Cumplimiento normativo · RGPD Art. 28 + 44-49
Registro público de subencargados
LexFlow trata datos personales de los clientes de los despachos en calidad de encargado de tratamiento. Para prestar el servicio nos apoyamos en los siguientes subencargados, terceros que procesan datos en nuestro nombre. Esta página es la versión pública del registro canónico que mantenemos en SUBPROCESSORS.md (fuente única de verdad versionada en git).
¿Qué es un subencargado?
Un subencargado es un tercero al que LexFlow (encargado de tratamiento) confía parte del tratamiento de datos personales de los despachos clientes (responsables del tratamiento). El RGPD Art. 28.4 exige que esté formalmente designado, que el cliente sea informado y pueda oponerse, que medie un acuerdo (DPA / SCC) que extienda las obligaciones del contrato principal y que se documente el flujo de datos. Esta página cumple ese último punto.
Subencargados activos
| Subencargado | Propósito | Categorías de datos | Ubicación | Base legal | DPA |
|---|---|---|---|---|---|
Totalum totalum-api-sdk | Base de datos principal y backend del producto | Toda la data del cliente: expedientes, clientes, documentos, contabilidad, audit logs | España (UE) | No aplica (UE) | Firmado |
Cloudflare @opennextjs/cloudflare | Hosting (Workers), CDN global, R2 (storage), KV (rate limit) | Logs de tráfico, contenido cacheado, sesiones, archivos R2 | Global con preferencia EU | DPA + SCC (Art. 46) | Firmado |
Stripe stripe | Procesamiento de pagos (suscripción del despacho) | Nombre, email, dirección de facturación, datos de tarjeta (tokenizados) | EEUU + Irlanda (UE) | DPF + SCC (Art. 46) | Firmado |
Resend resend | Envío de email transaccional (reset password, notificaciones) | Email, nombre, contenido del mensaje | EEUU | DPF + SCC (Art. 46) | Firmado |
OpenAI openai, @ai-sdk/openai | Modelos de lenguaje generativo (asistente jurídico, OCR, redacción) | Prompts (pueden contener PII de clientes — ver T2-A) | EEUU | DPF + SCC (Art. 46) + DPA OpenAI | Firmado |
Anthropic @anthropic-ai/sdk, @ai-sdk/anthropic | Modelos de lenguaje generativo (alternativa a OpenAI, Claude) | Prompts (pueden contener PII — ver T2-A) | EEUU | DPF + SCC (Art. 46) + DPA Anthropic | Firmado |
Google (Gmail API) (REST + OAuth — sin SDK npm) | Sincronización de email del despacho con su cuenta Google | Mensajes, etiquetas, metadatos del usuario que conecte su Gmail | EEUU | DPF + SCC (Art. 46) | Firmado vía términos Google Workspace |
AssemblyAI (REST — sin SDK npm) | Transcripción de audio (dictado por voz) | Audio dictado por el usuario, transcripción resultante | EEUU | DPF + SCC (Art. 46) | Firmado |
Base legal de las transferencias internacionales
Para los subencargados ubicados fuera del Espacio Económico Europeo aplicamos las siguientes garantías del RGPD Capítulo V:
- Decisión de adecuación (Art. 45) — para destinos con nivel de protección reconocido por la Comisión Europea.
- Cláusulas Contractuales Tipo (SCC) de la Comisión Europea de 2021/914/UE (Art. 46.2.c).
- Data Privacy Framework (DPF) — sucesor del Privacy Shield para EEUU, para los subencargados certificados.
Política de notificación de cambios
Cuando incorporamos o cesamos un subencargado, los responsables del tratamiento (despachos titulares de cuenta) son notificados por email con plazo razonable de oposición, conforme al RGPD Art. 28.2. Esta página se actualiza con la fecha del cambio en el mismo momento del despliegue. El histórico completo está en el repositorio versionado.
Contacto
- DPO: dpo@lexflow-ia.com
- Soporte privacidad: privacidad@lexflow-ia.com
- Política de privacidad: /privacy-policy