Subprocessors
Última actualización: 2026-05-09
Responsable: Marubasa Tech S.L., con domicilio social en C/ Zurbano 45, 1º 28010 Madrid, España, CIF B88765094, inscrita en el Registro Mercantil de Madrid, Hoja M-887372.
Esta es la lista pública y actualizada de los subprocessors que MARUBASA TECH S.L. utiliza para prestar el servicio Sermima. Los subprocessors tratan datos personales bajo nuestras instrucciones documentadas, con un acuerdo de tratamiento (DPA) firmado y, cuando se transfieren datos fuera del EEE, las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea como mecanismo de transferencia.
Si un negocio que usa Sermima se opone razonablemente a un nuevo subprocessor en los 30 días siguientes a su anuncio, puede rescindir el contrato con devolución prorrateada. Avisamos por email y en esta página antes de añadir nuevos subprocessors.
Lista actual
| Subprocessor | Finalidad | Jurisdicción | Mecanismo de transferencia | Retención |
|---|---|---|---|---|
| Anthropic, PBC | Modelo de lenguaje (Claude) que genera las respuestas del asistente. Recibe el mensaje del visitante y el contexto necesario para responder. | EE.UU. | Cláusulas Contractuales Tipo (SCC) de la UE 2021/914 + DPA de Anthropic. | Anthropic elimina automáticamente el contenido recibido por API en 30 días. |
| OpenAI, OpCo LLC | Modelo de embeddings (text-embedding-3-small) usado para indexar y buscar el conocimiento del negocio; transcripción Whisper para mensajes de voz enviados desde el chat; síntesis de voz (TTS) para reproducir las respuestas del asistente durante las llamadas en directo. | EE.UU. | SCC UE 2021/914 + DPA de OpenAI. | OpenAI elimina automáticamente el contenido recibido por API en 30 días. |
| Deepgram, Inc. | Transcripción en tiempo real (speech-to-text) del audio del visitante durante una llamada de voz en directo. El audio se procesa en streaming; el texto resultante se persiste en la base de datos de Sermima como un mensaje más de la conversación. | EE.UU. | SCC UE 2021/914 + DPA de Deepgram. | Deepgram procesa el audio en tiempo real sin retención por defecto en el plan API; consulta la política de retención de Deepgram para más detalle. |
| ElevenLabs Ltd. | Síntesis de voz (TTS) opcional para las respuestas del asistente durante una llamada de voz en directo. Se usa como alternativa a OpenAI TTS cuando el negocio tiene activada la voz personalizada de marca. Si no se usa, ElevenLabs no procesa ningún dato. | Reino Unido. | Decisión de adecuación UE-Reino Unido + DPA de ElevenLabs. | ElevenLabs aplica su propia política de retención para el audio sintetizado. |
| Stripe Payments Europe, Ltd. | Pagos de la suscripción Sermima (negocio → MARUBASA TECH) y, si el negocio lo activa, pagos del visitante al negocio (Stripe Connect Standard). Sermima nunca toca los datos de tarjeta. | Irlanda (UE) con subprocesadores en EE.UU. | SCC UE + DPA de Stripe. | Metadatos de pago conservados ~7 años por obligaciones fiscales y contables (art. 6.1.c RGPD). |
| Resend, Inc. | Envío de correos transaccionales (bienvenida, recordatorios de cita, OTP de verificación, notificaciones al negocio). | Entidad: EE.UU. - Servidores: Irlanda (UE). | SCC UE + DPA de Resend. | Logs y metadatos de envío conservados aproximadamente 30 días según la política de Resend. |
| Meta Platforms, Inc. | API de WhatsApp Business - solo si el negocio activa el canal WhatsApp en su plan Premium o superior. Recibe los mensajes intercambiados entre visitante y bot por WhatsApp. | EE.UU. (Meta Platforms) e Irlanda (Meta Platforms Ireland). | SCC UE + DPA de Meta WhatsApp Business. | Mensajes y metadatos conservados según las políticas de WhatsApp Business; las solicitudes de supresión se trasladan a Meta. |
| Railway Corporation | Infraestructura de hosting y base de datos PostgreSQL gestionada (cómputo + almacenamiento cifrado en reposo). | Entidad: EE.UU. - Servidores: Países Bajos (UE, europe-west). | SCC UE + DPA de Railway. | Copias de seguridad cifradas de PostgreSQL conservadas ~30 días. |
| Cloudflare, Inc. | CDN, DNS y protección frente a denegación de servicio (procesa metadatos de las peticiones HTTP: IP y cabeceras, para enrutar tráfico). Adicionalmente, almacenamiento de objetos R2 para las fotos antes/después de las citas, alojadas en la región Europa Occidental. | EE.UU. con presencia global edge; el bucket R2 de fotos está localizado en la UE (Europa Occidental). | SCC UE + DPA de Cloudflare. | Logs de tránsito conservados aproximadamente 30 días según la política de Cloudflare. Las fotos de cita persisten hasta que el negocio las elimine o se ejerza el derecho de supresión (Art. 17 RGPD), momento en el que se borran del bucket en cascada. |
| Google LLC (Google Calendar API) | Solo cuando el negocio conecta su Google Calendar. Sermima lee/escribe únicamente los eventos relativos a citas reservadas a través del bot. | EE.UU. | SCC UE + DPA de Google. | Solo se conservan los eventos de calendario creados o leídos por Sermima en la cuenta del negocio; rige la política del propio negocio. |
| Google LLC (reCAPTCHA) | Verificación invisible (reCAPTCHA v3) en los formularios públicos de registro e inicio de sesión. Procesa la dirección IP del cliente, cabeceras del navegador y señales de comportamiento para asignar una puntuación de riesgo y bloquear bots, sin almacenamiento persistente por nuestra parte. | EE.UU. | SCC UE + DPA de Google. | No persistimos los datos de las peticiones de reCAPTCHA; Google los trata según su propia política. |
Notificación de cambios
Los negocios suscritos reciben aviso por email al menos 30 días antes de añadir un nuevo subprocessor. Esta página se actualiza en la misma fecha y la cabecera "Última actualización" refleja el cambio.
