Subencargados del tratamiento (matriz orientativa)
Esta página describe de forma técnica-orientativa qué proveedores pueden intervenir al operar Juxa CRM según las integraciones previstas en el software. No sustituye el listado contractual que el responsable del tratamiento deba aprobar y comunicar a titulares o clientes corporativos. Las marcas comerciales citadas son de sus titulares.
Para relaciones B2B, incorpore esta matriz por referencia en su DPA / anexo de encargado o mantenga un registro interno versionado.
Matriz por función y ruta de producto
| Subencargado / categoría | Función en el Servicio | Datos típicos | Cuándo aplica | Notas sobre uso de datos / entrenamiento |
|---|---|---|---|---|
| Proveedor de nube (p. ej. Vercel, AWS, GCP según despliegue) | Alojamiento de la aplicación, cómputo, red, a veces almacenamiento de objetos | Todo lo que transita o persiste en el servicio (BD, archivos, logs operativos) | Siempre que el Servicio esté en modo SaaS hospedado | Condiciones de tratamiento, región y subcontratación según el contrato del proveedor cloud. Revisar anexo de datos y ubicación. |
| Base de datos gestionada (incluida en el stack del proveedor cloud o dedicada) | Persistencia de cuentas, workspaces, CRM, mensajes, metadatos | Datos personales y contenido profesional cargado por clientes | Operación normal del Servicio | Sin uso para entrenamiento de modelos del proveedor salvo lo pactado en ese producto (p. ej. analytics separado). Validar contrato. |
| Google Cloud / Vertex AI (Gemini u otros modelos expuestos vía Vertex) | Inferencia de modelos de lenguaje y variantes jurídicas configuradas en producto | Prompts del sistema, historial de chat, texto de documentos o expediente incluido en contexto, herramientas | Cuando `VERTEX_AI_ENABLED` y credenciales de proyecto estén configuradas y la ruta de producto use Vertex | El uso de datos en Vertex AI se rige por los términos de Google Cloud y el producto Vertex aplicables a la cuenta del responsable de despliegue. Debe contrastarse con el DPA de Google Cloud y opciones de exclusión o configuración regional. |
| Enrutador de modelos (API unificada) | Inferencia vía API unificada cuando la configuración del despliegue enruta por ese proveedor | Mensajes y contexto enviados al modelo seleccionado | Si existe `OPENROUTER_API_KEY` y la ruta de chat lo utiliza | Política de retención, logs y entrenamiento según el proveedor de enrutamiento y el modelo upstream elegido. Documentar modelo concreto por workspace o entorno. |
| Extracción de texto de documentos (API) | Extracción de texto de PDF u otros formatos para contexto de chat o flujos legales | Contenido binario o texto de documentos enviados a la ruta de parseo | Cuando `UNSTRUCTURED_API_KEY` (o equivalente) esté configurado y el usuario dispare esa función | Revisar aviso de privacidad y DPA de Unstructured para tratamiento y ubicación del procesamiento. |
| Anonimización PII (motor analizador / anonimizador autoalojado o SaaS) | Detección y sustitución de entidades tipo PII en flujos de anonimización | Texto extraído de documentos | Cuando `PRESIDIO_ANALYZER_URL` y `PRESIDIO_ANONYMIZER_URL` apunten a un despliegue activo | Si Presidio corre en infraestructura propia del cliente o de Juxa, el subencargado real es quien opera ese endpoint (puede ser el mismo hosting). Si es tercero, añadirlo como encargado. |
| Almacenamiento compatible con S3 (p. ej. AWS S3, R2, MinIO) | Objetos para programa opcional de contribución anonimizada | Archivos de texto anonimizados bajo prefijo configurable (`JUXA_TRAINING_S3_PREFIX` u homólogo) | Solo si el programa de contribución está habilitado, el plan lo permite y el usuario activó opt-in | No confundir con almacenamiento general del expediente; finalidad acotada a mejora de modelos según términos. |
| Stripe | Pagos, facturación, impuestos cuando aplique | Identificadores de cliente, datos de pago tokenizados, facturación | Cuando `STRIPE_SECRET_KEY` y flujos de cobro estén activos | Ver Stripe Data Processing Agreement y país de residencia de la cuenta Stripe. |
| Resend (u otro proveedor de correo transaccional equivalente) | Envío de correos (recuperación de contraseña, notificaciones) | Correo electrónico, metadatos técnicos del envío | Cuando `RESEND_API_KEY` esté configurado | Revisar política de retención de logs del proveedor de email. |
| Índice de búsqueda (instancia propia o cloud) | Búsqueda unificada sobre índices de CRM u otros datos indexados | Campos indexados según configuración (p. ej. asuntos, referencias web) | Cuando `MEILISEARCH_HOST` y clave estén configurados | Asegurar que el índice no incluya más datos de los necesarios; acotar retención y acceso. |
| Proveedor de videollamadas (Juxa Room) | Videollamadas y, si está activo, transcripción | Audio/vídeo, metadatos de sala, posibles transcripciones | Cuando `WHEREBY_API_KEY` u integración de salas esté habilitada | Consultar términos del proveedor de video configurado sobre grabación, transcripción y ubicación. |
| DIGID (firma electrónica u homologada según integración) | Flujos de firma y webhooks de estado | Identidad, documentos a firmar, evidencias de firma | Cuando la integración DIGID esté configurada (`DIGID_WEBHOOK_SECRET`, etc.) | Sujeto al contrato con el proveedor de firma y normativa sectorial aplicable. |
Inferencia con IA (mensaje clave)
Los proveedores de modelos de lenguaje procesan el contenido del prompt que la aplicación les envía en cada solicitud. Eso incluye, si el usuario o la configuración lo incorporan, fragmentos de expediente o documentos. El programa opcional de contribución anonimizada (términos §12) es un flujo distinto y adicional; no debe confundirse con el mero uso del chat.
Para cada proveedor LLM activo en su entorno, el responsable debe conservar evidencia de: modelo y región, cláusulas sobre retención y mejora de modelos, y mecanismo de transferencia internacional si aplica.
Actualizaciones y versionado
Ante un cambio material de subencargado o de país de procesamiento, actualice este documento o su anexo contractual, notifique según el DPA y, si procede, actualice el texto publicado en Aviso de privacidad (desde Plataforma → Gobernanza cuando use el CMS interno).
Encargados (relación con clientes) · DPA / anexo de tratamiento