Acuerdo de Tratamiento de Datos
Data Processing Agreement (DPA)
Última actualización: marzo 2026
1. Definiciones
- Datos Personales: cualquier información relativa a una persona física identificada o identificable conforme al Reglamento (UE) 2016/679 (RGPD).
- Datos de Uso: datos técnicos generados por el uso de la plataforma (logs, métricas, eventos de sesión) que no identifican directamente a personas.
- Subprocesador: tercero que trata Datos Personales por cuenta de BIK Labs para prestar el servicio.
- Leyes de Protección de Datos: el RGPD, la LOPD-GDD 3/2018 y cualquier normativa nacional aplicable vigente en el momento del tratamiento.
- Interesado: persona física cuyos Datos Personales son objeto de tratamiento.
- Brecha de seguridad: violación de la seguridad que ocasione la destrucción, pérdida, alteración, comunicación o acceso no autorizado a Datos Personales.
2. Roles de las partes
El Cliente actúa como Responsable del tratamiento en el sentido del Art. 4(7) RGPD: determina los fines y medios del tratamiento de los Datos Personales de sus usuarios, empleados y clientes.
BIK AI TECHNOLOGIES, S.L. (en adelante, BIK Labs) actúa como Encargado del tratamiento en el sentido del Art. 4(8) RGPD: trata los Datos Personales únicamente siguiendo las instrucciones documentadas del Cliente y para prestar los servicios contratados.
3. Tratamiento de datos personales
BIK Labs trata los Datos Personales exclusivamente:
- Según las instrucciones documentadas del Cliente, salvo obligación legal en sentido contrario.
- Para prestar, mantener y mejorar los servicios contratados.
- Para cumplir obligaciones legales aplicables, notificando al Cliente si una instrucción infringe las Leyes de Protección de Datos.
BIK Labs no vende, comparte con terceros con fines publicitarios ni utiliza los Datos Personales del Cliente para entrenar modelos de IA propios.
4. Subprocesadores
El Cliente otorga una autorización general para el uso de subprocesadores. BIK Labs notificará los cambios con un mínimo de 14 días de antelación. El Cliente dispondrá de 7 días hábiles para objetar por escrito antes de que el cambio sea efectivo.
| Subprocesador | Función | Ubicación |
|---|---|---|
| Amazon Web Services | Infraestructura cloud, almacenamiento, cómputo | eu-west-3, París (FR) |
| Cloudflare | CDN, DDoS, DNS | UE (edge EU) |
| Vercel | Hosting frontend (sitio público) | UE |
| PostHog | Analytics de producto (autohosteado) | AWS París (EU) |
| Stripe | Procesamiento de pagos | UE (Stripe Ireland) |
| Amazon SES | Envío transaccional de emails | eu-west-1, Irlanda (IE) |
5. Derechos de los interesados
BIK Labs asiste al Cliente en el cumplimiento de su obligación de responder a las solicitudes de ejercicio de derechos ARCO+ de los Interesados (acceso, rectificación, cancelación, oposición, portabilidad, limitación, no decisión automatizada).
BIK Labs habilitará mecanismos técnicos para que el Cliente pueda ejecutar borrados, exportaciones y restricciones de tratamiento. Las solicitudes se tramitarán en un plazo máximo de 30 días.
6. Confidencialidad
Todo el personal de BIK Labs con acceso a Datos Personales está sujeto a una obligación contractual de confidencialidad. BIK Labs limitará el acceso a los Datos Personales a aquellas personas cuyo trabajo lo requiera y garantizará que dichas personas han recibido formación adecuada en protección de datos.
7. Seguridad
BIK Labs implementa medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:
- Cifrado en tránsito mediante TLS 1.3.
- Cifrado en reposo mediante AES-256.
- Control de acceso basado en roles (RBAC) con principio de mínimo privilegio.
- Aislamiento de datos por tenant (ningún cliente puede acceder a los datos de otro).
- Autenticación multifactor obligatoria para accesos administrativos.
- Copias de seguridad cifradas con retención configurable.
- Revisiones de seguridad y pentesting periódicos.
- Gestión de vulnerabilidades con SLA de remediación según criticidad.
8. Notificación de brechas
En caso de detectar una Brecha de seguridad que afecte a Datos Personales del Cliente, BIK Labs notificará al Cliente sin demora indebida y, en la medida de lo posible, dentro de las 72 horas siguientes a tener conocimiento de la brecha.
La notificación incluirá, como mínimo: naturaleza de la brecha, categorías y volumen aproximado de registros afectados, medidas adoptadas o propuestas para remediar la brecha y, si se conocen, las consecuencias probables. Esta información permitirá al Cliente cumplir con su obligación de notificación a la autoridad supervisora competente.
9. Auditorías
BIK Labs facilitará al Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente DPA.
El Cliente podrá solicitar evidencia de cumplimiento (certificaciones, informes de auditoría, cuestionarios de seguridad). Adicionalmente, se prevé una auditoría formal anual, con un preaviso mínimo de 30 días, realizada bajo acuerdo de confidencialidad y sin interferir con las operaciones ordinarias de BIK Labs.
10. Devolución y eliminación de datos
Tras la terminación del contrato de servicios, el Cliente dispone de 30 días naturales para exportar y recuperar sus datos desde la plataforma.
Transcurrido dicho plazo, BIK Labs procederá a la eliminación segura e irreversible de todos los Datos Personales del Cliente en un plazo máximo de 30 días adicionales, salvo que la legislación aplicable exija su conservación. BIK Labs emitirá un certificado de eliminación a solicitud del Cliente.
11. Transferencias internacionales
La infraestructura de BIK Labs opera exclusivamente en la Unión Europea (AWS París, eu-west-3). No se realizan transferencias de Datos Personales fuera del Espacio Económico Europeo (EEE) en condiciones normales de operación.
En los casos excepcionales en que un subprocesador requiera transferencia fuera del EEE (por ejemplo, soporte técnico de guardia), BIK Labs garantizará las salvaguardas adecuadas conforme al Capítulo V del RGPD, incluyendo el uso de Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea (Decisión de Ejecución 2021/914).
12. Disposiciones generales
- Vigencia: el presente DPA tiene la misma vigencia que el contrato de servicios principal entre las partes.
- Modificaciones: BIK Labs podrá actualizar este DPA para adaptarlo a cambios normativos, notificando al Cliente con al menos 30 días de antelación.
- Prelación: en caso de conflicto entre este DPA y el contrato principal, prevalecerán las disposiciones de este DPA en materia de protección de datos.
- Ley aplicable: el presente DPA se rige por la legislación española y el RGPD.
- Jurisdicción: para cualquier controversia derivada de este DPA, las partes se someten a la jurisdicción de los Juzgados y Tribunales de Bilbao, con renuncia expresa a cualquier otro fuero que pudiera corresponderles.
BIK AI TECHNOLOGIES, S.L. — CIF: B75890202
Última actualización: marzo 2026