Registro público de proveedores y privacidad
Última actualización: 11 de julio de 2026 · Referencia PROV-2026.3
Este registro explica qué proveedores e integraciones se han identificado al auditar la aplicación de sinpleitos, para qué pueden utilizarse y qué condiciones deben cumplirse antes de que exista una comunicación efectiva de datos. Que una dependencia esté instalada, una variable esté prevista o un dominio figure en la política de seguridad no demuestra por sí solo que el servicio esté activo ni que reciba datos de una persona concreta.
La revisión pública tiene fecha de corte de 11 de julio de 2026. Describe controles comprobables en el repositorio y garantías publicadas por los proveedores, pero no presenta como firmado un contrato, elegida una región o activado un servicio cuando esa circunstancia no puede acreditarse desde el código. Los roles se califican por cada operación real, no solo por el nombre del proveedor o del contrato.
1. Alcance y método de esta auditoría
La revisión ha contrastado dependencias instaladas, variables de entorno previstas, puertas de activación, llamadas de red, políticas de seguridad de contenidos, formularios, servicios de correo, telemetría y consultas externas. Después se han revisado las condiciones públicas de privacidad, DPA y subencargados disponibles de los proveedores principales.
El resultado es un registro de capacidades observadas y condiciones de uso. No sustituye el inventario contractual interno ni confirma por sí solo qué claves están configuradas en producción, qué plan se ha contratado o qué región se ha seleccionado.
2. Cinco estados que no deben confundirse
| Estado | Qué acredita | Qué no acredita |
|---|---|---|
| Dependencia presente | La aplicación contiene una librería o cliente | Que se ejecute o transmita datos |
| Configuración prevista | Existe una variable o ruta para habilitar el servicio | Que la variable tenga valor en producción |
| Habilitado en ejecución | La configuración permite inicializarlo en ese entorno | Que una persona concreta haya activado la función |
| Condición cumplida | Existe consentimiento, acción voluntaria o evento operativo necesario | Que la transmisión haya concluido correctamente |
| Transmisión efectiva | Se ha realizado una petición al tercero | Que el tercero reciba más campos que los incluidos en esa petición |
3. Inventario maestro auditado
| Proveedor o integración | Función observada | Condición de activación | Exposición máxima prevista |
|---|---|---|---|
| Supabase | Autenticación, PostgreSQL, almacenamiento y funciones asociadas | Configuración estructural de la Plataforma | Datos de cuenta, expedientes, documentos y registros según permiso y función |
| Vercel | Alojamiento, CDN y ejecución de la aplicación Next.js | Prestación técnica del sitio desplegado | Solicitud web, IP, cabeceras y metadatos operativos |
| Resend | Correo transaccional, soporte y alertas | Clave y remitente configurados más un evento de envío | Destinatario, asunto, cuerpo y metadatos de entrega necesarios |
| Sentry | Diagnóstico de errores en cliente, servidor y edge | DSN configurado; en cliente, además consentimiento analítico | Evento técnico saneado, versión y traza limitada |
| PostHog | Analítica de producto y recorrido | Clave y host configurados más consentimiento analítico | Eventos permitidos y propiedades saneadas |
| Google Analytics 4 | Medición de páginas públicas y conversiones seguras | ID válido más consentimiento analítico | Ruta pública, título y eventos predefinidos |
| Vercel Analytics | Métricas de audiencia o rendimiento | Bandera expresa más consentimiento analítico | Telemetría técnica definida por el servicio |
| Plausible | Métrica agregada de páginas públicas y cuatro eventos definidos | Entorno habilitado y ruta pública | Ruta sin consulta y evento predefinido |
| Google Maps / Places | Mapa de oficina y consulta de reputación o ubicación | Carga solicitada por la persona o proceso servidor expresamente configurado | IP y petición técnica; consulta o identificador del lugar |
| Contacto externo voluntario | La persona abre el enlace o inicia la conversación | Número, perfil, metadatos y contenido que decida enviar | |
| FlightAware AeroAPI / Aviationstack | Precomprobación operativa de vuelos | Servicio de vuelos habilitado, proveedor configurado y consulta válida | Número, fecha y parámetros operativos del vuelo; no el expediente completo |
| Webhook de alertas de seguridad | Avisos operativos a un destino controlado | URL configurada y alerta que supera reglas y límites | Resumen mínimo del evento de seguridad, sin credenciales |
4. Cómo se determina el rol jurídico
Un mismo tercero puede actuar como encargado para una operación y como responsable para otra. Se examina finalidad por finalidad quién decide los medios esenciales, si existe reutilización propia, qué instrucciones son vinculantes y qué datos se comunican realmente.
