Regulatory Compliance
Data space technical documentation and regulatory conformity
Digital Product Passport with all mandatory sustainability fields, material composition, carbon footprint, repairability, and end-of-life instructions.
Controlled data sharing with manufacturer sovereignty, access logging, transparent conditions, and usage traceability.
Interoperability via JSON-LD and Excel, data portability, fair access, and public interface documentation.
Personal data protection for user accounts, encryption in transit, identity management with OAuth 2.0, and role-based access control.
JSON-LD
JSON-LD with schema.org vocabulary for linked data
Excel (XLSX)
Excel (XLSX) for bulk import/export
GS1 Digital Link
GS1 Digital Link for product identification
DCAT 2.0
DCAT 2.0 for data catalog
/api/v1/dpp/{qrCode}/api/v1/catalog/api/v1/schema/api/v1/governance/api/v1/openapi.jsonContent Negotiation: El endpoint /api/v1/dpp/{qrCode} soporta Accept: application/ld+json (por defecto) y application/json.
Stakeholders maintain full control over their data
Immutable record of all modifications
Log of all DPP data accesses
Ability to deactivate passports at any time
Dimensiones de Calidad
| Dimensión | Medición | Objetivo | Aplicación |
|---|---|---|---|
| Completitud | (campos obligatorios cumplimentados / total) × 100 | ≥ 95% | Productos con <80% no pueden publicarse |
| Exactitud | Validación Zod en todos los campos; rangos numéricos forzados | 100% | Datos inválidos rechazados con mensajes descriptivos |
| Actualidad | Timestamp updatedAt en cada registro; historial de auditoría completo | Anual | Actualización automática en cada modificación |
| Consistencia | Misma fuente de datos en QR, API REST, JSON-LD y Excel | 100% | Fuente única en base de datos; todos los formatos generados del mismo registro |
Metodología de Recopilación de Datos
Entrada manual por fabricante
Formulario web con 12+ campos organizados por nivel de acceso (público, profesional, autoridad). Validación Zod en tiempo real, campos obligatorios forzados, rangos numéricos verificados.
Importación masiva vía Excel
Carga de ficheros .xlsx con múltiples productos usando plantilla estandarizada. Validación fila a fila contra el mismo esquema Zod; filas inválidas reportadas con número de línea y detalle del error.
Integración API B2B
Sistemas externos envían datos de productos vía endpoints REST autenticados. Misma validación Zod; autenticación por Acceso API y rate limiting según plan de suscripción.
Clasificación de Campos por Nivel de Acceso (ESPR Art. 9)
Nivel 1 — Público
Datos básicos de sostenibilidad visibles para todos los consumidores vía escaneo QR.
8 campos: nombre, descripción, composición, huella de carbono, reciclabilidad, fin de vida, durabilidad, mantenimiento
Nivel 2 — Profesional
Datos técnicos accesibles a profesionales verificados (recicladores, reparadores, distribuidores).
5 campos: diagramas técnicos, herramientas de reparación, manual de desmontaje, sustancias peligrosas, datos de proveedor
Nivel 3 — Autoridad
Documentación de conformidad accesible a autoridades administrativas y aduanas.
4 campos: resultados de laboratorio, declaración CE, documentación técnica, informes de cumplimiento
Evidencia técnica: Endpoint /api/v1/schema → sección dataQualityMetrics con las 4 dimensiones, metodología de recopilación y clasificación de campos.
99,5%
Disponibilidad objetivo
Medición mensual: (minutos totales − minutos caídos) / minutos totales × 100
24h
RPO (Recovery Point)
Backups automáticos diarios con retención de 30 días
4h
RTO (Recovery Time)
Tiempo máximo de recuperación ante desastre
Tiempos de Respuesta de la API
| Endpoint | Objetivo | Medición |
|---|---|---|
| Consulta individual de DPP | < 200ms | Tiempo servidor desde recepción hasta respuesta |
| Catálogo paginado | < 500ms | Percentil 95 de todas las solicitudes |
| Búsqueda de texto completo | < 800ms | Percentil 95 de todas las solicitudes |
| Exportación masiva Excel | < 5s | Generación para hasta 500 productos |
Soporte Técnico y Escalado
Soporte técnico — Triaje inicial
Tiempo de respuesta: < 24 horas (días laborables). Canal: formulario de contacto + notificaciones en plataforma.
Equipo de ingeniería — Incidencias complejas
Tiempo de respuesta: < 72 horas. Para problemas que requieren cambios en el código o la infraestructura.
Administrador de plataforma — Incidentes críticos
Tiempo de respuesta: < 4 horas. Para incidentes que afectan a la integridad de los datos o la disponibilidad del servicio.
Ventanas de mantenimiento: Domingos 02:00–06:00 CET (cuando sea necesario). Notificación con 48 horas de antelación por email a todas las empresas registradas. Mantenimiento de emergencia: notificación inmediata + informe post-incidente en 24h.
Evidencia técnica: Endpoint /api/v1/governance → sección serviceLevelAgreement con disponibilidad, rendimiento, soporte y recuperación ante desastres.
