Lista de Subencargados del Tratamiento
Última actualización: julio de 2026
Esta Lista de Subencargados del Tratamiento describe los encargados terceros (“Subencargados del Tratamiento”) que Ampliro AB (“Ampliro”, “nosotros”, “nuestro” o “nos”) contrata para apoyar la prestación de la plataforma Diplino y servicios relacionados disponibles en diplino.com (el “Servicio”).
Estos Subencargados del Tratamiento pueden tratar datos personales en nombre de clientes (los “Responsables del Tratamiento”) de conformidad con nuestro Acuerdo de Encargo del Tratamiento de Datos (DPA) y la Normativa Aplicable de Protección de Datos (incluido el GDPR cuando sea pertinente).
Ampliro sigue siendo responsable del cumplimiento por sus Subencargados del Tratamiento según se establece en el DPA.
1. Información general sobre Subencargados del Tratamiento
Contratamos Subencargados del Tratamiento para proporcionar infraestructura, procesamiento de pagos, entrega de correo electrónico y otros servicios de apoyo necesarios para operar Diplino. Para cada Subencargado del Tratamiento, nosotros:
- Celebramos un acuerdo escrito de tratamiento de datos que incluye obligaciones equivalentes a las impuestas a Ampliro en virtud del DPA.
- Nos aseguramos de que el Subencargado del Tratamiento implemente medidas técnicas y organizativas adecuadas.
- Cuando se requiera, implementamos garantías adecuadas para transferencias de datos personales a países fuera de la UE/EEE (p. ej., Cláusulas Contractuales Tipo).
La lista siguiente refleja los Subencargados del Tratamiento principales utilizados en la configuración estándar de Diplino. En algunos casos, los clientes pueden optar por integrar servicios adicionales por su cuenta; tales integraciones no están cubiertas por esta lista.
2. Subencargados del Tratamiento actuales
2.1 Supabase Inc.
- Servicio: Infraestructura backend, incluido alojamiento de bases de datos, autenticación y almacenamiento de ficheros/objetos para Diplino.
- Ubicación / Centros de datos: Principalmente centros de datos de la UE (p. ej., Frankfurt, Alemania) para datos de clientes; Supabase tiene su sede en EE. UU.
- Datos tratados:
- Datos de cuenta de usuario (p. ej., nombres, direcciones de correo electrónico, hashes de contraseñas).
- Datos de organización y configuración.
- Datos de certificados y credenciales (p. ej., detalles del destinatario, información del curso, fechas de emisión/caducidad).
- Ficheros cargados y adjuntos (si los utiliza el cliente).
- Registros y metadatos relacionados con el uso de la aplicación.
- Función: Subencargado del Tratamiento (proveedor de infraestructura).
- Garantías:
- Datos almacenados en infraestructura basada en la UE para implementaciones estándar de Diplino.
- SOC 2 Type II y/o certificaciones de seguridad comparables (según las mantenga Supabase).
- Términos de tratamiento de datos y anexo conforme al GDPR.
- Cláusulas Contractuales Tipo y garantías adicionales cuando se produzca cualquier acceso desde fuera de la UE/EEE.
2.2 Stripe Inc.
- Servicio: Procesamiento de pagos, gestión de suscripciones y facturación para planes Diplino.
- Ubicación / Centros de datos: UE y EE. UU. (con opciones de residencia de datos en la UE); Stripe tiene su sede en EE. UU.
- Datos tratados:
- Datos de contacto de facturación (p. ej., nombre, correo electrónico, organización, dirección).
- Información relacionada con pagos (p. ej., datos de tarjeta, identificadores de transacción) gestionada principalmente directamente por Stripe.
- Estado de suscripción y metadatos necesarios para emisión de facturas y gestión de cuentas.
- Función: Subencargado del Tratamiento / responsable independiente del tratamiento para determinadas actividades de procesamiento de pagos.
- Garantías:
- Procesador de pagos certificado PCI DSS Level 1.
- Acuerdos de tratamiento de datos y Cláusulas Contractuales Tipo para transferencias de datos a EE. UU. cuando proceda.
- Medidas sólidas de seguridad y prevención del fraude según documenta Stripe.
Nota: Diplino no almacena números completos de tarjetas de pago en sus propios sistemas. Estos son gestionados directamente por Stripe o sus bancos adquirentes.
2.3 Resend Inc.
- Servicio: Entrega de correos electrónicos transaccionales (p. ej., envío de notificaciones de emisión de certificados, correos electrónicos relacionados con cuentas y otras comunicaciones del Servicio).
- Ubicación / Centros de datos: Principalmente infraestructura basada en EE. UU. (con opciones regionales dependiendo de la configuración y roadmap de Resend).
- Datos tratados:
- Direcciones de correo electrónico de destinatarios.
- Contenido de correo electrónico (línea de asunto y cuerpo), que puede incluir información relacionada con certificados o detalles de cuenta.
- Metadatos de entrega e interacción (p. ej., marcas temporales, estado de entrega).
- Función: Subencargado del Tratamiento (servicio de entrega de correo electrónico).
- Garantías:
- Acuerdo de tratamiento de datos que incluye Cláusulas Contractuales Tipo para datos de la UE/EEE.
