Lista de Subprocesadores
Terceros que procesan datos personales por cuenta de TraceWeave conforme al RGPD
Última actualización
1 de noviembre de 2025
Versión
1.2
1. Introducción
TraceWeave utiliza proveedores de servicios terceros (en adelante, "Subprocesadores") para alojar, procesar y gestionar datos personales de nuestros clientes. Esta lista se mantiene actualizada conforme a lo establecido en nuestro Acuerdo de Procesamiento de Datos (DPA).
Todos los Subprocesadores cumplen con:
- •Reglamento General de Protección de Datos (RGPD - Reglamento UE 2016/679)
- •Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea cuando operan fuera del EEE
- •Medidas de seguridad técnicas y organizativas apropiadas (Artículo 32 RGPD)
- •Certificaciones reconocidas (ISO 27001, SOC 2, etc.)
2. Subprocesadores Activos
A continuación se detalla la lista completa de Subprocesadores autorizados que TraceWeave utiliza para procesar datos personales:
| Subprocesador | Servicio | Ubicación | Finalidad | Garantías |
|---|---|---|---|---|
Supabase Inc. supabase.com | Base de datos y autenticación | 🇪🇺 UE (Frankfurt, Alemania) | Almacenamiento de datos de usuarios, productos, materiales y configuración | ISO 27001, SOC 2 Type II, Alojamiento en UE |
Vercel Inc. vercel.com | Hosting y CDN | 🌍 Multi-región (UE + EE.UU.) | Alojamiento de la plataforma web, distribución de contenido estático | SOC 2 Type II, SCCs, DPF |
Google LLC cloud.google.com | Analítica web | 🌍 Multi-región (UE + EE.UU.) | Google Analytics para análisis agregado de uso de la plataforma (datos anonimizados) | ISO 27001, SCCs, DPF, Modo anonimizado IP |
Stripe Inc. stripe.com | Pasarela de pago | 🌍 Multi-región (UE + EE.UU.) | Procesamiento de pagos y suscripciones, gestión de facturación | PCI DSS Level 1, ISO 27001, SOC 2 Type II, SCCs, DPF |
Amazon Web Services (AWS) aws.amazon.com | Almacenamiento de archivos | 🇪🇺 UE (Frankfurt, Alemania) | Amazon S3 para almacenamiento de imágenes, documentos y archivos cargados por usuarios | ISO 27001, SOC 2 Type II, Cifrado AES-256, Alojamiento en UE |
Resend Inc. resend.com | Email transaccional | 🌍 EE.UU. | Envío de correos transaccionales (confirmación de cuenta, reseteo de contraseña, notificaciones) | SCCs, DPF, Cifrado TLS |
Sentry sentry.io | Monitoreo de errores | 🇪🇺 UE (Frankfurt, Alemania) | Captura y análisis de errores de aplicación para mejorar estabilidad (datos PII excluidos) | ISO 27001, SOC 2 Type II, Scrubbing automático de PII, Alojamiento en UE |
Intercom Inc. intercom.com | Soporte al cliente | 🌍 EE.UU. | Chat en vivo, tickets de soporte, base de conocimiento | ISO 27001, SOC 2 Type II, SCCs, DPF |
Leyenda de garantías
3. Mecanismo de Notificación de Cambios
3.1 Notificación Previa
TraceWeave notificará a todos los clientes con al menos 30 días de antelación antes de:
- •Añadir un nuevo subprocesador a la lista
- •Cambiar un subprocesador existente por otro
- •Modificar la ubicación geográfica de procesamiento de datos por parte de un subprocesador
3.2 Canales de Notificación
Las notificaciones se enviarán a través de:
Email al administrador de cuenta
Correo automático al email del administrador principal de la cuenta del cliente.
Actualización de esta página
Esta lista se actualizará con el banner "Próximo cambio" visible en la parte superior.
3.3 Derecho de Oposición
Conforme al DPA (Sección 5.1), el cliente puede oponerse a un cambio de subprocesador por motivos justificados relacionados con la protección de datos dentro de los 15 días siguientes a la notificación.
Procedimiento de oposición: Envíe un correo a dpo@traceweave.eu indicando el subprocesador al que se opone y las razones justificadas. TraceWeave evaluará la oposición y, si no es posible abstenerse de contratar al subprocesador, el cliente podrá suspender o terminar el contrato sin penalización.
3.4 Cambios Menores (Sin Notificación Previa)
No requieren notificación previa los cambios meramente administrativos que no afectan al procesamiento de datos, como actualización de URL del subprocesador, cambio de razón social sin cambio de entidad legal, o mejora de certificaciones de seguridad existentes. Estos cambios se reflejarán directamente en esta lista.
4. Cláusulas Contractuales Tipo (SCCs)
TraceWeave ha suscrito Cláusulas Contractuales Tipo (SCCs) conforme a la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea con todos los subprocesadores que procesan datos personales fuera del Espacio Económico Europeo (EEE).
Módulo aplicado
Para transferencias internacionales a subprocesadores, TraceWeave utiliza el Módulo Tres (Procesador a Procesador) de las SCCs.
Entre TraceWeave y sus clientes se aplica el Módulo Dos (Responsable a Procesador), conforme al DPA.
Evaluación de Impacto de Transferencias (TIA)
TraceWeave ha realizado una Evaluación de Impacto de Transferencias (Transfer Impact Assessment) para cada subprocesador ubicado fuera del EEE, conforme a la recomendación del EDPB (Comité Europeo de Protección de Datos).
Las TIA concluyen que las garantías aplicadas (SCCs + medidas técnicas complementarias como cifrado, controles de acceso y anonimización) son suficientes para asegurar un nivel de protección esencialmente equivalente al del RGPD.
Solicitar copia de las SCCs
Los clientes del plan Empresa pueden solicitar una copia de las SCCs suscritas con subprocesadores específicos para fines de auditoría o cumplimiento.
Solicitar SCCs5. Contacto
Para consultas sobre esta lista de subprocesadores, notificaciones de cambios o ejercicio del derecho de oposición, contacte con:
Delegado de Protección de Datos (DPO)
José Antonio Mariscal Agüera
Dirección Postal
TraceWeave - Atención: DPO
Madrid, España
¿Tiene preguntas sobre nuestros subprocesadores?
Nuestro DPO está disponible para responder cualquier consulta relacionada con el procesamiento de datos.
Contactar DPO