Subencargados del tratamiento
Vigencia: 17 de mayo de 2026 · Versión 1.0
Como Encargado del tratamiento, Decretum Studio mantiene un inventario actualizado de los terceros (subencargados o sub-processors) que procesan datos personales en su nombre, conforme al artículo 53 de la LFPDPPP y los Lineamientos de la Secretaría Anticorrupción y Buen Gobierno (2025).
Todos los subencargados listados han suscrito acuerdos contractuales (DPA o equivalente) que les obligan al mismo nivel de protección que ofrecemos en nuestro aviso de privacidad.
Notificaremos al Responsable (despacho contratante) con 30 días de antelación de cualquier nueva incorporación o cambio. El Responsable podrá objetar dentro de los 15 días siguientes. Si no llegamos a acuerdo, el contrato puede terminarse sin penalidad y procedemos a la exportación de datos en formato estándar.
Subencargados vigentes (10)
| Proveedor | Servicio | Datos que tratan | Ubicación | Instrumento |
|---|---|---|---|---|
| Amazon Web Services, Inc. | Hosting (S3 documentos, Cognito auth, Textract OCR, KMS, ECR, CloudWatch) | Documentos legales, emails, RFC, CURP, audit logs | us-east-1 (Virginia, EE. UU.) | AWS GDPR DPA + Mexico SCC addendum |
| Anthropic, PBC | Análisis IA (Claude Opus 4.7 + Haiku 4.5) sobre contenido de expedientes | Texto OCR con PII enmascarada antes del envío (RFC, CURP, email, teléfono → [RFC], [CURP], [EMAIL], [TEL]) | us-east-1 (EE. UU.) | Anthropic Enterprise DPA + header anthropic-zero-data-retention: true |
| OpenAI, L.L.C. | Embeddings (text-embedding-3-small) para búsqueda semántica y resúmenes (gpt-4o-mini) | Texto redactado de documentos OCR (PII enmascarada) | us-east-1 (EE. UU.) | OpenAI API DPA + opt-out de training data |
| Resend Inc. | Envío de emails transaccionales (invitaciones, notificaciones de plazos) | Email, nombre del destinatario, contenido del email | us-east-1 (EE. UU.) | Resend DPA estándar |
| Pusher Ltd. | WebSockets para notificaciones en tiempo real | UUIDs (tenant, usuario), tipos de eventos (no contenido sensible) | mt1 (EE. UU.) | Pusher DPA |
| Neon Inc. | PostgreSQL gestionado | Todos los datos personales del producto, cifrados a nivel de campo con AES-256-GCM (transparente para Neon) | aws-us-east-1 (EE. UU.) | Neon Subprocessor DPA |
| Sentry (Functional Software, Inc.) | Observabilidad de errores y monitoreo | Stack traces con paths redactados (no contenido) | EE. UU. (con tunnel /monitoring para no abrir conexión directa) | Sentry DPA |
| GitHub, Inc. | Source code repository | Solo código fuente; no recibe datos personales del producto | EE. UU. | GitHub DPA estándar (cuenta business) |
| Google LLC (Calendar API) | Sincronización opcional con Google Calendar del usuario | Eventos de calendario (título, fecha) si el usuario activa la integración | EE. UU. | Google Workspace DPA + Google Calendar Limited Use scope |
| Coolify (self-hosted) | Plataforma de despliegue (PaaS auto-hospedada) | Variables de entorno y logs del proceso (no datos personales del producto) | Servidor del operador (CDMX) | N/A — auto-hospedado bajo control directo del operador |
Inactivos / flujos dormantes (2)
Subencargados con quienes existe relación contractual pero cuyo flujo de procesamiento no está activo en producción. Se listan por transparencia.
| Proveedor | Servicio | Datos que tratan | Ubicación | Instrumento |
|---|---|---|---|---|
| Stripe, Inc. | Procesamiento de pagos de la suscripción del despacho | Email del admin del despacho; datos de tarjeta procesados directamente por Stripe (PAN/CVV nunca tocan nuestros servidores — PCI-DSS Level 1) | EE. UU. + UE | Stripe DPA + SCC |
| Facturama | Timbrado CFDI 4.0 ante SAT | RFC, razón social, domicilio fiscal, montos facturados | México | Contrato de servicio + cláusula de confidencialidad |
Transferencias internacionales
La mayoría de los subencargados procesan datos en EE. UU. Aplicamos garantías contractuales en cada DPA que replican las protecciones de la LFPDPPP (la Secretaría Anticorrupción no ha emitido lista de países con “nivel adecuado de protección” equivalente a la lista de la UE).
Auditoría y debida diligencia
Antes de incorporar un subencargado nuevo, validamos:
- Que tenga DPA o equivalente vigente.
- Su política de seguridad pública (postura sobre cifrado, certificaciones SOC2 / ISO 27001, etc.).
- Dónde almacena y procesa los datos.
- Su política de retención y de respuesta a derechos ARCO.
- Riesgos transfronterizos y cláusulas adicionales que apliquen.
Revisamos el inventario cada 6 meses. Próxima revisión: 2026-11-17.
Procedimiento de baja
Cuando dejamos de usar un subencargado:
- Se mueve a la sección de inactivos con la fecha de baja.
- Verificamos la destrucción o devolución de los datos según el DPA.
- Obtenemos certificado de eliminación cuando aplique.
- Notificamos a los Responsables vía email y actualizamos esta página.
Contacto
Para preguntas sobre subencargados o para objetar una nueva incorporación, escribe a privacidad@decretumstudio.com.