Sub-encargados
Lista pública y actualizada de los proveedores que tratan tus datos en nuestro nombre.
Esta página lista los proveedores que actúan como sub-encargados de tratamiento (subprocesadores) de AIGiner S.L. para la prestación del servicio SHARA, conforme al artículo 28.2 y 28.4 del RGPD. Al aceptar el Acuerdo de Encargado de Tratamiento (DPA) (/dpa), el Cliente autoriza con carácter general la subcontratación con estos proveedores.
1. ¿Qué es un subencargado?
Un subencargado es un tercero al que el Encargado (en este caso, AIGiner) delega parte del tratamiento que realiza en nombre del Responsable (Cliente). Por ejemplo: el proveedor que aloja la base de datos donde se almacenan los datos del Cliente, o el proveedor del modelo de lenguaje que procesa los prompts. El RGPD exige que cada subencargado se obligue por contrato a las mismas garantías que el Encargado y que la lista sea pública y actualizable.
Aceptación general y derecho de oposición: el Cliente autoriza la subcontratación con los proveedores listados al aceptar el DPA. Cualquier alta o sustitución se notifica con 30 días de antelación (sección 4); durante ese preaviso el Cliente puede oponerse motivadamente. Si la oposición no se puede resolver, el Cliente puede resolver el contrato sin penalización.
2. Lista actual de subprocesadores
| Proveedor | Finalidad | Categorías de datos | Ubicación | Mecanismo / garantías | Región |
|---|---|---|---|---|---|
| Proveedor LLM principal | Modelos de lenguaje de tercero bajo licencia. | Prompts y completions (texto del Cliente o de sus interesados), metadatos de petición. | Estados Unidos | SCCs cláusulas tipo + adendum DPA + DPF | USA |
| Proveedor LLM secundario | Modelo de lenguaje de tercero usado como backup u opcional. | Prompts y completions, metadatos de petición. Solo se usa como secundario o backup. | Estados Unidos | SCCs cláusulas tipo + DPA | USA |
| Supabase | Base de datos Postgres + autenticación | Datos de cuenta, datos del Cliente alojados en Postgres, autenticación. | Frankfurt (UE) | Hosting en UE, sin transferencia internacional. DPA público: https://supabase.com/legal/dpa | UE |
| Stripe | Procesamiento pagos + facturación | Datos de facturación, identificadores de tarjeta tokenizados, email de contacto comercial. | Irlanda + Estados Unidos | SCCs + Stripe DPA. DPA público: https://stripe.com/legal/dpa | UE |
| Cloudflare | CDN, WAF y protección DDoS | Metadatos de tráfico, IPs, headers HTTP. No procesa el contenido de la aplicación cifrada. | Edge global (incluido EU) | SCCs + DPA Cloudflare. DPA público: https://www.cloudflare.com/cloudflare-customer-dpa/ | USA |
| Contabo | Hosting servidores aplicación | Datos almacenados en discos de servidores cloud (cifrados at-rest). | Alemania | Hosting en UE, sin transferencia internacional. DPA público: https://contabo.com/en/legal/data-processing-agreement/ | UE |
Subprocesadores activos de SHARA. La columna «Región» indica si el proveedor opera en la Unión Europea (UE) o en Estados Unidos (USA).
3. Notas sobre los proveedores
3.1 Proveedores de modelos de lenguaje (LLM)
SHARA utiliza modelos de proveedores líderes del sector. Los nombres comerciales de los modelos se exponen al cliente bajo alias internos (Symphony, Sonata, Prelude, Concerto). La revelación del proveedor real bajo NDA está disponible para los planes Max y Plan Local, según la Política de Uso de IA (/politica-ia). Los proveedores están contractualmente obligados a no usar prompts ni respuestas para entrenar modelos (opt-out activado).
3.2 Infraestructura en UE
La base de datos principal (Supabase, Frankfurt) y los servidores de aplicación (Contabo, Alemania) están alojados en territorio de la Unión Europea, por lo que la mayor parte del ciclo de vida del dato del Cliente permanece en la UE. Esto reduce la superficie de transferencia internacional y facilita el cumplimiento.
3.3 Pagos y CDN
Stripe procesa los pagos sin que SHARA almacene datos completos de tarjeta (tokenización con identificadores opacos). Cloudflare presta CDN, WAF y mitigación DDoS con presencia edge global pero configuración y métricas en UE; no descifra el contenido de la aplicación cifrada en TLS 1.2+.
4. Procedimiento de cambio
- Notificación con preaviso: cualquier alta o sustitución de subencargado se notifica con un mínimo de 30 días de antelación, mediante email a la cuenta administradora del Cliente y mediante actualización pública de esta página.
- Email a privacidad: en paralelo, se envía aviso al canal privacidad@aiginer.com y, si se ha registrado, al DPO designado por el Cliente.
- Publicación pública: la presente página se actualiza con la nueva entrada y se conserva el histórico (sección 6).
- Derecho de oposición: durante el preaviso, el Cliente puede oponerse de forma motivada a la incorporación o sustitución. La oposición debe basarse en razones legítimas (riesgo concreto, incompatibilidad con su DPIA, requisito sectorial, etc.).
- Consecuencia si la oposición no se resuelve: el Cliente puede resolver el contrato sin penalización con efectos al final del ciclo en curso, recuperando sus datos según la sección 17 de los Términos de Servicio (/terminos).
5. Sub-encargados específicos del Plan Local
En el Plan Local (despliegue on-premise con modelos Concerto), la lista efectiva se reduce significativamente porque los modelos corren en infraestructura del Cliente y los datos no salen de ella:
- Sin LLMs cloud por defecto: los modelos Concerto se ejecutan on-premise. El proveedor del modelo Symphony solo interviene cuando el Cliente activa el componente Amadeus cloud para tareas que requieren un modelo grande (modo híbrido).
- Sin Supabase ni Contabo: el Cliente despliega base de datos Postgres y servidores en su propia infraestructura.
- Sí intervienen: Stripe (facturación de la suscripción), Cloudflare (si el Cliente lo habilita como CDN del licensing service) y los proveedores LLM solo si el Cliente opta por el componente cloud.
- La adenda específica de Plan Local detalla la lista exacta de subencargados aplicables a cada despliegue.
6. Histórico de cambios
Mantendremos un histórico público con las altas y bajas de subprocesadores. El estado actual corresponde a la fecha indicada en el bloque de versionado al pie del documento. Cualquier cambio anterior a la disponibilidad general (GA) está cubierto por los acuerdos vigentes con los clientes piloto.
| Fecha | Cambio | Detalle |
|---|---|---|
| 2026-04-27 | Versión inicial pública | Publicación de la lista inicial con los 6 subencargados actuales. |
7. Cómo recibir notificaciones de cambios
La cuenta administradora del Cliente recibe automáticamente las notificaciones por email. Si quieres añadir una dirección legal o de DPO adicional para estas notificaciones, escribe a dpo@aiginer.com indicando la cuenta del Cliente y el contacto a registrar. Sin coste adicional.