Lista de Subencargados

Terceros que procesan datos personales en nombre de OposAGE.

Versión 1.0 — Publicada el 13 de mayo de 2026. Última revisión: 13 de mayo de 2026.

Si firmas un contrato con OposAGE, ya sea como usuario individual o como academia cliente, esta lista forma parte integral del Acuerdo de Encargo de Tratamiento (DPA). Cualquier alta o baja de subencargado se notificará con al menos 30 días naturales de antelación a los clientes B2B, conforme al RGPD art. 28.2.

Resumen ejecutivo

CategoríaSubencargadosPaíses de tratamiento
Modelos IA (LLM)OpenAI, AnthropicUSA (con SCCs + DPF)
InfraestructuraVercel, Supabase, UpstashFrankfurt, París, Dublín
PagosStripe Europe LtdIrlanda
Email transaccionalResendDublín
AnalyticsPostHog Cloud EUFrankfurt
Error trackingSentryFrankfurt
Helpdesk + KBCrispParís
CDN + DNSCloudflareDistribuido (datos UE para .es)

Detalle de subencargados

La tabla siguiente recoge, por cada subencargado, la función que desempeña, los datos personales que trata, el país principal de procesamiento y la base jurídica que ampara la transferencia internacional cuando procede.

SubencargadoFunciónDatos tratadosPaís principalBase jurídica transferenciaDPA
OpenAI, L.L.C.Procesamiento LLM para chat y generación de contenidoPrompts del usuario, conversacionesUSASCCs UE Módulo 2 + EU-US Data Privacy Framework (DPF)Ver DPA
Anthropic PBCLLM de respaldo (fallback)Prompts del usuarioUSASCCs UE Módulo 2 + DPFVer DPA
Vercel Inc.Hosting y edge functions (región EU fra1)Requests HTTP, logs anonimizadosFrankfurt (UE)SCCs UE + DPF + EU data residency contractualVer DPA
Supabase Inc.Base de datos PostgreSQL (instancia eu-west-3 París)Todos los datos de aplicaciónParís (UE)SCCs UE + DPF + EU data residency contractualVer DPA
Stripe Payments Europe, Ltd.Procesamiento de pagos (PCI-DSS gestionado por Stripe; OposAGE no almacena datos de tarjeta)Identificación del cliente B2B, transaccionesIrlanda (UE)Filial UE — no requiere SCCsVer DPA
Upstash Inc.Cache Redis y control de cuotas (instancia eu-west-1 Dublín)Contadores de uso por tenant, sesiones temporalesDublín (UE)SCCs UE + EU data residency contractualVer DPA
PostHog Inc.Analytics de producto (instancia EU Cloud Frankfurt)Eventos de uso pseudonimizados (clics, navegación)Frankfurt (UE)Infraestructura UE-native — no aplica SCCsVer DPA
Functional Software, Inc. (Sentry)Error tracking (región EU Frankfurt; PII scrubbing automático activado)Stack traces, request IDsFrankfurt (UE)SCCs UE + EU data residency contractualVer DPA
Resend, Inc.Email transaccional (región EU Dublín)Dirección de email del destinatario, contenido del emailDublín (UE)SCCs UE + EU data residency contractualVer DPA
Crisp IM SASHelpdesk y Knowledge BaseConversaciones de soporte, identificación del contactoParís (UE)Empresa UE-native (Francia) — no aplica SCCsVer política
Cloudflare, Inc.DNS, CDN y protección DDoS (datos UE para dominios .es)Metadatos de requests HTTP (IP, user agent)Distribuido (UE para .es)SCCs UE + DPF + EU data localizationVer DPA

Transferencias internacionales

Varios de los subencargados indicados tienen su sede en Estados Unidos. Las transferencias a estos destinatarios se amparan en las siguientes garantías acumulativas:

  • Cláusulas Contractuales Tipo (SCCs) UE Módulo 2 (responsable del tratamiento en la UE a encargado en tercer país), aprobadas por la Comisión Europea mediante Decisión de Ejecución (UE) 2021/914.
  • EU-US Data Privacy Framework (DPF) cuando el subencargado está certificado. El DPF fue adoptado como mecanismo adecuado por la Comisión Europea el 10 de julio de 2023.
  • Cláusulas de residencia de datos en la UE recogidas en los contratos individuales con cada proveedor que ofrece regiones EU.

Conforme a la sentencia Schrems II del Tribunal de Justicia de la Unión Europea (TJUE C-311/18, julio 2020), realizamos una Evaluación de Impacto en Transferencias (Transfer Impact Assessment, TIA) por cada subencargado ubicado en USA. Esta evaluación analiza el marco legal del país de destino y las medidas técnicas y contractuales suplementarias aplicadas.

La documentación TIA está disponible bajo acuerdo de confidencialidad (NDA) para auditorías de clientes B2B. Solicitar en contacto@oposage.com.

Notificación de cambios en la lista

El procedimiento de notificación varía según el tipo de cliente:

  • Clientes B2B (academias y preparadores): las altas y bajas de subencargados se notifican con un preaviso mínimo de 30 días naturales, por email a la dirección registrada como punto de contacto del tenant. Los clientes B2B pueden objetar al alta de un nuevo subencargado dentro de ese plazo de 30 días. En caso de objeción, las partes negociarán de buena fe una solución alternativa; si no se alcanza acuerdo, el cliente puede rescindir el contrato sin penalización económica.
  • Usuarios B2C: los cambios se publican en esta misma página con la fecha de entrada en vigor y se anuncian en la próxima versión publicada de la Política de Privacidad.

En ningún caso se incorporará un nuevo subencargado sin antes actualizar esta lista y respetar los plazos indicados.

Histórico de versiones

VersiónFechaDescripción del cambio
1.013/05/2026Publicación inicial.

Contacto y ejercicio de derechos RGPD

Si tienes dudas sobre algún subencargado o quieres ejercitar derechos RGPD (acceso, rectificación, supresión, portabilidad, limitación u oposición), escríbenos a contacto@oposage.com.

Documentación relacionada