Acuerdo de encargo de tratamiento

1. Partes y carácter del acuerdo

El presente Acuerdo de Encargo de Tratamiento (en adelante, «el Acuerdo») se celebra entre:

• El Cliente, identificado en el contrato de prestación de servicios, en adelante «el Responsable del Tratamiento».
• Esther Gaya Banús, NIF 47798298C, marca personal «Replicarte», en adelante «el Encargado del Tratamiento».

El Acuerdo regula el tratamiento de datos personales que el Encargado realiza por cuenta del Responsable conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD) y la LOPDGDD 3/2018. Se considera parte inseparable de las Condiciones generales del servicio y se entiende suscrito desde el momento en que el Responsable acepta dichas Condiciones.

2. Objeto, duración y naturaleza del tratamiento

• Objeto: tratamiento de datos personales necesarios para la prestación de los servicios de gestión del canal de YouTube del Responsable, conforme al alcance descrito en las Condiciones del servicio.
• Duración: coincidente con la vigencia de las Condiciones del servicio.
• Naturaleza: servicios profesionales de gestión de canal, optimización para algoritmos, posicionamiento, edición audiovisual (en su caso, modalidad Premium), publicación, atención técnica y consultoría.
• Finalidad: exclusivamente prestar el servicio contratado. No se realizará ningún tratamiento adicional para finalidades propias del Encargado, salvo las imprescindibles para la operación (seguridad, copia de respaldo, registro de actividad).

3. Tipo de datos personales tratados

El Encargado podrá tratar las siguientes categorías de datos por cuenta del Responsable:

• Datos identificativos y de contacto presentes en los vídeos públicos del Responsable (nombres y rostros visibles, voz, lugares).
• Datos publicados por terceros en interacción con el canal (comentarios, nombres de usuario, fotos de perfil).
• Datos analíticos anonimizados o seudonimizados procedentes de las APIs de YouTube, TikTok e Instagram (demografía agregada, geografía agregada, métricas de retención).
• Eventualmente, datos de carácter personal presentes en colaboraciones o aportaciones de terceros que el Responsable haya licenciado para uso en sus vídeos.

4. Categorías de interesados

• Suscriptores y espectadores del canal del Responsable.
• Personas que aparecen en los vídeos del Responsable, ya sea con su autorización expresa o por encontrarse en lugares públicos.
• Colaboradores, invitados o personas mencionadas en el contenido aportado por el Responsable.

5. Obligaciones del Encargado

El Encargado se obliga a:

• Tratar los datos siguiendo exclusivamente las instrucciones documentadas del Responsable, incluidas las transferencias internacionales necesarias. Si el Encargado considera que una instrucción infringe el RGPD u otra normativa de protección de datos, informará inmediatamente al Responsable.
• Garantizar que las personas autorizadas para tratar los datos se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad.
• Aplicar las medidas técnicas y organizativas apropiadas descritas en el punto 9.
• Asistir al Responsable en el cumplimiento de su obligación de responder a las solicitudes de ejercicio de derechos de los interesados (art. 12-22 RGPD), en la realización de evaluaciones de impacto (art. 35) y, en su caso, en las consultas previas a la autoridad de control (art. 36).
• Notificar al Responsable sin dilación indebida cualquier brecha de seguridad de los datos personales tratados por cuenta del Responsable, en un plazo máximo de 48 horas desde el conocimiento, aportando información suficiente para que el Responsable pueda cumplir con el art. 33 RGPD.
• Una vez finalice la prestación del servicio, devolver al Responsable los datos personales tratados o, si éste lo indica por escrito, destruirlos de forma segura, salvo que la normativa aplicable obligue a su conservación.
• Poner a disposición del Responsable, previa solicitud razonable, la documentación necesaria para demostrar el cumplimiento de las obligaciones del presente Acuerdo, así como permitir y contribuir a la realización de auditorías dirigidas por el Responsable o por un auditor por él autorizado, con un preaviso de 30 días naturales y siempre durante horario laboral.

6. Subencargados de tratamiento

El Responsable autoriza con carácter general al Encargado a contratar subencargados para la prestación del servicio, siempre que se cumplan las siguientes condiciones:

• El subencargado quede sujeto a obligaciones de protección de datos equivalentes a las del presente Acuerdo, mediante contrato escrito.
• El Encargado mantenga una lista actualizada de subencargados, disponible para el Responsable a primera solicitud.
• El Encargado informe al Responsable de cualquier incorporación o sustitución prevista de subencargados con al menos 30 días naturales de antelación, permitiendo al Responsable oponerse motivadamente.

