| Administrativo |
| Identificador del registro | string | Un identificador único para este registro (por ejemplo, un ULID, UUID o ID asignado por el programa). Su alcance se limita al espacio de nombres del registro; no es necesariamente único a nivel global. |
| Identificadores | concept:Identifier | Identificadores que porta esta entidad, como números de identidad nacional, ID de programa o identificadores acreditados por un documento de identidad. |
| Nombre | string | El nombre de visualización completo del registro. Según el concepto, es el nombre de una persona o grupo, o el título de un programa, instrumento, regla de puntuación o producto de software. |
| Versión | string | El identificador de versión de un artefacto como un instrumento, agente de software, regla de puntuación o aviso de privacidad (por ejemplo, una fecha de publicación como 2022-10-11 o una versión semántica como 6.2). |
| Versión del esquema | uri | Identifica la versión del esquema de registro de consentimiento de PublicSchema (u otro) al que se ajusta esta instancia. Permite las herramientas de migración hacia versiones posteriores. Normalmente es un URI desreferenciable, por ejemplo 'https://publicschema.org/ConsentRecord/v1'. |
| Conforme a | uri | URIs de las normas o especificaciones con las que este registro es conforme (ISO/IEC TS 27560, Kantara Consent Receipt, W3C DPV, etc.). Puramente declarativo; no se realiza ninguna validación contra las normas citadas a nivel de esquema. |
| Creado el | datetime | Marca de tiempo generada por el sistema que indica cuándo se almacenó este registro. Es la marca de tiempo de digitalización, no la fecha de otorgamiento del consentimiento. Distinta de 'signed_date' (el día en que la persona interesada indicó su consentimiento) y de 'effective_date' (cuando el registro entra en vigor). Para los flujos de trabajo en papel, las tres marcas de tiempo pueden diferir. |
| Partes |
| Responsables del tratamiento | concept:Organization | Organizaciones que determinan los fines y los medios del tratamiento. La cardinalidad múltiple cubre la corresponsabilidad (dos o más organizaciones conjuntamente responsables en virtud del Art. 26 del RGPD o disposiciones nacionales equivalentes); el caso normativo es un único responsable del tratamiento. Véase 'recipient_role' para distinguir los encargados del tratamiento de los responsables entre los destinatarios. |
| Contacto DPD | string | Datos de contacto (correo electrónico, teléfono, dirección postal) del delegado de protección de datos o del rol equivalente de contacto de privacidad del o los responsable(s) del tratamiento. Cadena libre; generalmente una dirección de correo electrónico o un bloque postal. Requerido por los Arts. 13/14 del RGPD para avisos emitidos en jurisdicciones de la UE. |
| Contacto de la autoridad de reclamación | string | Datos de contacto de la autoridad de protección de datos competente ante la que la persona interesada puede presentar una reclamación (por ejemplo, en jurisdicciones de la UE, la AEPD nacional). Requerido por los Arts. 13/14 del RGPD para avisos en jurisdicciones de la UE. |
| Categorías de destinatarios | string (organization-type) | Categorías de destinatarios descritas a la persona interesada en el aviso. Con alcance de PrivacyNotice: el aviso describe las categorías; el ConsentRecord nombra destinatarios específicos a través de 'recipients' y 'allowed_recipient_categories'. |
| Destinatarios descritos | string | Descripción en prosa libre de los destinatarios utilizada en el aviso, como complemento de las 'recipient_categories' codificadas. Permite que el aviso describa a un destinatario que no encaja en el vocabulario codificado. |
| Tratamiento |
| Finalidades del tratamiento | uri | Los valores son URI W3C DPV, subclases normativas de `dpv:Purpose` (por ejemplo, `dpv:ServiceProvision`, `dpv:ResearchAndDevelopment`). Cada URI identifica una finalidad para la cual se procesan datos personales en este registro. Consulte `docs/dpv-vocabulary-reference.md` para una lista de inicio seleccionada. |
| Categorías de datos personales | uri | Los valores son URI W3C DPV, subclases normativas de `dpv:PersonalData` (del núcleo DPV; la extensión DPV-PD define taxones más específicos). No confundir con el método de captura biométrica, que es `consent_expression = opt-in-biometric` en este registro. Las categorías de datos biométricos son valores de esta propiedad (por ejemplo, un URI para huella dactilar, imagen facial). |
| Operaciones de tratamiento | uri | Los valores son URI W3C DPV, subclases normativas de `dpv:Processing` (por ejemplo, `dpv:Collect`, `dpv:Store`, `dpv:Share`). Describe las operaciones para las que se otorga el consentimiento. Referencia: RGPD Art 4(2) para la definición de 'tratamiento'. |
| Base legal | string (legal-basis) | La base legal conforme al Art 6(1) del RGPD (o ley equivalente) que autoriza el tratamiento. Cardinalidad múltiple porque un registro puede apoyarse en más de una base; el uso normativo en un ConsentRecord es una sola base. En un PrivacyNotice, múltiples bases pueden coexistir si el aviso cubre varias operaciones de tratamiento. Campo crítico: completar incluso si su interfaz no lo exige. |
