Subencargados (Sub-procesadores) de Guapu

1. Resumen en lenguaje sencillo

Para operar Guapu (el CRM con bandeja de WhatsApp y agentes de inteligencia artificial), nos apoyamos en proveedores tecnológicos de confianza. Algunos solo ven datos de tu cuenta (tu nombre, correo, datos de pago). Otros, por la naturaleza del servicio, también tratan datos de tus usuarios finales: las personas que escriben a tus canales (WhatsApp, Instagram, Facebook). Este documento te dice exactamente quién es cada uno, dónde trata los datos y bajo qué garantías legales.

En lenguaje de protección de datos, a estos proveedores se les llama "subencargados del tratamiento" o "sub-procesadores": empresas que tratan datos personales por instrucción nuestra, igual que nosotros los tratamos por instrucción tuya. Tú (la organización que contrata Guapu) eres el "Responsable" de los datos de tus contactos; Guapu actúa como "Encargado"; y estos proveedores son nuestros "subencargados ulteriores".

Tres ideas clave: (1) Los proveedores de inteligencia artificial NO pueden usar tus datos ni los de tus clientes para entrenar sus modelos; lo tienen prohibido por contrato. (2) Antes de sumar o cambiar un subencargado importante te avisamos con 30 días de anticipación y puedes objetar. (3) Esta lista se mantiene siempre actualizada y pública.

2. 1. A quién aplica este documento y definiciones

Este documento de Subencargados forma parte del marco legal de Guapu, el servicio CRM multi-tenant con inteligencia artificial operado por [ENTIDAD LEGAL] (en este documento, "Guapu", "nosotros"), con domicilio en [DOMICILIO] y contacto en hi@guapu.io. Complementa la Política de Privacidad y el Acuerdo de Tratamiento de Datos (DPA, por sus siglas en inglés "Data Processing Agreement": el contrato que regula cómo Guapu trata datos por cuenta del Cliente). En caso de conflicto sobre subencargados, prevalece lo pactado en el DPA firmado con cada Cliente.

Para evitar ambigüedades, usamos estos términos a lo largo del documento:

• Cliente / Tenant: la organización (empresa, PYME, profesional) que contrata Guapu y conecta sus canales. Respecto de los datos de sus propios contactos, el Cliente es el Responsable del Tratamiento.
• Responsable del Tratamiento: quien decide para qué y cómo se tratan los datos personales. Respecto de los usuarios finales, normalmente es el Cliente.
• Encargado del Tratamiento: quien trata datos por cuenta del Responsable siguiendo sus instrucciones. Respecto de los datos de usuarios finales, Guapu es el Encargado.
• Subencargado (sub-procesador / encargado ulterior): tercero al que el Encargado (Guapu) subcontrata parte del tratamiento. Son las empresas listadas en este documento.
• Datos de cuenta: datos de la organización Cliente y de sus usuarios administradores (nombre, correo, teléfono, datos de facturación, credenciales, rol).
• Datos de usuarios finales: datos de las personas que escriben a los canales conectados del Cliente (nombre, número o usuario de la plataforma, contenido de los mensajes, multimedia).

3. 2. Cómo leer la tabla de subencargados

Para cada subencargado indicamos cinco cosas, en cumplimiento de la normativa de protección de datos aplicable (incluidas la Ley 1581 de 2012 de Colombia y su Decreto 1377 de 2013, y el Reglamento General de Protección de Datos de la Unión Europea, RGPD / GDPR):

• Nombre legal y función: la razón social del proveedor y para qué lo usamos dentro de Guapu.
• Ubicación / país de tratamiento: dónde se procesan o almacenan los datos.
• Categoría de datos: si trata únicamente datos de cuenta, o si además trata datos de usuarios finales (es decir, si actúa como encargado ulterior sobre los mensajes y contactos de tus canales).
• Mecanismo de transferencia internacional: la base legal que ampara el envío de datos fuera de tu país. Puede ser: Cláusulas Contractuales Tipo / Standard Contractual Clauses (SCC) aprobadas por la Comisión Europea; el EU-U.S. Data Privacy Framework (DPF) y sus extensiones de Reino Unido y Suiza, cuando el proveedor está certificado; o, para la legislación colombiana, un contrato de transmisión de datos en los términos del artículo 25 del Decreto 1377 de 2013, que impone al subencargado los mismos deberes que la ley y nuestra política exigen.
• DPA suscrito: confirmación de que existe un contrato de tratamiento de datos firmado con ese proveedor.

