BORRADOR — pendiente de revisión por abogado con práctica en protección de datos en Colombia (Ley 1581/2012) y GDPR antes de publicar. Punto de partida para revisión legal; no constituye asesoría jurídica.
Lista de Sub-procesadores — Astrosoul Center
Última revisión: 2026-06-30 Versión: 2.0 (borrador — adaptación Colombia)
Esta página identifica a los sub-procesadores (encargados del tratamiento) que utilizamos para prestar Astrosoul Center. Forma parte de la privacy-policy.md y se mantiene actualizada conforme cambian los proveedores.
El responsable del tratamiento es Astro Soul Center S.A.S. (nombre comercial Astrosoul Center, https://astrosoul.center), sociedad por acciones simplificada (S.A.S.) constituida en Colombia e inscrita en la Cámara de Comercio de Bogotá (matrícula mercantil [PENDIENTE — matrícula Cámara de Comercio de Bogotá]), NIT [PENDIENTE — NIT], con domicilio en Diagonal 17 B No. 90-53, Bogotá D.C., Colombia (C.P. 110921). Representante legal: Carlos Eduardo Gómez Fandiño. Email de contacto y para el ejercicio de derechos: info@astrosoul.center (se recomienda habilitar un buzón dedicado privacidad@astrosoul.center).
Este documento se rige por un marco dual: la Ley 1581 de 2012 de protección de datos personales de Colombia (habeas data), su Decreto reglamentario 1377 de 2013 y el Decreto 1074 de 2015, bajo la supervisión de la Superintendencia de Industria y Comercio (SIC) — Delegatura para la Protección de Datos Personales; y, para los usuarios ubicados en la Unión Europea / EEE, el Reglamento (UE) 2016/679 (GDPR), aplicable extraterritorialmente conforme a su Art. 3.2.
1. ¿Qué es un sub-procesador?
Un sub-procesador es una empresa que trata datos personales en nuestro nombre y siguiendo nuestras instrucciones, para que podamos prestarte el servicio. La relación se rige por contratos de encargo del tratamiento (Art. 28 GDPR para usuarios de la UE; y, bajo la legislación colombiana, contratos de transmisión/encargo de datos conforme a la Ley 1581 de 2012 y el Decreto 1377 de 2013). Cuando hay transferencia internacional, se ampara —según el caso— en Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea para usuarios de la UE, y en la autorización del titular y/o las garantías contractuales (DPAs) exigidas por la Ley 1581 de 2012 (Art. 26) para titulares en Colombia.
Cada sub-procesador queda vinculado a obligaciones equivalentes a las que asumimos contigo: confidencialidad, seguridad, asistencia ante derechos del titular/interesado y notificación de brechas.
1.1 Base legal de las transferencias internacionales
La mayoría de nuestros sub-procesadores alojan o procesan los datos fuera de Colombia (principalmente en EE.UU.). Documentamos una doble base de legitimación:
- Bajo la Ley 1581 de 2012 (Art. 26): la transferencia de datos a países que la SIC no haya declarado con nivel adecuado de protección requiere la autorización previa, expresa e informada del titular y/o la suscripción de garantías contractuales (contratos de transmisión de datos / DPAs) que obliguen al receptor a cumplir estándares equivalentes a la ley colombiana. La autorización del titular se recaba al aceptar esta Política y, para datos sensibles, mediante el consentimiento explícito reforzado (ver §1.2).
- Bajo el GDPR (usuarios de la UE): las transferencias a EE.UU. se amparan en un mecanismo válido del Capítulo V — Cláusulas Contractuales Tipo (SCC, Decisión 2021/914) y/o el marco de adecuación aplicable (EU-US Data Privacy Framework) cuando el proveedor esté certificado.
1.2 Datos sensibles
La carta natal y la interacción con el servicio pueden revelar datos sensibles (creencias o convicciones, e inferencias relativas a salud o bienestar). Conforme a la Ley 1581 de 2012 (Arts. 5–6), el tratamiento de datos sensibles exige autorización reforzada y explícita del titular y no puede ser obligatorio; y conforme al Art. 9 GDPR, requiere consentimiento explícito (Art. 9.2.a). El gate de consentimiento ya implementado en el producto (Art. 9.2.a GDPR) sirve también como autorización explícita bajo el régimen de habeas data colombiano.
