Cara, muito bacana sua API. Mas seria interessante delegar as regras de negócio da Controller para uma camada de Service. E deixar a controller apenas com a responsabilidade de receber e retornar as requisições HTTP.
Também seria de muita valia desenvolver mais a parte de testes, pode ser unitários para garantir que novas features não estraguem o que já está em funcionamento
Obrigado pelas sugestões. Vou implementar na próxima prova técnica com certeza.