BORRADOR — pendiente de revisión por abogado con práctica en protección de datos en Colombia (Ley 1581/2012) y GDPR antes de publicar. Punto de partida para revisión legal; no constituye asesoría jurídica.

Registro de Actividades de Tratamiento (RAT) — Astrosoul Center

Última revisión: 2026-06-30 Versión: 2.0 (borrador — adaptación Colombia)

Documento interno preparado en cumplimiento del régimen dual de protección de datos: el Art. 30 del GDPR (Reglamento (UE) 2016/679) para usuarios en la UE/EEE y la Ley 1581 de 2012 (habeas data) con sus decretos reglamentarios (Decreto 1377 de 2013 y Decreto 1074 de 2015) para Colombia. No requiere publicación, pero debe estar disponible para las autoridades de control —la Superintendencia de Industria y Comercio (SIC), Delegatura para la Protección de Datos Personales en Colombia, o la autoridad de control del Estado miembro correspondiente en la UE— en caso de inspección. Se mantiene actualizado por el responsable del tratamiento.

Adicionalmente, el responsable evaluará el registro de sus bases de datos ante el Registro Nacional de Bases de Datos (RNBD) de la SIC. Esta obligación está sujeta a umbrales de activos y al tipo de responsable; su aplicabilidad concreta debe ser confirmada por el abogado (ver Dudas legales).

Responsable del tratamiento

Razón social: Astro Soul Center S.A.S.
Nombre comercial / marca: Astrosoul Center (https://astrosoul.center)
Forma jurídica: Sociedad por Acciones Simplificada (S.A.S.) constituida en Colombia e inscrita en la Cámara de Comercio de Bogotá.
NIT: [PENDIENTE — NIT]
Matrícula mercantil: [PENDIENTE — matrícula Cámara de Comercio de Bogotá]
Domicilio: Diagonal 17 B No. 90-53, Bogotá D.C., Colombia (C.P. 110921)
Representante legal: Carlos Eduardo Gómez Fandiño
Código de actividad económica (CIIU): 6201 (Desarrollo de sistemas informáticos, actividad principal), 6202 (Consultoría informática) y 6311 (Procesamiento de datos y hosting)
Email de contacto y ejercicio de derechos: info@astrosoul.center (se recomienda habilitar un buzón dedicado privacidad@astrosoul.center)
Oficial / responsable de protección de datos: no designado un DPO formal por escala. Bajo la Ley 1581 (Decreto 1074 de 2015, Art. 2.2.2.25.4.2) el responsable designa un área o persona que atiende las consultas y reclamos de los titulares; el responsable del tratamiento atiende estas funciones.

Derechos de los titulares / interesados

El tratamiento documentado en este registro reconoce, de forma acumulativa:

Derechos del titular (Ley 1581, Art. 8): conocer, actualizar y rectificar sus datos; solicitar prueba de la autorización otorgada; ser informado sobre el uso dado a sus datos; revocar la autorización y/o solicitar la supresión cuando proceda; y presentar quejas y reclamos ante la SIC.
Derechos del interesado (GDPR, Art. 15–22): acceso, rectificación, supresión ("derecho al olvido"), portabilidad, oposición y limitación del tratamiento, así como el derecho a no ser objeto de decisiones automatizadas sin intervención humana (Art. 22).

El canal de ejercicio de estos derechos es info@astrosoul.center.

Base de legitimación y datos sensibles (régimen dual)

Colombia (Ley 1581, Art. 9): la base de legitimación es la autorización previa, expresa e informada del titular (equivalente funcional del consentimiento del GDPR). Para datos sensibles —y la carta natal, al derivarse de la fecha/hora/lugar de nacimiento e interpretarse junto con conversaciones del usuario, puede revelar convicciones filosóficas/espirituales y datos relativos a la salud mental— la Ley 1581 (Art. 5–6) exige autorización reforzada y explícita, y su tratamiento no puede ser obligatorio.
UE/EEE (GDPR): la base es el Art. 6 (según el tratamiento) y, para categorías especiales, el Art. 9.2.a (consentimiento explícito).
El gate de consentimiento Art. 9.2.a ya implementado en el producto (checkbox previo al cálculo de la carta) sirve simultáneamente como autorización reforzada bajo el régimen de habeas data colombiano.

