1. Responsable del tratamiento
El responsable del tratamiento de sus datos personales es Vidoku, S.L.(en adelante, "Vidoku", "nosotros" o "la Empresa"), con CIF en formacion, domicilio social en Espana, e-mail de contacto privacy@vidoku.io.
Para cualquier asunto relacionado con sus datos personales o el ejercicio de sus derechos, puede contactar con nuestro Delegado de Proteccion de Datos (DPO) en dpo@vidoku.io.
2. Datos personales que recogemos
2.1 Datos de cuenta
- Nombre y apellidos
- Direccion de correo electronico
- Contrasena (almacenada con hash bcrypt, jamas en claro)
- Idioma preferido y zona horaria
2.2 Datos de uso
- Direccion IP, user agent, tipo de dispositivo
- Logs de acceso (timestamp, endpoint, codigo de respuesta)
- Metricas de uso de la plataforma (campanas creadas, videos generados)
2.3 Datos de contenido (los que usted nos proporciona)
- Scripts y guiones para los videos generados
- CSVs de destinatarios (nombre, email, campos personalizados)
- Voz e imagen del usuario en caso de creacion de avatar personalizado (con consentimiento expreso)
- Videos generados y sus metadatos
2.4 Datos biometricos (categoria especial RGPD Art. 9)
Cuando un usuario crea un avatar personalizado o clona su voz, recogemos datos biometricos (modelo facial, modelo de voz). Estos datos:
- Solo se procesan con su consentimiento expreso e informado (RGPD Art. 9.2.a)
- Se almacenan cifrados (AES-256 at-rest)
- NO se utilizan para identificacion biometrica de terceros
- NO se comparten con terceros distintos de nuestro sub-procesador de video IA
- Se borran al cabo de 30 dias tras la eliminacion de la cuenta
3. Finalidades del tratamiento y base juridica
| Finalidad | Base juridica (RGPD) | Plazo de conservacion |
|---|---|---|
| Prestar el servicio Vidoku (generar videos, gestionar campanas) | Ejecucion del contrato — Art. 6.1.b | Vigencia de la cuenta |
| Autenticacion y seguridad de la cuenta | Interes legitimo + Ejecucion del contrato — Art. 6.1.b, f | Vigencia de la cuenta + 12 meses |
| Creacion de avatar/voz personalizada | Consentimiento expreso — Art. 9.2.a | Hasta revocacion del consentimiento |
| Envio de comunicaciones transaccionales (videos enviados, facturas) | Ejecucion del contrato — Art. 6.1.b | Vigencia de la cuenta + 6 anos (obligacion fiscal) |
| Marketing por email (boletines, novedades) | Consentimiento — Art. 6.1.a | Hasta revocacion |
| Cumplimiento de obligaciones legales (fiscal, AML) | Obligacion legal — Art. 6.1.c | 6 anos (Codigo de Comercio) |
| Mejora del servicio (analytics agregados, no individuales) | Interes legitimo — Art. 6.1.f | 24 meses, anonimizados despues |
| Defensa frente a reclamaciones | Interes legitimo — Art. 6.1.f | Plazo de prescripcion legal |
4. Destinatarios y transferencias internacionales
Compartimos sus datos unicamente con los subencargados de tratamiento necesarios para prestar el servicio. La lista completa, actualizada y publica esta disponible en /legal/subprocessors.
4.1 Categorias de subencargados
- Infraestructura cloud: Amazon Web Services EMEA SARL (EU — Ireland eu-west-1) — Hosting, BD, Auth, Storage, Email
- Procesamiento IA: sub-procesador de video IA (USA - DPF), Anthropic PBC (USA - DPF)
- Email transaccional: Amazon SES (EU — Ireland, HIPAA BAA)
- Pagos: Stripe Payments Europe Ltd. (Irlanda — PCI DSS Level 1)
4.2 Transferencias internacionales
Cuando los datos viajan fuera del EEE, garantizamos un nivel adecuado de proteccion mediante:
- EU-US Data Privacy Framework (DPF): Anthropic, nuestro sub-procesador de video IA, Stripe estan certificados (verificable en dataprivacyframework.gov). AWS opera bajo SCC + DPA intra-UE.
