Registro público de proveedores y privacidad

Última actualización: 11 de julio de 2026 · Referencia PROV-2026.3

Este registro explica qué proveedores e integraciones se han identificado al auditar la aplicación de sinpleitos, para qué pueden utilizarse y qué condiciones deben cumplirse antes de que exista una comunicación efectiva de datos. Que una dependencia esté instalada, una variable esté prevista o un dominio figure en la política de seguridad no demuestra por sí solo que el servicio esté activo ni que reciba datos de una persona concreta.

La revisión pública tiene fecha de corte de 11 de julio de 2026. Describe controles comprobables en el repositorio y garantías publicadas por los proveedores, pero no presenta como firmado un contrato, elegida una región o activado un servicio cuando esa circunstancia no puede acreditarse desde el código. Los roles se califican por cada operación real, no solo por el nombre del proveedor o del contrato.

1. Alcance y método de esta auditoría

La revisión ha contrastado dependencias instaladas, variables de entorno previstas, puertas de activación, llamadas de red, políticas de seguridad de contenidos, formularios, servicios de correo, telemetría y consultas externas. Después se han revisado las condiciones públicas de privacidad, DPA y subencargados disponibles de los proveedores principales.

El resultado es un registro de capacidades observadas y condiciones de uso. No sustituye el inventario contractual interno ni confirma por sí solo qué claves están configuradas en producción, qué plan se ha contratado o qué región se ha seleccionado.

2. Cinco estados que no deben confundirse

EstadoQué acreditaQué no acredita
Dependencia presenteLa aplicación contiene una librería o clienteQue se ejecute o transmita datos
Configuración previstaExiste una variable o ruta para habilitar el servicioQue la variable tenga valor en producción
Habilitado en ejecuciónLa configuración permite inicializarlo en ese entornoQue una persona concreta haya activado la función
Condición cumplidaExiste consentimiento, acción voluntaria o evento operativo necesarioQue la transmisión haya concluido correctamente
Transmisión efectivaSe ha realizado una petición al terceroQue el tercero reciba más campos que los incluidos en esa petición

3. Inventario maestro auditado

Proveedor o integraciónFunción observadaCondición de activaciónExposición máxima prevista
SupabaseAutenticación, PostgreSQL, almacenamiento y funciones asociadasConfiguración estructural de la PlataformaDatos de cuenta, expedientes, documentos y registros según permiso y función
VercelAlojamiento, CDN y ejecución de la aplicación Next.jsPrestación técnica del sitio desplegadoSolicitud web, IP, cabeceras y metadatos operativos
ResendCorreo transaccional, soporte y alertasClave y remitente configurados más un evento de envíoDestinatario, asunto, cuerpo y metadatos de entrega necesarios
SentryDiagnóstico de errores en cliente, servidor y edgeDSN configurado; en cliente, además consentimiento analíticoEvento técnico saneado, versión y traza limitada
PostHogAnalítica de producto y recorridoClave y host configurados más consentimiento analíticoEventos permitidos y propiedades saneadas
Google Analytics 4Medición de páginas públicas y conversiones segurasID válido más consentimiento analíticoRuta pública, título y eventos predefinidos
Vercel AnalyticsMétricas de audiencia o rendimientoBandera expresa más consentimiento analíticoTelemetría técnica definida por el servicio
PlausibleMétrica agregada de páginas públicas y cuatro eventos definidosEntorno habilitado y ruta públicaRuta sin consulta y evento predefinido
Google Maps / PlacesMapa de oficina y consulta de reputación o ubicaciónCarga solicitada por la persona o proceso servidor expresamente configuradoIP y petición técnica; consulta o identificador del lugar
WhatsAppContacto externo voluntarioLa persona abre el enlace o inicia la conversaciónNúmero, perfil, metadatos y contenido que decida enviar
FlightAware AeroAPI / AviationstackPrecomprobación operativa de vuelosServicio de vuelos habilitado, proveedor configurado y consulta válidaNúmero, fecha y parámetros operativos del vuelo; no el expediente completo
Webhook de alertas de seguridadAvisos operativos a un destino controladoURL configurada y alerta que supera reglas y límitesResumen mínimo del evento de seguridad, sin credenciales

4. Cómo se determina el rol jurídico

Un mismo tercero puede actuar como encargado para una operación y como responsable para otra. Se examina finalidad por finalidad quién decide los medios esenciales, si existe reutilización propia, qué instrucciones son vinculantes y qué datos se comunican realmente.