4. 3. Distinción clave: transmisión frente a transferencia (legislación colombiana)

Bajo la Ley 1581 de 2012 de Colombia, la ley distingue dos figuras que conviene no confundir:

Transmisión: el dato viaja a un Encargado que lo trata por cuenta del Responsable y siguiendo sus instrucciones (no para fines propios). La transmisión internacional NO requiere autorización adicional del titular cuando existe un contrato de transmisión conforme al artículo 25 del Decreto 1377 de 2013, que obliga al Encargado a cumplir la política de tratamiento y la ley. Todos los subencargados de este documento operan bajo esta figura: tratan datos para prestar el servicio, no para fines propios.

Transferencia: el dato pasa a otro Responsable que decide sobre él con fines propios. Guapu no transfiere datos personales de tus contactos a terceros para que los usen con fines propios, y en particular no los vende ni los alquila para marketing.

Por esa razón, los proveedores listados a continuación son subencargados (transmisión), no destinatarios de una transferencia a un nuevo responsable.

5. 4. Núcleo de infraestructura (tratan datos de cuenta y de usuarios finales)

Estos tres proveedores forman la columna vertebral técnica de Guapu. Almacenan y procesan tanto datos de cuenta como datos de usuarios finales, por lo que actúan como encargados ulteriores sobre los mensajes y contactos de tus canales. Todos cuentan con DPA suscrito.

• Supabase Inc. — Base de datos y plataforma de aplicación. Provee la base de datos PostgreSQL (proyecto guapu-prod), el sistema de autenticación, la seguridad a nivel de fila (Row-Level Security) y el almacenamiento de archivos (buckets de notas de voz, adjuntos de mensajes, media entrante e imágenes de los agentes). Es el repositorio principal: almacena TODOS los datos de cuenta y de usuarios finales (contactos, conversaciones, mensajes, oportunidades de venta y la base de conocimiento). Ubicación: Estados Unidos (región us-east-1, Virginia); nuestros documentos legales declaran tratamiento en US/EU. Categoría: datos de cuenta + datos de usuarios finales (mensajes, contactos, metadata, adjuntos, notas de voz). Mecanismo de transferencia: Cláusulas Contractuales Tipo (SCC) de la UE y, para Colombia, contrato de transmisión (art. 25 Decreto 1377). DPA suscrito: sí.
• Vercel Inc. — Hosting, red de entrega de contenido (CDN) y ejecución de la aplicación. Aloja la aplicación Next.js, opera la red edge/CDN y ejecuta las Server Actions, las rutas de API y las tareas programadas (crons) del proyecto. Los datos pasan por su infraestructura mientras la aplicación se ejecuta y se sirve a los usuarios. Ubicación: Estados Unidos. Categoría: datos de cuenta + datos de usuarios finales en tránsito (tráfico de la aplicación, registros de solicitudes, payloads que transitan por la plataforma). Mecanismo de transferencia: Cláusulas Contractuales Tipo (SCC) y, para Colombia, contrato de transmisión. DPA suscrito: sí.
• Resend Inc. — Correo electrónico transaccional. Envía los correos de servicio: bienvenida, facturas, alertas técnicas, restablecimiento de contraseña, enlaces de acceso (magic links) e invitaciones. El remitente es noreply@guapu.io. El correo del sistema de autenticación de Supabase también se enruta a través de Resend. Ubicación: Estados Unidos. Categoría: principalmente datos de cuenta (correo del titular de la cuenta y contenido transaccional). Mecanismo de transferencia: Cláusulas Contractuales Tipo (SCC) y, para Colombia, contrato de transmisión. DPA suscrito: sí.

6. 5. Proveedores de modelos de inteligencia artificial (tratan contenido de usuarios finales)

Los agentes de IA de Guapu (Thor para Ventas y Pagos, Paz para Soporte y Flash para Seguimiento) generan respuestas usando modelos de IA de terceros. Para ello, el contenido de los mensajes de tus usuarios finales y el contexto necesario (la personalidad del agente, fragmentos de la base de conocimiento) se envían al proveedor del modelo. Por tanto, estos proveedores actúan como encargados ulteriores sobre el contenido de usuarios finales que se procesa en cada respuesta.

