

Anexo sobre herramientas y proveedores de datos de terceros
Autor:
Soufiane Boudarraja
Fecha:
24 de febrero de 2026
1. Propósito y alcance
Este Anexo identifica las categorías de servicios, herramientas y proveedores de datos de terceros que pueden utilizarse en todo el ecosistema de Soufiane Boudarraja (el "Ecosistema"). Su propósito es brindar transparencia y respaldar el cumplimiento del RGPD, incluido el Artículo 28, cuando Soufiane Boudarraja actúa como Encargado del Tratamiento en virtud de un Acuerdo de Tratamiento de Datos ("ATD").
Este Anexo utiliza un enfoque basado en categorías para que siga siendo preciso incluso cuando los proveedores específicos cambien con el tiempo. Se puede proporcionar una lista actualizada y específica de las entidades utilizadas para procesar datos personales para un Cliente en particular previa solicitud por escrito.
2. Principios generales
La contratación de servicios de terceros se rige por los siguientes principios:
Neutralidad de las herramientas:Seleccionamos las herramientas en función del contexto del servicio y, cuando corresponda, de la pila existente del Cliente y de sus instrucciones.
Uso de paso:En algunos casos, el Cliente es el socio contractual directo de un proveedor. Podemos operar las cuentas del Cliente como usuario autorizado para prestar los Servicios.
Función de subprocesador: Los terceros que procesan Datos del Cliente en nuestro nombre en relación con los Servicios en virtud de un DPA se consideran Subprocesadores. Requerimos acuerdos escritos que impongan obligaciones de protección de datos al menos tan protectoras como la DPA.
Separación de datos:Los datos del cliente no se comparten ni se reutilizan para otro cliente. Se mantiene la separación lógica incluso cuando se utiliza la misma herramienta para múltiples compromisos.
Minimización de datos:Buscamos limitar el procesamiento de datos personales a lo que sea necesario para la prestación del servicio, la seguridad y el soporte.
3. Funciones y aplicabilidad
Este Anexo cubre a terceros utilizados en diferentes funciones legales:
Contexto del procesador (Servicios B2B bajo un DPA): los terceros que procesan Datos del Cliente en nuestro nombre son Subprocesadores.
Contexto del controlador (nuestras propias operaciones comerciales): por por ejemplo, visitantes de nuestros sitios web, clientes directos que compran productos digitales productos o artículos de impresión bajo demanda, o suscriptores del boletín informativo. En estos casos, nuestra Política de Privacidad rige y terceros actúan como nuestros procesadores o controladores independientes dependiendo de la herramienta.
Herramientas controladas por el cliente: cuando el Cliente elige y controla una herramienta, el Cliente sigue siendo responsable de su configuración, aceptación de términos y base legal, y nuestro soporte se limita a ejecutar las instrucciones documentadas.
4. Categorías de herramientas y proveedores de datos de terceros
La siguiente tabla describe las principales categorías de herramientas y proveedores de terceros que se pueden utilizar en todo el Ecosistema. Las herramientas específicas pueden variar según la región, el producto y la participación.
Categoría
Función
Datos típicos procesados
Rol típico
Plataforma, alojamiento y entrega de contenido del sitio web
Aloja y entrega sitios web, páginas y recursos descargables; Gestionar el rendimiento y la seguridad del sitio.
Dirección IP, datos del dispositivo/navegador, interacciones con la página, registros de acceso de la cuenta/administrador, envíos de formularios cuando se utilicen.
Procesador para nosotros (contexto del controlador) o subprocesador (contexto del procesador), según los datos y la interacción.
Servicios de dominio, DNS y certificados
Operar dominios, enrutamiento DNS y certificados de seguridad.
Datos de registro de dominio, registros DNS, metadatos de seguridad.
Procesador o controlador independiente según el proveedor.
Análisis y medición
Medir el uso y el rendimiento del sitio/aplicación; información sobre la audiencia; seguimiento de conversiones.