La AEPD ha reiterado en 2026 que la realidad material prevalece sobre la etiqueta contractual. Por ello, este registro usa calificaciones prudentes y sujetas a verificación contractual, especialmente en analítica, servicios de Google, mensajería y fuentes externas de datos.
5. Mapa de roles por operación
| Operación | Calificación de trabajo | Comprobación necesaria |
|---|---|---|
| Alojamiento, base de datos y correo por instrucciones | Encargado del tratamiento | DPA aplicable, alcance, instrucciones y subencargados |
| Analítica configurada por SINPLEITOS | Encargado o relación específica del producto | Términos del servicio, ajustes de compartición y consentimiento |
| Canal externo abierto voluntariamente | SINPLEITOS y proveedor tratan ámbitos distintos; el proveedor puede actuar con finalidades propias | Aviso antes de salir, política del canal y minimización del mensaje |
| Fuente de datos operativos | Proveedor técnico o fuente independiente según contrato | Parámetros enviados, licencia, reutilización y soporte |
| Afiliado en sus propios canales | Responsable independiente de su captación | No confundirlo con un subencargado con acceso al expediente |
6. Supabase: núcleo de datos y autenticación
La aplicación utiliza el cliente de Supabase para autenticación y acceso a servicios de base de datos y almacenamiento. Por la naturaleza de esas funciones, puede alojar datos de cuenta, perfil, expedientes, documentos, comunicaciones, evidencias de aceptación y registros operativos conforme al modelo de datos y los permisos aplicables.
Los controles observados incluyen separación entre clave pública y credenciales de servidor, políticas de acceso a nivel de fila, comprobaciones de rol, rutas servidoras y enlaces firmados de duración limitada. La región concreta, el DPA vinculante, la lista de subencargados aplicable y las opciones de soporte deben verificarse en la cuenta contratada; la página pública de Supabase aclara además que su DPA debe formalizarse desde el panel para ser vinculante.
7. Vercel: alojamiento y ejecución
Vercel aparece como plataforma de despliegue de la aplicación. En esa función puede procesar solicitudes HTTP, IP, cabeceras, rutas, registros técnicos y datos que atraviesen funciones de servidor para prestar, proteger y diagnosticar el servicio.
La analítica de Vercel es una función distinta del alojamiento: el código exige una bandera específica y consentimiento analítico antes de renderizarla. El DPA público de Vercel contempla subencargados, asistencia, seguridad, devolución o supresión y mecanismos internacionales; la cobertura concreta depende del plan y acuerdo aplicables.
8. Resend: correo transaccional
Resend se utiliza desde servidor para notificaciones, tickets de contacto y alertas de seguridad cuando existen las claves y direcciones necesarias. Cada envío puede incluir destinatario, remitente, respuesta, asunto, plantilla, variables y metadatos técnicos de entrega.
La regla de minimización es no trasladar un expediente completo por comodidad. Los mensajes deben contener solo lo necesario para informar, pedir una actuación o entregar un enlace controlado. El DPA público de Resend ofrece autorización general de subencargados, aviso previo de cambios y mecanismos para transferencias; la lista publicada debe revisarse porque puede variar.
9. Sentry: observabilidad con filtrado
Sentry está integrado para cliente, servidor y edge, pero solo se inicializa si existe DSN. En navegador se añade una segunda condición: consentimiento analítico. La observabilidad de servidor y edge puede operar sin cookies para detectar fallos técnicos cuando está configurada.
La configuración auditada fija envío de PII por defecto en falso, muestreo de trazas en cero cuando no se define otro valor, límites de profundidad y longitud, y filtros previos para errores, transacciones y breadcrumbs. Esos controles reducen el riesgo, pero no sustituyen la revisión continua de mensajes de error para impedir que un campo libre, token, documento o URL sensible llegue a la telemetría.
10. PostHog: analítica de producto consentida
PostHog solo puede inicializarse cuando existen clave y host y la persona ha permitido analítica. La configuración observada desactiva autocaptura, grabación de sesión, encuestas y experimentos; evita capturar páginas automáticamente; comienza en opt-out; y limita los perfiles a usuarios identificados.
