Documento legal

Subprocesadores

Lista publica y actualizada de los subencargados de tratamiento conforme al RGPD Art. 28. Cumple obligaciones contractuales con clientes B2B (DPA).

Version: 3.0Fecha efectiva: 12 de mayo de 2026Ultima actualizacion: 12 de mayo de 2026

Que es un subprocesador?

Un subprocesador (subencargado del tratamiento) es un tercero contratado por Vidoku para procesar datos personales en nombre de nuestros clientes (controladores) y que cumple las funciones tecnicas necesarias para prestar el servicio.

Conforme al RGPD Art. 28.2, mantenemos esta lista publica y notificamos cualquier cambio a los clientes B2B con al menos 30 dias de antelacion, permitiendo su oposicion conforme al DPA (Data Processing Agreement) firmado.

Para suscribirse a notificaciones de cambios en subprocesadores, escriba a privacy@vidoku.appcon asunto "Subprocessor Notifications".

1. Infraestructura cloud y hosting

ProveedorServicioLocalizacion datosGarantia transferenciaCertificaciones
Amazon Web Services EMEA SARLHosting (Lambda + CloudFront (OpenNext)), Base de datos (Aurora PostgreSQL), Auth (Cognito), Almacenamiento (S3), Email (SES), CDN (CloudFront)EU — Ireland (eu-west-1)SCC + AWS DPA + adhesion al CISPE CodeISO 27001/27017/27018, SOC 1/2/3, PCI DSS, HIPAA BAA, HDS, FedRAMP, GxP

2. Procesamiento IA y generacion de video

ProveedorServicioLocalizacionGarantia transferenciaPoliticas IA
HeyGen, Inc.Generacion de video con avatares IA, voice cloning, traduccionUSAEU-US DPF + SCC + DPANo usa datos de clientes para entrenar modelos (https://help.heygen.com/en/articles/8521367-data-usage). SOC 2 Type II.
Anthropic PBCAPI Claude (asistente IA conversacional, generacion de scripts)USAEU-US DPF + SCC + Zero Data Retention disponibleNo usa inputs/outputs para entrenamiento (Commercial Terms). SOC 2 Type II.
Google LLC (Gemini API)Generacion de texto con IA (LLM)USAEU-US DPF + SCCNo usa inputs/outputs de la API para entrenar modelos; datos no retenidos mas alla del tiempo necesario para la respuesta.
ElevenLabs, Inc.Sintesis de voz IAUSAEU-US DPF + SCCNo usa datos de clientes para entrenar modelos. SOC 2 Type II.
Pexels GmbHAPI de imagenes y videos de stock (royalty-free)UE (Berlin)Operacion intra-UESolo recibe queries, no datos de usuarios finales

3. Comunicaciones y email

ProveedorServicioLocalizacionGarantia transferenciaDatos procesados
Amazon SES (AWS)Email transaccional y envio masivo de videosEU — Ireland (eu-west-1)Intra-UE — AWS DPA + HIPAA BAADirecciones email destinatarias + contenido transaccional + plantillas

4. Pagos

ProveedorServicioLocalizacionGarantia transferenciaDatos procesados
Stripe Payments Europe Ltd.Procesamiento de pagos (proximamente — aun no activo)Irlanda (sede UE) + USA (matriz)SCC + EU-US DPF + PCI DSS Level 1Datos de tarjeta (procesados directamente por Stripe — Vidoku NO recibe datos de tarjeta)

Importante: Vidoku nunca recibe ni almacena datos de tarjetas de credito. Stripe los procesa directamente. Vidoku solo recibe identificadores tokenizados.

5. Compromisos de cumplimiento de los subprocesadores

Antes de contratar cualquier subprocesador, Vidoku verifica:

  • Existencia y vigencia de certificaciones (SOC 2, ISO 27001, PCI DSS, HIPAA segun aplique)
  • Firma de DPA conforme al RGPD Art. 28
  • Adhesion al EU-US Data Privacy Framework (para proveedores USA)
  • Firma de Clausulas Contractuales Tipo (UE 2021/914) actualizadas
  • Realizacion de Transfer Impact Assessment (TIA) conforme a EDPB 01/2020
  • Auditorias periodicas y derecho de inspeccion contractual
  • Politicas de no uso de datos para entrenamiento de modelos IA

6. Historial de cambios

FechaCambio
2026-05-12Version inicial publica con 7 subprocesadores listados
2026-05-12Anadido Pexels GmbH para stock footage
2026-05-12Activada region Ireland (eu-west-1) para AWS SES

7. Como ser notificado de cambios

Los clientes con DPA firmado reciben notificacion automatica por email a la direccion del DPO designada. Cualquier visitante puede suscribirse escribiendo a privacy@vidoku.appcon asunto "Subprocessor Notifications".

Si tras una notificacion de nuevo subprocesador un cliente B2B se opone razonablemente, puede rescindir el servicio sin penalizacion conforme a la clausula 8 del DPA.