La AEPD ha reiterado en 2026 que la realidad material prevalece sobre la etiqueta contractual. Por ello, este registro usa calificaciones prudentes y sujetas a verificación contractual, especialmente en analítica, servicios de Google, mensajería y fuentes externas de datos.

5. Mapa de roles por operación

OperaciónCalificación de trabajoComprobación necesaria
Alojamiento, base de datos y correo por instruccionesEncargado del tratamientoDPA aplicable, alcance, instrucciones y subencargados
Analítica configurada por SINPLEITOSEncargado o relación específica del productoTérminos del servicio, ajustes de compartición y consentimiento
Canal externo abierto voluntariamenteSINPLEITOS y proveedor tratan ámbitos distintos; el proveedor puede actuar con finalidades propiasAviso antes de salir, política del canal y minimización del mensaje
Fuente de datos operativosProveedor técnico o fuente independiente según contratoParámetros enviados, licencia, reutilización y soporte
Afiliado en sus propios canalesResponsable independiente de su captaciónNo confundirlo con un subencargado con acceso al expediente

6. Supabase: núcleo de datos y autenticación

La aplicación utiliza el cliente de Supabase para autenticación y acceso a servicios de base de datos y almacenamiento. Por la naturaleza de esas funciones, puede alojar datos de cuenta, perfil, expedientes, documentos, comunicaciones, evidencias de aceptación y registros operativos conforme al modelo de datos y los permisos aplicables.

Los controles observados incluyen separación entre clave pública y credenciales de servidor, políticas de acceso a nivel de fila, comprobaciones de rol, rutas servidoras y enlaces firmados de duración limitada. La región concreta, el DPA vinculante, la lista de subencargados aplicable y las opciones de soporte deben verificarse en la cuenta contratada; la página pública de Supabase aclara además que su DPA debe formalizarse desde el panel para ser vinculante.

7. Vercel: alojamiento y ejecución

Vercel aparece como plataforma de despliegue de la aplicación. En esa función puede procesar solicitudes HTTP, IP, cabeceras, rutas, registros técnicos y datos que atraviesen funciones de servidor para prestar, proteger y diagnosticar el servicio.

La analítica de Vercel es una función distinta del alojamiento: el código exige una bandera específica y consentimiento analítico antes de renderizarla. El DPA público de Vercel contempla subencargados, asistencia, seguridad, devolución o supresión y mecanismos internacionales; la cobertura concreta depende del plan y acuerdo aplicables.

8. Resend: correo transaccional

Resend se utiliza desde servidor para notificaciones, tickets de contacto y alertas de seguridad cuando existen las claves y direcciones necesarias. Cada envío puede incluir destinatario, remitente, respuesta, asunto, plantilla, variables y metadatos técnicos de entrega.

La regla de minimización es no trasladar un expediente completo por comodidad. Los mensajes deben contener solo lo necesario para informar, pedir una actuación o entregar un enlace controlado. El DPA público de Resend ofrece autorización general de subencargados, aviso previo de cambios y mecanismos para transferencias; la lista publicada debe revisarse porque puede variar.

9. Sentry: observabilidad con filtrado

Sentry está integrado para cliente, servidor y edge, pero solo se inicializa si existe DSN. En navegador se añade una segunda condición: consentimiento analítico. La observabilidad de servidor y edge puede operar sin cookies para detectar fallos técnicos cuando está configurada.

La configuración auditada fija envío de PII por defecto en falso, muestreo de trazas en cero cuando no se define otro valor, límites de profundidad y longitud, y filtros previos para errores, transacciones y breadcrumbs. Esos controles reducen el riesgo, pero no sustituyen la revisión continua de mensajes de error para impedir que un campo libre, token, documento o URL sensible llegue a la telemetría.

