Saltar al contenido
OS Domains
Regulation

Conformidad RGPD artículo 28, sociedad UE, routing UE.

Bajo el RGPD, OS Domains GmbH actúa como encargado del tratamiento y el cliente como responsable, con un DPA conforme al artículo 28(3) en /dpa que cubre cada obligación del encargado de forma expresa. La entidad está constituida en la UE (Austria), con routing UE por defecto y plantilla en la UE, con un DPO designado, una lista pública de subencargados bajo preaviso de cambio de 30 días, y un compromiso de notificación de brechas en 48 horas que mejora el suelo regulatorio de 72 horas para dejar al responsable tiempo para su propia notificación del artículo 33. Los datos de destinatarios nunca se usan para entrenar modelos de aprendizaje automático, construir conjuntos de datos comercializables ni enriquecer los datos de un cliente con los de otro, porque la limitación de la finalidad está fijada en el DPA en lugar de dejarse a una política.

El RGPD establece una relación responsable-encargado entre tu empresa y nosotros. Tú determinas los fines y medios del tratamiento de los datos personales de los destinatarios; nosotros tratamos según tus instrucciones documentadas. Nuestro DPA en /dpa aborda cada obligación del artículo 28(3) de forma expresa. Somos una sociedad constituida en la UE (Austria), con routing UE por defecto y un DPO designado accesible en [email protected] en 1 día laborable. Nuestro compromiso de notificación de brechas es de 48 horas — más estricto que el suelo regulatorio de 72 horas — para darte margen suficiente en tu propia notificación a la AEPD bajo el artículo 33.

Si estás decidiendo entre nosotros y un proveedor con matriz estadounidense para cargas sensibles al RGPD, los puntos relevantes son: constitución en la UE, routing UE por defecto, y si te aplican los problemas de transferencia transfronteriza de Schrems II.

En breve

  • OS Domains GmbH es el encargado y el cliente el responsable; el DPA del artículo 28(3) en /dpa cubre las ocho obligaciones del encargado con texto vinculante y un resumen en lenguaje claro al lado de cada cláusula.
  • Constituida en la UE (Austria) con la Datenschutzbehörde como autoridad principal bajo la ventanilla única, así que no hace falta representante del artículo 27 y ninguna matriz estadounidense somete a la entidad al CLOUD Act, lo que cierra la línea de transferencia de Schrems II para la configuración solo-UE sin papeleo recurrente.
  • La notificación de brechas se compromete a 48 horas desde el conocimiento —más estricta que el suelo de 72 horas— para dejar al responsable tiempo para su propia notificación del artículo 33.
  • Los datos de destinatarios nunca entran en un pipeline de entrenamiento: la limitación de la finalidad en el DPA excluye entrenamiento de ML, conjuntos de datos comercializables y enriquecimiento de terceros, manteniendo la parte del email fuera del artículo 22.
  • El Digital Omnibus de 2026 apunta al alivio del registro del lado del responsable y deja intactas las obligaciones del encargado del artículo 28, así que los compromisos del DPA no se ven afectados por el resultado.
Cifras clave
RGPD en vigor desde
25 may 2018
Multa máxima
20M€ o 4% facturación
Nuestro DPA
/dpa
Notificación brecha
48h (nosotros) · 72h (tú)

¿Qué exige el RGPD a tu proveedor de infraestructura de email?

Cuando contratas un proveedor externo de infraestructura de email, el RGPD establece una relación responsable-encargado: tú eres el responsable del tratamiento (decides los fines y medios del tratamiento de los datos personales de los destinatarios), nosotros somos el encargado (tratamos siguiendo tus instrucciones documentadas). El artículo 28 enumera las obligaciones específicas que un encargado debe aceptar por contrato escrito: tratar sólo según instrucciones documentadas, garantizar la confidencialidad del personal, aplicar las medidas de seguridad del artículo 32, respetar las normas sobre subencargados, asistir en los derechos del interesado, asistir en la notificación de brechas y demás obligaciones de los artículos 32-36, devolver o eliminar los datos al finalizar el contrato, y poner a disposición la información necesaria para demostrar el cumplimiento. Nuestro DPA en /dpa cubre cada obligación de forma expresa.

