Sub-encargados
Última actualización: 13 de mayo de 2026
Esta página es la lista pública de servicios de terceros que tratan datos
personales por cuenta de Verxion. Refleja el inventario interno en
docs/compliance/processor-inventory.md. Los cambios materiales se
registran en el changelog al final de esta página; los suscriptores
reciben aviso a través del sitio web.
Para una descripción de cómo Verxion trata datos personales, consulta la Política de Privacidad (también disponible en inglés).
Encargados y sub-encargados
| Proveedor | Finalidad | Región | Mecanismo de transferencia | DPA |
|---|---|---|---|---|
| Railway | Hosting de aplicación + base de datos Postgres | EU West (EEE, verificado 2026-05-08) | n/a | https://railway.com/legal/dpa |
| AWS KMS | Custodia de Key Encryption Key para cifrado a nivel de campo | eu-north-1 (Estocolmo, EEE) | n/a | https://aws.amazon.com/compliance/gdpr-center/ |
| Sentry | Error tracking de aplicación | EEE (región DE) | n/a | https://sentry.io/legal/dpa/ |
| Upstash | Redis para rate limiting e idempotencia | Reino Unido (eu-west-2, Londres) | Decisión de adecuación del Reino Unido (no se requieren SCCs) | https://upstash.com/trust/dpa.pdf |
| Resend | Email transaccional + audiencia de waitlist | Irlanda (eu-west-1, EEE) | n/a (residencia de datos en el EEE para el dominio mail.verxion.ai; la entidad Resend es de EEUU, las SCCs del DPA cubren el acceso a nivel de entidad) | https://resend.com/legal/dpa |
| Vercel | Hosting de sitio estático + CDN global | CDN global — los visitantes de la UE se sirven desde PoPs en el EEE; las regiones de cómputo incluyen arn1 (Estocolmo), cdg1 (París), dub1 (Dublín), fra1 (Frankfurt) | SCCs (Vercel Inc. está incorporada en EEUU; las SCCs del DPA cubren el acceso a nivel de entidad) | https://vercel.com/legal/dpa |
Responsables independientes (no son sub-encargados de Verxion)
Estos terceros pueden recibir datos personales cuando usas activamente ciertas funcionalidades de Verxion, pero actúan como responsables independientes bajo sus propias condiciones — no como encargados de Verxion:
- Iniciar sesión con Apple — cuando eliges Apple como tu proveedor de identidad.
- Iniciar sesión con Google — cuando eliges Google como tu proveedor de identidad.
- OpenFoodFacts — consultas públicas de datos alimentarios (servidor a servidor, sin transmisión de PII del usuario).
- Cualquier cliente compatible con MCP que autorices — cuando autorizas una app conectada vía OAuth, esta procesa los datos expuestos por los scopes concedidos bajo sus propias condiciones. La lista de clientes compatibles es abierta y crece con el ecosistema; ejemplos no exhaustivos: ChatGPT, Claude, Gemini, Cursor, OpenCode, Cline, Continue, Cody, agentes propios. El tratamiento legal es el mismo para cualquier cliente de este tipo.
Transferencias internacionales
Para Vercel, la plataforma opera un CDN global con varias regiones de
cómputo en el EEE (Estocolmo, París, Dublín, Frankfurt); los visitantes
UE pasan por PoPs UE, por lo que los datos de petición transitorios
(IP, cabeceras) se tratan en el EEE en el edge. La entidad legal es
Vercel Inc. (Delaware, EEUU), y el acceso a nivel de entidad queda
cubierto por Cláusulas Contractuales Tipo (SCCs) ejecutadas como
parte del DPA. Aplican salvaguardas técnicas (cifrado a nivel de
campo con claves residentes en el EEE vía AWS KMS eu-north-1,
seudonimización en logs, acceso limitado por scope).
Para Upstash (Reino Unido), las transferencias quedan cubiertas por la decisión de adecuación del Reino Unido de la Comisión Europea (adoptada el 28 de junio de 2021), por lo que no se requieren SCCs para las transferencias UE→UK. Las mismas salvaguardas técnicas aplican.
Para Resend, el dominio de envío mail.verxion.ai está fijado a la
región Irlanda (eu-west-1), por lo que el contenido y las
direcciones de email se tratan y almacenan en el EEE. La entidad
legal Resend es de EEUU; el acceso a nivel de entidad (soporte,
facturación, gestión) queda cubierto por las SCCs de su DPA.
Notificación de cambios
Los cambios materiales en esta lista (un nuevo encargado, un cambio de región, un cambio en el alcance del tratamiento) se publican aquí con al menos 30 días de antelación, salvo cuando el cambio sea exigido por un regulador o por motivos de seguridad. Adicionalmente activaremos un flujo de re-aceptación si el cambio requiere atención del usuario.
Changelog
| Fecha | Cambio |
|---|---|
| 2026-05-13 | Tres aclaraciones de región, sin cambios de proveedor ni de flujo de datos. (1) Upstash: confirmado como eu-west-2 (Londres, Reino Unido), bajo la decisión de adecuación del Reino Unido — antes figuraba como “EEE (región confirmada en deployment)”. (2) Resend: el dominio de envío mail.verxion.ai está fijado a eu-west-1 (Irlanda, EEE), por lo que los datos de email se listan ahora correctamente como residentes en el EEE — antes figuraba como “EEUU”. La entidad legal Resend sigue siendo de EEUU; el acceso a nivel de entidad sigue cubierto por las SCCs del DPA. (3) Vercel: aclarado que la plataforma opera un CDN global con varias regiones de cómputo en el EEE (Estocolmo, París, Dublín, Frankfurt); los visitantes UE se sirven desde PoPs UE. La redacción anterior “EEUU (edge global)” subestimaba la huella en el EEE. La entidad legal Vercel sigue siendo Vercel Inc. (Delaware), por lo que las SCCs siguen aplicando a nivel de entidad. |
| 2026-05-08 | Publicación pública inicial de la lista de sub-encargados. Añadidos OpenAI, Sentry, Vercel y AWS KMS al listado previo de Railway/Upstash/Resend. |