10. PostHog: analítica de producto consentida

PostHog solo puede inicializarse cuando existen clave y host y la persona ha permitido analítica. La configuración observada desactiva autocaptura, grabación de sesión, encuestas y experimentos; evita capturar páginas automáticamente; comienza en opt-out; y limita los perfiles a usuarios identificados.

Antes de enviar, las propiedades pasan por listas y funciones de saneamiento que excluyen claves sensibles, reducen URLs y limitan longitudes. La revocación cancela colas, limpia el estado del navegador y solicita el opt-out. La región del proyecto, el DPA formalizado, las funciones opcionales y cualquier capacidad de IA deben comprobarse en la cuenta; no se consideran activadas por estar descritas por el proveedor.

11. Google Analytics 4: medición limitada

Google Analytics 4 requiere un identificador de medición válido y consentimiento analítico. Antes de cargar el script se establece consentimiento denegado por defecto y redacción de datos publicitarios; la configuración desactiva Google Signals y las señales de personalización publicitaria y evita el pageview automático.

Los pageviews se restringen a rutas públicas y se construyen sin la cadena de consulta. Los eventos adicionales usan nombres y parámetros controlados. No deben enviarse correos, teléfonos, DNI, contenido jurídico, rutas privadas ni texto libre. La calificación contractual debe atender a los términos de medición y a los ajustes reales de compartición de la propiedad.

12. Vercel Analytics y Plausible: funciones separadas

Vercel Analytics permanece deshabilitado si no existe la bandera expresa y, aun habilitado, no se renderiza sin consentimiento analítico. No debe confundirse con el alojamiento imprescindible de Vercel.

Plausible se ha configurado para métricas de páginas públicas, sin autocaptura de páginas, enlaces salientes, descargas ni formularios. El código solo envía la ruta sin consulta y cuatro eventos cerrados. Se utiliza como medición agregada y sin almacenamiento local diseñado por SINPLEITOS; si su configuración, script o capacidad cambiara, deberá reevaluarse el consentimiento y actualizarse este registro.

13. Google Maps y Places: carga bajo petición

El mapa de oficina no se carga al entrar en la página. Primero se muestra un aviso y solo después de que la persona pulse cargar se crea el iframe de Google Maps. También existe un enlace externo que abre Google en una pestaña separada.

La consulta servidor de Places utiliza una clave no pública y un identificador fijo del lugar para funciones concretas. Google documenta que las peticiones de Maps pueden generar registros con identificador de cuenta o proyecto, IP, estado y datos de la solicitud. No se utiliza el mapa para crear un historial de ubicación de clientes.

14. WhatsApp: canal externo y voluntario

Los botones de WhatsApp no insertan automáticamente un servicio de mensajería en la página: conducen a un canal externo cuando la persona decide abrirlo. A partir de ese momento, WhatsApp puede tratar número, perfil, dispositivo, metadatos y comunicaciones conforme a sus propias condiciones, además del tratamiento que SINPLEITOS realiza para atender la consulta.

No debe enviarse por WhatsApp documentación completa, credenciales o información innecesaria cuando exista un canal más adecuado. El contacto por este medio no autoriza comunicaciones comerciales no solicitadas ni elimina los deberes de información, seguridad y conservación.

15. FlightAware AeroAPI y Aviationstack

La precomprobación de vuelos elige AeroAPI cuando así se configura o existe su clave; en otro caso puede utilizar Aviationstack. La consulta se ejecuta desde servidor y usa número de vuelo, fecha y parámetros operativos. No necesita remitir nombre, DNI, teléfono, documentación de viaje ni contenido del expediente.

Los resultados pueden guardarse temporalmente en caché para limitar consultas y estabilizar la respuesta. Son datos operativos auxiliares: no sustituyen la revisión jurídica, no prueban por sí solos el derecho a compensación y deben contrastarse cuando exista discrepancia. FlightAware publica una política global y mecanismos como cláusulas tipo o normas corporativas vinculantes; el contrato concreto de la API y el proveedor seleccionado siguen sujetos a revisión interna.

