Introduccion
Este Acuerdo de Encargado del Tratamiento (Data Processing Agreement o "DPA") forma parte integrante de los Terminos y Condicionesentre el cliente ("Controlador") y Vidoku, S.L. ("Encargado" o "Procesador") cuando los servicios implican el tratamiento de datos personales de personas fisicas residentes en el Espacio Economico Europeo (EEE), Reino Unido o Suiza.
Este DPA cumple con los requisitos del Articulo 28 del RGPD (Reglamento UE 2016/679), la LOPDGDD (LO 3/2018), y las Decisiones de Ejecucion 2021/914 y 2021/915 de la Comision Europea sobre Clausulas Contractuales Tipo (SCC).
Los clientes Enterprise pueden solicitar la firma electronica de este DPA con sus propios datos contractuales escribiendo a dpa@vidoku.io.
1. Definiciones
- RGPD: Reglamento (UE) 2016/679
- Datos personales: Conforme a la definicion del Art. 4.1 RGPD
- Tratamiento: Conforme a la definicion del Art. 4.2 RGPD
- Controlador: El cliente que determina los fines y medios del tratamiento
- Encargado / Procesador: Vidoku, S.L.
- Subencargado / Subprocesador: Terceros contratados por el Encargado
- Servicios: La plataforma Vidoku.io segun los Terminos
- SCC: Clausulas Contractuales Tipo UE 2021/914
- Brecha: Violacion de seguridad conforme al Art. 4.12 RGPD
2. Objeto del tratamiento (RGPD Art. 28.3)
| Elemento | Descripcion |
|---|---|
| Objeto | Prestacion de los Servicios Vidoku.io: generacion de videos IA, gestion de campanas, envio masivo |
| Duracion | Mientras dure la relacion contractual + 30 dias de retencion post-cancelacion |
| Naturaleza | Tratamiento automatizado mediante medios electronicos |
| Finalidad | Prestacion del Servicio bajo instrucciones del Controlador |
| Tipo de datos | Identificativos (nombre, email), de contacto, contenido de campanas, biometricos (voz/imagen) si avatar custom |
| Categorias de interesados | Destinatarios de las campanas del Controlador (HCPs, prospectos, clientes, empleados) |
| Categorias especiales (Art. 9) | Solo datos biometricos derivados de avatares/voces aportados con consentimiento del Controlador |
3. Obligaciones del Encargado
El Encargado se compromete a:
- Tratar los datos unicamente bajo instrucciones documentadas del Controlador, salvo obligacion legal (en cuyo caso lo notificara)
- Garantizar que las personas autorizadas a tratar los datos esten obligadas a confidencialidad
- Implementar las medidas tecnicas y organizativas apropiadas (Art. 32 RGPD) detalladas en el Anexo II
- No recurrir a otro subencargado sin autorizacion previa, conforme a la Clausula 4 de este DPA
- Asistir al Controlador para responder a derechos de los interesados (Art. 28.3.e)
- Asistir al Controlador en cumplimiento de Art. 32-36 RGPD (seguridad, brechas, DPIA)
- Suprimir o devolver los datos al finalizar el servicio (a eleccion del Controlador)
- Poner a disposicion del Controlador toda la informacion necesaria para demostrar cumplimiento
- Permitir auditorias del Controlador o un auditor independiente, conforme a Clausula 7
4. Subencargados (RGPD Art. 28.2, 28.4)
El Controlador autoriza al Encargado a usar los subencargados listados en /legal/subprocessors.
4.1 Notificacion de cambios
El Encargado notificara cualquier alta, baja o cambio de subencargado con al menos 30 dias de antelacion. El Controlador podra oponerse por motivos razonables relacionados con proteccion de datos.
4.2 Oposicion del Controlador
Si la oposicion es razonable y el Encargado no puede ofrecer alternativa, el Controlador podra rescindir el contrato sin penalizacion conforme a la Clausula 11.
4.3 Responsabilidad sobre los subencargados
El Encargado seguira siendo responsable frente al Controlador por las acciones u omisiones de los subencargados.
5. Notificacion de brechas (RGPD Art. 33)
El Encargado notificara al Controlador sin dilacion indebida y nunca mas tarde de 24 horas tras tener conocimiento de cualquier violacion de seguridad que afecte a datos personales del Controlador. La notificacion incluira:
- Naturaleza de la brecha (categorias y numero aproximado de interesados/registros)
- Datos de contacto del DPO para mas informacion
- Consecuencias probables
- Medidas adoptadas o propuestas para mitigar
6. Asistencia con derechos de los interesados
El Encargado facilitara herramientas tecnicas para que el Controlador pueda atender solicitudes de derechos RGPD Art. 15-22:
- API y endpoint
/api/v1/account/export(acceso/portabilidad) - API y endpoint
/api/v1/account/delete(supresion) - Panel de configuracion del Controlador para gestionar consentimientos
- Atencion a solicitudes por email en plazo ≤ 5 dias habiles
7. Auditorias (RGPD Art. 28.3.h)
El Controlador tiene derecho a auditar el cumplimiento del Encargado:
- Modalidad 1: Acceso al reporte SOC 2 Type II del Encargado y sus subencargados bajo NDA
- Modalidad 2: Auditoria documental remota por el Controlador o auditor independiente, una vez al ano, con preaviso de 30 dias
- Modalidad 3: Auditoria fisica on-site, una vez al ano, con preaviso de 60 dias y a cargo del Controlador, salvo deteccion de incumplimiento grave
8. Transferencias internacionales (Capitulo V RGPD)
Cuando los datos se transfieran fuera del EEE, el Encargado garantiza:
- Firma de las Clausulas Contractuales Tipo UE 2021/914 (Modulo 2 — Controlador a Encargado, y Modulo 3 — Encargado a Subencargado)
- Adhesion al EU-US Data Privacy Framework para proveedores USA aplicables
- Realizacion de Transfer Impact Assessment (TIA) conforme a EDPB 01/2020
- Medidas suplementarias (cifrado at-rest y en transito, pseudonimizacion donde aplique)
Para clientes UK, se firman los UK International Data Transfer Addendum aprobados por el ICO.
9. Supresion o devolucion al finalizar
A eleccion del Controlador, al finalizar la prestacion del servicio el Encargado:
- Suprime todos los datos personales del Controlador en un plazo de 30 dias (procedimiento de borrado seguro conforme a NIST 800-88)
- O bien los devuelve en formato JSON o CSV portable
- Certifica por escrito la supresion (excepto cuando exista obligacion legal de conservacion)
10. Confidencialidad
El Encargado garantiza que su personal y subencargados estan sujetos a obligaciones de confidencialidad escritas. Las violaciones de confidencialidad pueden conllevar resolucion inmediata del contrato laboral y, en su caso, acciones penales conforme al Art. 197 CP.
11. Duracion y resolucion
Este DPA tiene la misma vigencia que el contrato principal de servicios. Las clausulas que por su naturaleza deban sobrevivir (confidencialidad, indemnizacion, derechos del Controlador de auditoria postcontractual) lo haran durante 3 anos tras la terminacion.
12. Anexos
- Anexo I: Lista de partes, descripcion del tratamiento (incluida en este DPA, Clausula 2)
- Anexo II: Medidas tecnicas y organizativas (Art. 32) — consultar /compliance
- Anexo III: Lista de subencargados — /legal/subprocessors
- Anexo IV: SCC UE 2021/914 (Modulo 2) — firmados automaticamente al aceptar este DPA
13. Contacto
- DPO: dpo@vidoku.io
- Solicitud de DPA firmado: dpa@vidoku.io
- Notificaciones legales: legal@vidoku.io