Identificadores en línea, datos del dispositivo/navegador, datos de eventos, ubicación aproximada, métricas agregadas; puede incluir el estado del consentimiento.
Procesador para nosotros (contexto del controlador); puede ser Subprocesador donde se ejecutan análisis dentro de una Interacción con el cliente.
Gestión del consentimiento y controles de privacidad
Consentimiento de cookies banners, almacenamiento de preferencias, registros de consentimiento, control de etiquetas.
Opciones de consentimiento, marcas de tiempo, datos del dispositivo/navegador, identificadores anonimizados.
Procesador para nosotros (contexto del controlador).
Correo electrónico, infraestructura de mensajería y comunicaciones
Enviar y recibir comunicaciones transaccionales y comerciales; boletines informativos; Soporte y comunicación.
Nombres, direcciones de correo electrónico, contenido del mensaje, metadatos, registros de entrega.
Procesador o subprocesador, dependiendo de si se utiliza para nuestras operaciones o para la interacción con el cliente.
Herramientas de programación y reuniones
Enlaces de reserva, programación de calendario, invitaciones a reuniones, conferencias.
Nombres, direcciones de correo electrónico, zona horaria, metadatos de la reunión, detalles de la llamada si el cliente los registra.
Procesador o Subprocesador según el contexto; los proveedores de conferencias pueden ser controladores independientes para ciertos datos.
Procesamiento de pagos y facturación
Procesar pagos, reembolsos, facturas, prevención de fraude.
Identificadores de pago, dirección de facturación, metadatos de transacción; no almacenamos los detalles completos de la tarjeta cuando son manejados por proveedores de pago.
Controlador controlador o procesador independiente según el proveedor; normalmente un controlador independiente para la ejecución de pagos.
Comercio electrónico, gestión de pedidos y cumplimiento (incluido POD)
Gestionar pedidos, envío y producción a través de socios de cumplimiento.
Detalles del pedido, dirección de envío, datos de contacto, configuración del producto; Datos de servicio al cliente limitados.
Procesador para nosotros o controlador independiente según el modelo de cumplimiento.
Gestión de relaciones con el cliente y herramientas de canalización
Gestionar clientes potenciales B2B, contactos, oportunidades e historial de participación.
Datos de contacto comercial, registros de comunicación, notas, historial de tareas.
Procesador para nosotros (contexto del controlador) o subprocesador en las interacciones con el cliente cuando se indique.
Enriquecimiento de datos y servicios API externos
Recuperar conjuntos de datos externos para enriquecer, validar o contextualizar las entradas proporcionadas por el cliente (por ejemplo, datos de la empresa, señales comerciales públicas).
Datos de contacto comerciales o datos a nivel de empresa según las instrucciones; metadatos de solicitud de API; pueden incluir datos personales según el caso de uso.
Subprocesador donde se utiliza en interacciones con el cliente; de lo contrario, procesador para nosotros.
Almacenamiento de archivos, colaboración y herramientas de documentos
Almacenar y colaborar en documentos, informes, entregables y archivos de configuración.
Datos del cliente contenidos en documentos; registros de acceso; historial de versiones.
Subprocesador (contexto del procesador) o procesador (contexto del controlador).
Supervisión del rendimiento de la aplicación (APM), registro y telemetría
Supervisar la estabilidad, el registro de errores, la seguridad y el rendimiento del servicio.
Registros de errores, metadatos del dispositivo/aplicación, dirección IP, marcas de tiempo; pueden incluir identificadores limitados.
Subprocesador donde se utiliza para servicios orientados al cliente; de lo contrario, procesador para nosotros.
Plataformas de IA y aprendizaje automático
Procesar entradas y generar salidas para funciones específicas (resúmenes, borradores, análisis) donde esté habilitado.
Solicitar entradas, fragmentos de contenido, metadatos necesarios para generar salidas; puede incluir datos personales si los proporciona el Cliente/usuario.