Transferencias internacionales (base de legitimación dual)

Los datos se alojan y/o procesan fuera de Colombia. Los flujos transfronterizos y su doble base de legitimación se documentan a continuación; cada actividad indica además su(s) destinatario(s):

Sub-encargado / destino	Servicio	Ubicación	Base Colombia (Ley 1581, Art. 26)	Base GDPR
AWS RDS (PostgreSQL)	Base de datos	EE.UU. (us-east-1)	Autorización del titular + garantías contractuales (DPA)	Cláusulas Contractuales Tipo (SCC) / marco de adecuación aplicable
AWS Bedrock	Generación LLM + embeddings	EE.UU.	Autorización del titular + garantías contractuales (DPA)	SCC / marco de adecuación; sin entrenamiento sobre datos del cliente
Stripe	Procesamiento de pagos	EE.UU. / Irlanda	Autorización del titular + garantías contractuales (DPA)	SCC / marco de adecuación aplicable
Resend	Email transaccional	EE.UU.	Autorización del titular + garantías contractuales (DPA)	SCC
Vercel	Hosting frontend / CDN	EE.UU. (y red de borde global)	Autorización del titular + garantías contractuales (DPA)	SCC
Railway	Hosting backend	EE.UU.	Autorización del titular + garantías contractuales (DPA)	SCC
Google Identity	OAuth (login opcional)	EE.UU.	Autorización del titular + garantías contractuales (DPA)	SCC / marco de adecuación aplicable

Bajo la Ley 1581 (Art. 26), la transferencia a países que la SIC no haya declarado con nivel adecuado de protección requiere la autorización del titular y/o garantías contractuales (acuerdos de tratamiento de datos / DPAs con cada encargado). Bajo el GDPR, las transferencias a EE.UU. se amparan en un mecanismo válido (Cláusulas Contractuales Tipo o el marco de adecuación que resulte aplicable). El detalle de sub-encargados se mantiene en subprocessors.md.

El listado de países considerados con nivel adecuado por la SIC y la vigencia de cada DPA deben ser confirmados por el abogado (ver Dudas legales).

Estructura de cada actividad

Para cada actividad documentamos:

Nombre del tratamiento
Finalidad
Base legal (GDPR + Ley 1581)
Categorías de interesados / titulares
Categorías de datos
Destinatarios y encargados
Transferencias internacionales
Plazo de conservación
Medidas técnicas y organizativas

Actividad 01 — Registro y autenticación de usuarios

Nombre: Gestión de cuentas y autenticación.
Finalidad: Crear, mantener y autenticar cuentas de usuario; gestionar inicios de sesión, recuperación de contraseña, sesiones de invitado, OAuth con Google.
Base legal: Art. 6.1.b GDPR (ejecución de contrato) / autorización del titular para la ejecución del servicio (Ley 1581, Art. 9).
Categorías de interesados: usuarios registrados; usuarios invitados temporales; suscriptores de pago.
Categorías de datos: email, contraseña hash (bcrypt), nombre opcional, identificador interno, identificador OAuth de Google, timestamps de creación y último acceso, IP del último login (anonimizada a los 30 días).
Destinatarios: ninguno externo salvo Google (cuando el usuario opta por OAuth).
Encargados del tratamiento: AWS RDS (PostgreSQL), Railway (hosting backend), Vercel (hosting frontend), Google Identity para OAuth.
Transferencias internacionales: sí, a Estados Unidos (AWS RDS, Railway, Vercel, Google). Base dual: autorización del titular + DPA (Ley 1581, Art. 26) y Cláusulas Contractuales Tipo / marco de adecuación aplicable (GDPR).
Plazo: mientras la cuenta esté activa; tras eliminación, anonimización en 30 días excepto datos retenidos por obligación fiscal/contable.
Medidas: TLS 1.3, hash bcrypt para contraseñas, JWT con expiración corta, rotación de tokens, MFA opcional (futuro), logging de intentos fallidos.