16. Webhook de alertas de seguridad

La aplicación prevé un destino configurable para alertas de seguridad. Si no existe URL no hay envío. Si existe, la salida está limitada por presupuesto de canal, reglas de severidad y una función que construye el mensaje; el correo puede actuar como alternativa cuando el webhook falla.

Antes de habilitar un destino se debe identificar al receptor real, autenticar la comunicación cuando sea posible, limitar los campos y prohibir secretos, tokens, documentos o datos de expediente. Un webhook genérico no debe considerarse proveedor aprobado hasta que su titular, contrato, ubicación y finalidad estén registrados.

17. Matriz de minimización obligatoria

FlujoPuede ser necesarioDebe excluirse salvo justificación específica
Base de datos y almacenamientoDato del expediente y documento aportadoCopias duplicadas sin finalidad o accesos generales
CorreoDirección, plantilla y variables mínimasExpediente completo, contraseña, token o adjunto no solicitado
ObservabilidadTipo de error, versión, traza saneadaDNI, contrato, contenido del chat o URL con identificadores
AnalíticaEvento cerrado, ruta pública y contexto seudónimoCampos libres, documentos, datos jurídicos o identidad civil
VueloNúmero, fecha, aeropuertos y estado operativoPasajero, DNI, tarjeta de embarque o datos financieros
MapaLugar fijo, petición técnica o texto necesarioHistorial de ubicaciones o dirección de clientes
WebhookCódigo de evento, severidad y resumen controladoObjeto completo de la base de datos o credenciales

18. Contenido mínimo del encargo

  • Objeto, duración, naturaleza y finalidad de las operaciones.
  • Tipos de datos y categorías de personas afectadas.
  • Tratamiento únicamente bajo instrucciones documentadas.
  • Confidencialidad de personal y accesos por necesidad.
  • Medidas técnicas y organizativas adecuadas al riesgo.
  • Asistencia en derechos, incidentes, evaluaciones y consultas.
  • Autorización, información y obligaciones de subencargados.
  • Condiciones y garantías de las transferencias internacionales.
  • Devolución, supresión y tratamiento de copias de seguridad al terminar.
  • Información, auditorías o certificaciones suficientes para demostrar cumplimiento.

19. Evaluación antes de contratar o activar

BloqueEvidencia mínima
NecesidadFinalidad, alternativa considerada, proporcionalidad y responsable interno
DatosCampos exactos, personas afectadas, origen, frecuencia y retención
RolAnálisis funcional por operación y reutilizaciones propias
ContratoDPA aplicable, instrucciones, derechos, incidentes, devolución y auditoría
SeguridadAccesos, cifrado, registros, continuidad, pruebas y canal de incidentes
UbicaciónRegión principal, soporte remoto, copias y países de subencargados
TransferenciaMecanismo, evaluación y medidas complementarias cuando procedan
SalidaFormato de exportación, dependencia, revocación y certificado o evidencia de borrado
AprobaciónFecha, alcance, riesgos aceptados, propietario y próxima revisión

20. Subencargados y cambios

Los DPA públicos consultados de varios proveedores contemplan autorización general, listas de subencargados y mecanismos de notificación u objeción. Eso no basta si SINPLEITOS no mantiene una vía práctica para recibir los avisos y decidir dentro del plazo contractual.

Cada cambio material se analiza por función, país, acceso, clase de datos y posibilidad de sustitución. La falta de objeción automática no debe sustituir una revisión. Si el nuevo subencargado eleva el riesgo sin garantías suficientes, se limita la función, se solicita una alternativa o se prepara la salida.

21. Transferencias internacionales

SupuestoBase posibleControl previo
País o sector adecuadoDecisión de adecuación del artículo 45 RGPDComprobar entidad, alcance y vigencia
Sin adecuaciónCláusulas contractuales tipo u otra garantía del artículo 46Evaluar legislación, acceso público y medidas complementarias
Grupo con normas aprobadasNormas corporativas vinculantesConfirmar empresas, tratamientos y países cubiertos
Situación excepcionalExcepción limitada del artículo 49No convertirla en solución repetitiva; informar y documentar
Soporte remotoPuede constituir transferencia aunque el dato se aloje en EuropaRevisar accesos, registros, cifrado y necesidad

22. Región, residencia y acceso remoto

La región elegida para almacenar no responde por sí sola dónde puede tratarse la información. La revisión comprende administración remota, soporte, telemetría, recuperación ante desastres, copias y subencargados.

