Que es un subprocesador?
Un subprocesador (subencargado del tratamiento) es un tercero contratado por Vidoku para procesar datos personales en nombre de nuestros clientes (controladores) y que cumple las funciones tecnicas necesarias para prestar el servicio.
Conforme al RGPD Art. 28.2, mantenemos esta lista publica y notificamos cualquier cambio a los clientes B2B con al menos 30 dias de antelacion, permitiendo su oposicion conforme al DPA (Data Processing Agreement) firmado.
Para suscribirse a notificaciones de cambios en subprocesadores, escriba a privacy@vidoku.appcon asunto "Subprocessor Notifications".
1. Infraestructura cloud y hosting
| Proveedor | Servicio | Localizacion datos | Garantia transferencia | Certificaciones |
|---|---|---|---|---|
| Amazon Web Services EMEA SARL | Hosting (Lambda + CloudFront (OpenNext)), Base de datos (Aurora PostgreSQL), Auth (Cognito), Almacenamiento (S3), Email (SES), CDN (CloudFront) | EU — Ireland (eu-west-1) | SCC + AWS DPA + adhesion al CISPE Code | ISO 27001/27017/27018, SOC 1/2/3, PCI DSS, HIPAA BAA, HDS, FedRAMP, GxP |
2. Procesamiento IA y generacion de video
| Proveedor | Servicio | Localizacion | Garantia transferencia | Politicas IA |
|---|---|---|---|---|
| HeyGen, Inc. | Generacion de video con avatares IA, voice cloning, traduccion | USA | EU-US DPF + SCC + DPA | No usa datos de clientes para entrenar modelos (https://help.heygen.com/en/articles/8521367-data-usage). SOC 2 Type II. |
| Anthropic PBC | API Claude (asistente IA conversacional, generacion de scripts) | USA | EU-US DPF + SCC + Zero Data Retention disponible | No usa inputs/outputs para entrenamiento (Commercial Terms). SOC 2 Type II. |
| Google LLC (Gemini API) | Generacion de texto con IA (LLM) | USA | EU-US DPF + SCC | No usa inputs/outputs de la API para entrenar modelos; datos no retenidos mas alla del tiempo necesario para la respuesta. |
| ElevenLabs, Inc. | Sintesis de voz IA | USA | EU-US DPF + SCC | No usa datos de clientes para entrenar modelos. SOC 2 Type II. |
| Pexels GmbH | API de imagenes y videos de stock (royalty-free) | UE (Berlin) | Operacion intra-UE | Solo recibe queries, no datos de usuarios finales |
3. Comunicaciones y email
| Proveedor | Servicio | Localizacion | Garantia transferencia | Datos procesados |
|---|---|---|---|---|
| Amazon SES (AWS) | Email transaccional y envio masivo de videos | EU — Ireland (eu-west-1) | Intra-UE — AWS DPA + HIPAA BAA | Direcciones email destinatarias + contenido transaccional + plantillas |
4. Pagos
| Proveedor | Servicio | Localizacion | Garantia transferencia | Datos procesados |
|---|---|---|---|---|
| Stripe Payments Europe Ltd. | Procesamiento de pagos (proximamente — aun no activo) | Irlanda (sede UE) + USA (matriz) | SCC + EU-US DPF + PCI DSS Level 1 | Datos de tarjeta (procesados directamente por Stripe — Vidoku NO recibe datos de tarjeta) |
Importante: Vidoku nunca recibe ni almacena datos de tarjetas de credito. Stripe los procesa directamente. Vidoku solo recibe identificadores tokenizados.
5. Compromisos de cumplimiento de los subprocesadores
Antes de contratar cualquier subprocesador, Vidoku verifica:
- Existencia y vigencia de certificaciones (SOC 2, ISO 27001, PCI DSS, HIPAA segun aplique)
- Firma de DPA conforme al RGPD Art. 28
- Adhesion al EU-US Data Privacy Framework (para proveedores USA)
- Firma de Clausulas Contractuales Tipo (UE 2021/914) actualizadas
- Realizacion de Transfer Impact Assessment (TIA) conforme a EDPB 01/2020
- Auditorias periodicas y derecho de inspeccion contractual
- Politicas de no uso de datos para entrenamiento de modelos IA
6. Historial de cambios
| Fecha | Cambio |
|---|---|
| 2026-05-12 | Version inicial publica con 7 subprocesadores listados |
| 2026-05-12 | Anadido Pexels GmbH para stock footage |
| 2026-05-12 | Activada region Ireland (eu-west-1) para AWS SES |
7. Como ser notificado de cambios
Los clientes con DPA firmado reciben notificacion automatica por email a la direccion del DPO designada. Cualquier visitante puede suscribirse escribiendo a privacy@vidoku.appcon asunto "Subprocessor Notifications".
Si tras una notificacion de nuevo subprocesador un cliente B2B se opone razonablemente, puede rescindir el servicio sin penalizacion conforme a la clausula 8 del DPA.