activar Zona Cero

La protección de datos no es un estado final que se alcanza, sino un proceso de mejora continua. SmallCountry se compromete a revisar este informe trimestralmente y a actualizar las acciones según el progreso del proyecto. La transparencia es también una forma de protegerte.

Software de apoyo para la protección de datos (evaluación e integración futura)

Las siguientes herramientas de código abierto pueden incorporarse al ecosistema SmallCountry para fortalecer la gestión documental del cumplimiento normativo. Todas ellas respetan la filosofía de soberanía del proyecto y están listadas como referencia para su análisis, prueba e integración progresiva conforme a la hoja de ruta establecida.

Registro de Actividades de Tratamiento (RAT)

  • Madis: aplicación web autoalojada que ayuda a delegados de protección de datos a gestionar el RAT, brechas de seguridad, derechos de los interesados y análisis de riesgos.
  • Pialab: software libre derivado de la herramienta de la CNIL francesa para mantener el registro de tratamientos y realizar evaluaciones de impacto (EIPD).
  • GDPR Registry App: alternativa ligera para el registro de actividades de tratamiento, con una comunidad de desarrollo activa.

Evaluaciones de Impacto en la Protección de Datos (EIPD)

  • PIA Software: herramienta de código abierto publicada por la CNIL para realizar y documentar evaluaciones de impacto de manera formal.
  • Privado: plataforma que automatiza evaluaciones de privacidad y puede generar EIPDs reutilizables.
  • EIPD App: aplicación modular de código abierto orientada a pequeñas y medianas organizaciones para gestionar sus evaluaciones de impacto.

Gestión de brechas de seguridad

  • Madis: además del RAT, incluye seguimiento de incidentes de seguridad y notificación de brechas.
  • DefectDojo: plataforma de gestión de vulnerabilidades que permite registrar, priorizar y reportar hallazgos de seguridad, facilitando la documentación de brechas.
  • OpenCVE: herramienta de monitorización de vulnerabilidades que puede integrarse con los flujos de detección existentes.

Anonimización y seudonimización

  • Amnesia: herramienta de anonimización de datos tabulares desarrollada por OpenAIRE, adecuada para datasets de ciencia abierta.
  • Microsoft Presidio: sistema de anonimización de textos e imágenes con detección de entidades, altamente configurable y listo para producción.
  • Nymiz: software de anonimización y desidentificación de datos con motor de NLP, compatible con múltiples idiomas.

Gestión del consentimiento y cookies

  • c15t: framework de consentimiento de cookies con control total sobre la experiencia del usuario, sin dependencias externas.
  • cead-consent: solución de código abierto ligera para la gestión de consentimientos de cookies y preferencias de privacidad.
  • ConsentGuard: herramienta de gestión de consentimiento y preferencias compatible con RGPD, con enfoque en la transparencia y la autodeterminación.

Todas estas aplicaciones son compatibles con la arquitectura de SmallCountry y pueden ser desplegadas en contenedores o integradas vía API (interfaz de programación). Su adopción se evaluará según las prioridades definidas en la hoja de ruta de cumplimiento.

Aviso legal