Art. 28.4 RGPD

Subencargados de
Tratamiento

Lista nombrada, pública y verificable de cada proveedor que trata datos personales en nombre de CiberGuardIA AML. Quién es, qué hace, dónde está y bajo qué garantías.

RGPD Art. 28.4DPA suscritoAviso de cambios 30 díasDatos en UE

Compromiso de transparencia

  • Cada subencargado de la lista tiene un DPA (Acuerdo de Encargo de Tratamiento) suscrito o aceptado contractualmente.
  • Antes de incorporar un nuevo subencargado o sustituir uno existente comunicaremos el cambio con al menos 30 días de antelación al responsable del tratamiento, con derecho a oposición.
  • Los datos del expediente del cliente (KYC, operaciones, dossiers SEPBLAC) se almacenan exclusivamente en infraestructura UE.
  • El procesamiento del expediente — incluido el análisis IA — ocurre dentro del EEE (Vertex AI región Países Bajos por defecto; Mistral Francia como alternativa configurable). Las transferencias residuales (Stripe para pagos, consultas a GDELT como proyecto público de datos abiertos) están amparadas en Cláusulas Contractuales Tipo y certificación EU-US Data Privacy Framework.
Lista nombrada

Proveedores que tratan datos en nuestro nombre

Esta es la lista completa. Si un proveedor no aparece aquí, no procesa datos personales de los expedientes de tus clientes.

OVHcloud

OVH Groupe SAS

Finalidad
Hosting de la aplicación, base de datos y almacenamiento de documentos.
Datos tratados
Todos los datos personales del tenant: clientes KYC, operaciones, alertas, documentos cargados, dossiers SEPBLAC y logs de auditoría.
Ubicación
Gravelines (GRA6), Francia · Unión Europea
Transferencia internacional
No. Datos en territorio UE.
Certificaciones
ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, SOC 1 Type II, SOC 2 Type II, HDS (Hébergeur de Données de Santé).
Base legal
Encargado de tratamiento (Art. 28 RGPD). DPA suscrito.
DPA / Privacidad

Stripe

Stripe Payments Europe, Limited

Finalidad
Procesamiento de pagos de la suscripción, emisión de facturas y portal de cliente.
Datos tratados
Email del facturado, nombre fiscal, NIF/CIF, dirección de facturación, importe, identificadores de suscripción. No procesamos ni almacenamos números de tarjeta — los captura Stripe directamente.
Ubicación
Sede UE en Dublín, Irlanda. Procesamiento global.
Transferencia internacional
Posible transferencia a EE. UU. amparada en SCC (Cláusulas Contractuales Tipo) y certificación EU-US Data Privacy Framework de Stripe Inc.
Certificaciones
PCI-DSS Level 1, ISO/IEC 27001, SOC 1, SOC 2.
Base legal
Encargado de tratamiento (Art. 28 RGPD). DPA estándar de Stripe aceptado.
DPA / Privacidad

Google Cloud Vertex AI (Gemini)

Google Ireland Limited / Google Cloud EMEA Limited

Finalidad
OCR de documentos de identidad para acelerar el alta KYC y, opcionalmente, triage de alertas y resolución asistida de coincidencias borderline en listas de sanciones y PEPs.
Datos tratados
Imagen del documento de identidad enviada para OCR. En el triage / resolución de matches: par (nombre del cliente, nombre del registro candidato en lista pública). No se envían historiales completos.
Ubicación
Unión Europea — Vertex AI región europe-west4 (Países Bajos).
Transferencia internacional
No hay transferencia fuera del EEE. La inferencia se ejecuta y los datos se procesan dentro de la región Vertex AI EU. La invocación es puntual: solo se llama cuando el flujo lo requiere, no en background.
Certificaciones
ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, SOC 1, SOC 2, SOC 3.
Base legal
Encargado de tratamiento (Art. 28 RGPD). Google Cloud Data Processing Addendum (DPA) aplicable. La función IA es configurable por tenant — puede desactivarse globalmente o por tipo de alerta.
DPA / Privacidad

Mistral AI (alternativa configurable)

Mistral AI SAS (Francia)

Finalidad
Alternativa EU-nativa para tenants que requieran proveedor de IA fuera del grupo Google. Mismas funciones (OCR opcional, triage de alertas, resolución de coincidencias borderline). Se activa por configuración del tenant.
Datos tratados
Igual que el bloque anterior — datos mínimos necesarios para la inferencia, sin historiales.
Ubicación
Unión Europea — infraestructura de Mistral AI en Francia.
Transferencia internacional
No hay transferencia fuera del EEE.
Certificaciones
ISO/IEC 27001 (certificación corporativa Mistral AI SAS).
Base legal
Encargado de tratamiento (Art. 28 RGPD). DPA estándar de Mistral AI. Activación opcional por tenant.
DPA / Privacidad

Hostinger

Hostinger International Ltd.

Finalidad
Envío de correo transaccional (alertas, Magic Links de KYC remoto, recuperación de contraseña, notificaciones a administradores).
Datos tratados
Dirección de correo del destinatario, asunto y cuerpo del mensaje. Metadatos de entrega.
Ubicación
Unión Europea.
Transferencia internacional
No, dentro del EEE.
Certificaciones
ISO/IEC 27001 (proveedor del servicio).
Base legal
Encargado de tratamiento (Art. 28 RGPD). DPA suscrito.
DPA / Privacidad

GDELT Project

The GDELT Project

Finalidad
Búsqueda de menciones en medios internacionales (adverse media) cuando se realiza screening reforzado de un cliente.
Datos tratados
Únicamente el nombre del cliente como término de consulta. No se envían identificadores, documentos ni metadatos del expediente.
Ubicación
EE. UU.
Transferencia internacional
Sí, limitada al término de búsqueda. GDELT es un proyecto público de información abierta — no almacena información identificativa del consultante.
Certificaciones
— (servicio público de información abierta).
Base legal
Tratamiento por minimización (sólo el nombre se transmite, sin más datos personales).
DPA / Privacidad

Fuentes de datos públicas (no son subencargados)

Los siguientes organismos y proyectos nos suministran datos públicos de sanciones y PEPs por sincronización unidireccional. No reciben datos personales de tus clientes — solo descargamos sus listados oficiales y los almacenamos en nuestra infraestructura para realizar el screening localmente.

  • OpenSanctions Foundation gGmbH (DE) — listas consolidadas de sanciones y dataset PEP
  • Wikimedia Foundation — Wikidata SPARQL (PEPs)
  • Consejo de la Unión Europea — EU Consolidated Sanctions List
  • OFAC — US Treasury Department (SDN list, FinCEN 311)
  • Naciones Unidas — UN Security Council Consolidated List
  • CNMV — Comisión Nacional del Mercado de Valores (España)
  • Guardia Civil y Policía Nacional — listados públicos
  • GAFI / FATF — listas de jurisdicciones de alto riesgo

La frecuencia de sincronización y la última actualización de cada fuente están publicadas en el Centro de Confianza. Centro de Confianza.

¿Necesitas el DPA firmable o tienes preguntas?

Como sujeto obligado, eres responsable del tratamiento. Nosotros somos encargados. Te facilitamos el Acuerdo de Encargo de Tratamiento listo para firmar y respondemos a cualquier consulta del responsable del tratamiento o de tu Delegado de Protección de Datos.

contacto@ciberguardia.comCentro de Confianza

Este sitio utiliza cookies

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias. Puede aceptar todas las cookies, rechazarlas o configurar sus preferencias. Más información