Que es un subprocesador?
Un subprocesador (subencargado del tratamiento) es un tercero contratado por Vidoku para procesar datos personales en nombre de nuestros clientes (controladores) y que cumple las funciones tecnicas necesarias para prestar el servicio.
Conforme al RGPD Art. 28.2, mantenemos esta lista publica y notificamos cualquier cambio a los clientes B2B con al menos 30 dias de antelacion, permitiendo su oposicion conforme al DPA (Data Processing Agreement) firmado.
Para suscribirse a notificaciones de cambios en subprocesadores, escriba a privacy@vidoku.iocon asunto "Subprocessor Notifications".
1. Infraestructura cloud y hosting
| Proveedor | Servicio | Localizacion datos | Garantia transferencia | Certificaciones |
|---|---|---|---|---|
| Amazon Web Services EMEA SARL | Hosting (Amplify), Base de datos (Aurora PostgreSQL), Auth (Cognito), Almacenamiento (S3), Email (SES), CDN (CloudFront) | EU — Ireland (eu-west-1) | SCC + AWS DPA + adhesion al CISPE Code | ISO 27001/27017/27018, SOC 1/2/3, PCI DSS, HIPAA BAA, HDS, FedRAMP, GxP |
| Cloudflare Inc. | CDN, proteccion DDoS, WAF | Edge global (paso, sin retencion) | EU-US DPF + SCC | SOC 2 Type II, ISO 27001, PCI DSS |
2. Procesamiento IA y generacion de video
| Proveedor | Servicio | Localizacion | Garantia transferencia | Politicas IA |
|---|---|---|---|---|
| Sub-procesador de video IA (third-party AI video provider) | Generacion de video con avatares IA, voice cloning, traduccion | USA | EU-US DPF + SCC + DPA | No usa datos de clientes para entrenar modelos. SOC 2 Type II. |
| Anthropic PBC | API Claude (asistente IA conversacional, generacion de scripts) | USA | EU-US DPF + SCC + Zero Data Retention disponible | No usa inputs/outputs para entrenamiento (Commercial Terms). SOC 2 Type II. |
| Pexels GmbH | API de imagenes y videos de stock (royalty-free) | UE (Berlin) | Operacion intra-UE | Solo recibe queries, no datos de usuarios finales |
3. Comunicaciones y email
| Proveedor | Servicio | Localizacion | Garantia transferencia | Datos procesados |
|---|---|---|---|---|
| Amazon SES (AWS) | Email transaccional y envio masivo de videos | EU — Ireland (eu-west-1) | Intra-UE — AWS DPA + HIPAA BAA | Direcciones email destinatarias + contenido transaccional + plantillas |
4. Pagos
| Proveedor | Servicio | Localizacion | Garantia transferencia | Datos procesados |
|---|---|---|---|---|
| Stripe Payments Europe Ltd. | Procesamiento de pagos por suscripcion | Irlanda (sede UE) + USA (matriz) | SCC + EU-US DPF + PCI DSS Level 1 | Datos de tarjeta (procesados directamente por Stripe — Vidoku NO recibe datos de tarjeta) |
Importante: Vidoku nunca recibe ni almacena datos de tarjetas de credito. Stripe los procesa directamente. Vidoku solo recibe identificadores tokenizados.
5. Observabilidad y soporte (opcionales, pseudonimizados)
| Proveedor | Servicio | Localizacion | Garantia | Datos procesados |
|---|---|---|---|---|
| Sentry (Functional Software, Inc.) | Monitorizacion de errores | USA / UE (opcion EU) | EU-US DPF + SCC | Stack traces, user ID pseudonimizado. NUNCA datos sensibles (filtros activos) |
| PostHog Inc. | Product analytics agregado | UE (option eu.posthog.com) | Intra-UE | Eventos de uso agregados, sin PII directa |
6. Compromisos de cumplimiento de los subprocesadores
Antes de contratar cualquier subprocesador, Vidoku verifica:
- Existencia y vigencia de certificaciones (SOC 2, ISO 27001, PCI DSS, HIPAA segun aplique)
- Firma de DPA conforme al RGPD Art. 28
- Adhesion al EU-US Data Privacy Framework (para proveedores USA)
- Firma de Clausulas Contractuales Tipo (UE 2021/914) actualizadas
- Realizacion de Transfer Impact Assessment (TIA) conforme a EDPB 01/2020
- Auditorias periodicas y derecho de inspeccion contractual
- Politicas de no uso de datos para entrenamiento de modelos IA
7. Historial de cambios
| Fecha | Cambio |
|---|---|
| 2026-05-12 | Version inicial publica con 11 subprocesadores listados |
| 2026-05-12 | Anadido Pexels GmbH para stock footage |
| 2026-05-12 | Activada region EU-Frankfurt para AWS SES |
8. Como ser notificado de cambios
Los clientes con DPA firmado reciben notificacion automatica por email a la direccion del DPO designada. Cualquier visitante puede suscribirse escribiendo a privacy@vidoku.iocon asunto "Subprocessor Notifications".
Si tras una notificacion de nuevo subprocesador un cliente B2B se opone razonablemente, puede rescindir el servicio sin penalizacion conforme a la clausula 8 del DPA.