- Clausulas Contractuales Tipo (SCC) UE 2021/914 firmadas con todos los subencargados
- Evaluaciones de Impacto de Transferencia (TIA) documentadas conforme a las Recomendaciones EDPB 01/2020
- Cifrado en transito (TLS 1.3) y at-rest (AES-256)
5. Sus derechos (RGPD Capitulo III)
Como interesado, usted tiene los siguientes derechos, ejercitables de forma gratuita escribiendo a privacy@vidoku.io o utilizando los formularios automatizados del panel de su cuenta:
| Derecho | Articulo RGPD | Como ejercerlo en Vidoku |
|---|---|---|
| Acceso | Art. 15 | Panel de cuenta → Datos → Exportar mis datos (formato JSON portable) |
| Rectificacion | Art. 16 | Panel de cuenta → Perfil |
| Supresion (derecho al olvido) | Art. 17 | Panel de cuenta → Eliminar mi cuenta (plazo 30 dias) |
| Limitacion del tratamiento | Art. 18 | Email a privacy@vidoku.io |
| Portabilidad | Art. 20 | Panel de cuenta → Exportar (formato JSON / CSV) |
| Oposicion | Art. 21 | Email a privacy@vidoku.io |
| No ser objeto de decisiones automatizadas | Art. 22 | Vidoku NO toma decisiones automatizadas con efectos juridicos sobre interesados |
| Retirada del consentimiento | Art. 7.3 | Panel de cuenta → Consentimientos (en cualquier momento, sin efecto retroactivo) |
Plazo maximo de respuesta: 1 mes desde la recepcion de la solicitud (prorrogable 2 meses adicionales en casos complejos, RGPD Art. 12.3).
5.1 Reclamacion ante la autoridad de control
Si considera que el tratamiento de sus datos no se ajusta al RGPD, tiene derecho a presentar reclamacion ante la Agencia Espanola de Proteccion de Datos (AEPD):
- Web: www.aepd.es
- Sede electronica: sedeagpd.gob.es
- Telefono: 901 100 099 / 912 663 517
6. Medidas de seguridad
Implementamos medidas tecnicas y organizativas apropiadas conforme al RGPD Art. 32:
- Cifrado en transito (TLS 1.3) y at-rest (AES-256)
- Autenticacion multi-factor (MFA) opcional en todas las cuentas
- Hashing de contrasenas con bcrypt (cost factor 12)
- Row-Level Security (RLS) en la base de datos PostgreSQL
- Audit logs inmutables de toda accion sobre datos personales
- Pen-testing anual por terceros (Synack / HackerOne)
- Politica de gestion de vulnerabilidades (parches criticos en <72h)
- Backups cifrados con retencion 30 dias y replicacion cross-region
- Acceso al codigo y a los datos por minimo privilegio (RBAC)
- Formacion obligatoria anual en seguridad y privacidad para el equipo
Mas detalles tecnicos en /compliance y bajo NDA en security@vidoku.io.
7. Notificacion de brechas de seguridad
Conforme al RGPD Art. 33-34, en caso de violacion de seguridad de datos personales:
- Notificamos a la AEPD en 72 horas desde el conocimiento del incidente
- Notificamos a los interesados afectados sin dilacion indebida cuando exista alto riesgo
- Los clientes B2B reciben notificacion contractual en <24h conforme al DPA
8. Menores de edad
Vidoku NO esta dirigido a menores de 18 anos. No recogemos conscientemente datos de menores. Si detectamos una cuenta de un menor, la eliminaremos inmediatamente. Si es padre, madre o tutor y cree que su hijo ha proporcionado datos, contactenos en privacy@vidoku.io.
10. Uso de Inteligencia Artificial
Vidoku utiliza IA generativa para crear videos personalizados. Conforme al EU AI Act (Reglamento UE 2024/1689) Art. 50, todos los videos generados por IA incluyen marcado obligatorio de transparencia.
Para informacion completa sobre que datos usamos para entrenar/inferir y como protegemos su imagen y voz, consulte la Politica de Transparencia IA.
11. Derechos especificos California (CCPA / CPRA)
Si reside en California, ademas de los derechos RGPD, tiene los siguientes derechos bajo CCPA/CPRA:
- Right to Know: categorias de datos recogidos en los ultimos 12 meses
- Right to Delete y Right to Correct
- Right to Opt-Out of Sale/Sharing: Vidoku NO vende datos personales ni los comparte para publicidad cross-context
- Right to Limit Use of Sensitive Personal Information
- Right to Non-Discrimination por ejercer derechos CCPA
Para ejercerlos: privacy@vidoku.iocon asunto "CCPA Request".
12. Cambios en esta politica
Podemos actualizar esta politica para reflejar cambios legales o operativos. Las versiones anteriores estan archivadas y disponibles bajo solicitud. Cualquier cambio sustancial sera notificado por email con al menos 30 dias de antelacion a su entrada en vigor.
13. Contacto
Para cualquier consulta sobre privacidad o ejercicio de derechos:
- Email general de privacidad: privacy@vidoku.io
- Delegado de Proteccion de Datos (DPO): dpo@vidoku.io
- Seguridad: security@vidoku.io