Antes de enviar, las propiedades pasan por listas y funciones de saneamiento que excluyen claves sensibles, reducen URLs y limitan longitudes. La revocación cancela colas, limpia el estado del navegador y solicita el opt-out. La región del proyecto, el DPA formalizado, las funciones opcionales y cualquier capacidad de IA deben comprobarse en la cuenta; no se consideran activadas por estar descritas por el proveedor.
11. Google Analytics 4: medición limitada
Google Analytics 4 requiere un identificador de medición válido y consentimiento analítico. Antes de cargar el script se establece consentimiento denegado por defecto y redacción de datos publicitarios; la configuración desactiva Google Signals y las señales de personalización publicitaria y evita el pageview automático.
Los pageviews se restringen a rutas públicas y se construyen sin la cadena de consulta. Los eventos adicionales usan nombres y parámetros controlados. No deben enviarse correos, teléfonos, DNI, contenido jurídico, rutas privadas ni texto libre. La calificación contractual debe atender a los términos de medición y a los ajustes reales de compartición de la propiedad.
12. Vercel Analytics y Plausible: funciones separadas
Vercel Analytics permanece deshabilitado si no existe la bandera expresa y, aun habilitado, no se renderiza sin consentimiento analítico. No debe confundirse con el alojamiento imprescindible de Vercel.
Plausible se ha configurado para métricas de páginas públicas, sin autocaptura de páginas, enlaces salientes, descargas ni formularios. El código solo envía la ruta sin consulta y cuatro eventos cerrados. Se utiliza como medición agregada y sin almacenamiento local diseñado por SINPLEITOS; si su configuración, script o capacidad cambiara, deberá reevaluarse el consentimiento y actualizarse este registro.
13. Google Maps y Places: carga bajo petición
El mapa de oficina no se carga al entrar en la página. Primero se muestra un aviso y solo después de que la persona pulse cargar se crea el iframe de Google Maps. También existe un enlace externo que abre Google en una pestaña separada.
La consulta servidor de Places utiliza una clave no pública y un identificador fijo del lugar para funciones concretas. Google documenta que las peticiones de Maps pueden generar registros con identificador de cuenta o proyecto, IP, estado y datos de la solicitud. No se utiliza el mapa para crear un historial de ubicación de clientes.
14. WhatsApp: canal externo y voluntario
Los botones de WhatsApp no insertan automáticamente un servicio de mensajería en la página: conducen a un canal externo cuando la persona decide abrirlo. A partir de ese momento, WhatsApp puede tratar número, perfil, dispositivo, metadatos y comunicaciones conforme a sus propias condiciones, además del tratamiento que SINPLEITOS realiza para atender la consulta.
No debe enviarse por WhatsApp documentación completa, credenciales o información innecesaria cuando exista un canal más adecuado. El contacto por este medio no autoriza comunicaciones comerciales no solicitadas ni elimina los deberes de información, seguridad y conservación.
15. FlightAware AeroAPI y Aviationstack
La precomprobación de vuelos elige AeroAPI cuando así se configura o existe su clave; en otro caso puede utilizar Aviationstack. La consulta se ejecuta desde servidor y usa número de vuelo, fecha y parámetros operativos. No necesita remitir nombre, DNI, teléfono, documentación de viaje ni contenido del expediente.
Los resultados pueden guardarse temporalmente en caché para limitar consultas y estabilizar la respuesta. Son datos operativos auxiliares: no sustituyen la revisión jurídica, no prueban por sí solos el derecho a compensación y deben contrastarse cuando exista discrepancia. FlightAware publica una política global y mecanismos como cláusulas tipo o normas corporativas vinculantes; el contrato concreto de la API y el proveedor seleccionado siguen sujetos a revisión interna.
16. Webhook de alertas de seguridad
La aplicación prevé un destino configurable para alertas de seguridad. Si no existe URL no hay envío. Si existe, la salida está limitada por presupuesto de canal, reglas de severidad y una función que construye el mensaje; el correo puede actuar como alternativa cuando el webhook falla.
Antes de habilitar un destino se debe identificar al receptor real, autenticar la comunicación cuando sea posible, limitar los campos y prohibir secretos, tokens, documentos o datos de expediente. Un webhook genérico no debe considerarse proveedor aprobado hasta que su titular, contrato, ubicación y finalidad estén registrados.
