Acuerdos de tratamiento de datos (DPAs)
FactuChat firma contratos Art. 28 RGPD con cada uno de los proveedores que procesan datos de nuestros usuarios. Esta página es la fuente única de verdad y reemplaza la frase "DPA disponible bajo solicitud" del aviso anterior.
1. Modelo de DPA — Template público
FactuChat ofrece un acuerdo de tratamiento de datos genérico alineado con las Cláusulas Contractuales Tipo (SCC) 2021/914 de la Comisión Europea y el Art. 28 RGPD. Si eres un cliente B2B (gestoría, despacho, consultora) y necesitas un DPA firmado con tu razón social, descárgalo y devuélvenoslo firmado:
📄 DPA template — FactuChat ↔ Cliente (versión genérica)
Cubre las 8 cláusulas obligatorias del Art. 28 RGPD: objeto, duración, naturaleza/finalidad, tipo de datos, obligaciones del encargado, subprocesadores (con lista), transferencias internacionales (SCC), seguridad, cooperación con el cliente, supresión al fin del contrato.
Solicitar DPA por email Ver subprocesadores2. Subprocesadores certificados con DPA en vigor
Lista pública de las empresas que procesan datos personales de FactuChat por cuenta del responsable (FactuChat) o como subencargados. Notificamos cualquier cambio con 30 días de antelación a través de email a clientes B2B + esta página + RSS feed cuando esté disponible.
| Proveedor | Servicio | Ubicación | DPA en vigor | SCC/AEAT |
|---|---|---|---|---|
| Render Services Inc. | Hosting web + worker + Postgres | EE.UU. (datos en EU región) | Sí (Render Master DPA) | SCC 2021/914 Módulo 2 |
| Upstash Inc. | Redis (FSM + caché) | EE.UU. (datos EU) | Sí | SCC 2021/914 |
| Verifacti S.L. | Envío AEAT VeriFactu (convenio 017) | España | Sí (convenio 017) | Intra-UE |
| MONEI Payments S.L. | Procesador de pagos (PSD2) | España | Sí (PSD2) | Intra-UE |
| Brevo SA (ex-Sendinblue) | Email transaccional | Francia | Sí | Intra-UE |
| Functional Software Inc. (Sentry) | Error tracking + APM | EE.UU. (datos EU región) | Sí | SCC 2021/914 |
| PostHog Inc. | Product analytics | EE.UU. | Sí (PostHog Cloud EU) | SCC 2021/914 |
| Google Cloud (Sheets + Gemini) | Backup datastore + AI extraction | EE.UU. (datos EU) | Sí (Cloud DPA) | SCC 2021/914 |
| InQud Solutions Ltd. | Procesador de pagos cripto (failover) | UK | Sí | UK adequacy decision |
| Stripe Payments Europe Ltd. | Procesador de pagos (failover) | Irlanda | Sí | Intra-UE |
| Cloudflare Inc. (cuando se active) | CDN + DDoS + WAF | EE.UU. | Sí | SCC 2021/914 |
3. Notificación de cambios
Cuando añadimos o cambiamos un subprocesador, notificamos con 30 días de antelación a:
- Clientes B2B (gestorías, despachos): email a la dirección registrada en el contrato
- Todos los usuarios: actualización visible en /subprocesadores.html + post en @FactuChatNews
- RSS feed:
/subprocesadores.rss(en preparación Q3-2026)
Si te opones a un cambio, puedes cancelar el contrato sin penalización antes del cambio surte efecto (Art. 28.2 RGPD).
4. Auditorías y derechos del cliente
De conformidad con el Art. 28.3.h RGPD, los clientes B2B tienen derecho a:
- Auditar nuestros procesos de seguridad (preaviso 30 días, una vez por año, sin coste)
- Solicitar evidencia de controles (certificación SOC 2 en proceso — readiness asssessment Q4-2026)
- Recibir notificación de brecha de seguridad sin demora indebida y a más tardar 72h (AEPD obligación, art. 33 RGPD)
5. Transferencias internacionales
Cuando un subprocesador opera fuera del EEE, FactuChat firma las Cláusulas Contractuales Tipo (Standard Contractual Clauses, SCC) 2021/914 Módulo 2 (responsable→encargado) o Módulo 3 (encargado→encargado) según corresponda. Hemos realizado Transfer Impact Assessments (TIA) por cada proveedor.
6. Contacto legal
Para cualquier asunto relacionado con DPAs, SCC, RGPD, o ejercicio de derechos como cliente B2B:
- Email: [email protected]
- Telegram: @FactuChatSoporte
- Solicitudes RGPD individuales (Art. 15-22): comando
/derechos_rgpddentro del bot