Borrador pendiente de revisión legal. Documento de trabajo; debe ser revisado por un abogado especializado en protección de datos antes de su publicación. No constituye asesoramiento jurídico. Los enlaces a los DPAs de los proveedores apuntan a sus páginas oficiales; verifica la última versión antes de publicar.
Esta página recoge la lista actualizada de sub-encargados del tratamiento que utilizamos para prestar el servicio de STRENK. La publicamos en cumplimiento de los art. 28.2 y 28.4 del Reglamento (UE) 2016/679 (RGPD) y para que tanto usuarios como entrenadores tengan visibilidad sobre quién interviene en el tratamiento de los datos.
1. Qué es un sub-encargado y por qué publicamos esta lista
Un encargado del tratamiento es la entidad que trata datos personales por cuenta del responsable (en este caso, STRENK respecto a los datos de usuarios; o el entrenador respecto a los datos de sus clientes, con STRENK como encargado de éste).
Un sub-encargado es un proveedor del que se sirve un encargado para prestar el servicio. STRENK se apoya en sub-encargados para infraestructura, mensajería, observabilidad y otras funciones técnicas.
Esta lista se mantiene actualizada. Los cambios (altas o bajas de sub-encargados) se notifican con al menos 30 días de antelación a quienes hayan contratado el plan profesional/coach, conforme al apartado 4. Los usuarios consumer pueden suscribirse a un boletín de cambios contactando con [privacidad@strenk.app].
2. Sub-encargados actuales
Para cada proveedor se indica: finalidad, datos tratados, ubicación del tratamiento, mecanismo de transferencia internacional (si los datos salen del Espacio Económico Europeo) y enlace al DPA o términos de tratamiento de datos del proveedor.
2.1 Infraestructura y almacenamiento
| Proveedor | Finalidad | Datos tratados | Ubicación | Transferencia internacional | DPA |
|---|---|---|---|---|---|
| Supabase, Inc. | Base de datos, autenticación, almacenamiento de archivos (avatares, vídeos, fotos), Realtime | Todos los datos del usuario salvo los gestionados por sub-encargados específicos | UE (eu-west-1) por defecto; el plan elegido puede alojar metadatos de cuenta en EE. UU. | Cláusulas Contractuales Tipo (SCC) de la UE | supabase.com/legal/dpa |
| Vercel, Inc. | Hosting de la web (apps/web, apps/landing), CDN, ejecución de funciones edge | Tráfico HTTP, logs de acceso, datos de sesión | EE. UU. y red global de edge nodes | SCC + Data Privacy Framework (DPF) | vercel.com/legal/dpa |
2.2 Operaciones del servicio
| Proveedor | Finalidad | Datos tratados | Ubicación | Transferencia internacional | DPA |
|---|---|---|---|---|---|
| Expo (650 Industries, Inc.) | Envío de notificaciones push a dispositivos iOS y Android, builds y distribución de la app | Tokens de dispositivo, contenido de la notificación, metadatos de entrega | EE. UU. | SCC + DPF | expo.dev/eas/legal/dpa-eaa-uk |
| Resend, Inc. (cuando esté activo) | Envío de correos electrónicos transaccionales (verificación, restablecimiento de contraseña, avisos) | Dirección de correo, contenido del mensaje, metadatos de entrega | EE. UU. y UE | SCC | resend.com/legal/dpa |
2.3 IA y producto
| Proveedor | Finalidad | Datos tratados | Ubicación | Transferencia internacional | DPA |
|---|---|---|---|---|---|
| Anthropic PBC (cuando esté activo) | Funciones de IA (coach conversacional, generación de programas, análisis técnico de vídeo) | Texto de la consulta, contexto necesario para la respuesta. No usados para entrenar modelos según condiciones de API de Anthropic | EE. UU. | SCC + DPF | anthropic.com/legal/commercial-terms |
2.4 Observabilidad
| Proveedor | Finalidad | Datos tratados | Ubicación | Transferencia internacional | DPA |
|---|---|---|---|---|---|
| PostHog, Inc. (activo solo previo consentimiento) | Analítica de producto, feature flags | Eventos de uso, identificador interno, dispositivo, IP | UE (eu) en el plan cloud | Tratamiento dentro del EEE | posthog.com/dpa |
| Functional Software, Inc. (Sentry) (cuando esté activo) | Registro de errores en cliente y servidor | Stack trace, identificador interno, dispositivo, IP | EE. UU. | SCC + DPF | sentry.io/legal/dpa |
2.5 Pagos (cuando aplique al plan profesional/coach)
| Proveedor | Finalidad | Datos tratados | Ubicación | Transferencia internacional | DPA |
|---|---|---|---|---|---|
| Stripe Payments Europe, Ltd. | Procesamiento de pagos del plan profesional/coach y Stripe Connect para pagos entre coaches y clientes | Datos de facturación, últimos 4 dígitos de la tarjeta, identificador de transacción. STRENK no almacena datos completos de tarjeta | Irlanda (matriz EEE) con tratamiento técnico también en EE. UU. | SCC + DPF | stripe.com/legal/dpa |
3. Notificación de cambios
Cuando damos de alta o de baja a un sub-encargado:
- Actualizamos esta página, indicando la fecha en
lastUpdated. - Notificamos por correo a los clientes del plan profesional/coach con al menos 30 días de antelación.
- Si el cambio implica un nuevo tratamiento por proveedores fuera del EEE, lo destacamos expresamente.
Si dentro de ese plazo manifiestas oposición razonable a un nuevo sub-encargado, podremos: (a) mantener tu contrato sin habilitar la nueva funcionalidad afectada, (b) ofrecerte la cancelación del plan o (c) buscar de buena fe una alternativa.
4. Tus derechos sobre el tratamiento por sub-encargados
Conservas todos los derechos del RGPD (acceso, rectificación, supresión, oposición, limitación, portabilidad) frente a STRENK, también respecto a los datos tratados por nuestros sub-encargados. Puedes ejercerlos como indica nuestra Política de Privacidad.
Si el ejercicio de un derecho afecta a un dato gestionado únicamente por un sub-encargado, lo trasladaremos al proveedor y velaremos por su atención en plazo.
5. Contacto
- Para cuestiones sobre esta lista o sobre el tratamiento por sub-encargados:
[privacidad@strenk.app] - Para suscribirte a notificaciones de cambios (consumer): mismo correo, asunto “Alta boletín sub-encargados”.