Actividad 02 — Cálculo de cartas natales y herramientas derivadas

Nombre: Cálculo astrológico y persistencia de cartas.
Finalidad: Calcular la carta natal del usuario, tránsitos, age point y aspectos. Almacenar el resultado para reutilizarlo en sesiones futuras.
Base legal: Art. 6.1.b (ejecución de contrato) + Art. 9.2.a GDPR (consentimiento explícito para datos sobre creencias filosóficas/espirituales) / autorización reforzada y explícita del titular para datos sensibles (Ley 1581, Art. 5–6); su tratamiento no es obligatorio.
Categorías de interesados: usuarios registrados y de pago.
Categorías de datos: fecha, hora y lugar de nacimiento; coordenadas geográficas calculadas; carta natal estructurada (planetas, casas, aspectos); preferencias del usuario (sistema de casas). Datos sensibles por revelar potencialmente convicciones filosóficas/espirituales.
Destinatarios: ninguno externo. Cálculo realizado en backend propio con Swiss Ephemeris (sin envío a terceros).
Encargados: AWS RDS (PostgreSQL), Railway (hosting backend).
Transferencias internacionales: sí, a Estados Unidos (AWS RDS, Railway). Base dual: autorización del titular + DPA (Ley 1581, Art. 26) y SCC / marco de adecuación aplicable (GDPR).
Plazo: mientras la cuenta esté activa. Al borrar la cuenta, anonimización en 30 días (mantenemos un identificador anónimo sin enlace al usuario para coherencia de auditoría).
Medidas: cifrado en reposo de campos sensibles, controles de acceso por usuario autenticado, principio de mínimo privilegio en consultas de backend.

Actividad 03 — Generación de reports interpretativos con LLM y RAG

Nombre: Generación de reports narrativos con modelos de lenguaje.
Finalidad: Producir reports interpretativos personalizados (personalidad, propósito, ciclos vitales, etc.) basados en la carta natal del usuario y en una base de conocimiento documental (RAG).
Base legal: Art. 6.1.b (ejecución de contrato) + Art. 9.2.a (consentimiento explícito) + Art. 22 GDPR (decisiones automatizadas con intervención humana disponible) / autorización reforzada y explícita del titular para datos sensibles (Ley 1581, Art. 5–6).
Categorías de interesados: usuarios registrados que solicitan un report.
Categorías de datos: carta natal completa, contexto del usuario, fragmentos relevantes de la base RAG. El report final se persiste en Report.sections_json.
Destinatarios: AWS Bedrock (generación del informe + embeddings RAG).
Encargados: Amazon Web Services / AWS Bedrock (generación con Amazon Nova + embeddings con Amazon Titan), AWS RDS (almacenamiento).
Transferencias internacionales: sí, a Estados Unidos (AWS Bedrock, AWS RDS). Base dual: autorización del titular + DPA (Ley 1581, Art. 26) y SCC / marco de adecuación aplicable (GDPR), con políticas de procesamiento que excluyen el entrenamiento sobre datos del cliente.
Plazo: mientras la cuenta esté activa; eliminación / anonimización en 30 días tras borrado de cuenta.
Medidas: TLS 1.3 en tránsito, prompts diseñados con anti-alucinación, persistencia de secciones para evitar regeneración innecesaria, opción de revisión humana ante solicitud (Art. 22.3 GDPR).

Actividad 04 — Conversaciones con el agente conversacional

Nombre: Chat asistido por LLM.
Finalidad: Mantener conversación contextual con el usuario sobre su carta y temas relacionados; preservar historial para continuidad.
Base legal: Art. 6.1.b + Art. 9.2.a GDPR (los mensajes pueden contener información sobre creencias, salud mental, vida personal) / autorización reforzada y explícita del titular para datos sensibles (Ley 1581, Art. 5–6).
Categorías de interesados: usuarios registrados, usuarios invitados temporales.
Categorías de datos: mensajes del usuario, respuestas generadas, metadatos (timestamp, stage de la interacción, identificador de sesión).
Destinatarios: AWS Bedrock (LLM de generación).
Encargados: Amazon Web Services / AWS Bedrock (generación), AWS RDS (PostgreSQL).
Transferencias internacionales: sí, a Estados Unidos (AWS Bedrock, AWS RDS). Base dual: autorización del titular + DPA (Ley 1581, Art. 26) y SCC / marco de adecuación aplicable (GDPR); sin entrenamiento sobre datos del cliente.
Plazo: mientras la cuenta esté activa; el usuario puede borrar conversaciones individualmente desde el dashboard. Anonimización tras borrado de cuenta.
Medidas: TLS 1.3, sanitización de prompts, throttling para evitar abuso, almacenamiento cifrado.

