Subencargados

Documento
SUBP-2026.1
Fecha de entrada en vigor
2026-05-07
Cobertura
RGPD Art. 28(2)+(4), UK GDPR, LGPD
Última revisión
2026-05-07

La presente página enumera los terceros que SOMA9 Holdings, LLC («SOMA9») ha autorizado a tratar Datos Personales del Cliente por su cuenta en relación con los Servicios, conforme al artículo 28(2) y 28(4) del RGPD y a las disposiciones equivalentes del UK GDPR, la LGPD y demás normativa aplicable en materia de protección de datos. La lista se publica como parte del compromiso de transparencia de SOMA9 y se incorpora por referencia al Acuerdo de Tratamiento de Datos.

¿Qué es un subencargado?

Un subencargado es un tercero contratado por SOMA9 para tratar Datos Personales del Cliente por cuenta de SOMA9. Son ejemplos: el operador de la sala de coubicación donde se hospedan los servidores de SOMA9, el proveedor del borde de red que filtra el tráfico hacia los Servicios y el proveedor de almacenamiento externo que custodia las copias de seguridad cifradas. Los proveedores de software cuyos productos se ejecutan localmente sobre la infraestructura de SOMA9 (sistemas operativos, software de seguridad, paneles de control) no son subencargados, ya que carecen de acceso a los Datos Personales del Cliente: únicamente licencian código que SOMA9 ejecuta por sí misma.

1. Subencargados autorizados

Las siguientes entidades son subencargados autorizados a la fecha de entrada en vigor indicada. Cualquier cambio futuro se notificará con antelación conforme a la cláusula 4.

SubencargadoFunciónDatos a los que accedeLugar de tratamientoMecanismo de transferencia
[Proveedor de infraestructura] Por confirmar en publicaciónAlojamiento bare-metal / coubicación de la plataforma SOMA9; custodia física del hardware subyacente sobre el que se ejecutan los Servicios.Todos los datos del Cliente alojados en los Servicios en la forma en que se almacenan en disco (cifrados en reposo cuando proceda).Unión Europea (región del centro de datos por confirmar).Tratamiento dentro de la misma región para datos de Clientes del EEE; sin transferencia a tercer país en tal supuesto.
[Proveedor de borde / WAF] Por confirmar en publicaciónProtección de borde, limitación de tasa y detección de bots para el tráfico entrante a los Servicios, cuando esté activado.Metadatos de solicitudes HTTP/HTTPS y, cuando el Cliente termine TLS en el borde, cuerpos de solicitud en claro. El Cliente puede desactivar el procesamiento en borde por dominio.Red anycast global; tratamiento más cercano al visitante.CCT UE (Módulo 3) y UK IDTA cuando el punto de presencia se encuentre fuera de una región con decisión de adecuación.
[Proveedor de almacenamiento de respaldo] Por confirmar en publicaciónReplicación externa de copias de seguridad cifradas del Cliente con fines de recuperación ante desastres.Únicamente blobs de respaldo cifrados. SOMA9 conserva las claves de cifrado; el proveedor no accede al contenido sin cifrar.Unión Europea (región por confirmar).Tratamiento dentro de la misma región para datos de Clientes del EEE.
Telegram Messenger Inc.Canal operativo de alertas para uso exclusivo del personal de SOMA9. No se transmiten Datos Personales del Cliente; las alertas contienen métricas anonimizadas o eventos de seguridad saneados destinados a los administradores de SOMA9.Ninguno: no se transmiten Datos Personales del Cliente. Telegram se enumera por transparencia respecto a las herramientas operativas que SOMA9 utiliza.Global.No aplicable (sin Datos Personales del Cliente).

Cuando el Servicio del Cliente implique subencargados adicionales no enumerados arriba (por ejemplo, un proveedor de redundancia regional específicamente solicitado), tales subencargados adicionales se identificarán en la Hoja de Pedido del Servicio correspondiente y prevalecerán sobre la presente lista en la medida allí indicada.

2. Proveedores de software que no son subencargados

A efectos de plena transparencia, los siguientes productos de terceros se utilizan en la operación de la plataforma SOMA9 pero no son subencargados, dado que no acceden a Datos Personales del Cliente; se trata de software licenciado a SOMA9 y ejecutado sobre infraestructura bajo control de SOMA9:

  • cPanel/WHM — panel de control, ejecutado localmente en los servidores de SOMA9.
  • CloudLinux OS y CageFS — aislamiento de sistema de archivos por usuario, ejecutado localmente.
  • Imunify360 — firewall de aplicaciones web y escáner de malware, ejecutado localmente; las consultas de reputación a la nube transmiten únicamente direcciones IP, nunca Datos Personales del Cliente.
  • LiteSpeed Web Server — servidor HTTP, ejecutado localmente.
  • Exim, Dovecot, ClamAV, SpamAssassin — servicios de correo y seguridad, ejecutados localmente.
  • PowerDNS — DNS autoritativo, ejecutado localmente.