Compromiso contractual sobre entrenamiento: con todos los proveedores de IA mantenemos un contrato de tratamiento (DPA) que PROHÍBE expresamente usar los datos del Cliente y de sus usuarios finales para entrenar, reentrenar o mejorar sus modelos de base. El tratamiento se limita a generar la respuesta solicitada en ese momento (inferencia). No usamos OpenRouter ni intermediarios: la conexión es directa con cada proveedor.

• Anthropic PBC — Motor de IA principal de los agentes. Procesa el contenido de los mensajes para generar las respuestas: Claude Haiku 4.5 para conversaciones de complejidad baja-media (Tier 1-2) y Claude Sonnet 4.6 para casos complejos (Tier 3). También describe imágenes y stickers de WhatsApp (visión, Claude Haiku Vision 4.6), recibiendo esas imágenes codificadas. Ubicación: Estados Unidos. Categoría: datos de usuarios finales (contenido de mensajes y contexto enviado al modelo; imágenes y stickers para visión). Mecanismo de transferencia: Cláusulas Contractuales Tipo (SCC) y/o Data Privacy Framework cuando aplique, y contrato de transmisión para Colombia. DPA suscrito: sí, con cláusula de no-entrenamiento.
• Groq Inc. — Enrutador de intención, generación de respaldo y transcripción de voz. Clasifica la intención del mensaje (modelo Llama 3.3 70B), actúa como respaldo (fallback) de generación para Tier 1-2 (Llama 3.3 70B / Llama 3.1 8B) y transcribe las notas de voz a texto (Whisper large-v3-turbo). Ubicación: Estados Unidos. Categoría: datos de usuarios finales (texto de mensajes para clasificación y generación; audio de notas de voz para transcripción). Mecanismo de transferencia: Cláusulas Contractuales Tipo (SCC) y contrato de transmisión para Colombia. DPA suscrito: sí, con cláusula de no-entrenamiento.
• OpenAI L.L.C. — Generación de respaldo (fallback). Se utiliza únicamente cuando el proveedor principal (Anthropic) falla, para sostener la generación de Tier 3 (modelo configurado gpt-5.4) y, en su caso, como respaldo histórico de visión (gpt-4o-mini). Ubicación: Estados Unidos. Categoría: datos de usuarios finales (texto de mensajes, solo en la ruta de respaldo). Mecanismo de transferencia: Cláusulas Contractuales Tipo (SCC) y contrato de transmisión para Colombia. DPA suscrito: sí, con cláusula de no-entrenamiento (Guapu usa la API empresarial, no entrenable por defecto).
• Google LLC — Proveedor de modelo disponible como opción configurable. Está disponible en el registro interno de modelos como alternativa o respaldo que un Cliente puede activar para un agente. No necesariamente está activo en producción. Ubicación: Estados Unidos. Categoría: datos de usuarios finales (texto de mensajes, solo si un agente se configura expresamente con Google). Mecanismo de transferencia: Cláusulas Contractuales Tipo (SCC) y contrato de transmisión para Colombia. DPA suscrito: sí, con cláusula de no-entrenamiento.

7. 6. Canales de mensajería (tratan datos de usuarios finales)

Estos proveedores conectan a Guapu con los canales por los que tus usuarios finales escriben. Por su naturaleza, tratan datos de usuarios finales: identificadores, contenido de los mensajes y multimedia.