Subencargados actuales:

• Proveedor de hosting del sitio web replicarte.es (UE).
• Google Ireland Limited / Google LLC para las APIs de YouTube, Google Fonts y Gemini API (esta última empleada por el sistema propietario del Encargado para la redacción de textos publicables en el canal del Cliente). Acogidas al EU-U.S. Data Privacy Framework.
• Meta Platforms Ireland Ltd. cuando aplique (WhatsApp Business / Instagram).
• ByteDance Ltd. cuando aplique (TikTok), con garantías mediante Cláusulas Contractuales Tipo.
• Entidad bancaria / pasarela de cobros y asesoría fiscal-contable del Encargado.

El material audiovisual del Cliente sobre el que opera el servicio es por naturaleza contenido público (TikTok / Instagram → YouTube): el Encargado no asume sobre él compromiso de confidencialidad ni de tratamiento exclusivamente local. La custodia reforzada se aplica a las credenciales de redes sociales, los tokens OAuth, los datos fiscales y de facturación, y demás información reservada del Cliente, que permanece en servidores físicos propios del Encargado ubicados en España y no se subcontrata a terceros distintos de los enumerados arriba.

7. Transferencias internacionales

Cuando, por las características técnicas de las plataformas integradas, se produzcan transferencias internacionales fuera del Espacio Económico Europeo, se cubrirán mediante:

• Decisiones de adecuación de la Comisión Europea (EU-U.S. Data Privacy Framework para EE.UU.).
• Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914) en su versión vigente.
• Cualquier otra garantía adecuada prevista en el art. 46 RGPD.

8. Derechos de los interesados

Si un interesado se dirige al Encargado ejercitando alguno de los derechos previstos en los arts. 15 a 22 RGPD, el Encargado lo trasladará al Responsable en un plazo máximo de 5 días hábiles sin atender directamente la solicitud, salvo instrucción contraria del Responsable.

El Encargado prestará al Responsable la asistencia técnica necesaria para responder dichas solicitudes dentro del plazo legal (un mes ampliable a dos).

9. Medidas de seguridad

El Encargado aplica las siguientes medidas técnicas y organizativas conforme al art. 32 RGPD:

• Cifrado TLS 1.2/1.3 en tránsito de todas las comunicaciones.
• Cifrado en reposo de credenciales, tokens OAuth y datos reservados del Cliente (fiscales, de facturación y de contacto).
• Control de accesos basado en roles y autenticación multifactor para el equipo.
• Custodia de los archivos audiovisuales del Cliente y de los datos reservados en servidores físicos propios del Encargado ubicados en España.
• Sistema propietario del Encargado ejecutado sobre el proveedor de IA seleccionado (a la fecha, Google Gemini API), encargado de adaptar la generación de textos a las características y al rendimiento histórico del canal del Cliente. Los criterios técnicos específicos de adaptación constituyen know-how propio del Encargado.
• Aislamiento estricto entre cuentas de distintos clientes (sandbox de datos).
• Registro de actividad (logs) de accesos y operaciones sensibles.
• Copias de seguridad cifradas con retención escalonada y verificación periódica.
• Procedimiento documentado de gestión de incidentes y notificación de brechas.
• Política interna de contraseñas robustas, rotación de credenciales y revocación inmediata en caso de baja del personal.
• Formación periódica del equipo en materia de protección de datos.

10. Registro de actividades de tratamiento

El Encargado mantiene un registro de actividades de tratamiento por cuenta del Responsable conforme al art. 30.2 RGPD. Dicho registro se pondrá a disposición de la autoridad de control que lo solicite.

11. Devolución y eliminación de datos

A la finalización del contrato, el Encargado:

• Mantendrá el acceso de sólo lectura durante 90 días para liquidación final del reparto pendiente.
• Devolverá al Responsable los datos personales en formato estructurado, en la medida en que no estén ya bajo control directo del Responsable en sus propias plataformas.
• Eliminará de forma segura todas las copias de los datos personales tratados por cuenta del Responsable, salvo aquellas que deba conservar por obligación legal (4-6 años según naturaleza).
• Emitirá certificado de destrucción si el Responsable lo solicita por escrito.

12. Responsabilidad

Cada parte responderá frente a la otra y frente a los interesados por los daños y perjuicios causados por el incumplimiento de las obligaciones que el RGPD les impone respectivamente. La responsabilidad económica del Encargado frente al Responsable queda limitada conforme al punto 10 de las Condiciones del servicio.

13. Modificaciones

Cualquier modificación del presente Acuerdo se comunicará al Responsable con un preaviso mínimo de 30 días naturales. Si el Responsable no muestra disconformidad antes de la entrada en vigor, ésta se considerará aceptada. En caso de disconformidad, podrá resolver el contrato sin penalización.

14. Legislación y jurisdicción

El presente Acuerdo se rige por la legislación española y por el Reglamento (UE) 2016/679. Para la resolución de cualquier controversia, las partes se someten a los Juzgados y Tribunales de Barcelona, sin perjuicio de los fueros aplicables al consumidor.