Inventario de Proveedores
Proveedores y subencargados con detalle de transferencias internacionales.
Versión 1.0.0-draft
Actualizado 2026-04-25
Pendiente de revisión legal externa
1. Introducción
Este documento detalla los proveedores y subencargados de tratamiento utilizados por Ascensium LTD para la operación de la Plataforma value.ascensium.es, conforme a las exigencias de transparencia del Reglamento (UE) 2016/679 (RGPD), en particular sus artículos 13, 14, 28 y 30.
Forma parte integrante de la Política de Privacidad (sección 5.4) y del Anexo de Encargo de Tratamiento publicado en /legal/dpa.
2. Tabla resumen de proveedores
| # | Proveedor | Servicio | País del servidor | Rol jurídico | Datos tratados | DPA | Mecanismo TID |
|---|---|---|---|---|---|---|---|
| 1 | Supabase | BBDD + Auth + Storage | Irlanda (UE) | Encargado | Datos cuenta, verificación declarativa, Fichas, Data Room | SÍ | Sin TID (UE) |
| 2 | Vercel | Hosting Next.js + KV | UE / EE.UU. | Encargado | Datos sesión, logs | SÍ | SCCs |
| 3 | Upstash | Redis rate limit | Multi-región | Encargado | Tokens rate limit (no PII directos) | SÍ | SCCs |
| 4 | Resend | Email transaccional | EE.UU. | Encargado | Email + nombre destinatario, contenido email | SÍ | SCCs + DPF |
| 5 | Anthropic | Moderación IA descripciones | EE.UU. | Encargado limitado | Texto descripciones públicas (NO Data Room) | SÍ | SCCs |
| 6 | GitHub | Hosting código fuente | EE.UU. | Sin acceso a datos producción | N/A | N/A | N/A (no procesa datos personales) |
| 7 | Google Workspace | Email corporativo | EE.UU. | Encargado | Comunicaciones soporte | SÍ | SCCs + DPF |
| 8 | Google Analytics 4 | Analítica (cuando opt-in) | EE.UU. | Encargado | Identificadores, IP truncada, comportamiento | SÍ | SCCs |
| 9 | Meta Pixel | Conversión campañas (cuando opt-in) | EE.UU. | Encargado | Identificadores, eventos | SÍ | SCCs |
| 10 | Google Ads | Conversión campañas (cuando opt-in) | EE.UU. | Encargado | Identificadores, eventos | SÍ | SCCs |
TID = Transferencia internacional de datos. SCCs = Cláusulas Contractuales Tipo (Decisión de Ejecución (UE) 2021/914). DPF = Data Privacy Framework UE-EE.UU.
3. Detalle por proveedor
3.1 Supabase
- Razón social: Supabase Inc.
- País sede: Estados Unidos.
- Servicio prestado: Base de datos PostgreSQL, autenticación, almacenamiento de archivos.
- Servidor utilizado: EU-West (Irlanda) — dentro de la UE.
- Rol jurídico: Encargado del tratamiento (RGPD art. 28).
- Datos tratados: datos de cuenta, autenticación, perfil de verificación declarativa, Fichas, Documentos del Data Room.
- DPA firmado: SÍ — https://supabase.com/legal/dpa
- Transferencia internacional: no aplica (servidor en UE).
- Subencargados de Supabase: AWS Irlanda.
3.2 Vercel
- Razón social: Vercel Inc.
- País sede: Estados Unidos.
- Servicio prestado: hosting de la aplicación Next.js, edge functions, Vercel KV (Redis).
- Rol jurídico: Encargado del tratamiento.
- Datos tratados: cookies de sesión, logs de acceso, datos en tránsito.
- DPA firmado: SÍ — https://vercel.com/legal/dpa
- Transferencia internacional: SÍ (servidores principales UE pero potencial replicación a EE.UU.).
- Mecanismo: Cláusulas Contractuales Tipo (SCCs) Mod 2017/2021.
3.3 Upstash
- Razón social: Upstash Inc.
- País sede: Estados Unidos.
- Servicio prestado: Redis as a Service para rate limiting.
- Rol jurídico: Encargado del tratamiento.
- Datos tratados: identificadores de sesión, contadores de rate limit (no PII directo).
- DPA firmado: SÍ.
- Transferencia internacional: SÍ (multi-región).
- Mecanismo: SCCs.
3.4 Resend
- Razón social: Resend Inc.
- País sede: Estados Unidos.
- Servicio prestado: envío de emails transaccionales.
- Rol jurídico: Encargado del tratamiento.
- Datos tratados: email del destinatario, contenido del email, metadatos de envío.
- DPA firmado: SÍ — https://resend.com/legal/dpa
- Transferencia internacional: SÍ.