• Meta Platforms Inc. — Canales oficiales de mensajería: WhatsApp Business Cloud API, Instagram Direct y Facebook Messenger. Recibe y envía mensajes y descarga la media entrante. Guapu implementa además los endpoints de cumplimiento exigidos por Meta: eliminación de datos (con verificación de la firma signed_request mediante HMAC) y retiro de autorización (deauthorization). Ubicación: Estados Unidos e Irlanda. Categoría: datos de usuarios finales (mensajes, número o usuario de WhatsApp/Instagram/Facebook, contenido multimedia, metadata del canal). Mecanismo de transferencia: Cláusulas Contractuales Tipo (SCC), Data Privacy Framework UE-EE. UU. cuando aplique, y contrato de transmisión para Colombia. DPA suscrito: sí (Términos de Datos de Meta para Plataformas / Meta Platform Data Terms).
• Evolution API (auto-alojado por [ENTIDAD LEGAL]) — Pasarela de WhatsApp no oficial. Gateway de WhatsApp basado en la librería Baileys, que permite conectar un número por código QR. Lo opera la propia [ENTIDAD LEGAL] sobre un servidor privado virtual (VPS); no es un tercero comercial tipo SaaS, pero procesa mensajes de WhatsApp fuera de Supabase y Vercel, por lo que se declara como subencargado por transparencia. Ubicación: VPS en Hostinger, São Paulo, Brasil. Categoría: datos de usuarios finales (mensajes de WhatsApp entrantes y salientes, número de teléfono, multimedia, estado de sesión/QR; incluye una base de datos PostgreSQL interna de Evolution). Mecanismo de transferencia: al ser infraestructura de la propia entidad, el tratamiento se rige por el DPA con el Cliente y por el contrato de transmisión; el proveedor de hosting subyacente (Hostinger) se relaciona abajo. DPA suscrito: cubierto por el DPA de Guapu (operación intragrupo de la entidad).
• Hostinger International Ltd. — Infraestructura subyacente de Evolution API. Provee el servidor virtual (VPS) que aloja el contenedor de Evolution API y la gestión de DNS de dominios. Es el subencargado de infraestructura sobre el que corre la pasarela de WhatsApp no oficial. Ubicación: centro de datos del VPS en São Paulo, Brasil. Categoría: datos de usuarios finales en tránsito y efímeros, más la base de datos PostgreSQL interna de Evolution alojada en ese servidor. Mecanismo de transferencia: Cláusulas Contractuales Tipo (SCC) del proveedor y contrato de transmisión para Colombia. DPA suscrito: sí (Acuerdo de Tratamiento de Datos de Hostinger).

8. 7. Procesamiento de pagos (datos de cuenta y, en su caso, de clientes finales del Cliente)

Stripe interviene en dos flujos distintos, ambos sin que Guapu almacene números de tarjeta (los datos de tarjeta los maneja Stripe directamente bajo el estándar de seguridad de la industria de tarjetas de pago, PCI DSS).

• Stripe Inc. — Procesamiento de pagos. (a) Genera las sesiones de cobro (checkout sessions) que el agente de Ventas crea para cobrar a los clientes finales del Cliente, con soporte de Stripe Connect hacia la cuenta del propio Cliente; y (b) factura la suscripción del Cliente a Guapu. Ubicación: Estados Unidos e Irlanda. Categoría: datos de cuenta (facturación de la suscripción) y, en el flujo de cobro a clientes finales, datos limitados de esos clientes (correo, monto, moneda y metadata como organization_id y conversation_id). Los datos de tarjeta no se almacenan en Guapu. Mecanismo de transferencia: Cláusulas Contractuales Tipo (SCC), Data Privacy Framework cuando aplique, y contrato de transmisión para Colombia. DPA suscrito: sí (Stripe Data Processing Agreement).

9. 8. Integraciones del marketplace activadas por el Cliente (opt-in por tenant)

Guapu ofrece conectores que el Cliente puede activar voluntariamente. Una vez activados, esos terceros reciben o envían únicamente los datos que el Cliente decide sincronizar. Funcionan como subencargados condicionados a la decisión del Cliente: cada uno se gobierna por la autorización OAuth o los tokens del propio Cliente, que Guapu almacena cifrados con AES-256-GCM. Si no activas una integración, ese proveedor no recibe ningún dato.

La ubicación y la base de transferencia dependen de cada proveedor: la mayoría procesan en Estados Unidos; los proveedores regionales de pagos y comercio de LATAM (Mercado Pago, Mercado Libre, Wompi, ePayco, Bold, Tiendanube) procesan en América Latina. Para cada integración que actives existe un contrato de tratamiento o los términos de tratamiento del propio proveedor, y la transferencia se ampara en Cláusulas Contractuales Tipo (SCC) o contrato de transmisión según corresponda. Estas integraciones incluyen, según las active el Cliente:

• Tiendas y comercio: Shopify, WooCommerce, Mercado Libre, Tiendanube.
• Pasarelas de pago (además de Stripe): Mercado Pago, PayPal, Wompi, ePayco, Bold.
• Cursos e infoproductos: Hotmart.
• Canales de mensajería adicionales: Telegram; mensajería y voz por Twilio (SMS/voz).
• Productividad y agenda: Calendly, Zoom, Google Calendar, Google Meet, Google Sheets, Gmail, Outlook / Microsoft.
• Email marketing: Mailchimp.
• Notificaciones internas del equipo del Cliente: Slack, Discord.
• Sincronización de base de conocimiento: Notion.
• Categoría de datos: únicamente lo que el Cliente decide sincronizar en cada caso (pedidos, pagos, contactos, eventos de calendario, etc.).