Base Legal
- • Reglamento (UE) 2022/868 (DGA) — Principios generales de gobernanza de datos
- • Reglamento (UE) 2016/679 (RGPD) — Art. 5.1.e (limitación del plazo de conservación)
- • Reglamento (UE) 2024/1781 (ESPR) — Requisitos de trazabilidad del DPP
Períodos de Retención por Categoría de Datos
| Categoría de datos | Período | Método de eliminación |
|---|---|---|
| Pasaportes digitales activos | Ciclo de vida del producto + 10 años | Eliminación lógica; física bajo solicitud del fabricante |
| Pasaportes desactivados | 24 meses tras desactivación | Anonimización a los 24 meses; eliminación física a los 36 |
| Logs de acceso API | 12 meses | Purga automática; estadísticas agregadas retenidas |
| Auditoría de productos | 5 años | Archivado automático; accesible bajo solicitud regulatoria 5 años más |
| Incidentes de seguridad | 5 años mínimo | Sin eliminación automática; revisión manual por administrador |
| Cuentas de usuario | Duración de la cuenta + 6 meses | Anonimización; datos de negocio retenidos si vinculados a DPPs activos |
| Solicitudes de acceso e invitaciones | Duración del acceso + 24 meses | Anonimización de identificadores; metadatos retenidos |
| Solicitudes de descarga de consumidores | 12 meses tras resolución | Eliminación de CIF/NIF y email; registro anonimizado retenido |
| Registros de pago y suscripción | 7 años | Archivado automático (Ley General Tributaria: mínimo 6 años) |
Derechos de los Interesados (RGPD)
Derecho de acceso (Art. 15)
Exportar todos los datos vía Dashboard o API
Derecho de rectificación (Art. 16)
Editar datos directamente desde el Dashboard
Derecho de supresión (Art. 17)
Solicitar eliminación de cuenta; procesado en 30 días
Derecho de portabilidad (Art. 20)
Datos exportables en JSON-LD y Excel
Contacto para solicitudes RGPD: formulario de contacto | Más información en Derechos RGPD
Revisión anual: Esta política se revisa anualmente. Próxima revisión: febrero 2027. Responsable: Delegado de Protección de Datos / Administrador de la plataforma.
Evidencia técnica: Endpoint /api/v1/governance → sección dataRetentionPolicy con 9 categorías de datos, períodos de retención, derechos RGPD y calendario de revisión.
Vectores de Detección Automatizada
| Vector | Umbral | Severidad |
|---|---|---|
| Fuerza bruta | >10 intentos 401/403 por IP en 15 min | High |
| Scraping masivo | >500 peticiones por IP en 5 min | Medium |
| Volumen anómalo por empresa | >200 accesos a datos de una empresa en 30 min | Medium→High |
| Uso de claves revocadas | Cualquier uso de API Key revocada | Critical |
Procedimiento de Notificación (Protocolo Formal)
Detección Automática (Tiempo real)
El sistema SecurityMonitor ejecuta escaneos cada 5 minutos analizando los 4 vectores de detección sobre los logs de acceso a datos (tabla dataAccessLog).
Registro del Incidente (<1 minuto)
Se crea un registro en la tabla securityIncidents con tipo, severidad, IP origen, descripción detallada, recursos afectados y medidas tomadas automáticamente.
Notificación al Administrador (<1 minuto)
Se envía notificación push al webmaster de la plataforma vía el servicio de notificaciones integrado (notifyOwner). Se registra timestamp de notificación.
Notificación al Titular de los Datos (<5 minutos)
Se envía email de alerta de seguridad a la empresa afectada (o a todas las empresas en incidentes de plataforma) con detalles del incidente, IP origen, severidad y medidas adoptadas.
Medidas Correctivas (Automáticas)
Según el tipo de incidente: incremento de monitorización, reducción de rate limit, bloqueo de claves revocadas. Las medidas se documentan en el registro del incidente.
Seguimiento y Resolución
El webmaster revisa el incidente en el Panel de Administración, actualiza el estado (investigando → resuelto) y documenta las acciones adicionales tomadas. Todo queda registrado con timestamps.
Evidencia de cumplimiento DGA Art. 12.k: El protocolo de notificación está completamente automatizado e integrado en la plataforma. Cada incidente genera notificaciones tanto al administrador como a los titulares de datos afectados, con registro completo de timestamps, medidas tomadas y estado de resolución. El endpoint /api/v1/governance documenta públicamente este protocolo.
| Requisito | Normativa | Implementación | Estado |
|---|---|---|---|
| Modelo de interoperabilidad | Data Act Art. 23-31 | JSON-LD (schema.org), Excel, DCAT 2.0 | OK |
| APIs / conectores documentados | Data Act / DGA | REST API con OpenAPI 3.0 + Swagger UI | OK |
| Catálogo de datos | DGA Art. 8 | /api/v1/catalog con DCAT vocabulary | OK |
| Reglas de seguridad | RGPD / DGA | HTTPS, OAuth 2.0, JWT, RBAC | OK |
| Registro de acceso a datos | DGA Art. 5-9 | dataAccessLog con tipo, método, IP, timestamp | OK |
| Notificación de accesos no autorizados | DGA Art. 12.k | SecurityMonitor + email automático + notifyOwner | OK |
| Soberanía del dato | DGA Art. 5 | Control de visibilidad por producto (isActive) | OK |
| Gobernanza de datos | DGA | /api/v1/governance con políticas documentadas | OK |
| Versionado del modelo | Data Act | /api/v1/schema con versión y definición | OK |
| Portabilidad de datos | Data Act Art. 23 | Export JSON-LD + Excel + API pública | OK |
| Pasaporte Digital de Producto | ESPR (UE) 2024/1781 | QR + vista pública + JSON-LD + auditoría | OK |