17. Matriz de minimización obligatoria
| Flujo | Puede ser necesario | Debe excluirse salvo justificación específica |
|---|---|---|
| Base de datos y almacenamiento | Dato del expediente y documento aportado | Copias duplicadas sin finalidad o accesos generales |
| Correo | Dirección, plantilla y variables mínimas | Expediente completo, contraseña, token o adjunto no solicitado |
| Observabilidad | Tipo de error, versión, traza saneada | DNI, contrato, contenido del chat o URL con identificadores |
| Analítica | Evento cerrado, ruta pública y contexto seudónimo | Campos libres, documentos, datos jurídicos o identidad civil |
| Vuelo | Número, fecha, aeropuertos y estado operativo | Pasajero, DNI, tarjeta de embarque o datos financieros |
| Mapa | Lugar fijo, petición técnica o texto necesario | Historial de ubicaciones o dirección de clientes |
| Webhook | Código de evento, severidad y resumen controlado | Objeto completo de la base de datos o credenciales |
18. Contenido mínimo del encargo
- Objeto, duración, naturaleza y finalidad de las operaciones.
- Tipos de datos y categorías de personas afectadas.
- Tratamiento únicamente bajo instrucciones documentadas.
- Confidencialidad de personal y accesos por necesidad.
- Medidas técnicas y organizativas adecuadas al riesgo.
- Asistencia en derechos, incidentes, evaluaciones y consultas.
- Autorización, información y obligaciones de subencargados.
- Condiciones y garantías de las transferencias internacionales.
- Devolución, supresión y tratamiento de copias de seguridad al terminar.
- Información, auditorías o certificaciones suficientes para demostrar cumplimiento.
19. Evaluación antes de contratar o activar
| Bloque | Evidencia mínima |
|---|---|
| Necesidad | Finalidad, alternativa considerada, proporcionalidad y responsable interno |
| Datos | Campos exactos, personas afectadas, origen, frecuencia y retención |
| Rol | Análisis funcional por operación y reutilizaciones propias |
| Contrato | DPA aplicable, instrucciones, derechos, incidentes, devolución y auditoría |
| Seguridad | Accesos, cifrado, registros, continuidad, pruebas y canal de incidentes |
| Ubicación | Región principal, soporte remoto, copias y países de subencargados |
| Transferencia | Mecanismo, evaluación y medidas complementarias cuando procedan |
| Salida | Formato de exportación, dependencia, revocación y certificado o evidencia de borrado |
| Aprobación | Fecha, alcance, riesgos aceptados, propietario y próxima revisión |
20. Subencargados y cambios
Los DPA públicos consultados de varios proveedores contemplan autorización general, listas de subencargados y mecanismos de notificación u objeción. Eso no basta si SINPLEITOS no mantiene una vía práctica para recibir los avisos y decidir dentro del plazo contractual.
Cada cambio material se analiza por función, país, acceso, clase de datos y posibilidad de sustitución. La falta de objeción automática no debe sustituir una revisión. Si el nuevo subencargado eleva el riesgo sin garantías suficientes, se limita la función, se solicita una alternativa o se prepara la salida.
21. Transferencias internacionales
| Supuesto | Base posible | Control previo |
|---|---|---|
| País o sector adecuado | Decisión de adecuación del artículo 45 RGPD | Comprobar entidad, alcance y vigencia |
| Sin adecuación | Cláusulas contractuales tipo u otra garantía del artículo 46 | Evaluar legislación, acceso público y medidas complementarias |
| Grupo con normas aprobadas | Normas corporativas vinculantes | Confirmar empresas, tratamientos y países cubiertos |
| Situación excepcional | Excepción limitada del artículo 49 | No convertirla en solución repetitiva; informar y documentar |
| Soporte remoto | Puede constituir transferencia aunque el dato se aloje en Europa | Revisar accesos, registros, cifrado y necesidad |
22. Región, residencia y acceso remoto
La región elegida para almacenar no responde por sí sola dónde puede tratarse la información. La revisión comprende administración remota, soporte, telemetría, recuperación ante desastres, copias y subencargados.
Cuando el producto permita escoger región, la decisión debe quedar registrada en la cuenta y en el inventario interno. Esta página no atribuye una región concreta a Supabase, Vercel, PostHog u otro servicio porque el repositorio no permite verificar la configuración contractual de producción.
