Emergencia, llama al 112

MedEspañolMedEspañol
Datos personales

Lista de subprocesadores

Última actualización · Mayo de 2026

Estos son los proveedores que tratan datos personales por encargo de MedEspañol bajo el art. 28 RGPD. Mantenemos esta lista actualizada y publicamos cualquier alta nueva con suficiente antelación para que los usuarios puedan ejercer derechos antes de que entre en vigor. Si quieres que te avisemos por email cuando añadamos un subprocesador nuevo, escríbenos a privacidad@medespanol.org.
Resumen: tus datos médicos los procesa Anthropic (modelo de IA), los guarda Supabase (base de datos en Frankfurt), y la web la sirve Vercel. Para emails internos del equipo usamos Resend. Para DNS, Cloudflare. No vendemos datos personales ni los compartimos con anunciantes.

Cómo aplica el art. 28 RGPD

Cada uno de los proveedores listados ha firmado con MedEspañol un acuerdo de tratamiento de datos (Auftragsverarbeitungsvertrag, AVV o DPA) que detalla la finalidad, las medidas de seguridad, la subcontratación, las auditorías y la devolución o supresión al finalizar la relación. Para las transferencias fuera del Espacio Económico Europeo se aplican Standard Contractual Clauses (SCC) de la Comisión Europea.

La lista a continuación es la versión vigente. Las versiones anteriores se conservan en archivo y podemos enviártelas a petición.

Anthropic PBC

Ubicación / categoría
Estados Unidos · datos de salud (art. 9 RGPD)
Finalidad
Generación del borrador inicial de interpretación del Arztbrief mediante el modelo Claude Opus con visión.
Datos tratados
Imagen del documento clínico que sube el usuario, prompt fijo del sistema, y la respuesta generada por el modelo. No se transfiere email ni teléfono del usuario.
Base de la transferencia
DPA firmado, Standard Contractual Clauses (SCC) de la Comisión Europea para la transferencia a EEUU. Solicitud de Zero Data Retention en curso.
Documentos
Acuerdo de tratamiento de datos · Política de privacidad del proveedor
Notas
Anthropic es el procesador de la inteligencia artificial. Toda interpretación pasa por revisión médica humana antes de entregarse al usuario, salvo en los casos de baja complejidad donde el routing automático decide enviar directamente con confianza alta.

Supabase Inc.

Ubicación / categoría
Estados Unidos (data plane en Frankfurt, EU)
Finalidad
Base de datos relacional, almacenamiento privado de imágenes médicas, autenticación del panel del equipo médico.
Datos tratados
Filas de casos (id, contexto, output del modelo, estado), imágenes de los Arztbriefe en bucket privado, emails y rol del personal médico autorizado.
Base de la transferencia
DPA aceptado. Region de datos eu-central-1 (Frankfurt) para mantener almacenamiento dentro del EEE.
Documentos
Acuerdo de tratamiento de datos

Vercel Inc.

Ubicación / categoría
Estados Unidos · operación global con edge
Finalidad
Hosting de la aplicación web Next.js, CDN, ejecución de las funciones serverless del backend.
Datos tratados
Logs técnicos del servidor (IP, user-agent, ruta), variables de entorno cifradas, código de la aplicación.
Base de la transferencia
DPA y SCC firmados. Vercel ofrece adhesión al Marco UE-EEUU de Privacidad de Datos.
Documentos
Acuerdo de tratamiento de datos · Política de privacidad del proveedor

Resend, Inc.

Ubicación / categoría
Estados Unidos
Finalidad
Envío de emails transaccionales: notificaciones internas al equipo médico cuando entra un caso a revisión, magic link de acceso al panel, alertas de escalado.
Datos tratados
Email del personal médico, asunto y cuerpo de los emails internos. No se envían datos clínicos del paciente: los emails internos sólo contienen el id del caso y un enlace al panel.
Base de la transferencia
DPA aceptado, SCC aplicables.
Documentos
Acuerdo de tratamiento de datos · Política de privacidad del proveedor

Cloudflare, Inc.

Ubicación / categoría
Estados Unidos · red global
Finalidad
DNS autoritativo del dominio medespanol.org, protección DDoS, proxy en modo Solo DNS para los registros principales.
Datos tratados
Resolución DNS, metadatos de tráfico cuando el proxy está activo. Sin acceso al contenido cifrado bajo HTTPS.
Base de la transferencia
DPA y SCC firmados.
Documentos
Acuerdo de tratamiento de datos · Política de privacidad del proveedor

Apple Inc. (iCloud Custom Domain)

Ubicación / categoría
Estados Unidos · operación global
Finalidad
Recepción de emails dirigidos a hola@medespanol.org y privacidad@medespanol.org. Respuestas manuales del operador.
Datos tratados
Correos entrantes y salientes con la dirección hola@medespanol.org o privacidad@medespanol.org.
Base de la transferencia
Términos de iCloud para custom domain.
Documentos
Acuerdo de tratamiento de datos

WhatsApp / Meta Platforms Ireland Ltd.

Ubicación / categoría
Irlanda (matriz: Estados Unidos)
Finalidad
Canal opcional de contacto con el equipo. Sólo se usa cuando el usuario inicia voluntariamente la conversación.
Datos tratados
Número de teléfono del usuario y contenido de los mensajes que decide enviar. WhatsApp aplica cifrado de extremo a extremo.
Base de la transferencia
Consentimiento del usuario al iniciar la conversación. Si prefieres no usar WhatsApp, puedes contactarnos por email.
Documentos
Acuerdo de tratamiento de datos

Cómo objetar a un subprocesador

Si no estás conforme con alguno de los subprocesadores listados, escríbenos a privacidad@medespanol.org. Evaluamos cada caso. En la práctica, no podemos prestar el servicio sin alguno de ellos (por ejemplo, sin Anthropic no existe la interpretación automatizada y tu caso pasaría obligatoriamente a revisión humana). En esos casos te ofrecemos alternativas posibles, como una consulta directa por email o videoconsulta con el médico.

Volver

Para más detalle sobre el tratamiento general de tus datos, ver la política de privacidad. Para los términos del servicio, ver el aviso legal.