SPE / DOC / RGPD / GDPR

SPE & RGPD: MARCO TÉCNICO-LEGAL

Alcance normativo, responsabilidades y uso correcto del sistema

01. NATURALEZA TÉCNICA DE SPE

SPE es un sistema técnico de prueba de integridad.

No constituye, por sí mismo, un mecanismo de cumplimiento normativo ni una certificación legal.

SPE es una infraestructura técnica diseñada para:

/ Generar pruebas criptográficas de integridad matemática
/ Permitir la verificación de no alteración de artefactos digitales
/ Facilitar verificación offline, portable y verificable por terceros

Arquitectura Técnica Fundamental

Forensic Capsules

Registros de auditoría criptográficamente verificables con hash, timestamp, attestación y metadatos

Attestation Ledger

Estructura append-only con hash chaining para integridad tamper-evident

Temporal Gating Protocol

Protocolo determinista que excluye evidencia post-t_target, creando contexto causalmente delimitado

Zero-Retention

Procesamiento efímero sin custodia de contenidos ni evidencias

02. LÍMITES FUNCIONALES EXPLÍCITOS

Para evitar interpretaciones incorrectas, se establece expresamente que SPE:

❌ No certifica cumplimiento RGPD: Proporciona pruebas técnicas, no garantías legales
❌ No garantiza veracidad ni autoría: Solo certifica no alteración desde un momento específico
❌ No valida decisiones automatizadas: Integridad técnica ≠ corrección procedimental
❌ No interpreta ni aplica normativa: Es agnóstico al marco legal aplicable
❌ No almacena datos personales: Arquitectura stateless sin custodia ni persistencia
❌ No mantiene custodia de evidencias: Los artefactos permanecen bajo control del usuario

SPE certifica exclusivamente integridad matemática verificable.

03. ROL DE SPE EN EL MARCO DEL RGPD

Con carácter general, SPE actúa como:

/ Herramienta técnica autónoma, utilizada por el responsable del tratamiento
/ Infraestructura de apoyo a la rendición de cuentas (accountability), sin asumir decisiones sobre fines o medios

⚖️ Posición Jurídica

Salvo configuración contractual específica, SPE no ostenta la condición de responsable ni de encargado del tratamiento, de conformidad con los artículos 4.7 y 4.8 del RGPD.

El responsable del tratamiento mantiene en todo momento:

✓ Determinación de fines y medios

✓ Evaluación del impacto

✓ Atención a derechos de los interesados

✓ Responsabilidad legal del tratamiento

04. SPE Y EL TRATAMIENTO DE DATOS PERSONALES

SPE puede operar sobre artefactos que puedan contener datos personales:

DocumentosLogsDatasetsModelos IAOutputs generativos

Procesamiento Efímero (Zero-Retention)

✓ No analiza contenido: Opera sobre hashes criptográficos
✓ No clasifica datos: Sin procesamiento semántico de categorías
✓ No extrae información personal: Sin reconocimiento de entidades
✓ No reutiliza ni conserva: Eliminación de memoria tras generación

NOTA IMPORTANTE

La identificación de si un artefacto contiene datos personales y la determinación de su régimen jurídico corresponde exclusivamente al responsable del tratamiento.

05. CONTRIBUCIÓN AL CUMPLIMIENTO NORMATIVO

SPE puede utilizarse como medida técnica de apoyo en el marco del RGPD:

Art. 5.1.f — Integridad y Confidencialidad

"Garantizar una seguridad adecuada [...] incluida la protección contra [...] pérdida, destrucción o daño accidental"

Contribución SPE: Forensic Capsules proporcionan prueba criptográfica de no alteración

Art. 24 — Responsabilidad Proactiva (Accountability)

"El responsable aplicará medidas técnicas [...] a fin de demostrar que el tratamiento es conforme"

Contribución SPE: Attestation Ledger proporciona registro auditable y verificable

Art. 32 — Seguridad del Tratamiento

"Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes"

✓ Integridad: Verificación criptográfica de no alteración

✓ Resiliencia: Verificación offline, independiente del proveedor

✓ Disponibilidad: Portabilidad sin dependencia centralizada

IMPORTANTE: La utilización de SPE no exime del cumplimiento del resto de obligaciones legales ni sustituye evaluaciones jurídicas o organizativas.

06. NO SUSTITUCIÓN DE FUNCIONES LEGALES

El uso de SPE no sustituye ni reemplaza:

❌Delegado de Protección de Datos (DPO)

❌Asesoramiento jurídico especializado

❌Políticas internas de protección de datos

❌Contratos responsable–encargado (Art. 28)

❌Evaluaciones de legitimación (Art. 6)

❌Análisis de proporcionalidad

❌Decisiones humanas supervisadas

❌Atención a ejercicio de derechos (Art. 15-22)

SPE es complementario a estos elementos, no un reemplazo.

07. PRIVACY BY DESIGN (ART. 25.1)

SPE ha sido diseñado conforme a principios técnicos coherentes con el RGPD:

Minimización de datos

• No custodia contenidos
• Opera sobre hashes, no datos planos
• No persistencia de artefactos

Verificación descentralizada

• Sin dependencia de proveedor
• Capsules autónomas offline
• Sin intermediarios centralizados

Offline-first

• Reducción de transferencias
• Menor superficie de riesgo
• Verificación local sin servidor

Neutralidad técnica

• Sin control centralizado
• Algoritmos estándar (SHA-256, Ed25519)
• Sin vendor lock-in

08. RECOMENDACIONES PARA DESARROLLADORES

✅ BUENAS PRÁCTICAS

• Utilizar SPE para proteger evidencias, no para justificar decisiones legales
• Documentar internamente qué se certifica y con qué finalidad
• Mantenir separación clara entre integridad técnica (SPE) y cumplimiento normativo (organización)
• Implementar SPE como capa adicional de seguridad complementaria
• Conservar Forensic Capsules con medidas de seguridad apropiadas

❌ PRÁCTICAS A EVITAR

• No presentar SPE como "certificación RGPD" o "cumplimiento automático"
• No sustituir evaluaciones legales por verificaciones técnicas
• No asumir que integridad técnica = licitud del tratamiento
• No delegar en SPE responsabilidades del responsable del tratamiento

09. DECLARACIÓN FINAL DE ALCANCE

SPE proporciona pruebas técnicas objetivas de integridad matemática.

La interpretación jurídica de dichas pruebas corresponde exclusivamente a:

⚖️ Responsables del tratamiento: Quienes determinan fines y medios
🔍 Auditores: Quienes evalúan conformidad normativa
🏛️ Autoridades competentes: AEPD y otras autoridades de control
⚖️ Órganos judiciales: En caso de litigiosidad

SPE no sustituye el juicio humano ni la interpretación legal.

10. RESUMEN TÉCNICO-LEGAL

Certifica

Integridad matemática

NO certifica

Legalidad, veracidad, autoría

Custodia datos

❌ NO (stateless)

Custodia pruebas

❌ NO (entrega al usuario)

Decide fines/medios

❌ NO (herramienta técnica)

Actúa como autoridad

❌ NO (neutral)

Refuerza auditoría

✅ SÍ (Capsules + Ledger)

Reduce dependencia

✅ SÍ (offline)

Contribuye a RGPD

✅ SÍ (medida técnica)

Sustituye DPO/Legal

❌ NO (complementario)

Versión 1.0 • Actualizado: 22.01.2026
Este documento tiene carácter técnico-informativo y no constituye asesoramiento jurídica.