- SOC 2 Type II y/o controles de seguridad comparables.
- Medidas técnicas y organizativas para asegurar el tráfico de correo electrónico y los registros.
2.4 OpenRouter Inc.
- Servicio: Asistencia de chatbot basada en IA y enrutamiento de modelos lingüísticos, utilizados para proporcionar soporte y asistencia opcionales dentro de Diplino (p. ej., ayuda dentro del producto, orientación conversacional).
- Ubicación / Centros de datos: Principalmente infraestructura basada en EE. UU.; OpenRouter enruta tráfico a proveedores de modelos con arreglo a sus propios términos.
- Datos tratados:
- Mensajes de chat y prompts enviados a través de la interfaz del asistente de IA.
- Datos contextuales necesarios para responder a consultas de usuarios (p. ej., contexto genérico de la aplicación o configuración), según configure Diplino.
- Diplino no envía intencionadamente payloads de certificados ni conjuntos completos de datos de certificados a OpenRouter como parte de su funcionamiento normal.
- Función: Subencargado del Tratamiento (servicio de enrutamiento e inferencia de IA).
- Garantías:
- Acuerdo de tratamiento de datos que incluye Cláusulas Contractuales Tipo para transferencias desde la UE/EEE.
- Garantías contractuales de que los datos enviados a través de la API no se utilizan para entrenamiento de modelos ni elaboración de perfiles por defecto (sujeto a las políticas actuales de OpenRouter).
- Configuración para minimizar la cantidad de datos personales compartidos en prompts cuando sea posible.
Nota: El uso del asistente de IA es opcional y puede ser limitado o desactivado por el cliente, dependiendo de sus políticas y requisitos internos.
2.5 PostHog
- Servicio: Analíticas de producto dentro de la aplicación web Diplino, utilizadas para comprender cómo los usuarios que han iniciado sesión interactúan con el producto (p. ej., progreso de incorporación, uso de funcionalidades, activación y retención) para que podamos mejorar el Servicio.
- Ubicación / Centros de datos: Unión Europea (PostHog EU Cloud). Los datos de analíticas se almacenan en la UE. PostHog es operado por PostHog, Inc. (con sede en EE. UU.) a través de su región EU Cloud.
- Datos tratados:
- Identificador de usuario seudónimo y dirección de correo electrónico de usuarios que han iniciado sesión.
- Identificador de organización (los eventos de analíticas se agrupan a nivel de organización).
- Datos de uso del producto y eventos (p. ej., páginas visualizadas, acciones como la emisión de un certificado, información del dispositivo y del navegador, y ubicación aproximada derivada de la dirección IP).
- Función: Subencargado del Tratamiento (analíticas de producto).
- Ámbito: Se aplica únicamente a la aplicación web Diplino (app.diplino.com) y solo a usuarios que hayan otorgado consentimiento para cookies de analíticas.
- Garantías:
- Datos alojados en la UE (PostHog EU Cloud); ninguna transferencia rutinaria de datos de analíticas fuera de la UE/EEE.
- Cargado solo después de que el usuario otorgue consentimiento para cookies de analíticas; no activo para usuarios que lo rechacen.
- Acuerdo de tratamiento de datos con PostHog, incluidas Cláusulas Contractuales Tipo para cualquier acceso por su entidad matriz estadounidense.
3. Cambios en los Subencargados del Tratamiento
Podemos añadir, sustituir o eliminar Subencargados del Tratamiento periódicamente a medida que nuestro Servicio evoluciona.
- Proporcionaremos aviso de cualquier nueva contratación de Subencargado del Tratamiento al menos 30 días antes de que el nuevo Subencargado del Tratamiento comience a tratar datos personales en nombre de clientes (por ejemplo, actualizando esta página y/o enviando un correo electrónico o notificación dentro de la aplicación).
- Los clientes que tengan un DPA válido vigente con Ampliro pueden oponerse por escrito al uso de un nuevo Subencargado del Tratamiento por motivos razonables de protección de datos dentro de los 14 días siguientes a la recepción de dicho aviso.
Si un cliente se opone razonablemente y las partes no pueden resolver la objeción (por ejemplo, cambiando la configuración o utilizando un Subencargado del Tratamiento alternativo), el cliente puede tener derecho a terminar los Servicios afectados de conformidad con los términos del DPA y el Acuerdo principal.
4. Integraciones controladas por el cliente
Los clientes pueden, a su propia discreción, conectar Diplino a herramientas o plataformas de terceros adicionales (p. ej., mediante APIs, webhooks o integraciones personalizadas). Estas herramientas no son Subencargados del Tratamiento contratados por Ampliro; en su lugar, son contratadas directamente por el cliente, quien es responsable de:
- Revisar y aceptar los términos y políticas de privacidad de dichos proveedores.
- Asegurarse de que cualquier transferencia de datos sea lícita y esté adecuadamente protegida.
5. Contacto
Si tiene preguntas sobre esta Lista de Subencargados del Tratamiento o sobre nuestro uso de Subencargados del Tratamiento en relación con Diplino, póngase en contacto con nosotros en:
- Correo electrónico: privacy@diplino.com
- Dirección postal:
Ampliro AB
Attn: Privacy / Diplino
Warfvinges väg 31
112 51 Stockholm
Sweden