Cómo estamos posicionados como encargado del tratamiento.

OS Domains GmbH es la entidad jurídica que firma el DPA. Estamos constituidos en la UE (Austria), con routing por defecto en la UE, plantilla de ingeniería y operaciones en la UE, con DPO designado accesible en [email protected] que responde en 1 día laborable. Nuestra lista pública de subencargados está en /dpa#sub-processors con preaviso de 30 días sobre cualquier cambio. El compromiso de notificación de brechas es de 48 horas desde el conocimiento hasta la notificación al cliente — más estricto que el suelo regulatorio de 72 horas — específicamente para darte margen suficiente para tu propia notificación del artículo 33 a la AEPD. El registro de actividades del tratamiento del artículo 30 se mantiene internamente y se extracta a petición.

¿Cómo se aplican los principios del artículo 5 a la infraestructura de email?

Licitud, lealtad y transparencia: tratamos según instrucciones documentadas y nuestro DPA describe el tratamiento en el Anexo 1. Limitación de la finalidad: usamos los datos del cliente exclusivamente para prestar los servicios, nunca para entrenar modelos de ML ni agregarlos en conjuntos de datos comercializables. Minimización de datos: aceptamos sólo los datos que nos envías; no enriquecemos con fuentes de terceros. Exactitud: aportamos herramientas para corregir o eliminar datos vía panel y API. Limitación del plazo de conservación: los periodos de retención están documentados en /dpa#annex-4, desde 7 días para el contenido de mensaje hasta 12 meses para los informes DMARC, con opciones para acortarlos. Integridad y confidencialidad: las medidas de seguridad del artículo 32 están detalladas en /dpa#annex-2. Responsabilidad proactiva: controles del artículo 32 operados y documentados, con evidencia de control pre-certificación disponible a petición; derecho de auditoría disponible en planes Enterprise.

El marco LOPDGDD aplicable en España.

La Ley Orgánica 3/2018 (LOPDGDD) desarrolla en España el RGPD y añade disposiciones específicas relevantes para el email marketing: el artículo 19 regula el tratamiento de datos en sistemas de información crediticia y el artículo 21 de la LSSI-CE (Ley 34/2002) sigue siendo el régimen aplicable a las comunicaciones comerciales electrónicas. La AEPD impuso en 2024 un total de 242 sanciones por importe acumulado superior a 27 millones de euros; las relacionadas con envío de comunicaciones comerciales sin consentimiento van desde sanciones de 300€ (envío a múltiples destinatarios sin copia oculta) hasta 5.000€ (no atender solicitudes de baja). Las grandes multas (5M€ a Energya VM Gestión de Energía en 2024, 3,5M€ a I-DE Redes Eléctricas en 2024) se concentran en violaciones de los principios del artículo 5 y artículo 32 (medidas de seguridad).

¿Cuál es la dirección regulatoria de 2026 con el Digital Omnibus?

El desarrollo vivo del RGPD en 2026 es la simplificación más que la expansión. El 19 de noviembre de 2025 la Comisión Europea publicó su paquete Digital Omnibus, una propuesta para aligerar las cargas de cumplimiento sin reabrir los principios fundamentales del reglamento. Las piezas que más importan a un proveedor de email y a sus clientes están del lado del responsable: un alivio en la obligación de mantener el registro de actividades de tratamiento para organizaciones de menor riesgo, una notificación de brechas más armonizada y reglas más claras sobre el tratamiento de datos seudonimizados. Lo que la propuesta no toca son las obligaciones del encargado del artículo 28 ni el régimen de transferencias del Capítulo V, que son las partes que gobiernan nuestra relación contractual contigo. Es una propuesta y no derecho en vigor: tiene que pasar por el Parlamento Europeo y el Consejo, y los grupos de defensa de la privacidad ya advierten de que algunos recortes podrían erosionar derechos. Seguimos el expediente porque cambia el papeleo que tu equipo lleva, pero diseñamos el DPA hacia las obligaciones que permanecen estables en lugar de hacia las que están en debate, de modo que el contrato no necesita rehacerse cualquiera que sea el resultado.