| Base de categoría especial | string (special-category-basis) | Cuando `personal_data_categories` incluye una categoría especial (RGPD Art 9 / `dpv:SpecialCategoryPersonalData`), esta propiedad identifica la base del Art 9(2) que autoriza el tratamiento. Obligatorio cuando hay datos Art 9 en alcance; omitido en caso contrario. Campo crítico: completar incluso si su interfaz no lo exige. |
| Aviso |
| Reemplaza a | concept:PrivacyNotice | Solo para PrivacyNotice. La versión anterior del aviso que este aviso reemplaza. Permite rastrear la cadena de evolución de avisos. Una campaña de recaptación de consentimiento es desencadenada por un cambio sustancial (nuevas finalidades, nuevos destinatarios, nuevas categorías de datos); un cambio de versión sin estos cambios no requiere nuevo consentimiento. Consulte `docs/consent-lifecycle.md` para la distinción. |
| Idiomas disponibles | string (language) | Solo para PrivacyNotice. Códigos ISO 639-3 de todos los idiomas en que este aviso está disponible. Consulte `notice_presentation_language` en el ConsentRecord para saber cuál fue presentado realmente a una persona interesada concreta. |
| Descripción de la transferencia | string | Solo para PrivacyNotice. Descripción en prosa de las transferencias internacionales o a terceros países de datos (RGPD Capítulo V). Texto libre; debe nombrar los países de destino, el estado de la decisión de adecuación y las salvaguardas (cláusulas contractuales tipo, normas corporativas vinculantes, etc.) cuando corresponda. |
| Descripción de la decisión automatizada | string | Solo para PrivacyNotice. Descripción en prosa de cualquier toma de decisiones automatizada, incluida la elaboración de perfiles, que produzca efectos jurídicos o efectos significativos similares sobre la persona interesada (RGPD Art 22). Incluir la lógica empleada, la importancia y las consecuencias previstas. Vacío cuando no ocurre tal tratamiento. |
| Descripción de los derechos | string | Solo para PrivacyNotice. Descripción en prosa de los derechos de la persona interesada (acceso, rectificación, supresión, oposición, portabilidad, limitación del tratamiento, retirada del consentimiento). Típicamente un párrafo que cubre el conjunto completo de derechos aplicables en la jurisdicción correspondiente. |
| Fuente de los datos | string | Solo para PrivacyNotice. Descripción en prosa de la(s) fuente(s) de las que se obtienen los datos personales cuando no son recogidos directamente de la persona interesada (RGPD Art 14). Ejemplo: 'Un registro gubernamental de beneficiarios administrado por el Ministerio de Protección Social.' |
| Validez y jurisdicción |
| Fecha de vigencia | date | La fecha en que este registro o aviso se vuelve operativo. En un ConsentRecord, puede ser posterior a signed_date (el día en que la persona afectada indicó su consentimiento) y a created_at (la marca de tiempo de digitalización); en flujos en papel, signed_date es el día de la firma del formulario en papel y effective_date es normalmente el mismo día, pero puede retrasarse según la lógica del programa. En un PrivacyNotice, es la fecha a partir de la cual se aplica esta versión del aviso; los registros recogidos antes de esa fecha remiten a la versión anterior mediante supersedes_ref. |
| Fecha de expiración | date | La fecha en que este registro o documento expira o deja de ser válido. |
| Jurisdicción | string (country) | Código de país ISO 3166-1 alpha-2 de la jurisdicción cuya ley de protección de datos rige este registro. Cardinalidad simple: los registros multi-jurisdiccionales son el caso excepcional; un ADR posterior podrá ampliar la cardinalidad si los adoptantes lo necesitan. En caso de responsabilidad conjunta, corresponde a la jurisdicción de establecimiento principal del responsable principal. |
| Estado y retiro |
| Descripción del retiro | string | Solo para PrivacyNotice. Descripción en prosa de cómo la persona afectada puede retirar su consentimiento. Debe referenciar withdrawal_uri si está disponible, y describir los canales en papel o verbales si los hubiera. Requerido por el Art. 7(3) del RGPD. |
| Conservación |
| Descripción de la retención | string | Solo para PrivacyNotice. Descripción en prosa del período de retención de los datos personales (Art. 13(2)(a) del RGPD). Usar cuando el período no puede expresarse como un número fijo de días (por ejemplo, 'durante la duración de la inscripción en el programa más seis años tras la salida del programa'). |
| Plazo de conservación (días) | integer | Duración de almacenamiento planificada para los datos personales cubiertos por este registro, expresada en días. Dirige la lógica de retención en sistemas posteriores. Cero significa: no conservar tras el procesamiento. Nulo (no rellenado) significa: la duración se describe en prosa en el campo retention_description de la PrivacyNotice en lugar de codificarse. |