- Mecanismo: SCCs + Data Privacy Framework (DPF) cuando aplique.
3.5 Anthropic
- Razón social: Anthropic PBC.
- País sede: Estados Unidos.
- Servicio prestado: API Claude para moderación automatizada de contenido.
- Rol jurídico: Encargado limitado del tratamiento.
- Datos tratados: texto de descripciones públicas de Fichas y equipamiento destacado.
- NO TRATA: Documentos del Data Room, datos personales sensibles, identidad de Vendedores.
- DPA firmado: SÍ — https://anthropic.com/legal/dpa
- Transferencia internacional: SÍ.
- Mecanismo: SCCs.
3.6 GitHub
- Razón social: GitHub, Inc.
- País sede: Estados Unidos.
- Servicio prestado: hosting del código fuente (repositorio Git privado).
- Rol jurídico: sin acceso a datos personales de producción de los Usuarios de la Plataforma. Solo aloja el código de la aplicación.
- Datos tratados: código fuente; no datos personales de Usuarios de producción.
- DPA firmado: N/A (no procesa datos personales de Usuarios de la Plataforma).
- Transferencia internacional: N/A.
3.7 Google Workspace
- Razón social: Google LLC.
- País sede: Estados Unidos.
- Servicio prestado: email corporativo (
hola@ascensiumexperience.com) y, en su caso, almacenamiento Drive para uso interno. - Rol jurídico: Encargado del tratamiento.
- Datos tratados: emails entrantes y salientes (incluyen consultas de soporte y comunicaciones de Usuarios).
- DPA firmado: SÍ — https://workspace.google.com/terms/dpa_terms.html
- Transferencia internacional: SÍ.
- Mecanismo: SCCs + Data Privacy Framework.
3.8 Google Analytics 4
- Razón social: Google LLC (con entidad UE Google Ireland Limited para usuarios europeos).
- País sede: Estados Unidos.
- Servicio prestado: analítica web. Solo se activa tras opt-in del Usuario en el banner de cookies.
- Rol jurídico: Encargado del tratamiento.
- Datos tratados: identificadores únicos, IP truncada, comportamiento de navegación.
- DPA firmado: SÍ.
- Transferencia internacional: SÍ.
- Mecanismo: SCCs.
3.9 Meta Pixel
- Razón social: Meta Platforms Ireland Ltd. (UE) y Meta Platforms, Inc. (EE.UU.).
- País sede: Estados Unidos (con entidad UE para usuarios europeos).
- Servicio prestado: tracking de conversiones para campañas Meta (Facebook / Instagram). Solo se activa tras opt-in del Usuario.
- Rol jurídico: corresponsable del tratamiento (en algunos casos) o encargado, según implementación.
- Datos tratados: identificadores únicos, eventos de conversión.
- DPA firmado: SÍ.
- Transferencia internacional: SÍ.
- Mecanismo: SCCs.
3.10 Google Ads
- Razón social: Google Ireland Limited (UE) y Google LLC (EE.UU.).
- País sede: Estados Unidos (con entidad UE para usuarios europeos).
- Servicio prestado: tracking de conversiones de campañas Google Ads. Solo se activa tras opt-in del Usuario.
- Rol jurídico: Encargado del tratamiento.
- Datos tratados: identificadores únicos, eventos de conversión.
- DPA firmado: SÍ.
- Transferencia internacional: SÍ.
- Mecanismo: SCCs.
4. Garantías para transferencias internacionales
Las transferencias de datos personales fuera del Espacio Económico Europeo realizadas por Ascensium se basan en:
- Cláusulas Contractuales Tipo (SCCs): Decisión de Ejecución (UE) 2021/914 (módulos según corresponda al rol — controller-to-processor, processor-to-processor, etc.).
- Data Privacy Framework (DPF): cuando el proveedor esté certificado en el marco UE-EE.UU.
- Decisiones de adecuación: cuando aplique para el país de destino.
- Garantías adicionales: cifrado en tránsito y en reposo, control de acceso por roles, auditorías de seguridad, minimización de datos.
A petición razonable del Usuario, Ascensium facilitará información sobre las medidas concretas aplicables a cada transferencia.
5. Notificación de cambios
Cualquier modificación material en el inventario de proveedores —alta de un nuevo proveedor con tratamiento significativo de datos personales, cambio de país del servidor, cambio en el mecanismo de transferencia internacional— será actualizada en este documento y notificada conforme al procedimiento previsto en la sección 9 de los Términos y Condiciones y en la sección 11 de la Política de Privacidad.
6. Contacto
Para consultas sobre proveedores y transferencias:
- Email: hola@ascensiumexperience.com
- Asunto sugerido:
RGPD - Proveedores
Fin del documento.