¿Cómo funciona la cadena de autorización de subencargados del artículo 28?

El artículo 28 permite a un encargado contratar subencargados solo con la autorización del responsable, y exige que cada subencargado quede vinculado por las mismas obligaciones de protección de datos que recaen sobre el encargado. En la práctica esto funciona como una autorización general más un derecho de objeción: mantenemos una lista pública de subencargados en /dpa#sub-processors con el nombre, el servicio, los datos a los que accede, la ubicación y el mecanismo de transferencia de cada uno, y damos un preaviso de 30 días antes de añadir o sustituir cualquiera. Durante esa ventana puedes oponerte, y si la objeción es razonable y no podemos resolverla, tienes derecho a rescindir la parte del servicio afectada. La cadena es deliberadamente corta para un encargado de email: el operador de infraestructura, la red aguas arriba, el CDN delante del panel y el procesador de pagos para la facturación. Cada subencargado firma un acuerdo que traslada las obligaciones del artículo 28, y para los que tienen contacto estadounidense la Transfer Impact Assessment documenta las medidas suplementarias. Un cliente que evalúa su cadena de subencargados encuentra los datos ya estructurados en lugar de tener que reconstruirlos a partir de una página genérica de "infraestructura cloud", que es la diferencia entre rellenar una fila del registro y abrir una investigación.

Cómo gestiona la plataforma los derechos del interesado.

El RGPD da a los interesados derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición, y como encargado nuestro papel es asistir al responsable a atenderlos en lugar de responderlos nosotros directamente. La plataforma traduce esos derechos en operaciones concretas. El derecho de acceso y el de portabilidad se sirven con la búsqueda en logs por destinatario y el export en JSON o CSV vía panel y API, sin límite de frecuencia. La supresión y la rectificación se ejecutan con las herramientas de gestión de la suppression list y de borrado por dirección, con efecto propagado a los registros dentro de los periodos de retención documentados. La limitación y la oposición se materializan deteniendo el tratamiento de una dirección concreta y registrándola en la suppression para que ningún envío posterior la alcance. La herramienta autoservicio cubre en torno al 80% de las solicitudes habituales, y el 20% restante —investigaciones forenses, supresión compleja en periodos largos de retención— lo asiste el DPO, con aviso proactivo al cliente cuando una solicitud va a superar el plazo de un mes para que invoque la prórroga del artículo 12. El objetivo es que el responsable cumpla su plazo con datos que salen de la plataforma en lugar de con estimaciones hechas bajo presión.

¿La intersección del RGPD y el Reglamento de IA toca tus datos de destinatarios?

El Comité Europeo de Protección de Datos ha anunciado directrices conjuntas sobre la interacción entre el RGPD y el Reglamento de IA, y la pregunta que llega de los compradores es si los datos que pasan por un proveedor de email acaban en algún sistema de entrenamiento. Nuestra respuesta elimina la intersección en lugar de gestionarla. Tratamos los datos del cliente solo para prestar el servicio y nunca para entrenar modelos de aprendizaje automático, construir conjuntos de datos comercializables ni enriquecer los datos de un cliente con los de otro, y esa limitación de la finalidad está fijada en el DPA en lugar de dejarse a una política que puede cambiar. No hay perfilado ni decisiones automatizadas con efecto jurídico sobre los destinatarios en la capa de email, así que el artículo 22 del RGPD no entra en juego por nuestra parte. Si tu propio producto aplica IA sobre los datos antes o después de pasarlos por nosotros, esa es una operación de tratamiento tuya bajo tu responsabilidad, y nuestro papel se limita a la entrega. Mantener esa línea explícita importa porque ahorra a tu equipo tener que demostrar que un proveedor no convirtió sus datos de destinatarios en datos de entrenamiento, que es exactamente la pregunta que las nuevas directrices empujan a hacer.

