-- 007: Revoca el SELECT sobre consent_records a authenticated. -- Auditoría 1B: GRANT inerte hoy (no hay policy SELECT) pero peligroso si a futuro alguien -- agrega una policy SELECT para org_admin → expondría quién consintió qué, vector de -- correlación con respuestas en encuesta anónima. El analyst lee vía service_role. REVOKE SELECT ON public.consent_records FROM authenticated;