Actividad 05 — Procesamiento de pagos (futuro, vía Stripe)

Nombre: Suscripciones, facturación y cobros.
Finalidad: Procesar pagos recurrentes, emitir facturas, gestionar suscripciones, devoluciones y disputas.
Base legal: Art. 6.1.b (ejecución de contrato) + Art. 6.1.c GDPR (obligación legal fiscal/contable) / autorización del titular (Ley 1581, Art. 9) + cumplimiento de obligación legal aplicable en Colombia (Estatuto Tributario y Código de Comercio colombiano).
Categorías de interesados: suscriptores de pago.
Categorías de datos: identificador Stripe del cliente, identificador de suscripción, importe, divisa, fecha, estado del pago, datos fiscales (nombre, dirección, NIT/RUT/identificación tributaria según país), método de pago tokenizado (nunca PAN completo).
Destinatarios: Stripe (procesador). Administración tributaria (DIAN) y, cuando proceda, autoridades fiscales del país del cliente, para cumplimiento de obligaciones legales.
Encargados: Stripe.
Transferencias internacionales: sí, a Estados Unidos / Irlanda (Stripe). Base dual: autorización del titular + DPA (Ley 1581, Art. 26) y SCC / marco de adecuación aplicable (GDPR).
Plazo: 10 años desde la última operación, conforme al Código de Comercio colombiano (Art. 28 y 60, conservación de libros y papeles del comerciante) y al Estatuto Tributario (Art. 632 conservación de soportes; Art. 714 firmeza de las declaraciones). Tras dicho plazo, supresión salvo obligación judicial. (Punto a confirmar por el abogado: el periodo contable-mercantil pasa de 6 años bajo el marco español a 10 años bajo el marco colombiano.)
Medidas: PCI-DSS gestionado por Stripe, no almacenamos datos de tarjeta, separación de roles, cifrado en reposo y tránsito.

Actividad 06 — Email transaccional (vía Resend)

Nombre: Envío de emails transaccionales.
Finalidad: Enviar emails operativos (confirmación de cuenta, recuperación de contraseña, recibos, recordatorios de renovación, notificaciones de cambios).
Base legal: Art. 6.1.b (ejecución de contrato) + Art. 6.1.c GDPR (obligación legal cuando aplica) / autorización del titular para la ejecución del servicio (Ley 1581, Art. 9).
Categorías de interesados: usuarios registrados, suscriptores.
Categorías de datos: email destinatario, contenido del email (nombre, importe, enlaces personalizados).
Destinatarios: Resend.
Encargados: Resend.
Transferencias internacionales: sí, a Estados Unidos (Resend). Base dual: autorización del titular + DPA (Ley 1581, Art. 26) y SCC (GDPR).
Plazo: logs de envío 90 días en Resend; nuestros registros internos según retención general.
Medidas: TLS, DKIM, SPF, DMARC configurados; opt-out fácil; lista de no contactar respetada.

Actividad 07 — Formulario de contacto público

Nombre: Captura y respuesta a consultas de contacto.
Finalidad: Recibir consultas desde el formulario público (/api/contact) y responder por email.
Base legal: Art. 6.1.f GDPR (interés legítimo: poder responder a quien nos contacta) + Art. 6.1.a (consentimiento implícito en el envío del formulario) / autorización del titular implícita en el envío de la consulta e interés legítimo para responderla (Ley 1581, Art. 9).
Categorías de interesados: visitantes del sitio público.
Categorías de datos: nombre, email, mensaje, IP (anti-spam), timestamp.
Destinatarios: Resend.
Encargados: Resend.
Transferencias internacionales: sí, a Estados Unidos (Resend). Base dual: autorización del titular + DPA (Ley 1581, Art. 26) y SCC (GDPR).
Plazo: 6 meses tras última interacción; o supresión inmediata a petición del interesado/titular.
Medidas: honeypot anti-spam, rate limiter (api/rate_limit.py), validación de inputs, TLS.

