Compliance · Article 11.8

Subencargados: quién usa Clozo, adónde van los datos y por qué es seguro

Clozo utiliza 10 subencargados para prestar el servicio (según la Política de Privacidad §6); 6 tienen sede en la UE, 5 tienen sede en EE. UU. con certificación activa del Marco de Privacidad de Datos UE-EE. UU. + Cláusulas Contractuales Tipo + medidas complementarias documentadas en nuestra Evaluación del Impacto de la Transferencia. Crisp añadido en BATCH-2026-05-07-003 BUG-001.

TL;DR — what to remember

10 subencargados activos a la fecha de la versión del documento (según la Política de Privacidad §6; Crisp añadido en BATCH-2026-05-07-003 BUG-001).
Combinación de entidades con sede principalmente en la UE/Reino Unido (Gotenberg, Cloudflare R2, Sentry, PostHog UK/Frankfurt) y con sede principalmente en EE. UU. o jurisdicción mixta (Stripe IE+EE. UU., Railway, Cloudflare, Google IE+EE. UU., Resend, Crisp FR+EE. UU.).
Cada transferencia a EE. UU. está cubierta por el Marco de Privacidad de Datos UE-EE. UU. + CCT + medidas complementarias (EIT documentada en docs/compliance/TIA_us_subprocessors.md).
EIT conforme a Schrems II (TJUE C-311/18) documentada en docs/compliance/TIA_us_subprocessors.md.
Los nuevos subencargados activan un aviso de 30 días + ventana de objeción de consentimiento general del Art. 28(2).

El SaaS moderno funciona sobre infraestructura de terceros. La pregunta para el RGPD no es «¿usa terceros?», sino «¿controla la relación y documenta las garantías?» Clozo mantiene una lista publicada de cada subencargado, los datos que recibe y el mecanismo legal para las transferencias fuera de la UE. Este artículo recorre la lista, las categorías y el marco de Schrems II que rige las transferencias a EE. UU.

Why this works this way

La lista completa de subencargados (refleja docs/compliance/RoPA.md «Lista de Subencargados» y la Política de Privacidad §6 — 10 entradas):

#	Subencargado	Función	Región	Mecanismo de transferencia
1	Stripe Payments Europe Ltd + Stripe Inc.	Facturación de suscripciones + procesamiento de pagos (responsable del lado UE en Irlanda; encargado del lado EE. UU. para algunas operaciones)	Irlanda (principal) + EE. UU. (Delaware)	UE interna + Marco de Privacidad de Datos UE-EE. UU. + CCT Módulo 2
2	Railway Corp.	Alojamiento de backend + Celery + PostgreSQL	UE (región: europe-west4, Países Bajos)	Marco de Privacidad de Datos UE-EE. UU. + CCT (plano de control en EE. UU.)
3	Cloudflare Inc.	CDN perimetral, DDoS, Workers (frontend, sitio de marketing, admin)	Perímetro global con enrutamiento de región UE para el tráfico entrante	Marco de Privacidad de Datos UE-EE. UU. + CCT
4	PostHog Inc.	Analítica de producto — ingesta en servidores de la UE (eu.i.posthog.com)	Sede en el Reino Unido; instancia de la UE alojada en Frankfurt, Alemania	Decisión de adecuación del Reino Unido + CCT
5	Google Ireland Ltd + Google LLC	Google Ads + atribución de conversiones en GA4	Irlanda (responsable) → EE. UU. (encargado)	Marco de Privacidad de Datos UE-EE. UU. + CCT de Google
6	Resend Inc.	Entrega de correo transaccional	EE. UU. (Delaware), con infraestructura de entrega en EU-Frankfurt	Marco de Privacidad de Datos UE-EE. UU. + CCT Módulo 2 + DPA de Resend
7	Gotenberg	Renderizado de PDF — alojado internamente en Railway	UE (dentro de Railway)	UE interna
8	Cloudflare R2	Almacenamiento de objetos para PDFs y XML de factura electrónica	Región EEE	UE interna
9	Crisp IM SAS + Crisp IM, Inc	Chat de atención al cliente (con consentimiento previo)	Francia (principal) + EE. UU.	Marco de Privacidad de Datos UE-EE. UU. + CCT
10	Sentry (Functional Software, Inc.)	Monitorización de errores	Región UE (de.sentry.io)	UE interna (con respaldo en EE. UU. bajo CCT si falla la instancia UE)

El marco de Schrems II. La sentencia del Tribunal de Justicia de la Unión Europea en Data Protection Commissioner contra Facebook Ireland y Maximillian Schrems (Asunto C-311/18, 2020) anuló el Escudo de Privacidad UE-EE. UU., declarando que la legislación de vigilancia de EE. UU. (específicamente la Sección 702 de FISA y la Orden Ejecutiva 12333) no proporciona una protección «esencialmente equivalente» al RGPD para los datos personales de la UE transferidos a EE. UU. Dos consecuencias:

1. Las CCT (Cláusulas Contractuales Tipo) siguen siendo válidas como mecanismo legal — la Decisión (UE) 2021/914 publicó las nuevas CCT modulares en 2021 — pero el responsable debe evaluar si el importador puede en la práctica cumplir una protección equivalente al RGPD dada la legislación de vigilancia local. Esta evaluación es la Evaluación del Impacto de la Transferencia (EIT). 2. Pueden ser necesarias medidas complementarias (cifrado, seudonimización, minimización de datos) cuando la legislación local permitiría de otro modo un acceso desproporcionado.

