Subencargados de Tratamiento
Última actualización: Abril 2026
Quiénes son y por qué los listamos
Para prestar nuestros servicios usamos un conjunto de proveedores externos ("subencargados") que tratan datos personales en nuestro nombre. Esta página los lista de forma transparente, conforme al Art. 28 del RGPD y al principio de transparencia (Art. 5(1)(a)). Cada proveedor tiene firmado un Data Processing Agreement (DPA) con nosotros y aplica las medidas de seguridad descritas a continuación.
Cómo leer la tabla
- Tier indica el nivel de sensibilidad de los datos que procesa: Crítico (contenido de salud mental o datos biométricos), Alto (PII identificable o hosting), Medio (datos transitorios o con scrubbing), Bajo (sin PII identificable significativa).
- Mecanismo describe la base legal de la transferencia internacional cuando el proveedor está fuera del EEE: DPF (EU-US Data Privacy Framework, Decisión de Adecuación), SCCs (Cláusulas Contractuales Tipo de la Comisión Europea, Decisión 2021/914), o ambas.
- Todos los proveedores cifran los datos en tránsito (TLS 1.3). El cifrado en reposo y otras medidas suplementarias se documentan en nuestro Transfer Impact Assessment interno.
| Proveedor | Finalidad | Datos tratados | Ubicación | Mecanismo | Tier |
|---|---|---|---|---|---|
| Supabase | Base de datos compartida, autenticación, storage, Edge Functions | Todo el PII de usuario (cuentas, perfiles, mensajes cifrados, leads, newsletter, audit log) | UE (eu-*) | SCCs | Alto |
| Vercel | Hosting de las aplicaciones (megrowth, backoffice, landing) | PII en logs de servidor, headers de petición | EE. UU. (funciones serverless en Frankfurt) | DPF + SCCs | Alto |
| Groq | LLM primario para chat de texto y voz | Contenido textual de chat (categoría especial — salud mental) | EE. UU. | SCCs | Crítico |
| Cerebras | LLM secundario (fallback) para chat de texto y voz | Contenido textual de chat (categoría especial — salud mental) | EE. UU. | SCCs | Crítico |
| Fireworks AI | LLM terciario (fallback) | Contenido textual de chat (categoría especial) | EE. UU. | SCCs | Alto |
| ElevenLabs | Text-to-Speech (TTS) y Speech-to-Text (Scribe v2) del avatar | Audio de voz del usuario (potencialmente dato biométrico) y transcripciones | EE. UU. (residencia UE disponible en planes superiores) | DPF + SCCs | Crítico |
| Deepgram | Speech-to-Text (fallback de ElevenLabs Scribe) | Audio + transcripciones (potencialmente dato biométrico) | EE. UU. (endpoint UE disponible) | SCCs | Alto |
| HeyGen LiveAvatar | Render del avatar 3D (modo LITE) | Texto del prompt (sin PII directa) y audio sintético del avatar | EE. UU. | DPF + SCCs | Crítico |
| Google (Gemini) | Embeddings primarios para RAG | Chunks textuales de mensajes (categoría especial cuando proceden del chat de salud mental) | EE. UU. con regiones globales | DPF + SCCs | Alto |
| OpenAI | Embeddings (fallback de Gemini) | Chunks textuales en fallback | EE. UU. | DPF + SCCs | Alto |
| HubSpot | CRM de leads (sync desde la landing) | PII de leads (email, nombre, intereses, empresa) | EE. UU. | DPF + SCCs | Alto |
| Resend | Envío de emails transaccionales | Email + nombre + cuerpo del email | EE. UU. | DPF + SCCs | Medio |
| Sentry | Monitorización de errores | Stack traces y breadcrumbs (con scrubbing automático de campos sensibles) | EE. UU. (plan EU disponible) | SCCs | Medio |
| Upstash (Redis) | Rate limiting y caché efímera de TTS | IP hasheada y audio TTS sintético (sin PII) | EE. UU. (regiones EU disponibles) | SCCs | Medio |
| Cloudflare (Turnstile) | Protección anti-bot en formularios | Tokens de validación, browser fingerprints (sin PII directa) | EE. UU. global | DPF + SCCs | Bajo |
| PostHog | Analytics web (gated por consentimiento de cookies) | Eventos de uso, click streams, user UUID, browser/device | EE. UU. | SCCs | Medio |
| isEazy | Plataforma de cursos formativos integrados | Progreso del curso, completion timestamps | Por verificar | Por verificar | Medio |
Cambios y notificación
Mantenemos esta página actualizada cuando añadimos o eliminamos un subencargado. Los cambios materiales se notifican a los usuarios registrados con al menos 30 días de antelación. Los usuarios pueden oponerse a los nuevos subencargados ejerciendo su derecho de oposición (Art. 21 RGPD) en cualquier momento.
Tus derechos
Puedes ejercer tus derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad en cualquier momento. Para más información consulta nuestra Política de Privacidad o escríbenos a:
Email: info@megrowthes.com
También tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en agpd.es.
