Esta lista cumple el requisito del art. 28.2 RGPD de mantener un listado público y accesible de los subencargados que tratan datos personales por cuenta de Laneishon (cuando actuamos como Encargado de Tratamiento de las clínicas veterinarias) y por cuenta propia (cuando actuamos como Responsable, ej. datos del titular de la cuenta SaaS).
Cualquier incorporación o cambio se notifica con 30 días de antelación a las clínicas (a través del email del titular y de un aviso en el dashboard); la clínica puede oponerse motivadamente conforme al CET.
Google Cloud / Firebase
| Servicio prestado | Alojamiento (App Hosting), base de datos (Firestore), almacenamiento (Cloud Storage), autenticación (Firebase Auth), mensajería push (FCM), funciones programadas (Cloud Functions). |
| Ubicación de los datos | UE (europe-west1, Bélgica · europe-west4, Países Bajos) |
| Garantías de transferencia | Google Cloud DPA + SCCs Comisión Decisión 2021/914 + DPF UE-EE.UU. |
| Datos tratados | Datos identificativos del tutor, datos clínicos del animal, facturación, cookies de sesión. |
Google Gemini API
| Servicio prestado | Modelo de lenguaje IA para LANA (asistente conversacional) y OCR de gastos. |
| Ubicación de los datos | EE.UU. (Google LLC) |
| Garantías de transferencia | Google Cloud DPA + SCCs + DPF. Tier de pago: prompts y respuestas NO se usan para entrenar modelos. Retención hasta 55 días por monitoring de abuso. |
| Datos tratados | Texto de prompts (instrucciones del veterinario) y respuestas. No se envían NIF, teléfonos o emails de tutores en los prompts cuando es evitable. |
Cloudflare
| Servicio prestado | DNS, proxy CDN, anti-bot (Turnstile), Web Application Firewall, rate limiting. |
| Ubicación de los datos | UE (edges Madrid/Barcelona/París) + EE.UU. (HQ) |
| Garantías de transferencia | Cloudflare Customer DPA + SCCs + DPF. |
| Datos tratados | IPs, metadata HTTP, tokens captcha. NO contenido de la app. |
Sentry (Functional Software Inc.)
| Servicio prestado | Monitorización de errores y excepciones de la app (cliente y servidor). |
| Ubicación de los datos | UE (servers DE) |
| Garantías de transferencia | Sentry DPA + SCCs. |
| Datos tratados | Stack traces de errores, metadata del navegador. PII filtrada por nuestro código (emails, NIF, IBAN, microchip redactados). |
Resend
| Servicio prestado | Envío de emails transaccionales (invitaciones PWA del paciente, recordatorios de cita). |
| Ubicación de los datos | EE.UU. (servers UE para clientes europeos) |
| Garantías de transferencia | Resend DPA + SCCs. |
| Datos tratados | Email del destinatario + asunto + cuerpo del mensaje. |
Revolut Payments UAB (cuando se active monetización)
| Servicio prestado | Cobros de plan de la clínica. |
| Ubicación de los datos | Lituania (UE) — entidad de dinero electrónico regulada por Banco de Lituania. |
| Garantías de transferencia | Revolut Business Terms + DPA (firmado al activar). |
| Datos tratados | Identificador de pago, importe, NIF emisor de factura. NO almacenamos PAN, CVV ni datos sensibles de tarjeta. |
¿Cómo te enteras de los cambios?
Cuando damos de alta un nuevo subencargado o cambiamos uno existente:
- Aviso por email al titular de cada clínica con 30 días de antelación.
- Banner informativo en el dashboard durante esos 30 días.
- Actualización de esta página con la fecha del cambio.
- Si te opones motivadamente, podrás resolver el contrato sin penalización.