¿Qué exige el RGPD a tu proveedor de infraestructura de email?
Cuando contratas un proveedor externo de infraestructura de email, el RGPD establece una relación responsable-encargado: tú eres el responsable del tratamiento (decides los fines y medios del tratamiento de los datos personales de los destinatarios), nosotros somos el encargado (tratamos siguiendo tus instrucciones documentadas). El artículo 28 enumera las obligaciones específicas que un encargado debe aceptar por contrato escrito: tratar sólo según instrucciones documentadas, garantizar la confidencialidad del personal, aplicar las medidas de seguridad del artículo 32, respetar las normas sobre subencargados, asistir en los derechos del interesado, asistir en la notificación de brechas y demás obligaciones de los artículos 32-36, devolver o eliminar los datos al finalizar el contrato, y poner a disposición la información necesaria para demostrar el cumplimiento. Nuestro DPA en /dpa cubre cada obligación de forma expresa.
Cómo estamos posicionados como encargado del tratamiento.
OS Domains GmbH es la entidad jurídica que firma el DPA. Estamos constituidos en la UE (Austria), con routing por defecto en la UE, plantilla de ingeniería y operaciones en la UE, con DPO designado accesible en [email protected] que responde en 1 día laborable. Nuestra lista pública de subencargados está en /dpa#sub-processors con preaviso de 30 días sobre cualquier cambio. El compromiso de notificación de brechas es de 48 horas desde el conocimiento hasta la notificación al cliente — más estricto que el suelo regulatorio de 72 horas — específicamente para darte margen suficiente para tu propia notificación del artículo 33 a la AEPD. El registro de actividades del tratamiento del artículo 30 se mantiene internamente y se extracta a petición.
¿Cómo se aplican los principios del artículo 5 a la infraestructura de email?
Licitud, lealtad y transparencia: tratamos según instrucciones documentadas y nuestro DPA describe el tratamiento en el Anexo 1. Limitación de la finalidad: usamos los datos del cliente exclusivamente para prestar los servicios, nunca para entrenar modelos de ML ni agregarlos en conjuntos de datos comercializables. Minimización de datos: aceptamos sólo los datos que nos envías; no enriquecemos con fuentes de terceros. Exactitud: aportamos herramientas para corregir o eliminar datos vía panel y API. Limitación del plazo de conservación: los periodos de retención están documentados en /dpa#annex-4, desde 7 días para el contenido de mensaje hasta 12 meses para los informes DMARC, con opciones para acortarlos. Integridad y confidencialidad: las medidas de seguridad del artículo 32 están detalladas en /dpa#annex-2. Responsabilidad proactiva: controles del artículo 32 operados y documentados, con evidencia de control pre-certificación disponible a petición; derecho de auditoría disponible en planes Enterprise.
El marco LOPDGDD aplicable en España.
La Ley Orgánica 3/2018 (LOPDGDD) desarrolla en España el RGPD y añade disposiciones específicas relevantes para el email marketing: el artículo 19 regula el tratamiento de datos en sistemas de información crediticia y el artículo 21 de la LSSI-CE (Ley 34/2002) sigue siendo el régimen aplicable a las comunicaciones comerciales electrónicas. La AEPD impuso en 2024 un total de 242 sanciones por importe acumulado superior a 27 millones de euros; las relacionadas con envío de comunicaciones comerciales sin consentimiento van desde sanciones de 300€ (envío a múltiples destinatarios sin copia oculta) hasta 5.000€ (no atender solicitudes de baja). Las grandes multas (5M€ a Energya VM Gestión de Energía en 2024, 3,5M€ a I-DE Redes Eléctricas en 2024) se concentran en violaciones de los principios del artículo 5 y artículo 32 (medidas de seguridad).
¿Cuál es la dirección regulatoria de 2026 con el Digital Omnibus?
El desarrollo vivo del RGPD en 2026 es la simplificación más que la expansión. El 19 de noviembre de 2025 la Comisión Europea publicó su paquete Digital Omnibus, una propuesta para aligerar las cargas de cumplimiento sin reabrir los principios fundamentales del reglamento. Las piezas que más importan a un proveedor de email y a sus clientes están del lado del responsable: un alivio en la obligación de mantener el registro de actividades de tratamiento para organizaciones de menor riesgo, una notificación de brechas más armonizada y reglas más claras sobre el tratamiento de datos seudonimizados. Lo que la propuesta no toca son las obligaciones del encargado del artículo 28 ni el régimen de transferencias del Capítulo V, que son las partes que gobiernan nuestra relación contractual contigo. Es una propuesta y no derecho en vigor: tiene que pasar por el Parlamento Europeo y el Consejo, y los grupos de defensa de la privacidad ya advierten de que algunos recortes podrían erosionar derechos. Seguimos el expediente porque cambia el papeleo que tu equipo lleva, pero diseñamos el DPA hacia las obligaciones que permanecen estables en lugar de hacia las que están en debate, de modo que el contrato no necesita rehacerse cualquiera que sea el resultado.
¿Cómo funciona la cadena de autorización de subencargados del artículo 28?
