Signed – Sistema de Trazabilidad Técnica para Obras Generadas con IA
Operado por EstadoRed | Última actualización: marzo 2026
Esta Política de Privacidad describe cómo EstadoRed recopila, almacena y trata los datos de los usuarios del servicio Signed, en cumplimiento del Reglamento General de Protección de Datos (GDPR, Reglamento UE 2016/679) y la Ley Orgánica 3/2018 (LOPDGDD).
1. Responsable del Tratamiento
Nombre comercial: EstadoRed
Correo de contacto general: redaccion@estadored.mx
Correo para asuntos de privacidad: redaccion@estadored.mx
2. Datos que se Recopilan y su Tratamiento
Signed recopila y almacena los siguientes campos en su base de datos. La tabla a continuación detalla cada campo, su naturaleza y la base legal que justifica su tratamiento conforme al artículo 6 del GDPR:
| Campo | Dato | Base legal GDPR | ¿Dato personal? |
| record_id | Identificador único del registro | Art. 6.1.b – ejecución del servicio | No |
| created_at | Fecha y hora del registro | Art. 6.1.b – ejecución del servicio | No |
| title | Título de la obra (declarado por el usuario) | Art. 6.1.b – ejecución del servicio | Indirecto |
| work_type | Tipo de obra registrada | Art. 6.1.b – ejecución del servicio | No |
| hash_alg | Algoritmo criptográfico utilizado | Art. 6.1.b – ejecución del servicio | No |
| content_hash | Huella criptográfica del contenido | Art. 6.1.b – ejecución del servicio | No |
| author_name | Nombre o seudónimo declarado por el usuario | Art. 6.1.b – ejecución del servicio | Sí / Seudónimo |
| author_org | Organización declarada por el usuario | Art. 6.1.b – ejecución del servicio | Sí |
| source_url | URL de origen declarada por el usuario | Art. 6.1.b – ejecución del servicio | Indirecto |
| notes | Notas libres del usuario | Art. 6.1.b – ejecución del servicio | Posible |
| public_record | Preferencia de visibilidad del registro | Art. 6.1.b – ejecución del servicio | No |
| public_author_name | Preferencia de visibilidad del nombre | Art. 6.1.b – ejecución del servicio | No |
| public_title | Preferencia de visibilidad del título | Art. 6.1.b – ejecución del servicio | No |
| content_stored | Indicador de si el contenido fue almacenado | Art. 6.1.a – consentimiento explícito | No |
| content_blob | Contenido completo (solo si el usuario consiente) | Art. 6.1.a – consentimiento explícito | Posible |
| signature_mode | Modo de firma utilizado | Art. 6.1.b – ejecución del servicio | No |
| kid | Identificador de clave criptográfica | Art. 6.1.b – ejecución del servicio | No |
| signature | Firma digital del registro | Art. 6.1.b – ejecución del servicio | No |
| status | Estado del registro (activo/suspendido/revocado) | Art. 6.1.b – ejecución del servicio | No |
| ip_hash | Hash de la dirección IP del usuario | Art. 6.1.f – interés legítimo (seguridad) | Sí* |
| user_agent_hash | Hash del agente de usuario del navegador | Art. 6.1.f – interés legítimo (seguridad) | Sí* |
* ip_hash y user_agent_hash: aunque se almacenan como hashes y no como valores en claro, el Tribunal de Justicia de la UE considera que los datos derivados de IPs pueden seguir siendo datos personales si existe posibilidad de reidentificación. EstadoRed los trata como datos personales por precaución y aplica las mismas garantías que al resto de datos identificativos.
3. Uso del Seudónimo
El sistema Signed permite al usuario registrar obras bajo un seudónimo en lugar de su nombre real. En ese caso:
- El campo author_name almacenará únicamente el seudónimo proporcionado.
- EstadoRed no recopila ni verifica la identidad real del usuario en el proceso de registro.
- Si el usuario opta por seudónimo, los datos almacenados tendrán menor potencial identificativo, aunque no necesariamente quedan fuera del alcance del GDPR si el usuario puede ser reidentificado por otros medios.
4. Almacenamiento Opcional del Contenido (content_blob)
Si el usuario acepta expresamente almacenar el contenido completo de su obra, este se guardará en el campo content_blob. Este consentimiento es:
- Voluntario: el registro funciona sin necesidad de almacenar el contenido completo.
- Explícito: el usuario debe activar esta opción de forma activa.
- Revocable: el usuario puede solicitar la eliminación del contenido almacenado contactando a soporte.
Estado actual de cifrado en reposo del content_blob: [por definir]. Se recomienda implementar cifrado en reposo antes del lanzamiento en la Unión Europea, ya que constituye el estándar técnico mínimo esperado por las autoridades de protección de datos europeas (AEPD, CNIL).
5. Visibilidad Controlada por el Usuario
Signed implementa un sistema de preferencias de visibilidad que permite al usuario controlar qué información es accesible a través de los endpoints de verificación REST:
- public_record: controla si el registro es consultable externamente.
- public_title: controla si el título se expone en la respuesta del endpoint.
- public_author_name: controla si el nombre o seudónimo se expone en la respuesta.
Si el usuario configura estos campos como privados, los valores correspondientes se devuelven como null en cualquier consulta externa. No existe listado, índice ni motor de búsqueda interno que permita descubrir registros sin conocer previamente el record_id. La verificación pública no equivale a publicación.