Actividad 08 — Analytics web y métricas de uso

Nombre: Análisis estadístico de uso.
Finalidad: Comprender cómo se usa el producto a nivel agregado para mejorar funcionalidades. No usamos analytics con identificación individual hoy.
Base legal: Art. 6.1.f GDPR (interés legítimo) / interés legítimo del responsable (Ley 1581). Si en el futuro activamos analytics con cookies que perfilen, pasaremos a Art. 6.1.a GDPR (consentimiento) y a la autorización previa, expresa e informada del titular (Ley 1581).
Categorías de interesados: todos los visitantes y usuarios.
Categorías de datos: páginas visitadas, duración, dispositivo, navegador, IP truncada.
Destinatarios: ninguno externo en la versión actual. Si se activa Plausible u otro proveedor, se actualizará este RAT.
Encargados: TBD.
Transferencias internacionales: ninguna en la versión actual.
Plazo: datos agregados sin caducidad; logs crudos 90 días.
Medidas: IP truncada, sin cookies de tracking persistentes, sin perfilado individual.

Actividad 09 — Captura de leads de upgrade

Nombre: Captura y gestión de leads para conversión a planes de pago.
Finalidad: Identificar usuarios free interesados en planes superiores y enviarles comunicaciones segmentadas con su consentimiento.
Base legal: Art. 6.1.a (consentimiento) o Art. 6.1.f GDPR (interés legítimo respecto a usuarios ya registrados) según el caso / autorización previa, expresa e informada del titular para comunicaciones comerciales (Ley 1581, Art. 9). El marketing por email vía comercio electrónico se rige en Colombia por la Ley 527 de 1999 y la Ley 1480 de 2011 (Estatuto del Consumidor); requiere autorización del titular o relación contractual previa con productos análogos.
Categorías de interesados: usuarios free, visitantes que se suscriben al newsletter.
Categorías de datos: email, plan al que muestra interés, fuente, timestamp.
Destinatarios: Resend (envío) y TBD (CRM, si se incorpora).
Encargados: Resend.
Transferencias internacionales: sí, a Estados Unidos (Resend). Base dual: autorización del titular + DPA (Ley 1581, Art. 26) y SCC (GDPR).
Plazo: mientras no se ejerza baja/revocación; revisión periódica de bases inactivas.
Medidas: doble opt-in para newsletter, opt-out en cada envío, segmentación clara.

Actividad 10 — Logs técnicos y auditoría

Nombre: Registro de eventos técnicos y de seguridad.
Finalidad: Detectar incidencias, depurar errores, investigar incidentes de seguridad, cumplir obligaciones legales.
Base legal: Art. 6.1.f GDPR (interés legítimo) + Art. 6.1.c cuando aplica / interés legítimo del responsable y cumplimiento de obligaciones legales (Ley 1581).
Categorías de interesados: usuarios autenticados, visitantes.
Categorías de datos: identificador de usuario (cuando aplica), IP, user-agent, endpoint, código de respuesta, timestamp, mensaje de error.
Destinatarios: ninguno externo en producción mínima. Si se integra observabilidad OTLP externa, se actualizará este RAT.
Encargados: AWS RDS (PostgreSQL) / Railway / proveedor de observabilidad (TBD).
Transferencias internacionales: sí, a Estados Unidos (AWS RDS, Railway). Base dual: autorización del titular + DPA (Ley 1581, Art. 26) y SCC / marco de adecuación aplicable (GDPR).
Plazo: 90 días para logs operativos; 1 año para audit logs de seguridad.
Medidas: rotación automática, IP anonimizada tras 30 días, control de acceso restringido a administradores.

