1. Régimen aplicable
La incorporación o sustitución de subencargados se notifica a los hospitales Responsables con al menos diez (10) días naturales de antelación. Cualquier hospital puede oponerse motivadamente en ese plazo y, en caso de oposición no resoluble, resolver el contrato sin penalización. Una vez vigente, el cambio de subencargados dispara la firma de una nueva versión del DPA por parte del hospital.
2. Subencargados activos
| Subencargado | Función | Ubicación | Garantías |
|---|---|---|---|
| Neon Database, Inc. neon.tech | Alojamiento de bases de datos PostgreSQL gestionadas | EU (eu-central-1 Frankfurt, eu-west-2 London) | Cumplimiento RGPD, Trust Center con SOC 2 Type II y medidas técnicas y organizativas adecuadas. Encriptación en reposo y en tránsito. |
| Resend, Inc. resend.com | Envío de emails transaccionales (verificaciones, alertas operativas) | EU/US (con garantías DPF) | Solo procesa direcciones de email y contenido transaccional, no datos clínicos. Adscrito al Data Privacy Framework. |
| Vercel Inc. vercel.com | Alojamiento de la aplicación web (frontend Next.js) | EU edges (regiones europeas) | DPA estándar disponible. Los servidores de aplicación procesan únicamente la capa de presentación; los datos clínicos residen exclusivamente en Neon (EU). |
3. Transferencias internacionales
Los datos clínicos residen exclusivamente en regiones europeas (Frankfurt y Londres) bajo el control de Neon Database, Inc. No se realizan transferencias de datos clínicos fuera del Espacio Económico Europeo. Resend Inc. y Vercel Inc. pueden tratar metadatos técnicos (direcciones de email, logs operativos) bajo las garantías del Data Privacy Framework EU-US y de las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.
4. Solicitar el listado completo
Para solicitar copia del Anexo IV firmado en el DPA o consultar el detalle técnico de las garantías de un subencargado concreto, escribe a chronosurg@badia.me.