Última actualización: 16 de abril de 2026 · Versión 1.0
Subprocesadores de datos
Esta página lista, con total transparencia, los proveedores externos (subprocesadores) que FactuChat utiliza para prestar el servicio, conforme a los artículos 13 y 28 del Reglamento General de Protección de Datos (RGPD).
Cada subprocesador procesa únicamente los datos mínimos necesarios para su función específica, bajo contrato de tratamiento de datos (DPA) con cláusulas contractuales estándar (CCE) o marco Data Privacy Framework (DPF) cuando aplica transferencia a EEUU.
1. Infraestructura y almacenamiento
| Proveedor | Función | Datos tratados | Localización | Mecanismo transferencia |
|---|---|---|---|---|
| Render.com Render Services Inc. | Hosting de la aplicación y base de datos PostgreSQL | Todos los datos operativos (cifrados en reposo con TLS/Fernet) | UE + EEUU | CCE + DPF |
| Upstash Upstash Inc. | Redis (caché FSM, rate limits, webhook dedup) | Estados temporales, sin PII persistente | UE / EEUU | CCE + DPF |
| Google Cloud Google Ireland Ltd. | Google Sheets (backup histórico) y Drive (backups cifrados) | Histórico de facturas cifrado | UE (irish-central) | DPA Google Cloud |
2. Procesamiento de IA (extracción de datos)
| Proveedor | Función | Datos tratados | Localización | Mecanismo transferencia |
|---|---|---|---|---|
| Google Gemini Google LLC (modelos 2.5 Flash/Lite) | Extracción de datos de facturas desde texto e imágenes | Texto de factura e imagen de ticket; procesamiento efímero, no persistente | EEUU (global) | DPF + CCE |
| OpenAI OpenAI, LLC | Whisper: transcripción voz→texto. Fallback gpt-4o-mini si Gemini falla | Audio (<120s) y texto; no utilizado para entrenamiento (opt-out API) | EEUU | DPA OpenAI + CCE |
| Anthropic Anthropic PBC | Modelo Claude Haiku como segundo fallback (uso contingente) | Texto de factura; no utilizado para entrenamiento | EEUU | DPA Anthropic + CCE |
3. Pagos y facturación
| Proveedor | Función | Datos tratados | Localización | Mecanismo transferencia |
|---|---|---|---|---|
| Monei Microprocessing SL (España) | Procesamiento de pagos PSD2 (tarjeta, Bizum, Apple Pay) | Importe, token de pago (PCI-DSS Nivel 1), email | UE (España) | Intra-UE (sin transferencia internacional) |
4. Cumplimiento fiscal (AEAT / Hacienda Foral)
| Proveedor | Función | Datos tratados | Localización | Mecanismo transferencia |
|---|---|---|---|---|
| Verifacti Verifacti SL (España) | Envío VeriFactu y TicketBAI a AEAT y Hacienda Foral | Factura estructurada (XML), hash, firma XAdES | UE (España) | Intra-UE |
5. Comunicación y soporte
| Proveedor | Función | Datos tratados | Localización | Mecanismo transferencia |
|---|---|---|---|---|
| Telegram Telegram FZ-LLC | Canal de interacción principal con el bot | Telegram user ID, mensajes, adjuntos (audio/imagen) | Global (TLS extremo-a-extremo) | Base legítima art. 6.1.b RGPD |
| Brevo Sendinblue SAS (Francia) | Emails transaccionales (bienvenida, facturación, dunning) | Email, nombre, eventos | UE (Francia) | Intra-UE |
6. Observabilidad y analítica
| Proveedor | Función | Datos tratados | Localización | Mecanismo transferencia |
|---|---|---|---|---|
| Sentry Functional Software, Inc. | Detección de errores y trazas de rendimiento | Trazas técnicas con PII scrubbing (NIF/email/teléfono enmascarados) | EEUU + UE | DPF + CCE |
| PostHog PostHog EU | Analítica de producto (eventos anonimizados) | Telegram user ID (identificador único anonimizado) | UE (eu.posthog.com) | Intra-UE |
| GrowthBook Growth Book Inc. | Feature flags y A/B testing (cuando activo) | Identificador anónimo de asignación | EEUU | CCE |
| Plerdy Plerdy Inc. | Mapas de calor y grabaciones agregadas de la sesión (solo en la landing pública; gated por consentimiento del banner de cookies; no se carga si no aceptas) | Eventos de clic y desplazamiento sin identificación personal | EEUU + UE | CCE |
| TikTok Pixel TikTok Technology Limited (Irlanda) | Medición de campañas publicitarias (solo en la landing pública; gated por consentimiento del banner de cookies) | Eventos de página y conversión sin identificación personal directa | UE (Irlanda) + EEUU | Intra-UE + CCE |
7. Cómo solicitar los DPA firmados
Los Acuerdos de Tratamiento de Datos (DPA) firmados con cada uno de estos subprocesadores están disponibles bajo solicitud escribiendo a [email protected] con el asunto "Solicitud DPA subprocesadores". Respondemos en un plazo máximo de 15 días laborables.
8. Notificación de cambios
Cuando incorporemos o sustituyamos un subprocesador que trate datos personales, actualizaremos esta página y notificaremos a los usuarios con 30 días de antelación a través de Telegram y/o correo electrónico, conforme al artículo 28.2 RGPD. Esto te permite objetar o cancelar tu suscripción antes del cambio si lo consideras necesario.
Base legal. El uso de estos subprocesadores se fundamenta en la ejecución del contrato (art. 6.1.b RGPD) para prestar el servicio contratado, la obligación legal (art. 6.1.c) para cumplir VeriFactu/TicketBAI, y el interés legítimo (art. 6.1.f) para seguridad, detección de fraude y calidad del servicio.
Derecho a objetar. Tienes derecho a oponerte al tratamiento por cualquiera de estos subprocesadores en la medida en que la ley lo permita. Ejerce este derecho en [email protected].
Autoridad de control. Agencia Española de Protección de Datos (AEPD) — C/ Jorge Juan 6, 28001 Madrid — www.aepd.es.
Este documento forma parte de la Política de Privacidad de FactuChat y se rige por los mismos términos legales.
← Volver a la Política de Privacidad