Actividad 11 — Mensajería interna profesional-cliente

Nombre: Chat directo cliente↔astrólogo del marketplace.
Finalidad: Facilitar la comunicación previa y en torno a la sesión; moderar el canal para impedir el intercambio de datos de contacto fuera de la plataforma; conservar evidencia para resolver disputas.
Base legal: Art. 6.1.b GDPR (ejecución del contrato) para la mensajería; Art. 6.1.f GDPR (interés legítimo) para la moderación y la prevención del bypass del marketplace / autorización del titular para la ejecución del servicio e interés legítimo del responsable para la moderación (Ley 1581, Art. 9).
Categorías de interesados: clientes y astrólogos del marketplace.
Categorías de datos: contenido de los mensajes, marca temporal, partes implicadas, estado (entregado/bloqueado), motivo de bloqueo, señales de moderación (reportado/revisado).
Destinatarios: el astrólogo destinatario (mensajes entregados); el equipo de moderación interno SOLO para mensajes bloqueados o reportados.
Encargados: AWS RDS (PostgreSQL), Railway (hosting backend).
Transferencias internacionales: sí, a Estados Unidos (AWS RDS, Railway). Base dual: autorización del titular + DPA (Ley 1581, Art. 26) y SCC / marco de adecuación aplicable (GDPR).
Plazo: 2 años desde el último mensaje del hilo (alineado con la prescripción de acciones civiles ordinarias —Código Civil colombiano, Art. 2536: 10 años para la acción ordinaria; el plazo de conservación de 2 años se mantiene como criterio operativo a confirmar por el abogado). Los mensajes bloqueados se conservan como evidencia de moderación el mismo plazo.
Medidas: filtros PII automáticos server-side, acceso de moderación restringido y solo a mensajes flagged, audit log de accesos, soft-delete y cifrado en tránsito.

Tabla resumen

ID	Tratamiento	Base legal (GDPR / Ley 1581)	Datos sensibles	Transfer. internacional	Plazo
01	Registro y autenticación	Art. 6.1.b / autorización del titular	No	Sí (AWS, Railway, Vercel, Google)	Vida cuenta + anonimización 30 días
02	Cálculo de cartas	Art. 6.1.b + 9.2.a / autorización reforzada (Art. 5–6)	Sí (creencias)	Sí (AWS RDS, Railway)	Vida cuenta + 30 días
03	Generación de reports	Art. 6.1.b + 9.2.a + 22 / autorización reforzada (Art. 5–6)	Sí	Sí (AWS Bedrock, AWS RDS)	Vida cuenta + 30 días
04	Chat con LLM	Art. 6.1.b + 9.2.a / autorización reforzada (Art. 5–6)	Sí	Sí (AWS Bedrock, AWS RDS)	Vida cuenta + 30 días
05	Pagos vía Stripe	Art. 6.1.b + 6.1.c / autorización + obligación legal	No	Sí (Stripe)	10 años fiscal/contable
06	Email transaccional	Art. 6.1.b + 6.1.c / autorización del titular	No	Sí (Resend)	90 días logs
07	Formulario de contacto	Art. 6.1.f + 6.1.a / autorización + interés legítimo	No	Sí (Resend)	6 meses
08	Analytics web	Art. 6.1.f / interés legítimo	No	Ninguna hoy	Agregado
09	Leads de upgrade	Art. 6.1.a / autorización del titular	No	Sí (Resend)	Hasta baja/revocación
10	Logs técnicos	Art. 6.1.f + 6.1.c / interés legítimo + obligación legal	No	Sí (AWS RDS, Railway)	90 días - 1 año
11	Mensajería marketplace	Art. 6.1.b + 6.1.f / autorización + interés legítimo	No	Sí (AWS RDS, Railway)	2 años desde último mensaje

Revisión y actualización

Este registro se revisa al menos una vez al año y siempre que se incorpore un nuevo tratamiento, sub-procesador o cambio normativo relevante. La próxima revisión está prevista para 2027-06-30 o antes si hay novedades. Cualquier cambio que afecte a las bases de datos registradas debe reflejarse, cuando proceda, en el RNBD de la SIC.

Anexos previstos

Lista actualizada de sub-procesadores: ver subprocessors.md.
Política de retención detallada: ver retention-policy.md.
Documento de medidas técnicas y organizativas (DPIA / evaluación de impacto cuando proceda): en desarrollo.