Subprocessors
Data processors (Art.28 GDPR)
Este documento tiene carácter informativo. No constituye asesoramiento jurídico. Para su interpretación aplicada a tu situación concreta, consulta con un profesional.
1. Qué es un subprocesador
Para prestar el servicio, Alethexis se apoya en proveedores de infraestructura que tratan datos por cuenta de Alethexis. Cada uno es un encargado del tratamiento (subprocesador) en el sentido del artículo 28 del RGPD. A continuación se publica la lista vigente.
2. Lista de subprocesadores
| Subprocesador | Servicio | Datos accedidos | Localización |
|---|---|---|---|
| Supabase | Base de datos PostgreSQL, Storage, Auth y Edge Functions | Todos los datos del producto | UE — Frankfurt (eu-central-1) |
| Vercel | Hosting Next.js y red Edge | Logs HTTP y metadatos de request | UE (región fra1 para datos) |
| Stripe Payments Europe | Procesamiento de pagos | Datos de pago | Irlanda (entidad UE) |
| Holded | Facturación legal | Datos fiscales del cliente (NIF, razón social, importes) | España |
| Resend | Envío transaccional de email | Email del destinatario y contenido del email | UE (configuración EU) |
| Sentry | Monitorización de errores | Stack traces (con eliminación de PII) y metadatos del error | UE (Frankfurt) |
| GitHub | Repositorio de código | Código fuente — sin datos productivos de cliente | EE. UU. (cláusulas tipo UE) |
3. Proveedores sin acceso a datos productivos
GitHub almacena el código fuente de la plataforma, no datos de cliente. Anthropic (modelos Claude utilizados como asistente durante el desarrollo) recibe únicamente prompts y código de desarrollo, sin datos productivos de cliente. Esta separación es estructural: la fuente de verdad de los datos productivos es Supabase EU-Frankfurt.
4. Transferencias internacionales
Salvo Stripe (necesario para el pago) y GitHub (que no accede a datos productivos), todos los subprocesadores que tratan datos productivos están ubicados en el Espacio Económico Europeo. La incorporación de un subprocesador fuera del EEE para datos productivos requeriría garantías adecuadas documentadas (cláusulas contractuales tipo y medidas suplementarias).
5. Notificación de cambios
Notificamos cualquier alta de un nuevo subprocesador con al menos 30 días de antelación, mediante email y aviso en el producto. Durante ese plazo, el cliente puede objetar. Para más información sobre el tratamiento de datos, consulta la Política de Privacidad o escríbenos a [email protected].