⚠️ Aviso legal: Esta plantilla de DPA fue generada con un modelo, sobre la base de los habituales bloques de plantilla del EDPB y de la BayLDA, y requiere, antes de la primera firma con un cliente, una revisión por un abogado especializado en derecho de las tecnologías de la información / protección de datos. Hasta entonces sirve como información de transparencia frente a socios comerciales. Un ejemplar jurídicamente vinculante se emite previa solicitud sin formalidades por correo electrónico a info@castloop.de.
Partes contratantes
Este DPA se celebra entre:
Encargado del tratamiento:
Daniel Ovadia — CastLoop (empresa individual)
Eugen-Richter-Str. 159, 76187 Karlsruhe, Alemania
Correo electrónico: info@castloop.de
— y el responsable del tratamiento (cliente de CastLoop, en adelante: «el cliente»), cuya identidad se deriva de la cuenta de cliente y que, en la primera solicitud de este ejemplar, debe hacerse constar nominalmente en el preámbulo.
§ 1 Objeto y duración
El objeto de este contrato es el tratamiento de datos personales por parte del encargado del tratamiento por encargo del cliente en el marco del uso del servicio «CastLoop» conforme a los términos y condiciones generales (AGB) entre las partes.
Este DPA se aplica durante toda la duración del contrato principal (la suscripción SaaS) y finaliza automáticamente con su terminación.
§ 2 Derecho de instrucción del cliente
El encargado del tratamiento trata los datos personales exclusivamente en el marco de los acuerdos contractuales y de las instrucciones documentadas del cliente. Si el encargado del tratamiento considera que una instrucción del cliente infringe el derecho de protección de datos, se lo indicará al cliente.
Las instrucciones se documentan por regla general electrónicamente a través de (a) las configuraciones realizadas en el panel SaaS, (b) las bases contractuales (AGB, DPA) y (c) instrucciones ad hoc por correo electrónico a info@castloop.de.
§ 3 Naturaleza y finalidad del tratamiento
El encargado del tratamiento trata los datos personales con el fin de prestar el servicio SaaS «CastLoop» (Content Autopilot para la publicación en redes sociales). En concreto, esto comprende, en particular:
- la descarga y el almacenamiento de contenidos de origen de YouTube / pódcast que el cliente facilita para su tratamiento;
- la transcripción automatizada y el análisis con IA mediante Google Gemini 2.5 Flash (Google Ireland Ltd.);
- la generación de variantes de clip con subtítulos animados (FFmpeg);
- la publicación de los clips en las cuentas de redes sociales conectadas por el cliente (YouTube, Instagram, Facebook, TikTok, LinkedIn, X, Threads) por encargo del cliente;
- el almacenamiento de tokens de autenticación, metadatos y datos de analítica para la prestación del servicio.
§ 4 Lugar del tratamiento
El tratamiento se realiza principalmente en servidores de IONOS SE en Alemania (UE). Sobre las transferencias a países terceros, inevitables en la publicación multiplataforma (X, Meta, grupo TikTok), véase el § 13.
§ 5 Categorías de afectados y de datos
Categorías de personas afectadas:
- el propio cliente como persona física (si es empresario individual);
- empleados / apoderados del cliente que trabajan en la cuenta de cliente;
- personas que aparecen en los contenidos facilitados por el cliente (vídeos, pódcasts) o que son identificables en ellos acústica o visualmente (p. ej. invitados de entrevistas);
- usuarios finales / espectadores de los clips publicados, en la medida en que las plataformas devuelvan datos de interacción (visualizaciones, «me gusta», comentarios).
Categorías de datos personales:
- datos maestros (nombre, correo electrónico, empresa, dirección de facturación);
- datos de uso (horas de inicio de sesión, hashes de IP, tokens de sesión);
- datos de contenido (audio, vídeo, transcripciones, subtítulos, metadatos);
- tokens de acceso OAuth de las cuentas de redes sociales conectadas (cifrados con AES-256-GCM);
- datos de rendimiento (impresiones, visualizaciones, alcance — agregados por las plataformas).
§ 6 Medidas técnicas y organizativas (MTO)
El encargado del tratamiento adopta las medidas técnicas y organizativas exigidas en el art. 32 del RGPD. Un listado detallado se encuentra en el anexo independiente de MTO, que como anexo 1 a este DPA forma parte de este contrato. Las MTO se revisan periódicamente y, en su caso, se adaptan al estado de la técnica.