2. Tabla de sub-procesadores activos
| Proveedor | Propósito | Datos compartidos | Ubicación del tratamiento | Mecanismo de transferencia internacional | Política / DPA |
|---|---|---|---|---|---|
| Amazon Web Services, Inc. / AWS Bedrock | Generación de respuestas del chat y de reports interpretativos (Amazon Nova) y embeddings vectoriales para RAG (Amazon Titan; corpus de conocimiento + vectorización de consultas de búsqueda) | Carta natal, fragmentos RAG, mensajes del chat, prompts, texto de consulta | Estados Unidos (región us-east-1) | CO: autorización del titular + DPA (Ley 1581 Art. 26). UE: Standard Contractual Clauses (SCC) UE 2021/914 + EU-US Data Privacy Framework | https://aws.amazon.com/agreement/ / https://aws.amazon.com/compliance/gdpr-center/ |
| Amazon Web Services, Inc. / AWS RDS (PostgreSQL) | Persistencia de la base de datos (PostgreSQL gestionado) | Datos de cuenta, cartas, reports, conversaciones, facturas, consentimientos | Estados Unidos (región us-east-1) | CO: autorización del titular + DPA (Ley 1581 Art. 26). UE: SCC UE 2021/914 + EU-US Data Privacy Framework | https://aws.amazon.com/agreement/ / https://aws.amazon.com/compliance/gdpr-center/ |
| Stripe, Inc. | Procesamiento de pagos, suscripciones, facturación, reembolsos y pagos del marketplace (Stripe Connect) | Identificador de cliente, importe, divisa, datos fiscales que aporte el usuario, método de pago tokenizado | Estados Unidos e Irlanda (Stripe Payments Europe Ltd.) | CO: autorización del titular + DPA (Ley 1581 Art. 26). UE: SCC + DPF | https://stripe.com/privacy / https://stripe.com/legal/dpa |
| Vercel, Inc. | Hosting y entrega del frontend Next.js, edge runtime, CDN | Logs de acceso, IP, headers de petición, errores de runtime | Estados Unidos (multi-región global) | CO: autorización del titular + DPA (Ley 1581 Art. 26). UE: SCC + DPF | https://vercel.com/legal/privacy-policy / https://vercel.com/legal/dpa |
| Railway Corp. | Hosting y ejecución del backend (API FastAPI) | Datos de petición procesados por la API (cuenta, cartas, reports, conversaciones), logs de runtime | Estados Unidos | CO: autorización del titular + DPA (Ley 1581 Art. 26). UE: SCC | https://railway.com/legal/privacy / https://railway.com/legal/dpa |
| Resend Inc. | Envío de emails transaccionales (confirmaciones, recuperación de contraseña, recibos, contact form) | Email destinatario, contenido del email, IP del envío | Estados Unidos | CO: autorización del titular + DPA (Ley 1581 Art. 26). UE: SCC | https://resend.com/legal/privacy-policy / https://resend.com/legal/dpa |
| Google LLC (Google Identity Platform) | Inicio de sesión con Google OAuth 2.0 (opcional para usuarios) | Email verificado, nombre, identificador único de Google, foto de perfil (si la cuenta lo expone) | Estados Unidos | CO: autorización del titular + DPA (Ley 1581 Art. 26). UE: SCC + DPF | https://policies.google.com/privacy / https://cloud.google.com/terms/data-processing-addendum |
3. Datos compartidos por sub-procesador (detalle)
3.1 AWS Bedrock — generación (Amazon Nova) y embeddings (Amazon Titan)
Toda la inteligencia artificial corre en AWS Bedrock. OpenAI ya no procesa datos de usuario (la generación se migró a Amazon Nova y los embeddings del RAG a Amazon Titan en junio de 2026).
- Qué enviamos: prompts construidos a partir de la carta del usuario, fragmentos de la base RAG, el último contexto de la conversación (en el chat) y la vectorización de las consultas de búsqueda (embeddings).
