Todo SaaS tiene subprocesadores. Usas un proveedor de nube, una pasarela de pago, un servicio de email, un stack de logging. Cada una de esas empresas toca los datos personales de tus clientes, y bajo el Artículo 28 del RGPD les debes a tus clientes un registro claro, actualizado y auditable de quiénes son esos subprocesadores. En 2026 la obligación no se ha vuelto más blanda. Los reguladores quieren rastro documental, los clientes quieren aviso antes de los cambios, y los equipos de compras quieren un enlace que puedan meter en su expediente de proveedores. Este manual recorre qué cuenta como subprocesador, cómo funciona realmente la autorización, por qué el "deber de transparencia" es la parte que más equipos saltan, y cómo llevar una lista de subprocesadores que sobreviva a una auditoría.

Qué cuenta como subprocesador bajo el RGPD

Un subprocesador es cualquier tercero que tu empresa contrata para procesar datos personales en nombre de uno de tus clientes. Tu cliente es el responsable del tratamiento. Tú eres el encargado del tratamiento. Los terceros que contratas para entregar el servicio son los subprocesadores. AWS para hosting, Stripe para pagos, Postmark para email transaccional, Datadog para logging, Mixpanel para analytics de producto: si por ahí pasan datos personales, son subprocesadores bajo el Artículo 28(4) del RGPD.

Lo que no cuenta: herramientas que solo ven datos de tus propios empleados (un sistema interno de RR. HH.), herramientas que usas como responsable por derecho propio (un CRM para tu equipo de ventas), o responsables independientes que tu cliente eligió por su cuenta. La línea que importa es "¿este tercero procesa datos de mi cliente por encargo de mi cliente, a través de mí?". Si la respuesta es sí, es subprocesador y va en la lista.

Los dos modelos de autorización entre los que puedes elegir

El Artículo 28(2) es claro: el encargado no puede contratar a otro encargado sin autorización previa por escrito del responsable. El Reglamento ofrece dos vías para satisfacer este requisito.

Autorización específica

El responsable firma sobre cada subprocesador individualmente, por su nombre, antes de que ese subprocesador empiece. Este modelo es raro en SaaS porque escala mal. Un SaaS con 200 clientes que añade un subprocesador necesitaría 200 firmas individuales antes de activar la feature. Sigue siendo común en contratos enterprise donde un cliente representa una porción considerable de los ingresos y exige cláusulas a medida.

Autorización general

El responsable acepta en el DPA que el encargado pueda contratar subprocesadores de ciertas categorías (hosting, email, analytics, etc.), siempre que:

  • El encargado mantenga una lista completa de subprocesadores y la haga accesible
  • El encargado informe al responsable de las altas o sustituciones previstas antes de que ocurran
  • El responsable tenga derecho a objetar dentro de una ventana definida

Este es el modelo que usa la inmensa mayoría de los DPA de SaaS. Es casi con seguridad el modelo que usa tu DPA, aunque no lo hayas leído con detalle.

El deber de transparencia es la parte que más equipos saltan

La autorización general no es un pase libre. Es una obligación sustantiva y continua: avisa a tus clientes antes de incorporar un nuevo subprocesador. En la práctica, eso se descompone en tres cosas.

  1. Mantén una lista pública actualizada. La mayoría de los grandes SaaS publican la suya en URLs predecibles. trust.salesforce.com/en/subprocessors, slack.com/trust/compliance/subprocessors, legal.hubspot.com/subprocessors, explore.zoom.us/en/subprocessors, www.atlassian.com/legal/sub-processors. El patrón es consistente: una tabla con nombre, rol, ubicación y enlace al DPA del propio subprocesador.
  2. Notifica antes de los cambios. El email es el método dominante, pero es frágil. Direcciones obsoletas, filtrado de spam y bandejas saturadas hacen que solo una fracción de tus notificaciones aterrice de verdad. El patrón robusto combina email con una página pública de diferencias para que el equipo de compliance del cliente se suscriba a los cambios vía RSS o webhook.
  3. Respeta la ventana de objeción. Tu DPA fija la ventana. Suele ser de 14 o 30 días, a veces sin especificar. Si un cliente objeta, o encuentras una alternativa, o en el peor de los casos el cliente puede rescindir. El derecho de objeción es lo que vuelve significativa la autorización.

"Actualizamos la página" no basta. Si tu DPA promete notificación de cambios y solo actualizas la página en silencio, estás en incumplimiento técnico del Artículo 28 aunque el propio subprocesador esté impecable.

