HOSTELELLA Documentación legal

Anexo de Subencargados

Versión 1.5 Vigente desde el 27 de junio de 2026 Anexo del DPA (art. 28 RGPD)

Este anexo complementa el Acuerdo de Encargo del Tratamiento (DPA) de HOSTELELLA e identifica a los subencargados que intervienen cuando HOSTELELLA trata datos personales por cuenta del Cliente. La lista aplica a los proveedores utilizados cuando la funcionalidad correspondiente está habilitada en el entorno del Cliente. HOSTELELLA no vende datos personales. Los proveedores marcados como condicionales solo intervienen cuando la integración, canal o entorno correspondiente está configurado o activado por el Cliente.

Los contratos con subencargados incluyen obligaciones de confidencialidad, seguridad, asistencia, devolución/eliminación, subcontratación e internacionalización compatibles con el artículo 28 RGPD. Cuando exista transferencia fuera del Espacio Económico Europeo (EEE), se aplicarán decisiones de adecuación, Cláusulas Contractuales Tipo (SCC), el EU-US Data Privacy Framework cuando proceda y medidas complementarias.

1. Subencargados de infraestructura, datos y comunicaciones

ProveedorEstadoFinalidadDatos tratadosUbicación / transferencias
Microsoft Ireland Operations Limited / Microsoft Corporation (Microsoft Azure: Azure Functions, API Management, Azure Storage, Key Vault, Application Insights, Azure AI Search y Azure OpenAI Service) Principal Infraestructura cloud, ejecución de backend, API gateway, almacenamiento, gestión de secretos, monitorización, búsqueda, seguridad y funciones de IA cuando se usa Azure OpenAI. Datos de cuenta, documentos, metadatos, logs técnicos y datos necesarios para operar el Servicio. Preferentemente UE/EEE en recursos configurados; posibles accesos o soporte internacional bajo DPA de Microsoft, SCC, decisiones de adecuación y medidas complementarias.
Supabase, Inc. Principal Autenticación, base de datos, gestión de usuarios, sesiones y almacenamiento asociado cuando esté habilitado. Identificadores de usuario, email, sesión, roles, datos de aplicación y metadatos técnicos. Según región del proyecto y servicios asociados; transferencias protegidas por DPA, SCC y garantías aplicables.
Resend, Inc. Principal para email transaccional si está configurado Confirmaciones de cuenta, invitaciones, pedidos, soporte, avisos de seguridad y comunicaciones del Servicio. Email, nombre cuando proceda, idioma, contenido transaccional y metadatos de entrega. Estados Unidos / infraestructura del proveedor y subprocesadores; bajo DPA, SCC y garantías aplicables.
Apple Distribution International Ltd. / Apple Inc. (APNs) Condicional para iOS Entrega de notificaciones push y funcionamiento de la app móvil iOS. Tokens de dispositivo, plataforma, preferencias de notificación y metadatos técnicos. Infraestructura global de Apple con garantías aplicables.
Google Ireland Limited / Google LLC (Firebase Cloud Messaging) Condicional para Android / web push Entrega de notificaciones push y funcionamiento de la app móvil. Tokens de dispositivo, plataforma, preferencias de notificación y metadatos técnicos. Infraestructura global de Google con DPA, SCC, EU-US Data Privacy Framework cuando proceda y garantías aplicables.
Cloudflare, Inc. (Turnstile) Condicional para antiabuso / captcha Protección contra bots, abuso y solicitudes automatizadas. Datos técnicos mínimos, IP, señales de navegador/dispositivo y resultado de verificación. Infraestructura global de Cloudflare con DPA, SCC, EU-US Data Privacy Framework cuando proceda y garantías aplicables.
Google Ireland Limited / Google LLC (Google Analytics) Condicional tras consentimiento de analítica Medición agregada de uso de la web pública cuando el usuario acepta cookies de analítica. Identificadores de analítica, páginas visitadas, eventos de interacción, datos técnicos e información aproximada de dispositivo/navegador. Infraestructura global de Google con DPA, SCC, EU-US Data Privacy Framework cuando proceda y configuración de consentimiento previa.

2. Subencargados de inteligencia artificial

HOSTELELLA recurre a proveedores de IA únicamente cuando la funcionalidad correspondiente está habilitada (p. ej., extracción y clasificación de documentos, asistente, o generación asistida de turnos y resolución del marco laboral). Antes de enviar información a estos proveedores se aplican medidas de minimización: cuando es posible, los datos se pseudonimizan (p. ej., el generador de turnos opera con iniciales y datos operativos, no con nombres completos) y se excluyen datos no necesarios para la finalidad (p. ej., no se transmite el motivo de las ausencias).

ProveedorEstadoFinalidadDatos tratadosUbicación / transferencias
Anthropic, PBC (modelos Claude vía la API de Anthropic) Condicional cuando se usan funciones de IA de turnos/convenio o asistencia basadas en Claude Generación asistida de propuestas de turnos (apoyo a la decisión, con revisión humana) y resolución del marco/convenio laboral aplicable mediante búsqueda web. No se utiliza para decisiones exclusivamente automatizadas. Para la generación de turnos: datos de planificación pseudonimizados (iniciales, rol, departamento, horas y tipo de contrato, disponibilidad, preferencias de franja, rangos de fechas de no disponibilidad e indicador de minoría de edad) y parámetros operativos del negocio. Para la resolución del convenio: ubicación del negocio (país/región/ciudad) y sector. No se transmiten nombres completos, identificadores fiscales ni el motivo o tipo de las ausencias. Estados Unidos; bajo DPA / condiciones comerciales de Anthropic, SCC y medidas complementarias. Conforme a sus condiciones comerciales, Anthropic no utiliza los datos enviados a través de la API comercial para entrenar sus modelos.
OpenAI, L.L.C. / OpenAI OpCo, LLC Condicional (IA no-Azure) solo si se configura expresamente Extracción, clasificación, asistencia o análisis de documentos/mensajes cuando se usa OpenAI como proveedor no-Azure. Contenido enviado a la función de IA, metadatos mínimos y resultados generados. Estados Unidos u otras ubicaciones según el servicio; requiere DPA, SCC/garantía aplicable, minimización y controles de no entrenamiento salvo opt-in / contrato específico.

La búsqueda web utilizada para resolver el convenio o marco laboral aplicable se realiza con datos de ubicación y sector del negocio, sin incluir datos personales de los empleados. El uso de IA está sujeto, además, a lo previsto en la Política de Privacidad (apartado de IA y tratamientos automatizados) y en los Términos.

3. Cambios en la lista de subencargados

HOSTELELLA podrá actualizar esta lista para mantener, proteger o mejorar el Servicio. Los cambios materiales (incluida la incorporación de un nuevo subencargado) se comunicarán con al menos treinta (30) días de antelación cuando sea razonablemente posible, salvo cambios urgentes por seguridad, continuidad o sustitución de proveedor, que se comunicarán tan pronto como sea viable. El Cliente podrá oponerse por motivos fundados de protección de datos conforme al DPA, escribiendo a legal@hostelella.com.