§ 7 Subencargados (subencargados del tratamiento)
El cliente consiente el uso de los siguientes subencargados con la celebración del contrato:
| Subencargado | Sede | Finalidad |
|---|---|---|
| IONOS SE | Montabaur, DE (UE) | Hosting, relé SMTP, copias de seguridad por instantáneas de VM |
| Google Ireland Ltd. | Dublín, IE (UE) | Transcripción y análisis con IA (Gemini 2.5 Flash), YouTube Data API, inicio de sesión con Google |
| Mollie B.V. | Ámsterdam, NL (UE) | Procesamiento de pagos (responsable independiente según el § 9 apdo. 3 KWG) |
| Microsoft Ireland Operations Ltd. | Dublín, IE (UE) | SSO (inicio de sesión con Microsoft) |
| Apple Distribution International Ltd. | Cork, IE (UE) | SSO (inicio de sesión con Apple) |
| Meta Platforms Ireland Ltd. | Dublín, IE (UE) | Publicaciones en Instagram, Facebook y Threads (por encargo del cliente) |
| TikTok Technology Ltd. | Dublín, IE (UE) | Publicaciones en TikTok |
| LinkedIn Ireland Unlimited Company | Dublín, IE (UE) | Publicaciones en LinkedIn |
| X Corp. | San Francisco, EE. UU. (¡país tercero!) | Publicaciones en X/Twitter, salvaguardadas mediante las SCC 2021/914 |
El encargado del tratamiento informará al cliente al menos 30 días antes de un cambio previsto o de la incorporación de otros subencargados. El cliente puede oponerse a su uso; en caso de un motivo de oposición legítimo y fundado en la protección de datos, ambas partes tienen derecho a la cancelación extraordinaria del contrato principal.
§ 8 Obligaciones de apoyo
El encargado del tratamiento apoya al cliente en el cumplimiento de sus obligaciones según el art. 12 y ss. del RGPD (derechos de los afectados), los art. 33/34 del RGPD (violación de la seguridad de los datos), el art. 35 del RGPD (evaluación de impacto relativa a la protección de datos) y el art. 36 del RGPD (consulta previa).
§ 9 Obligación de notificación en caso de violaciones de la seguridad de los datos
El encargado del tratamiento notifica al cliente toda violación de la seguridad de los datos de la que tenga conocimiento, en el sentido del art. 4 n.º 12 del RGPD, que afecte a datos personales del cliente, sin demora, a más tardar en un plazo de 48 horas tras tener conocimiento de ella, por correo electrónico. La notificación contiene los datos indicados en el art. 33 apdo. 3 del RGPD, en la medida en que sean conocidos por el encargado del tratamiento.
§ 10 Derechos de control e información
El cliente tiene derecho a controlar el cumplimiento de este DPA y de las disposiciones de protección de datos vigentes por parte del encargado del tratamiento. El control puede realizarse, a elección, mediante (a) información por escrito a preguntas concretas, (b) la presentación de certificados / informes de auditoría actuales (si los hay), o (c) —en caso de motivo fundado— un control in situ tras un aviso previo razonable (por regla general, al menos 14 días, fuera del horario laboral, a cargo del cliente).
§ 11 Confidencialidad
El encargado del tratamiento se compromete a tratar de forma confidencial todos los datos personales de los que tenga conocimiento en el marco de este DPA. Las personas empleadas en el tratamiento están obligadas a la confidencialidad según el art. 28 apdo. 3 lit. b del RGPD, el § 203 del Código Penal alemán (StGB) (cuando sea aplicable) y una correspondiente obligación contractual.
§ 12 Eliminación / devolución tras la finalización del contrato
Tras la finalización del contrato principal, por instrucción del cliente todos los datos personales se devuelven o se eliminan. La opción estándar es la eliminación a los 30 días de la base de datos productiva y, a más tardar, a los 30 días adicionales de todas las copias de seguridad (rotación de instantáneas de VM de IONOS), en la medida en que no se opongan obligaciones legales de conservación (en particular el § 257 HGB, el § 147 AO para facturas).
§ 13 Transferencias a países terceros
Una transmisión de datos personales a países terceros se realiza únicamente en la medida en que sea inevitable para el cumplimiento del contrato — en concreto, en particular a X Corp. (EE. UU.) así como a las matrices estadounidenses de los subencargados domiciliados en la UE (Google, Meta, Microsoft, Apple, TikTok), en la medida en que estos transmitan datos dentro del grupo. La salvaguarda se realiza sobre la base de las cláusulas contractuales tipo de la UE conforme a la Decisión de Ejecución (UE) 2021/914 de la Comisión así como —cuando sea pertinente— de medidas técnicas y organizativas complementarias.
§ 14 Responsabilidad
La responsabilidad se rige por las disposiciones del contrato principal (AGB § 10). El art. 82 del RGPD no se ve afectado.
§ 15 Disposiciones finales
Las modificaciones y los complementos de este DPA requieren la forma de texto. En caso de que disposiciones concretas sean o lleguen a ser ineficaces, la eficacia de las disposiciones restantes no se verá afectada. Se aplica el derecho alemán; el fuero es —en la medida en que la ley lo permita— la sede del encargado del tratamiento (Karlsruhe).