Qué te aporta la constitución en la UE que un encargado estadounidense no puede igualar.

La diferencia no es la región del datacenter, porque un proveedor con matriz estadounidense puede ofrecer una región europea y aun así quedar sujeto a requerimientos de acceso extraterritoriales. La diferencia es la propiedad de la entidad. OS Domains GmbH está constituida en Austria sin matriz estadounidense en la cadena corporativa, lo que significa que la prueba del CLOUD Act de posesión, custodia o control no encuentra un punto de apoyo estadounidense, y que no necesitamos un representante en la UE del artículo 27 porque la entidad ya está en la UE. La autoridad de control principal es la Datenschutzbehörde austriaca bajo el mecanismo de ventanilla única, el DPO está en Viena y disponible para comunicación directa con las autoridades europeas, y la lista de subencargados puede fijarse a operaciones solo-UE para las cuentas que lo exigen. Para un comprador que decide entre nosotros y un proveedor estadounidense para una carga sensible al RGPD, los puntos de comparación concretos son la constitución en la UE, el routing UE por defecto y si los problemas de transferencia transfronteriza de Schrems II le aplican en absoluto. Con la configuración solo-UE no le aplican, y esa es una sección del expediente de cumplimiento que queda cerrada en lugar de quedar gestionada año tras año.

Cómo lo resolvemos

Las capacidades específicas que importan para este caso.

01

DPA conforme al artículo 28(3)

Nuestro DPA estándar en /dpa cubre las ocho obligaciones del artículo 28(3) de forma expresa, con el texto vinculante y un resumen en lenguaje claro al lado de cada cláusula.

02

Lista pública de subencargados

Lista completa y actualizada de subencargados en /dpa#sub-processors con nombre, servicio, datos accedidos, ubicación y mecanismo de transferencia. Preaviso de 30 días sobre cambios con derecho a objeción.

03

Notificación de brechas en 48 horas

Nos comprometemos a notificarte una brecha de datos personales que afecte a tus datos en un plazo máximo de 48 horas desde el conocimiento. Más estricto que el suelo de 72 horas del RGPD para dejarte margen para tu propia notificación del artículo 33 a la AEPD.

04

Asistencia con solicitudes de derechos

Herramientas autoservicio para las solicitudes habituales (gestión de suppression, búsqueda en logs por destinatario, exportación, supresión). Más allá del autoservicio, te asistimos en 5 días laborables sin coste adicional.

05

DPO accesible directamente

[email protected] — una persona designada, no un alias a una cola. Responde en 1 día laborable. Disponible para llamadas directas con tu DPO durante EIPDs o auditorías de supervisión.

06

Derecho de auditoría y evidencias

Derecho de auditoría in situ anual para clientes Enterprise, evidencia de controles alineados a ISO 27001, evidencia de control pre-certificación (criterios SOC 2), resumen del pentest anual y respuestas a cuestionarios de seguridad a petición bajo NDA.

Retos habituales

Lo que vemos fallar y cómo lo arreglamos.

Clasificación corresponsable versus encargado

Algunos clientes piden que confirmemos que somos encargado, no corresponsable. Confirmado: nuestro DPA declara expresamente que tratamos sólo según instrucciones documentadas y no determinamos los fines ni los medios. El cliente sigue siendo el único responsable. Rechazamos cláusulas de cliente que nos convertirían en corresponsable porque la carga regulatoria es materialmente diferente.

Categorías especiales del artículo 9

El artículo 9 del RGPD prohíbe el tratamiento de categorías especiales (salud, etnia, opiniones políticas, etc.) sin una base de licitud específica. Nuestro DPA estándar asume que no transmites categorías especiales. Los clientes que sí necesitan hacerlo (sanidad, ciertos contextos de RRHH) requieren un anexo personalizado al DPA con salvaguardas adicionales; hablar con [email protected] antes de enviar.