Contacto
Para preguntas sobre subprocessors, transferencias internacionales o ejercicio de derechos, escribe a privacidad@sermima.es.
Subprocessors (English)
Last updated: 2026-05-04
Courtesy translation. The Spanish version above is the legally binding text.
Controller: Marubasa Tech S.L., registered office at C/ Zurbano 45, 1º 28010 Madrid, Spain, CIF B88765094, registered with the Mercantile Registry of Madrid, Sheet M-887372.
This is the public, up-to-date list of sub-processors that MARUBASA TECH S.L. uses to deliver the Sermima service. Sub-processors process personal data under our documented instructions, with a signed Data Processing Agreement (DPA) and, where data is transferred outside the EEA, the Standard Contractual Clauses (SCCs) approved by the European Commission as the transfer mechanism.
If a business using Sermima reasonably objects to a new sub-processor within 30 days of its announcement, it may terminate the contract with a prorated refund. We notify by email and on this page before adding new sub-processors.
Current list
| Sub-processor | Purpose | Jurisdiction | Transfer mechanism | Retention |
|---|---|---|---|---|
| Anthropic, PBC | Language model (Claude) that generates the assistant's replies. Receives the visitor's message plus the context needed to respond. | USA. | EU Standard Contractual Clauses 2021/914 + Anthropic DPA. | Anthropic auto-deletes API content within 30 days. |
| OpenAI, OpCo LLC | Embeddings model (text-embedding-3-small) used to index and search the business's knowledge; Whisper transcription for voice messages sent from the chat; text-to-speech (TTS) used to play the assistant's replies during live voice calls. | USA. | EU SCCs 2021/914 + OpenAI DPA. | OpenAI auto-deletes API content within 30 days. |
| Deepgram, Inc. | Real-time speech-to-text transcription of the visitor's audio during a live voice call. Audio is processed in streaming; the resulting text is persisted to Sermima's database as a regular conversation message. | USA. | EU SCCs 2021/914 + Deepgram DPA. | Deepgram processes audio in real time with no default retention on its API plan; see Deepgram's retention policy for full detail. |
| ElevenLabs Ltd. | Optional text-to-speech (TTS) for the assistant's replies during a live voice call. Used as an alternative to OpenAI TTS when the business has the branded custom voice enabled. When unused, ElevenLabs processes no data. | United Kingdom. | EU-UK adequacy decision + ElevenLabs DPA. | ElevenLabs applies its own retention policy for synthesised audio. |
| Stripe Payments Europe, Ltd. | Sermima subscription payments (business → MARUBASA TECH) and, if the business enables it, visitor payments to the business (Stripe Connect Standard). Sermima never touches card data. | Ireland (EU) with sub-processors in the USA. | EU SCCs + Stripe DPA. | Payment metadata retained ~7 years for tax and accounting obligations (GDPR art. 6.1.c). |
| Resend, Inc. | Transactional email delivery (welcome, appointment reminders, verification OTPs, notifications to the business). | Entity: USA - Servers: Ireland (EU). | EU SCCs + Resend DPA. | Send logs and metadata retained approximately 30 days under Resend's policy. |
| Meta Platforms, Inc. | WhatsApp Business API - only if the business enables the WhatsApp channel on the Premium plan or higher. Receives the messages exchanged between visitor and bot over WhatsApp. | USA (Meta Platforms) and Ireland (Meta Platforms Ireland). | EU SCCs + Meta WhatsApp Business DPA. | Messages and metadata retained per WhatsApp Business policies; erasure requests are forwarded to Meta. |
| Railway Corporation | Hosting infrastructure and managed PostgreSQL database (compute + encrypted storage at rest). | Entity: USA - Servers: Netherlands (EU, europe-west). | EU SCCs + Railway DPA. | Encrypted PostgreSQL backups retained ~30 days. |
| Cloudflare, Inc. | CDN, DNS and denial-of-service protection (processes HTTP request metadata - IP and headers - to route traffic). Additionally, R2 object storage for appointment before/after photos, hosted in the Western Europe region. | USA with global edge presence; the R2 photo bucket is located in the EU (Western Europe). | EU SCCs + Cloudflare DPA. | Transit logs retained approximately 30 days under Cloudflare's policy. Appointment photos persist until the business deletes them or the right to erasure (GDPR Art. 17) is exercised, at which point they are removed from the bucket in cascade. |
| Google LLC (Google Calendar API) | Only when the business connects its Google Calendar. Sermima reads/writes only the events for appointments booked through the bot. | USA. | EU SCCs + Google DPA. | Only the calendar events created or read by Sermima are stored in the business's own Google account; the business's own retention policy applies. |
| Google LLC (reCAPTCHA) | Invisible bot verification (reCAPTCHA v3) on the public registration and login forms. Processes the client's IP address, browser headers, and behavioural signals to compute a risk score and block bots; no persistent storage on our side. | USA. | EU SCCs + Google DPA. | We do not persist reCAPTCHA request data; Google handles it under its own policy. |
Change notifications
Subscribed businesses receive email notice at least 30 days before a new sub-processor is added. This page is updated on the same date and the "Last updated" header reflects the change.
Contact
For questions about sub-processors, international transfers or exercising your rights, email privacidad@sermima.es.