- Qué NO enviamos: contraseñas, datos de pago, IP del usuario final, identidad real (usamos un identificador interno opaco).
- Modelos: generación con Amazon Nova (Lite para chat, Pro para informes) vía la Converse API; embeddings con Amazon Titan Embed v2 (1024 dims). El corpus de libros se embebe una sola vez (one-off); por consulta solo se vectoriza la pregunta. Región
us-east-1. - Entrenamiento: AWS Bedrock NO usa las entradas/salidas de las invocaciones para entrenar modelos base ni las comparte con los proveedores del modelo (compromiso por defecto del servicio).
- Retención: Bedrock no almacena prompts, respuestas ni textos a vectorizar tras servir la petición (sin retención de contenido por defecto).
- Marco contractual (Art. 28 GDPR; y autorización del titular + DPA bajo Ley 1581 Art. 26): AWS GDPR Data Processing Addendum, incorporado al AWS Customer Agreement. Referencias:
- AWS Customer Agreement: https://aws.amazon.com/agreement/
- AWS GDPR Center / DPA: https://aws.amazon.com/compliance/gdpr-center/
3.2 AWS RDS (PostgreSQL)
- Qué procesan: alojan la base de datos relacional gestionada (PostgreSQL) donde persisten los datos de cuenta, cartas, reports, conversaciones, facturas y registros de consentimiento.
- Ubicación: Estados Unidos (región
us-east-1), cifrado en reposo yforce_sslen tránsito. - Marco contractual: AWS GDPR Data Processing Addendum (mismo AWS Customer Agreement que Bedrock). Para titulares en Colombia, la transferencia se ampara en la autorización del titular y las garantías contractuales (DPA) conforme al Art. 26 de la Ley 1581 de 2012.
3.3 Stripe
- Qué enviamos: importe, divisa, descripción del plan, identificador interno del cliente. Los datos de tarjeta se introducen directamente en Stripe (Checkout/Elements) y nunca pasan por nuestros servidores.
- Qué nos devuelven: identificador de transacción, estado del pago, eventos webhook (suscripción creada, renovada, cancelada, fallo de pago; reservas del marketplace vía Stripe Connect).
- Cumplimiento: Stripe está certificado PCI DSS Level 1.
3.4 Vercel
- Qué procesan: despliegan el código del frontend Next.js y enrutan peticiones HTTP/HTTPS.
- Qué ven: logs de acceso estándar (IP, user-agent, path), métricas de rendimiento.
- Qué NO ven: contenido de la base de datos (eso vive en AWS RDS, fuera de Vercel) ni payload de respuestas autenticadas (no las cacheamos públicamente).
- Edge runtime: algunas funciones pueden ejecutarse en edge nodes; aplican las mismas garantías de transferencia (SCC para la UE; autorización del titular + DPA bajo Ley 1581 Art. 26).
3.5 Railway
- Qué procesan: ejecutan el backend (API FastAPI) que atiende las peticiones del producto.
- Qué ven: datos de petición que la API procesa (cuenta, cartas, reports, conversaciones) durante el tratamiento, además de logs de runtime.
- Ubicación: Estados Unidos.
- Marco contractual: DPA de Railway con SCC para usuarios de la UE; autorización del titular + DPA bajo el Art. 26 de la Ley 1581 de 2012 para titulares en Colombia.
3.6 Resend
- Qué enviamos: el email completo a entregar (destinatario, asunto, cuerpo HTML/texto, headers).
- Qué retiene: logs de envío 90 días.
- Configuración: SPF, DKIM y DMARC alineados con el dominio remitente.
3.7 Google Identity Platform
- Cuándo aplica: sólo si el usuario opta por iniciar sesión con Google.
- Datos recibidos: email verificado, nombre, identificador único de Google. No accedemos a Drive, Gmail ni ningún otro servicio del usuario.
- Configuración: scopes mínimos (
openid,email,profile).
