Lista de subprocesadores

Transparencia total sobre los proveedores que tratan datos en nombre de APLIUM

Última actualización: 15 mayo 2026. Esta página se mantiene pública conforme al RGPD art. 28.2 y se revisa con cada cambio material.

1. ¿Qué es un subprocesador?

Conforme al art. 28 del Reglamento (UE) 2016/679 (RGPD), un subprocesador es un tercero al que APLIUM (en calidad de encargado del tratamiento) recurre para tratar datos personales en nombre del responsable (cliente). Cada subprocesador está vinculado por contrato a las mismas obligaciones de protección de datos que APLIUM asume frente al cliente.

Compromiso clave: APLIUM solo trabaja con subprocesadores que ofrecen garantías suficientes en el cumplimiento del RGPD. Toda la infraestructura y el almacenamiento de datos operativos se sitúa en el Espacio Económico Europeo (EEE), preferentemente en territorio español.

2. Subprocesadores activos

Activo en producción hoy Previsto integrado pero todavía sin tratar datos reales UE Espacio Económico Europeo SCC Cláusulas Contractuales Tipo UE
Proveedor Servicio Tipo de datos tratados Ubicación Salvaguardas Estado
IBM España, S.A.
IBM Cloud — Servicios de infraestructura 		Hosting, máquinas virtuales, bases de datos MariaDB, almacenamiento de archivos. Todos los datos operacionales (productos, lotes, trazabilidad, etiquetas, usuarios, etc.). UE
CPD Madrid (España) 		SCC DPA con IBM España.
ISO 27001, ISO 27017, ISO 27018, SOC 2 Type II (IBM). 		Activo
IBM España, S.A.
IBM watsonx — Motor de IA 		Inferencia de modelos de IA (familia Granite). Procesa entradas del asistente APPCC, generación de alertas y asistente normativo. Datos operacionales mínimos necesarios para la inferencia (p. ej. descripción de proceso productivo, parámetros de producto). Sin training de modelos con datos de clientes. UE
IBM Cloud Madrid (eu-es) 		SCC DPA y términos watsonx.
Modelos en región europea exclusiva. 		Activo
Redsys Servicios de Procesamiento, S.L.
CIF B-86120651 (Madrid) 		Pasarela TPV virtual para procesamiento de pagos con tarjeta (CaixaBank, BBVA, Santander, Sabadell, etc.). Datos de pago: importe, número de operación, IBAN comerciante. APLIUM no almacena el PAN de la tarjeta. UE
España 		PCI DSS L1.
HMAC-SHA256 + 3DES.
Bajo supervisión Banco de España. 		Activo
Stripe Payments Europe, Ltd.
Procesador de suscripciones SaaS 		Cobro recurrente de suscripciones SaaS (alternativa a Redsys para clientes internacionales). Datos de pago, email, nombre fiscal. APLIUM no almacena el PAN. UE + USA
Dublín (Irlanda). 		SCC + DPA Stripe.
PCI DSS L1, ISO 27001, SOC 1/2. 		Previsto

3. Aclaraciones importantes

Sin transferencias internacionales activas

Toda la infraestructura de almacenamiento de datos operacionales de los clientes (bases de datos, archivos de etiquetas, exports, logs de auditoría) se encuentra en territorio español (IBM Cloud Madrid). No realizamos transferencias internacionales de datos operacionales fuera del EEE.

El único subprocesador que puede implicar paso de datos por servidores en USA es Stripe, y exclusivamente para procesamiento de pagos. Está vinculado por SCC de la Comisión Europea y, además, todavía no procesa datos reales en producción.

Correo transaccional

El correo transaccional (verificación de cuenta, recuperación de contraseña, notificaciones operativas, alertas de trial) se envía desde nuestro propio servidor Exim4 hospedado en IBM Cloud Madrid, no a través de proveedores externos como SendGrid, Twilio, Mailgun ni Postmark. Por tanto, no existe un subprocesador adicional para correo — está cubierto por la misma entrada de IBM Cloud que el resto de la infraestructura.

IA generativa y formación de modelos

El motor IA de APLIUM (IBM watsonx Granite) procesa datos de clientes únicamente para inferencia en tiempo real. Los datos de entrada se envían a watsonx, se procesan, y se devuelve la respuesta. No se utilizan datos de clientes para entrenar modelos de IA, ni los modelos almacenan los datos de entrada para uso posterior. Las inferencias se ejecutan en la región IBM Cloud eu-es (Madrid).

Conectores con sistemas del cliente (ERP, impresoras, etc.)

Cuando el cliente conecta APLIUM a su propio ERP (SAP B1, Microsoft Navision, Sage, etc.) o a sus impresoras Zebra mediante PrintNode/QZ Tray, esos sistemas NO son subprocesadores de APLIUM: son sistemas del propio cliente. APLIUM solo actúa como intermediario técnico entre el cliente y sus sistemas, sin almacenamiento intermedio de datos sensibles.

4. Procedimiento de cambio de subprocesadores

Conforme al art. 28.2 RGPD y a nuestro DPA, antes de incorporar un nuevo subprocesador o sustituir uno existente:

  1. Notificación previa a los clientes con al menos 30 días naturales de antelación, vía email al administrador registrado de cada empresa cliente y vía actualización de esta página.
  2. Plazo de objeción: el cliente puede objetar de forma razonada en el plazo de 30 días. Si la objeción se acepta, se buscará una solución alternativa; si no, el cliente puede resolver el contrato sin penalización.
  3. Garantías equivalentes: cualquier subprocesador entrante debe ofrecer garantías equivalentes en cumplimiento del RGPD (DPA firmado, SCC para transferencias internacionales si aplica, certificaciones).

5. Contacto

Para cualquier pregunta sobre subprocesadores, sus DPAs o ejercicio de derecho de objeción, escríbenos a:

📧 aplium@aplium.com (asunto: «Subprocesadores»)

← Volver al inicio · Trust Center · Privacidad · DPA