10. 9. Tabla resumen: ¿quién trata datos de usuarios finales?

Para mayor claridad, así se clasifica cada subencargado según si actúa como encargado ulterior sobre datos de usuarios finales o si solo trata datos de cuenta:

• Tratan datos de usuarios finales (encargados ulteriores): Supabase, Vercel, Anthropic, Groq, OpenAI (solo en respaldo), Google (solo si se configura), Meta Platforms, Evolution API, Hostinger, y Stripe (en el flujo de cobro a clientes finales del Cliente).
• Tratan principalmente datos de cuenta: Resend (correo transaccional al titular) y Stripe en el flujo de facturación de la suscripción.
• Tratan solo lo que el Cliente decide sincronizar (condicionados a activación): todas las integraciones del marketplace de la sección 8.

11. 10. Garantías comunes a todos los subencargados

Antes de incorporar a cualquier subencargado y de forma continua, exigimos un nivel de protección equivalente al nuestro. En concreto:

• DPA por escrito: cada subencargado está vinculado por un contrato de tratamiento de datos que le impone, como mínimo, las mismas obligaciones de protección que Guapu asume frente al Cliente, incluida la confidencialidad y la seguridad.
• Instrucciones limitadas: solo pueden tratar los datos para prestarnos el servicio descrito, nunca para fines propios ni para revenderlos.
• Prohibición de entrenamiento de IA: los proveedores de modelos de IA tienen contractualmente prohibido usar los datos para entrenar o mejorar sus modelos.
• Seguridad: cifrado en tránsito (TLS 1.3) y en reposo (AES-256), controles de acceso y registros de auditoría. Los secretos y tokens de integraciones del Cliente se almacenan cifrados con AES-256-GCM.
• Transferencias amparadas: toda transferencia internacional se cubre con Cláusulas Contractuales Tipo (SCC), Data Privacy Framework cuando el proveedor está certificado, o contrato de transmisión conforme al artículo 25 del Decreto 1377 de 2013 para Colombia.
• Sin venta de datos: Guapu no vende ni alquila datos personales a terceros para fines de marketing.

12. 11. Notificación de cambios y derecho de objeción

Mantenemos esta lista actualizada y te damos la posibilidad de oponerte a cambios relevantes, en línea con el DPA suscrito con cada Cliente. El procedimiento es el siguiente:

• Aviso previo: antes de añadir un nuevo subencargado o de sustituir uno existente que trate datos de usuarios finales, te notificaremos con al menos 30 días calendario de anticipación, por correo electrónico al titular de la cuenta y mediante aviso en la aplicación, además de actualizar esta página pública.
• Derecho a objetar: durante ese plazo de 30 días puedes objetar el nuevo subencargado por motivos razonables y documentados de protección de datos, escribiendo a privacidad@guapu.io.
• Resolución de la objeción: si planteas una objeción fundada, trabajaremos de buena fe para ofrecer una alternativa o una solución que la atienda. Si no es posible alcanzar una solución razonable, podrás resolver la parte del servicio afectada conforme a lo previsto en el DPA y en los Términos de Servicio, sin penalización por esa causa.
• Cambios urgentes: si un cambio de subencargado es necesario por motivos de seguridad o cumplimiento legal y no admite el preaviso de 30 días, lo aplicaremos de inmediato y te informaremos a la mayor brevedad, conservando tu derecho a objetar a posteriori.

13. 12. Cómo obtener la versión vigente y fecha de actualización

La versión vigente de esta lista de subencargados está siempre publicada en la página pública guapu.io/legal/subencargados. También puedes solicitar una copia, o suscribirte a las notificaciones de cambios, escribiendo a privacidad@guapu.io. Para consultas generales: hi@guapu.io.

Esta lista debe leerse junto con la Política de Privacidad de Guapu (que detalla finalidades, base legal, derechos del titular, retención y transferencias internacionales) y con el Acuerdo de Tratamiento de Datos (DPA) firmado entre Guapu y el Cliente, que es el instrumento que rige las obligaciones entre Responsable y Encargado.

Entidad responsable: [ENTIDAD LEGAL], identificación [NIT], domicilio [DOMICILIO]. Última actualización: 2026. Esta versión sustituye a cualquier listado anterior de subencargados.