Cuando el producto permita escoger región, la decisión debe quedar registrada en la cuenta y en el inventario interno. Esta página no atribuye una región concreta a Supabase, Vercel, PostHog u otro servicio porque el repositorio no permite verificar la configuración contractual de producción.

23. Seguridad exigida según el flujo

RiesgoControl esperado
Acceso no autorizadoMínimo privilegio, MFA cuando esté disponible, cuentas nominativas y revisión de permisos
IntercepciónTLS, gestión de secretos y prohibición de credenciales en navegador o registros
Exceso de datosEsquemas de salida, allowlists, saneamiento y pruebas con datos no reales
Pérdida o corrupciónCopias, restauración probada, integridad y continuidad
Abuso de APILímites, caché, tiempos máximos, presupuesto y monitorización
Fuga por soporteAcceso temporal, aprobación, trazabilidad y reducción del contexto
Cambio silenciosoAvisos contractuales, revisión de versiones y propietario de proveedor

24. Conservación en proveedores

La conservación del proveedor no debe superar la finalidad de SINPLEITOS por defecto. Deben configurarse, cuando existan, retención de eventos, registros, correos, archivos, copias y cuentas de usuario. La caducidad de un enlace o caché no equivale a la supresión de la fuente original.

Al atender una supresión se localizan las copias activas y se documenta el ciclo de copias de seguridad. Las obligaciones legales de bloqueo pueden impedir la eliminación inmediata de una evidencia concreta, pero no autorizan su uso ordinario. Los criterios generales se detallan en la Política de conservación y supresión de datos.

25. Derechos de las personas

La solicitud se presenta ante SINPLEITOS cuando el tercero trata datos por sus instrucciones. Se identifica en qué sistemas existe el dato y se comunica al proveedor solo lo necesario para localizar, exportar, rectificar, limitar o suprimir.

Si el tercero actúa como responsable independiente para una operación propia, puede ser necesario ejercer esa parte directamente ante él. SINPLEITOS informará de esa circunstancia y no remitirá indiscriminadamente identidad o documentación a todos los proveedores para buscar coincidencias.

26. Gestión de incidentes de proveedor

FaseActuación
DetecciónRegistrar hora, fuente, servicio, entorno y fiabilidad del aviso
ContenciónRevocar claves, limitar integración, aislar flujo o activar alternativa
AlcanceDeterminar datos, personas, periodo, países, subencargados y copias
RiesgoValorar confidencialidad, integridad, disponibilidad y consecuencias
NotificaciónCoordinar información suficiente para cumplir plazos legales aplicables
RecuperaciónRestaurar de forma controlada y vigilar recurrencias
CierreConservar cronología, causa, decisiones, remediación y revisión contractual

27. Baja, sustitución y portabilidad

  • Inventariar datos activos, registros, copias, integraciones y usuarios del proveedor.
  • Exportar en formato utilizable y verificar integridad antes de cancelar.
  • Rotar o revocar claves, tokens, webhooks, cuentas de servicio y accesos humanos.
  • Desactivar llamadas en código, variables, tareas y políticas de red.
  • Solicitar devolución o supresión conforme al contrato y registrar la respuesta.
  • Considerar el ciclo de backups y cualquier obligación de bloqueo.
  • Actualizar privacidad, cookies, seguridad, inventario, fuentes y fecha de corte.
  • Comprobar que no queda tráfico residual después de la migración.

28. Cambios que obligan a reevaluar

  • Nueva finalidad o categoría de datos.
  • Activación de grabación, autocaptura, publicidad, IA o perfilado antes deshabilitados.
  • Cambio de región, entidad contratante o país de soporte.
  • Nuevo subencargado con acceso material.
  • Uso de campos libres o documentos donde antes solo había eventos cerrados.
  • Modificación relevante del DPA, política, retención o mecanismo de transferencia.
  • Incidente, requerimiento de autoridad o evidencia de uso incompatible.
  • Paso de prueba sin datos reales a producción.