En la medida en que cualquiera de los productos anteriores envíe telemetría a sus respectivos proveedores (informes de fallos, validación de licencia, consultas de inteligencia de amenazas), tal telemetría no incluye Datos Personales del Cliente. Si un cambio futuro en el producto introdujera telemetría que sí incluyese tales datos, el proveedor en cuestión se reclasificará como subencargado y se incorporará a la cláusula 1.

3. Cómo evaluamos a los subencargados

Antes de autorizar a un subencargado, SOMA9 lleva a cabo una diligencia debida proporcionada al riesgo de la contratación. La revisión cubre, como mínimo:

  • Contractual: existe contrato escrito que impone obligaciones de protección de datos sustancialmente equivalentes a las aceptadas por SOMA9 al amparo de sus DPAs (artículo 28(4) RGPD).
  • Postura de seguridad: el subencargado acredita un nivel de seguridad al menos equivalente al de las medidas del Anexo II del DPA de SOMA9. Cuando esté disponible, se utilizan certificaciones independientes (SOC 2 Type II, ISO 27001, ISAE 3402), complementadas para proveedores menores con un cuestionario de seguridad.
  • Análisis jurisdiccional y de transferencia: se identifica el país o países en los que tendrá lugar el tratamiento y el mecanismo legal para cualquier transferencia fuera del EEE, Reino Unido o Suiza (decisiones de adecuación, CCT UE, UK IDTA, equivalentes suizos del revFADP).
  • Adecuación operativa: el rol del subencargado es necesario, el acceso concedido es el mínimo requerido y la contratación queda documentada en el Registro de Actividades de Tratamiento interno.

4. Notificación de cambios

SOMA9 notificará a los Clientes cualquier incorporación o sustitución prevista de subencargado con una antelación mínima de treinta (30) días naturales respecto a la fecha de efectos, mediante:

  1. Actualización de la presente página, incluyendo el cambio propuesto con su fecha prevista de efectos claramente indicada.
  2. Envío de aviso por correo electrónico a los Clientes suscritos a las notificaciones de subencargados (cláusula 7).

La lista anterior es la lista vigente con valor autoritativo. El historial de cambios se mantiene en la cláusula 8.

5. Derecho de oposición del Cliente

El Cliente podrá oponerse a una incorporación o sustitución de subencargado por motivos razonables relacionados con la protección de datos mediante objeción escrita dirigida a privacy@soma9.cloud dentro de los quince (15) días naturales siguientes a la notificación. SOMA9 y el Cliente negociarán de buena fe la resolución de la objeción. Si no se alcanzase acuerdo, el Cliente, como único remedio, podrá resolver el Servicio afectado sin penalización. La utilización continuada del Servicio una vez que el nuevo subencargado inicie el tratamiento se considerará aceptación.

6. Transferencias internacionales

Cuando el tratamiento por un subencargado se realice fuera del Espacio Económico Europeo, el Reino Unido o Suiza, la transferencia se ampara en alguno de los siguientes mecanismos, identificados en la cláusula 1 para cada subencargado:

  • Decisión de adecuación de la Comisión Europea o del Secretary of State del Reino Unido respecto del país de destino.
  • Cláusulas Contractuales Tipo de la UE (Decisión 2021/914, Módulo 2 o Módulo 3 según corresponda), complementadas por las medidas técnicas y organizativas del Anexo II del DPA.
  • UK International Data Transfer Agreement o adenda británica a las CCT UE, para transferencias desde el Reino Unido.
  • Mecanismos equivalentes para otras jurisdicciones de origen (por ejemplo, mecanismos de transferencia aprobados por la ANPD brasileña al amparo de la LGPD).

7. Suscripción a actualizaciones

Los Clientes y posibles Clientes pueden suscribirse a una lista de correo de bajo volumen que anuncia los cambios de subencargados al menos 30 días antes de su entrada en vigor. La suscripción es voluntaria (opt-in) y se trata conforme a la Política de Privacidad de SOMA9. Para suscribirse, envíese solicitud a privacy@soma9.cloud con asunto Suscribirse actualizaciones de subencargados; se responderá con un enlace de confirmación.

8. Historial de cambios

La tabla siguiente registra los cambios sustanciales de la presente página. Las modificaciones editoriales (corrección de erratas, reformateo) no se enumeran.

FechaCambioVigencia
[Pendiente]Publicación inicial.[Pendiente]