4. Sub-procesadores anteriormente usados y retirados
Mantenemos por transparencia un historial de cambios:
| Proveedor | Periodo | Motivo de retirada |
|---|---|---|
| Kerykeion (librería astrológica con licencia AGPL) | hasta wave-5 (2026-05) | Eliminado por riesgo legal de propagación AGPL en código propietario |
| OpenAI, L.L.C. (generación de respuestas y embeddings) | hasta junio 2026 | Sustituido por AWS Bedrock (Amazon Nova + Amazon Titan); OpenAI ya no procesa datos de usuario |
Nota: Kerykeion era una librería instalada, no un sub-procesador remoto. Lo incluimos aquí por trazabilidad de decisiones que afectan a la confianza del usuario.
5. Cuándo notificamos cambios
5.1 Política de aviso de 30 días
Si añadimos un nuevo sub-procesador o sustituimos uno existente por motivos no críticos, te notificaremos con al menos 30 días de antelación:
- Publicando una actualización en esta página con la fecha de revisión.
- Enviando un aviso por email a todos los usuarios suscritos a la newsletter de cambios legales.
- Anunciando el cambio en el dashboard al iniciar sesión.
Durante esos 30 días puedes objetar el cambio. Si la objeción es razonada y no podemos atenderla, te ofrecemos resolver el contrato sin penalización con reembolso prorrateado del periodo no consumido.
5.2 Excepciones (sin preaviso)
Podemos incorporar un sub-procesador sin preaviso sólo en estos casos:
- Continuidad del servicio ante el fallo crítico o cese de actividad de un proveedor previo.
- Requerimiento legal o de autoridad pública.
En tal caso, notificamos a posteriori en cuanto sea factible, explicando la razón.
6. Encargados del tratamiento secundarios
Algunos sub-procesadores subcontratan a su vez a otros proveedores (por ejemplo Vercel se apoya en AWS para su infraestructura). Nos comprometemos contractualmente con cada sub-procesador a exigir el mismo nivel de protección en su cadena de subcontratación. La diligencia ante las autoridades de control (la SIC en Colombia; la autoridad de control del Estado miembro correspondiente en la UE) corresponde al sub-procesador directo.
Las listas detalladas de sub-encargados de nuestros sub-procesadores son públicas:
- AWS: https://aws.amazon.com/compliance/sub-processors/
- Stripe: https://stripe.com/legal/subprocessors
- Vercel: https://vercel.com/legal/subprocessors
- Railway: https://railway.com/legal/subprocessors
- Resend: https://resend.com/legal/subprocessors
7. Datos no compartidos con sub-procesadores
Para refrescar lo que NO sale de nuestros sistemas hacia terceros:
- Contraseñas (sólo el hash bcrypt vive en nuestra base de datos).
- IP de usuarios finales hacia los proveedores de IA (no se envían a AWS Bedrock; usamos un identificador interno opaco).
- Datos crudos del chat hacia analytics (no usamos analytics con perfilado).
- Datos de pago detallados (PAN, CVV) — Stripe los gestiona en su entorno PCI DSS.
8. Cómo ejercer tus derechos respecto a sub-procesadores
Como titular (Ley 1581 de 2012, Art. 8) tienes derecho a conocer, actualizar y rectificar tus datos, solicitar prueba de la autorización otorgada, ser informado del uso dado a tus datos, revocar la autorización y/o solicitar la supresión, y presentar quejas ante la SIC. Si estás en la UE, conservas además tus derechos GDPR (acceso, rectificación, supresión, portabilidad, oposición y limitación). Si quieres conocer qué datos tiene un sub-procesador concreto sobre ti, puedes:
- Escribir a info@astrosoul.center. Coordinaremos la consulta con el sub-procesador en tu nombre.
- Contactar directamente al sub-procesador con tu identificador de cliente (lo facilitamos a petición).
9. Cláusula final
Esta lista es dinámica. La fecha de revisión al inicio de la página refleja la última actualización. Te recomendamos revisarla periódicamente. Cualquier cambio sustantivo se notificará por los canales descritos en la sección 5.
10. Contacto
Para cualquier pregunta sobre nuestros sub-procesadores o las garantías contractuales aplicables, escríbenos a info@astrosoul.center o por correo postal a Diagonal 17 B No. 90-53, Bogotá D.C., Colombia (C.P. 110921).