Solicitudes masivas de derechos de acceso

Un cliente grande de e-commerce o B2B puede recibir cientos de solicitudes de derechos al mes. Nuestra herramienta autoservicio cubre aproximadamente el 80% (búsqueda en logs, gestión de suppression, exportación). El 20% restante (investigaciones forenses, supresión compleja en periodos largos de retención) requiere asistencia del DPO y puede superar el plazo de 1 mes del RGPD; notificamos proactivamente al cliente cuando va a exceder los 30 días para que invoque la prórroga del RGPD.

Preguntas frecuentes

Las preguntas que más nos hacen.

01

¿Podéis firmar nuestro DPA personalizado en lugar del vuestro?

En los planes Performance y Enterprise sí, tras revisión jurídica. Nuestro DPO revisa vuestras redlines, rechaza las cláusulas que entren en conflicto con el derecho europeo de protección de datos o con nuestro modelo operativo, y en general alcanza la firma en 2-3 rondas durante 2-4 semanas. Coste de revisión de 790€ en Starter y Standard; incluido en Performance y Enterprise.

02

¿Cómo gestionáis las notificaciones de brecha del artículo 33?

Tenemos un procedimiento documentado de respuesta a brechas: la detección dispara en 5 minutos (monitoreo automatizado); el arranque de investigación en 30 minutos; la evaluación preliminar de alcance en 4 horas; la notificación a clientes afectados en 48 horas incluyendo la información obligatoria del artículo 33(3) (naturaleza de la brecha, consecuencias probables, medidas tomadas, contacto del DPO). Post-mortem final publicado en 5 días laborables para incidentes materiales.

03

¿Tenéis representante en la UE?

Somos una sociedad constituida en la UE (Austria), por lo que no necesitamos un representante en la UE del artículo 27. La entidad matriz es el representante en la UE. Nuestro DPO está en Viena y disponible para comunicación directa con las autoridades de supervisión europeas, incluida la AEPD.

04

¿Cómo gestionáis la portabilidad de datos del artículo 20?

Puedes exportar los datos de cliente vía panel o API REST en formato JSON o CSV en cualquier momento, sin límite de frecuencia. Al cesar el contrato, el periodo de 90 días de gracia mantiene el acceso para exportación. El export está en formato estructurado y legible por máquina, apto para portar directamente a un proveedor competidor. Hemos validado migraciones de salida a Amazon SES, SendGrid y Mailgun con clientes.

05

¿Estáis inscritos en alguna autoridad de control?

OS Domains GmbH está establecida en Viena, Austria. Nuestra autoridad de control principal es la Datenschutzbehörde austriaca (DSB). Para tratamientos transfronterizos en la UE que afectan a varios Estados Miembros, operamos bajo el mecanismo de ventanilla única del RGPD con la DSB como autoridad principal. No hemos sido objeto de ninguna acción sancionadora bajo el RGPD.

06

¿Cómo encaja vuestra arquitectura con el principio de minimización de datos?

Aceptamos sólo el contenido del mensaje (destinatario, remitente, asunto, cuerpo) y los metadatos necesarios para gestionar la entregabilidad (timestamps, resultado SMTP, eventos de webhook). No enriquecemos los datos con fuentes de terceros, no cruzamos información entre clientes, no construimos perfiles agregados. Los logs detallados se anonimizan automáticamente a los 30 días en planes estándar (sólo se conservan métricas agregadas y direcciones IP truncadas) — configurable hasta 7 años en Enterprise por requisitos sectoriales.

Hablamos

Agenda una llamada técnica de 45 minutos con un ingeniero.

Sin SDR, sin comisiones, sin rondas de cualificación. Cuéntanos lo que necesitas, te decimos si encajamos, y te llevas una recomendación sea cual sea la respuesta.

Teléfono +43 1 205 11 80 Lun–Vie · 9–18 CET
Email [email protected] Respuesta media 4h en horario laboral
Oficina Fleischmarkt 1, 1010 Wien Con cita previa