29. Controles técnicos comprobados en el repositorio

IntegraciónControl observadoLímite de la comprobación
PostHogConsentimiento, autocaptura y grabación desactivadas, saneamiento y limpieza al revocarNo confirma región, plan ni ajustes del panel
Google AnalyticsConsentimiento denegado por defecto, sin Signals ni personalización, rutas públicas sin consultaNo confirma enlaces o compartición configurados en la propiedad
Vercel AnalyticsBandera expresa y renderizado posterior al consentimientoNo confirma que la bandera esté activa en producción
PlausibleRutas públicas, eventos cerrados y captura automática desactivadaNo confirma ajustes de la cuenta alojada
SentryDSN obligatorio, cliente consentido, PII por defecto desactivada y filtros beforeSendNo garantiza que todo mensaje de error futuro esté libre de datos
Google MapsCarga diferida tras acción expresaEl enlace externo queda sujeto a Google
VuelosConsulta servidor y parámetros operativos con caché y timeoutsNo confirma cuál de los dos proveedores está seleccionado en producción
ResendClave y remitentes necesarios antes de enviarNo acredita por código el DPA o subencargados aceptados

30. Qué no puede demostrar una auditoría de código

  • Que una variable tenga valor real en producción.
  • La región, plan, cuenta o entidad jurídica contratada.
  • Que el DPA haya sido firmado o incorporado válidamente.
  • Los ajustes realizados directamente en paneles externos.
  • La lista histórica de subencargados aplicable en cada fecha.
  • El contenido de registros conservados por el proveedor fuera de la aplicación.
  • La ejecución continua de tareas operativas o revisiones humanas.
  • La ausencia absoluta de accesos legales obligatorios en terceros países.

31. Transparencia, correcciones y contacto

Si detectas un proveedor no descrito, una finalidad imprecisa o tráfico que contradiga este registro, puedes escribir a privacidad@sinpleitos.es indicando página, fecha, servicio observado y, si es posible, evidencia técnica sin incluir credenciales. Se investigará la diferencia entre código, configuración y transmisión real.

Una corrección material debe actualizar la versión, fecha de corte y documentos relacionados. Las cuestiones de seguridad que puedan facilitar un ataque deben remitirse por el canal de reporte de vulnerabilidades, no publicarse junto con secretos o instrucciones de explotación.

32. Enlaces externos que no son una integración embebida

La Plataforma contiene enlaces voluntarios a Google, Trustpilot, WhatsApp y redes sociales para consultar ubicaciones, publicar una reseña o compartir contenido. Mientras sean enlaces ordinarios y no se cargue un SDK, píxel, iframe o recurso del tercero, su mera presencia no comunica el expediente ni convierte a ese destino en subencargado de SINPLEITOS.

La conexión se produce cuando la persona pulsa y abandona la Plataforma. El destino puede recibir IP, navegador, página de procedencia según la política de referrer y datos de la cuenta con la que la persona ya estuviera identificada. Por eso los enlaces externos deben abrirse con protecciones adecuadas y no deben incorporar a la URL nombres, correos, identificadores de caso, códigos secretos ni contenido de la reclamación.

33. Historial y revisión periódica

PROV-2026.3 sustituye la lista resumida anterior por una auditoría por proveedor, estados de activación, controles comprobados, límites de evidencia y procedimientos de alta, cambio, incidente y salida.

El inventario debe revisarse al menos cuando se despliega una integración material, cambia una finalidad, se recibe un aviso de subencargado, vence una garantía, ocurre un incidente o se modifica el flujo de datos. La fecha pública es una fotografía auditada, no una promesa de sincronización automática con cada panel externo.

Fuentes normativas y criterios de referencia

Estas fuentes se facilitan para permitir la comprobación del marco utilizado. La versión consolidada y aplicable en cada momento prevalece sobre esta síntesis.