23. Seguridad exigida según el flujo
| Riesgo | Control esperado |
|---|---|
| Acceso no autorizado | Mínimo privilegio, MFA cuando esté disponible, cuentas nominativas y revisión de permisos |
| Intercepción | TLS, gestión de secretos y prohibición de credenciales en navegador o registros |
| Exceso de datos | Esquemas de salida, allowlists, saneamiento y pruebas con datos no reales |
| Pérdida o corrupción | Copias, restauración probada, integridad y continuidad |
| Abuso de API | Límites, caché, tiempos máximos, presupuesto y monitorización |
| Fuga por soporte | Acceso temporal, aprobación, trazabilidad y reducción del contexto |
| Cambio silencioso | Avisos contractuales, revisión de versiones y propietario de proveedor |
24. Conservación en proveedores
La conservación del proveedor no debe superar la finalidad de SINPLEITOS por defecto. Deben configurarse, cuando existan, retención de eventos, registros, correos, archivos, copias y cuentas de usuario. La caducidad de un enlace o caché no equivale a la supresión de la fuente original.
Al atender una supresión se localizan las copias activas y se documenta el ciclo de copias de seguridad. Las obligaciones legales de bloqueo pueden impedir la eliminación inmediata de una evidencia concreta, pero no autorizan su uso ordinario. Los criterios generales se detallan en la Política de conservación y supresión de datos.
25. Derechos de las personas
La solicitud se presenta ante SINPLEITOS cuando el tercero trata datos por sus instrucciones. Se identifica en qué sistemas existe el dato y se comunica al proveedor solo lo necesario para localizar, exportar, rectificar, limitar o suprimir.
Si el tercero actúa como responsable independiente para una operación propia, puede ser necesario ejercer esa parte directamente ante él. SINPLEITOS informará de esa circunstancia y no remitirá indiscriminadamente identidad o documentación a todos los proveedores para buscar coincidencias.
26. Gestión de incidentes de proveedor
| Fase | Actuación |
|---|---|
| Detección | Registrar hora, fuente, servicio, entorno y fiabilidad del aviso |
| Contención | Revocar claves, limitar integración, aislar flujo o activar alternativa |
| Alcance | Determinar datos, personas, periodo, países, subencargados y copias |
| Riesgo | Valorar confidencialidad, integridad, disponibilidad y consecuencias |
| Notificación | Coordinar información suficiente para cumplir plazos legales aplicables |
| Recuperación | Restaurar de forma controlada y vigilar recurrencias |
| Cierre | Conservar cronología, causa, decisiones, remediación y revisión contractual |
27. Baja, sustitución y portabilidad
- Inventariar datos activos, registros, copias, integraciones y usuarios del proveedor.
- Exportar en formato utilizable y verificar integridad antes de cancelar.
- Rotar o revocar claves, tokens, webhooks, cuentas de servicio y accesos humanos.
- Desactivar llamadas en código, variables, tareas y políticas de red.
- Solicitar devolución o supresión conforme al contrato y registrar la respuesta.
- Considerar el ciclo de backups y cualquier obligación de bloqueo.
- Actualizar privacidad, cookies, seguridad, inventario, fuentes y fecha de corte.
- Comprobar que no queda tráfico residual después de la migración.
28. Cambios que obligan a reevaluar
- Nueva finalidad o categoría de datos.
- Activación de grabación, autocaptura, publicidad, IA o perfilado antes deshabilitados.
- Cambio de región, entidad contratante o país de soporte.
- Nuevo subencargado con acceso material.
- Uso de campos libres o documentos donde antes solo había eventos cerrados.
- Modificación relevante del DPA, política, retención o mecanismo de transferencia.
- Incidente, requerimiento de autoridad o evidencia de uso incompatible.
- Paso de prueba sin datos reales a producción.
29. Controles técnicos comprobados en el repositorio
| Integración | Control observado | Límite de la comprobación |
|---|---|---|
| PostHog | Consentimiento, autocaptura y grabación desactivadas, saneamiento y limpieza al revocar | No confirma región, plan ni ajustes del panel |
| Google Analytics | Consentimiento denegado por defecto, sin Signals ni personalización, rutas públicas sin consulta | No confirma enlaces o compartición configurados en la propiedad |
| Vercel Analytics | Bandera expresa y renderizado posterior al consentimiento | No confirma que la bandera esté activa en producción |
| Plausible | Rutas públicas, eventos cerrados y captura automática desactivada | No confirma ajustes de la cuenta alojada |
| Sentry | DSN obligatorio, cliente consentido, PII por defecto desactivada y filtros beforeSend | No garantiza que todo mensaje de error futuro esté libre de datos |
| Google Maps | Carga diferida tras acción expresa | El enlace externo queda sujeto a Google |
| Vuelos | Consulta servidor y parámetros operativos con caché y timeouts | No confirma cuál de los dos proveedores está seleccionado en producción |
| Resend | Clave y remitentes necesarios antes de enviar | No acredita por código el DPA o subencargados aceptados |
30. Qué no puede demostrar una auditoría de código
- Que una variable tenga valor real en producción.
