Política residencia datos · evidence pack DPO

Dónde viven los datos paciente

EU-resident por defecto · 8 vendors con DPA firmable · transparencia completa subprocesadores · audit logs durables · PII scrubbing automático · right to data residency Enterprise tier. Evidence pack listo para tu DPO.

Reservar revisión DPO Lista subprocesadores Política exportación datos

Por defecto

Todos datos sensibles en EU sin opt-in

8/8

Vendors con DPA

Firmable + AEC Art. 28 RGPD

7 años

Audit logs

Retención mínima · visible /admin/audit

30-60d

Custom residency

Enterprise tier · Madrid · París · etc

8 vendors · dónde vive cada dato

Cada vendor con qué tipo de datos toca · ubicación física · estado DPA · certificaciones. Cero black box · evidence pack para tu DPO.

Vendor	Datos · ubicación	DPA	Certificaciones
Supabase PostgreSQL	Pacientes · conversaciones · citas · pagos · KB · audit logs 📍 Frankfurt, Alemania (EU West)	Disponible firmar	SOC 2 Type II · ISO 27001 · RGPD compliant
Upstash Redis (mutex)	Locks distribuidos (sin datos paciente · solo IDs efímeros) 📍 Dublin, Irlanda (EU West)	Standard contractual clauses	SOC 2 Type II · ISO 27001 · GDPR ready
Upstash QStash (queue)	Jobs pendientes proceso (TTL <72h) 📍 Frankfurt, Alemania (EU Central)	Standard contractual clauses	SOC 2 Type II · GDPR ready
Cloudflare Workers	Compute edge (no persistence · request/response transit) 📍 DC más cercano usuario (típicamente Madrid · París · Frankfurt) (Edge global · prefer EU)	Firmado	SOC 2 Type II · ISO 27001 · ISO 27018 · GDPR compliant
Meta WhatsApp Cloud	Mensajes WhatsApp inbound/outbound (encrypted E2E peer-to-peer) 📍 Servidores Meta · varios DC EU (EU + global infrastructure)	Disponible firmar	SOC 2 Type II · ISO 27001 · GDPR · Meta DPA
OpenAI API	LLM inference (Zero Data Retention opt-in) 📍 US data centers · EU planeado 2026 (US primario · EU residency opt-in disponible)	Disponible firmar	SOC 2 Type II · GDPR · OpenAI Standard Contractual Clauses
Stripe Payments	Payment data (tokenized · PCI compliance · no raw card) 📍 EU-based para SEPA · US opt-out disponible (EU + UK + global)	Firmado	PCI DSS Level 1 · SOC 2 · ISO 27001
Sentry Error Tracking	Error logs + stack traces (PII scrubbing activado) 📍 Frankfurt, Alemania (de.sentry.io) (EU Germany)	Disponible firmar	SOC 2 Type II · ISO 27001 · GDPR compliant

6 principios residencia datos

EU-resident por defecto

Todos los datos sensibles pacientes (Supabase · Upstash · Sentry) viven en EU sin opt-in. Solo OpenAI tiene componente US (con SCC + opt-in EU residency en roadmap).

DPA + AEC Art. 28 firmable

Cada subprocesador (8 vendors) tiene Data Processing Agreement firmable. AEC (Acuerdo Encargado del Tratamiento) Art. 28 RGPD entre AI Empire y cliente clínica disponible standard.

Transparencia subprocesadores

Lista completa subprocesadores pública en /subprocesadores · actualizada cada vez que cambiamos vendor. Cliente puede oponerse + 30 días notice mínimo antes de cambio.

Audit logs durables

Cada acceso · modificación · export de datos paciente queda en audit_log (Supabase EU). Retención mínima 7 años. Visible en /admin/audit por cliente · descargable JSON/CSV.

PII scrubbing automático

Logs error (Sentry) tienen scrubbing automático de emails · DNIs · teléfonos antes de envío. Cero PII viaja a US accidentalmente vía error tracking.

Right to data residency

Enterprise tier puede solicitar data residency específica (e.g., 'solo Madrid') con setup custom Supabase Madrid + Cloudflare regional. Pricing custom · timeline 30-60d.

Proceso DPA paso a paso

1
Tu DPO solicita DPA
Email a privacy@aiempire.software · indicas qué vendors necesitas DPA firmado
2
Recibes pack DPA en 48h
DPA AI Empire ↔ cliente + redirects a DPAs subprocessadores específicos · ya pre-firmados con sus templates
3
Tu legal revisa + firma
Estándar 5-15 días dependiendo de tu organización · podemos firmar via DocuSign · Notion sign · físico
4
Audit + setup completo
Confirmamos firma · audit log update · evidence pack disponible para compliance review interno

Reality check · OpenAI US y data residency

El único componente US en nuestro stack es OpenAI. Los datos paciente NO se almacenan en OpenAI (Zero Data Retention opt-in activado para clientes pago). Solo se envían los embeddings y prompts para inference · y se procesan en EU residency opt-in donde disponible.

Si tu compliance requirements prohiben ABSOLUTAMENTE cualquier procesamiento US (incluso transit), tenemos roadmap para integración con LLMs EU-residency (Anthropic Claude EU · Mistral · LeonardoAI). Reserva sesión técnica para discutir timeline custom.

Para mayoría clínicas privadas España, OpenAI con SCC firmadas + Zero Data Retention + PII scrubbing en prompts es compliance-acceptable según AEPD opinion 1/2023 sobre IA generativa. Pero tu DPO es quien decide para tu organización.

¿Tu DPO necesita evidence pack completo?

Reservamos 60min directo con tu DPO + nosotros para revisar todos los DPAs · audit log structure · PII scrubbing · roadmap LLM EU-only. Salida: documento PDF compliance assessment ready para tu próximo audit interno.

Reservar sesión DPO Subprocesadores DPA Guía RGPD + AI Act Arquitectura técnica