El artículo 28 permite a un encargado contratar subencargados solo con la autorización del responsable, y exige que cada subencargado quede vinculado por las mismas obligaciones de protección de datos que recaen sobre el encargado. En la práctica esto funciona como una autorización general más un derecho de objeción: mantenemos una lista pública de subencargados en /dpa#sub-processors con el nombre, el servicio, los datos a los que accede, la ubicación y el mecanismo de transferencia de cada uno, y damos un preaviso de 30 días antes de añadir o sustituir cualquiera. Durante esa ventana puedes oponerte, y si la objeción es razonable y no podemos resolverla, tienes derecho a rescindir la parte del servicio afectada. La cadena es deliberadamente corta para un encargado de email: el operador de infraestructura, la red aguas arriba, el CDN delante del panel y el procesador de pagos para la facturación. Cada subencargado firma un acuerdo que traslada las obligaciones del artículo 28, y para los que tienen contacto estadounidense la Transfer Impact Assessment documenta las medidas suplementarias. Un cliente que evalúa su cadena de subencargados encuentra los datos ya estructurados en lugar de tener que reconstruirlos a partir de una página genérica de "infraestructura cloud", que es la diferencia entre rellenar una fila del registro y abrir una investigación.
Cómo gestiona la plataforma los derechos del interesado.
El RGPD da a los interesados derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición, y como encargado nuestro papel es asistir al responsable a atenderlos en lugar de responderlos nosotros directamente. La plataforma traduce esos derechos en operaciones concretas. El derecho de acceso y el de portabilidad se sirven con la búsqueda en logs por destinatario y el export en JSON o CSV vía panel y API, sin límite de frecuencia. La supresión y la rectificación se ejecutan con las herramientas de gestión de la suppression list y de borrado por dirección, con efecto propagado a los registros dentro de los periodos de retención documentados. La limitación y la oposición se materializan deteniendo el tratamiento de una dirección concreta y registrándola en la suppression para que ningún envío posterior la alcance. La herramienta autoservicio cubre en torno al 80% de las solicitudes habituales, y el 20% restante —investigaciones forenses, supresión compleja en periodos largos de retención— lo asiste el DPO, con aviso proactivo al cliente cuando una solicitud va a superar el plazo de un mes para que invoque la prórroga del artículo 12. El objetivo es que el responsable cumpla su plazo con datos que salen de la plataforma en lugar de con estimaciones hechas bajo presión.
¿La intersección del RGPD y el Reglamento de IA toca tus datos de destinatarios?
El Comité Europeo de Protección de Datos ha anunciado directrices conjuntas sobre la interacción entre el RGPD y el Reglamento de IA, y la pregunta que llega de los compradores es si los datos que pasan por un proveedor de email acaban en algún sistema de entrenamiento. Nuestra respuesta elimina la intersección en lugar de gestionarla. Tratamos los datos del cliente solo para prestar el servicio y nunca para entrenar modelos de aprendizaje automático, construir conjuntos de datos comercializables ni enriquecer los datos de un cliente con los de otro, y esa limitación de la finalidad está fijada en el DPA en lugar de dejarse a una política que puede cambiar. No hay perfilado ni decisiones automatizadas con efecto jurídico sobre los destinatarios en la capa de email, así que el artículo 22 del RGPD no entra en juego por nuestra parte. Si tu propio producto aplica IA sobre los datos antes o después de pasarlos por nosotros, esa es una operación de tratamiento tuya bajo tu responsabilidad, y nuestro papel se limita a la entrega. Mantener esa línea explícita importa porque ahorra a tu equipo tener que demostrar que un proveedor no convirtió sus datos de destinatarios en datos de entrenamiento, que es exactamente la pregunta que las nuevas directrices empujan a hacer.
Qué te aporta la constitución en la UE que un encargado estadounidense no puede igualar.
La diferencia no es la región del datacenter, porque un proveedor con matriz estadounidense puede ofrecer una región europea y aun así quedar sujeto a requerimientos de acceso extraterritoriales. La diferencia es la propiedad de la entidad. OS Domains GmbH está constituida en Austria sin matriz estadounidense en la cadena corporativa, lo que significa que la prueba del CLOUD Act de posesión, custodia o control no encuentra un punto de apoyo estadounidense, y que no necesitamos un representante en la UE del artículo 27 porque la entidad ya está en la UE. La autoridad de control principal es la Datenschutzbehörde austriaca bajo el mecanismo de ventanilla única, el DPO está en Viena y disponible para comunicación directa con las autoridades europeas, y la lista de subencargados puede fijarse a operaciones solo-UE para las cuentas que lo exigen. Para un comprador que decide entre nosotros y un proveedor estadounidense para una carga sensible al RGPD, los puntos de comparación concretos son la constitución en la UE, el routing UE por defecto y si los problemas de transferencia transfronteriza de Schrems II le aplican en absoluto. Con la configuración solo-UE no le aplican, y esa es una sección del expediente de cumplimiento que queda cerrada en lugar de quedar gestionada año tras año.