1. Naturaleza del tratamiento
Anoply ofrece una herramienta web que detecta y pseudonimiza datos personales en documentos. La arquitectura del servicio garantiza por diseño que el contenido de los documentos del Cliente no es transmitido al servidor de Anoply: parseo, detección, sustitución, cifrado del mapa de reversión y descarga ocurren íntegramente en el navegador del Cliente, utilizando la Web Crypto API estándar.
En consecuencia, Anoply no recibe, almacena, accede ni transmite los datos personales contenidos en los documentos. No es viable técnicamente que Anoply los comprometa porque nunca los tiene.
2. Posición legal de cada parte
Cliente (responsable)
Es responsable del tratamiento sobre los datos personales contenidos en sus documentos. Decide las finalidades y los medios. Mantiene la custodia y el control durante todo el flujo.
Anoply (responsable de su propio tratamiento)
Es responsable del tratamiento sobre los datos de la cuenta del Cliente (email, plan, contador). NO actúa como encargado del tratamiento sobre el contenido de los documentos.
Por esta razón, el Cliente NO necesita firmar un acuerdo de encargo del tratamiento con Anoply respecto al contenido de los documentos. Las garantías de cumplimiento están construidas en la arquitectura.
3. Datos tratados por Anoply
- Email del titular de la cuenta
- Plan contratado y fecha de alta
- Contador mensual de documentos procesados
- Metadatos técnicos agregados: tipo de archivo, número de detecciones, tiempo de procesamiento — sin contenido
- Datos de facturación procesados por Stripe (no almacenados directamente por Anoply)
- Logs técnicos sin contenido (IP de petición, user agent) con retención de 12 meses
4. Subprocesadores
Lista actualizada de subprocesadores utilizados por Anoply. Los cambios sustanciales se notificarán por email a los Clientes con al menos 30 días de antelación, dándoles derecho a oponerse y rescindir.
| Subprocesador | Finalidad | Ubicación | Garantía |
|---|---|---|---|
| Clerk Inc. | Autenticación de usuarios y gestión de sesiones | Estados Unidos | Cláusulas Contractuales Tipo (CCT) UE → US |
| Stripe Payments Europe Ltd. | Procesamiento de pagos y facturación | Irlanda, Unión Europea | Tratamiento en UE |
| Vercel Inc. | Hosting de la aplicación (anoply.eu) | Frankfurt (eu-central-1) para datos; US para plano de control | CCT para el plano de control |
| Supabase | Persistencia de datos de cuenta y contador de uso | Irlanda (eu-west-1) | Tratamiento en UE |
| Resend | Envío de email transaccional (bienvenida, facturas) | Unión Europea | Tratamiento en UE |
| Sentry | Telemetría de errores (sin contenido) | UE (región EU dedicada) | Filtro beforeSend que elimina request.data y cookies antes del envío |
| Umami | Analítica de uso sin cookies, agregada y anonimizada | Unión Europea | Sin cookies de seguimiento. No identifica al usuario individualmente |
5. Medidas de seguridad técnicas y organizativas
- TLS 1.3 en todas las comunicaciones
- Cifrado AES-256-GCM con PBKDF2 600.000 iteraciones (recomendación OWASP 2023) sobre el mapa de reversión, generado y custodiado por el Cliente
- Arquitectura cliente-only que impide el acceso de Anoply al contenido de los documentos
- Acceso mínimo a infraestructura, con rotación trimestral de credenciales
- Logs sin contenido y con retención limitada (12 meses)
- Copias de seguridad cifradas en reposo
- Plan documentado de respuesta a incidentes con notificación <72 h a AEPD
- Revisión trimestral de subprocesadores y de su cumplimiento contractual
6. Auditoría
Los Clientes con planes Despacho o Enterprise pueden solicitar evidencia de las medidas técnicas y organizativas mediante una declaración resumida. Auditorías in situ se gestionarán caso por caso para Clientes con justificación fundada y previo acuerdo de confidencialidad.
7. Contacto
Consultas sobre este DPA o reportes responsables de seguridad: hola@anoply.eu y security@anoply.eu. Respuesta en menos de 48 horas hábiles.