Cómo montar una lista pública de subprocesadores que de verdad funcione

El patrón técnico es aburrido a propósito. Lo aburrido escala.

  1. Una página dedicada. Titúlala Subprocesadores. Enlázala desde el pie de tu sitio de marketing y desde el propio DPA.
  2. Una tabla con cinco columnas. Nombre, rol (qué hace por ti), ubicación (o "global"), categorías de datos y enlace a la página de privacidad/seguridad del subprocesador.
  3. Una fecha de "Última actualización". Visible arriba, con la fecha exacta. Los clientes la buscarán primero.
  4. Una sección de "Cambios recientes". Aunque solo sean las últimas tres actualizaciones con sus fechas. Esto es lo que un auditor quiere ver.
  5. Un mecanismo de suscripción. Un feed RSS de cambios, una lista de email, o ambos. Así quieren consumir las novedades los equipos de compliance.
  6. Un archivo versionado. Las versiones antiguas se mantienen accesibles en URLs permanentes, de modo que un cliente que firmó en 2024 pueda demostrar qué se le divulgó entonces.

Cuando un cliente objeta: un flujo que no rompe la confianza

La mayoría de las objeciones nunca llegan. Cuando ocurren, tienden a caer en tres patrones y cada uno tiene una respuesta limpia.

  • Objeción por residencia de datos. "Este subprocesador almacena en EE. UU. y nosotros somos solo UE." Respuesta: confirma el flujo de datos, documenta la base legal (CCT, decisión de adecuación, medidas suplementarias) y ofrece llevar al cliente por tu transfer impact assessment.
  • Objeción sectorial. "Este subprocesador tuvo una acción regulatoria reciente." Respuesta: comparte tu expediente de due diligence, tu plan de monitorización y el calendario de reevaluación. A veces la respuesta es buscar una alternativa.
  • Objeción categórica. "No aceptamos ningún subprocesador con el que no hayamos contratado directamente." Respuesta: esto es una conversación solo para enterprise y normalmente exige un anexo personalizado.

El hilo común: responde rápido, documenta la decisión y actualiza la fila del subprocesador en la tabla con la fecha de la objeción y la resolución. El rastro documental es lo que te protege cuando el siguiente cliente te pregunte por qué.

Dónde encaja Termerly en el flujo de subprocesadores

Termerly es un generador gratuito y un host de páginas legales. No es un servicio de monitorización de proveedores y no rastrea tu lista de subprocesadores para detectar cambios por ti. Lo que sí hace, en cambio, es la parte del trabajo que más se rompe: el registro duradero.

  • Escribes tu página de Subprocesadores en el editor, usando una tabla para las columnas. El editor renderiza limpio en el centro legal público, así la página se lee bien en móvil y queda indexable para buscadores.
  • Cada vez que publicas, el historial de versiones captura un snapshot inmutable. Un cliente que necesite probar qué decía tu lista en marzo de 2025 puede abrir el permalink de la versión 7 y verlo tal cual.
  • El comparador resalta adiciones y eliminaciones entre dos versiones cualesquiera. Le mandas al cliente la URL de la comparación y tiene todo lo que necesita para evaluar el cambio.
  • Si gestionas varios productos SaaS desde una sola cuenta, cada proyecto guarda su propia página de subprocesadores. Las listas no se mezclan.

Conclusión

El Artículo 28 del RGPD no se ha vuelto más laxo con el tiempo, y el panorama de 2026 (subprocesadores de IA, más transferencias internacionales, enforcement más afilado sobre cláusulas de transferencia) hace que la tabla que publicas sea más importante, no menos. El trabajo central sigue siendo el mismo que en 2018: lista a todo el mundo, notifica antes de los cambios, guarda el registro. Los equipos que fallan en esto casi siempre fallan en la segunda parte: actualizaciones silenciosas a una página web, sin email, sin diff, sin archivo. Arregla la parte de registro y el resto cae por su peso.

Si todavía no tienes una página de Subprocesadores, la forma más rápida de montarla es redactarla en una herramienta que gestione versionado y URLs públicas de fábrica. Abre un proyecto gratis en Termerly y crea la página hoy mismo. Mándales el enlace a tus tres clientes más grandes como gesto de buena voluntad. Es el tipo de cosa que se convierte en ventaja de compras la próxima vez que renueven.