- La región, plan, cuenta o entidad jurídica contratada.
- Que el DPA haya sido firmado o incorporado válidamente.
- Los ajustes realizados directamente en paneles externos.
- La lista histórica de subencargados aplicable en cada fecha.
- El contenido de registros conservados por el proveedor fuera de la aplicación.
- La ejecución continua de tareas operativas o revisiones humanas.
- La ausencia absoluta de accesos legales obligatorios en terceros países.
31. Transparencia, correcciones y contacto
Si detectas un proveedor no descrito, una finalidad imprecisa o tráfico que contradiga este registro, puedes escribir a privacidad@sinpleitos.es indicando página, fecha, servicio observado y, si es posible, evidencia técnica sin incluir credenciales. Se investigará la diferencia entre código, configuración y transmisión real.
Una corrección material debe actualizar la versión, fecha de corte y documentos relacionados. Las cuestiones de seguridad que puedan facilitar un ataque deben remitirse por el canal de reporte de vulnerabilidades, no publicarse junto con secretos o instrucciones de explotación.
32. Enlaces externos que no son una integración embebida
La Plataforma contiene enlaces voluntarios a Google, Trustpilot, WhatsApp y redes sociales para consultar ubicaciones, publicar una reseña o compartir contenido. Mientras sean enlaces ordinarios y no se cargue un SDK, píxel, iframe o recurso del tercero, su mera presencia no comunica el expediente ni convierte a ese destino en subencargado de SINPLEITOS.
La conexión se produce cuando la persona pulsa y abandona la Plataforma. El destino puede recibir IP, navegador, página de procedencia según la política de referrer y datos de la cuenta con la que la persona ya estuviera identificada. Por eso los enlaces externos deben abrirse con protecciones adecuadas y no deben incorporar a la URL nombres, correos, identificadores de caso, códigos secretos ni contenido de la reclamación.
33. Historial y revisión periódica
PROV-2026.3 sustituye la lista resumida anterior por una auditoría por proveedor, estados de activación, controles comprobados, límites de evidencia y procedimientos de alta, cambio, incidente y salida.
El inventario debe revisarse al menos cuando se despliega una integración material, cambia una finalidad, se recibe un aviso de subencargado, vence una garantía, ocurre un incidente o se modifica el flujo de datos. La fecha pública es una fotografía auditada, no una promesa de sincronización automática con cada panel externo.
Documentos relacionados
Fuentes normativas y criterios de referencia
Estas fuentes se facilitan para permitir la comprobación del marco utilizado. La versión consolidada y aplicable en cada momento prevalece sobre esta síntesis.
- AEPD: delimitación funcional entre responsable y encargado en ecosistemas tecnológicos (2026)
- AEPD: contenido del contrato de encargo de tratamiento
- AEPD: directrices para contratos entre responsables y encargados
- AEPD: mecanismos para transferencias internacionales
- RGPD, artículos 28, 32 y 44 a 49
- Supabase: información y acceso al Data Processing Addendum
- Supabase: política de privacidad y distinción entre datos propios y Customer Data
- Vercel: Data Processing Addendum
- Resend: Data Processing Addendum
- Resend: lista pública de subencargados
- Sentry: Data Processing Addendum
- Sentry: lista pública de subencargados
- PostHog: Data Processing Agreement y condiciones de formalización
- PostHog: lista pública de subencargados
- Plausible Analytics: Data Processing Agreement
- Plausible Analytics: seguridad, cumplimiento y subencargados
- Google Analytics: protección de datos y función de encargado bajo RGPD
- Google Analytics: prohibición y prevención del envío de información identificable
- Google Maps Platform: seguridad, registros, uso y conservación
- WhatsApp Business: política aplicable a empresas
- FlightAware: política de privacidad y mecanismos internacionales