Procesador o subprocesador según el contexto; El uso se rige por la Declaración de IA y los acuerdos aplicables.
Plataformas de medios y distribución
Aloja y distribuye contenido de audio/video (podcasts, video, incrustaciones).
Datos de reproducción, datos de dispositivo/navegador, dirección IP, análisis y señales de participación; datos de cuenta/administrador.
Normalmente, controladores independientes para análisis de plataforma; pueden ser procesadores para funciones limitadas.
Asesores profesionales y servicios administrativos
Soporte legal, contable, de cumplimiento y administrativo.
Datos personales limitados incidentales a tareas de facturación, auditorías, disputas o cumplimiento.
Controladores o procesadores independientes según el compromiso.
5. Gestión y actualizaciones de subprocesadores
Mantenemos un registro interno de los proveedores específicos utilizados para cada compromiso en el que actuamos como Procesador. El proceso incluye:
Mantener una lista específica del compromiso de subprocesadores, incluyendo el servicio prestado, la(s) ubicación(es) de procesamiento donde se conoce y la principal salvaguarda de transferencia utilizada cuando corresponda.
Proporcionar una lista actualizada de subprocesadores específicos utilizados para un compromiso con el cliente previa solicitud por escrito.
Proporcionar un aviso anticipado razonable de los cambios previstos con respecto a la adición o sustitución de subprocesadores. para compromisos en curso, cuando sea practicable.
Permitir a los clientes objetar por motivos razonables de protección de datos, siguiendo el proceso de objeción en la DPA.
6. Transferencias internacionales de datos
Si un proveedor externo procesa datos personales fuera del Espacio Económico Europeo (EEE), nuestro objetivo es garantizar una salvaguarda adecuada en virtud del Capítulo V del RGPD. Las salvaguardas pueden incluir una decisión de adecuación, Cláusulas Contractuales Tipo (CCT), Normas Corporativas Vinculantes (NCV) u otros mecanismos de transferencia legales.
Cuando se requieren CCT, normalmente se utilizan las CCT adoptadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión, con el/los módulo(s) apropiado(s) según la relación.
7. Responsabilidades del cliente
Cuando el Cliente nos instruye para usar herramientas específicas, fuentes de datos o servicios de terceros, o cuando el Cliente es el socio contractual directo de un proveedor, el Cliente sigue siendo responsable de:
Aceptar y cumplir con los términos y avisos de privacidad del proveedor, incluidos los avisos requeridos para el usuario final.
Asegurarse de que las instrucciones sean legales y consistentes con los requisitos de protección de datos y privacidad electrónica.
Configurar la retención, los controles de acceso, y los permisos apropiadamente dentro de las herramientas controladas por el Cliente.
Informarnos de cualquier restricción o configuraciones prohibidas que se apliquen a las cuentas o herramientas.
8. Cómo solicitar la lista actual de proveedores
Los clientes pueden solicitar la lista actual de subprocesadores específicos utilizados para su compromiso enviando una solicitud a través de nuestra página de contacto (https://www.soufianeboudarraja.com/contact) con el asunto "Solicitud de lista de subprocesadores". Para procesar la solicitud de manera eficiente, incluya el nombre del compromiso, la referencia del pedido o la referencia de la declaración de trabajo.
9. Cambios en este Anexo
Podemos actualizar este Anexo para reflejar cambios en las categorías de herramientas, cambios de proveedores y plataformas, requisitos legales o la evolución del Ecosistema. Los cambios materiales que afecten al procesamiento bajo un DPA activo se comunicarán de acuerdo con los procedimientos de notificación del DPA.
10. Contacto
Las preguntas sobre este Anexo pueden enviarse a Soufiane Boudarraja. Para enviar una pregunta, utilice nuestra página de contacto: https://www.soufianeboudarraja.com/contact.
Para obtener información sobre la entidad legal y la dirección, consulte el Aviso Legal en nuestro sitio web.