El Marco de Privacidad de Datos UE-EE. UU. (DPF), en vigor desde el 10 de julio de 2023 (Decisión de Ejecución de la Comisión (UE) 2023/1795), restablece la adecuación para los importadores estadounidenses participantes. Las empresas se certifican con el Departamento de Comercio de EE. UU.; las certificaciones figuran en https://www.dataprivacyframework.gov/list. Los cinco subencargados estadounidenses de Clozo mantienen una certificación DPF activa a la fecha de la versión de este documento.

Enfoque de la EIT de Clozo (documento completo en docs/compliance/TIA_us_subprocessors.md):

Para cada subencargado estadounidense aplicamos la metodología de seis pasos de las Recomendaciones 01/2020 del EDPB:

1. Conozca sus transferencias: documentadas en la tabla anterior con volumen + finalidad + base jurídica. 2. Identifique el instrumento de transferencia: DPF (principal) + CCT Módulo 2 (respaldo) + DPA específico del subencargado. 3. Evalúe la eficacia: revisión por importador de la exposición a FISA 702 / OE 12333 / CLOUD Act. 4. Adopte medidas complementarias: seudonimización (hash SHA-256 para Google), minimización de datos (sin datos personales más allá de lo necesario), cifrado en reposo y en tránsito, límites de retención. 5. Pasos procedimentales: firmar el DPA, verificar la certificación DPF activa anualmente, documentar la EIT, actualizar el campo recipients del RoPA, actualizar la Política de Privacidad s5/s6. 6. Reevaluar: activado por sentencia Schrems-III, retirada del DPF o cambio de subencargado.

Evaluaciones clave por importador (del EIT):

- Stripe: no designado como Proveedor de Servicios de Comunicación Electrónica bajo FISA 702 (es un procesador de pagos bajo la Ley de Secreto Bancario). Riesgo BAJO. DPF + CCT suficientes. - Resend: servicio de correo electrónico — podría clasificarse plausiblemente como PSCE, pero el volumen es pequeño + el contenido es transaccional (sin marketing, sin segmentación). Riesgo BAJO con medidas complementarias. - Google: históricamente nombrado en las directivas de FISA 702. Mitigación: solo enviamos identificadores con hash SHA-256 + IDs de clic + valores de transacción — irreversibles sin texto claro, seudonimizados, agregados. Consent Mode v2 adjunto a cada carga. Resultado: DPF + CCT + seudonimización = «protección esencialmente equivalente». - PostHog: la ingesta está en servidores de la UE; solo el soporte operativo (depuración, guardia) puede transitar por EE. UU. Solo IDs seudonimizados. Resultado: DPF + CCT + jurisdicción de ingesta UE = adecuado. - Cloudflare: potencialmente clasificado como PSCE para FISA 702 (función CDN). Mitigación: minimización de datos (solo IP + ruta + código de estado, sin carga útil). Los informes de transparencia muestran ~0 órdenes FISA para propiedades de pequeño volumen no estadounidenses. Resultado: DPF + CCT + minimización en el perímetro es adecuado.

Proceso para nuevos subencargados (Art. 28(2)): los Términos de Clozo otorgan consentimiento general para usar subencargados. Cuando añadimos uno nuevo:

1. Actualizamos la lista de subencargados en este artículo + RoPA.md + Política de Privacidad s5/s6. 2. Notificamos a todos los clientes existentes por correo electrónico con al menos 30 días de antelación. 3. El período de 30 días es su período de objeción — si objeta por motivos legítimos, puede rescindir el contrato con reembolso de las cuotas prepagadas. 4. Actualizamos el campo recipients de la fila ProcessingActivity correspondiente en producción.

Troubleshooting

Keep reading

Compliance

GDPR: what Clozo stores about you, why, and for how long

Clozo runs 13 distinct processing activities under GDPR Art. 30. Each one has a documented purpose, a lawful basis under Art. 6(1), a recipient list, and a retention window. This article is the user-facing summary of our Records of Processing Activities.

Compliance

Data-subject requests: how clients exercise GDPR rights and what you must do

Articles 15–22 GDPR give your clients the right to access, correct, port, or erase the personal data you hold about them. As a controller of *your* clients' data, you have one month to respond. Clozo's tooling helps you answer each request efficiently.