6. Transferencias Internacionales de Datos
Los datos recopilados por Signed se almacenan en servidores ubicados en Estados Unidos, operados por proveedores de infraestructura en la nube ([completar: AWS / Google Cloud / otro]).
Esta transferencia internacional se realiza con las siguientes garantías conforme al artículo 46 del GDPR:
- El proveedor de infraestructura cuenta con Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea.
- EstadoRed ha evaluado que las garantías ofrecidas son suficientes para proteger los derechos de los usuarios europeos.
Para más información sobre las garantías aplicables, el usuario puede contactar a EstadoRed en redaccion@estadored.mx
7. Plazo de Conservación de los Datos
Los datos asociados a un registro se conservarán según las siguientes reglas:
- Registros activos: se conservan mientras el registro permanezca en estado Activo.
- Registros revocados o eliminados a solicitud del usuario: los metadatos identificativos (author_name, author_org, notes, source_url) serán eliminados o anonimizados en un plazo máximo de [30/60] días hábiles tras la solicitud.
- content_blob: eliminado en el mismo plazo si el usuario revoca el consentimiento de almacenamiento.
- ip_hash y user_agent_hash: conservados por un máximo de [90/180] días con fines de seguridad y prevención de fraude, tras lo cual son eliminados o anonimizados irreversiblemente.
- El content_hash (huella criptográfica) y la marca temporal (created_at) no pueden eliminarse técnicamente del sistema por razones de integridad del registro, pero serán disociados de cualquier dato identificativo del usuario.
8. Derechos de los Usuarios
Conforme al GDPR, los usuarios tienen derecho a:
- Acceso (Art. 15): conocer qué datos trata EstadoRed sobre ellos.
- Rectificación (Art. 16): corregir datos inexactos o incompletos.
- Supresión / «derecho al olvido» (Art. 17): solicitar la eliminación de sus datos cuando ya no sean necesarios o se retire el consentimiento.
- Limitación del tratamiento (Art. 18): solicitar que se restrinja el uso de sus datos en determinadas circunstancias.
- Portabilidad (Art. 20): recibir sus datos en formato estructurado y de uso común.
- Oposición (Art. 21): oponerse al tratamiento basado en interés legítimo (aplicable a ip_hash y user_agent_hash).
- Retirada del consentimiento (Art. 7.3): retirar en cualquier momento el consentimiento para el almacenamiento del content_blob.
Para ejercer cualquiera de estos derechos, el usuario debe escribir a redaccion@estadored.mx indicando en el asunto: «Ejercicio de derechos GDPR – Signed», con identificación suficiente del registro afectado (record_id).
EstadoRed responderá en un plazo máximo de un (1) mes, prorrogable hasta tres (3) meses en casos complejos, conforme al artículo 12 del GDPR.
El ejercicio de derechos se gestiona actualmente a través del equipo de soporte. EstadoRed se compromete a atender las solicitudes dentro de los plazos legales establecidos por el GDPR.
9. Derecho a Presentar Reclamación
Si el usuario considera que el tratamiento de sus datos no se ajusta a la normativa vigente, puede presentar reclamación ante:
España: Agencia Española de Protección de Datos (AEPD) — www.aepd.es
UE: Autoridad de control del país de residencia del usuario
Se recomienda contactar previamente a EstadoRed para intentar resolver cualquier discrepancia de forma directa antes de acudir a la autoridad de control.
10. Seguridad de los Datos
EstadoRed implementa las siguientes medidas técnicas y organizativas para garantizar la seguridad de los datos:
- Cifrado en tránsito mediante TLS para todas las comunicaciones con el servicio.
- Almacenamiento de IPs y user agents únicamente en formato hash, no en claro.
- Control de acceso restringido a la base de datos del sistema.
- [Cifrado en reposo del content_blob: pendiente de implementación / implementado mediante ___]
En caso de brecha de seguridad que afecte a datos personales, EstadoRed notificará a la autoridad de control competente en un plazo máximo de 72 horas desde su detección, y a los usuarios afectados sin dilación indebida, conforme al artículo 33 del GDPR.
11. Menores de Edad
Signed no está dirigido a menores de 14 años. EstadoRed no recopila conscientemente datos de menores. Si se detecta que un menor ha proporcionado datos sin consentimiento de su representante legal, estos serán eliminados a la mayor brevedad posible. Los usuarios mayores de 14 años y menores de 18 deben contar con la autorización de su representante legal para usar el servicio.
12. Cookies
Signed puede utilizar cookies técnicas estrictamente necesarias para el funcionamiento del servicio. No se utilizan cookies de seguimiento publicitario ni de perfilado.
[Si se utilizan cookies analíticas de terceros, detallarlas aquí con su finalidad, proveedor y base legal. Si no se usan, eliminar este párrafo antes de publicar.]
13. Modificaciones de esta Política
EstadoRed podrá actualizar esta Política de Privacidad en cualquier momento. Los cambios se publicarán en el sitio web con indicación de la fecha de actualización. El uso continuado del servicio tras la publicación de cambios implica la aceptación de la nueva política.
14. Contacto para Asuntos de Privacidad
Correo electrónico: redaccion@estadored.mx
Asunto sugerido: Privacidad / GDPR – Signed