1. Partes
Este Acuerdo de Procesamiento de Datos ("DPA") se celebra entre las siguientes partes:
- Procesador de Datos: Hareki LLC, Nuevo México, EE. UU. ("Hareki", "nosotros")
- Responsable de Datos: La persona natural o jurídica que utiliza la plataforma Hareki Studio ("Usuario", "tú")
Este DPA es parte integral de los Términos de Uso de Hareki Studio y regula los derechos y obligaciones de las partes en relación con el procesamiento de datos personales en nombre del Usuario.
2. Definiciones
- Datos Personales: Cualquier información relativa a una persona natural identificada o identificable (Artículo 4/1 del GDPR, Artículo 3/d del KVKK).
- Datos Personales de Categoría Especial: Categorías sensibles como raza, origen étnico, opinión política, religión, datos de salud, etc. (Artículo 9 del GDPR, Artículo 6 del KVKK).
- Procesamiento de Datos: Cualquier operación realizada sobre datos personales, incluyendo recopilación, registro, organización, almacenamiento, modificación, transferencia, eliminación.
- Subprocesador: Un proveedor de servicios de terceros encargado de procesar datos personales en nombre del Procesador de Datos.
- Violación de Datos: Un incidente de seguridad que conduce al acceso no autorizado, pérdida, destrucción, alteración o divulgación de datos personales.
- Responsable de Datos: La persona natural o jurídica que determina los fines y medios del procesamiento de datos personales.
- Procesador de Datos: La persona natural o jurídica que procesa datos personales en nombre y bajo la autoridad del Responsable de Datos.
3. Alcance y Propósito del Procesamiento
Las siguientes categorías de datos personales se procesan en la plataforma Hareki Studio:
| Categoría de Datos | Propósito del Procesamiento | Base Legal |
|---|
| Datos de marca (logotipo, colores, tono de voz) | Generación de contenido con IA | Ejecución del contrato |
| Información de cuenta (nombre, correo electrónico) | Prestación del servicio, autenticación | Ejecución del contrato |
| Datos de pago | Facturación a través de Stripe | Ejecución del contrato |
| Datos de uso (registros, preferencias) | Mejora del servicio, seguimiento de errores | Interés legítimo |
| Contenido generado | Gestión de contenido y exportación | Ejecución del contrato |
No se procesan datos personales de categoría especial. La Plataforma no recopila datos de salud, biométricos o genéticos.
4. Obligaciones del Procesador de Datos
Hareki LLC, como Procesador de Datos, asume las siguientes obligaciones:
- Adhesión a instrucciones: Procesa los datos personales solo de acuerdo con las instrucciones escritas documentadas del Responsable de Datos. Informa al Responsable de Datos antes del procesamiento si una obligación legal requiere lo contrario.
- Compromiso de confidencialidad: Garantiza que todo el personal con acceso a datos personales esté bajo obligación de confidencialidad. Esta obligación continúa después del fin de la relación laboral.
- Medidas de seguridad: Implementa medidas de seguridad técnicas y organizativas apropiadas a la naturaleza del procesamiento de acuerdo con el Artículo 32 del GDPR (detalles en el Anexo).
- Uso de subprocesadores: Obtiene el consentimiento general escrito previo del Responsable de Datos antes de contratar subprocesadores. Proporciona 30 días de aviso previo al agregar nuevos subprocesadores.
- Obligación de asistencia: Proporciona al Responsable de Datos el soporte técnico necesario para ejercer los derechos de los interesados (acceso, rectificación, eliminación, portabilidad).
- Eliminación/devolución de datos: Tras la terminación de la relación de procesamiento, elimina o devuelve todos los datos personales según la preferencia del Responsable de Datos. Sujeto a obligaciones legales de retención.
- Derecho de auditoría: Acepta que el Responsable de Datos o su auditor independiente designado pueda realizar auditorías razonables para verificar el cumplimiento de las obligaciones bajo este DPA.
5. Subprocesadores
Hareki Studio utiliza los siguientes subprocesadores para la prestación del servicio:
| Subprocesador | Servicio | Ubicación |
|---|
| Vercel Inc. | Hosting, CDN, Edge Network | San Francisco, CA, EE. UU. |
| Supabase Inc. | Base de datos, Autenticación | San Francisco, CA, EE. UU. |
| OpenRouter / OpenAI | Procesamiento de Contenido con IA | San Francisco, CA, EE. UU. |
| Stripe Inc. | Procesamiento de Pagos | San Francisco, CA, EE. UU. |
| Sentry | Seguimiento de Errores y Rendimiento | San Francisco, CA, EE. UU. |
| Resend | Envío de Correo Electrónico | EE. UU. |
Notificación de cambios: Se proporciona aviso escrito al Responsable de Datos con al menos 30 días de anticipación al agregar un nuevo subprocesador o cambiar uno existente.
El Responsable de Datos puede objetar con motivos razonables dentro de los 14 días posteriores a la fecha de notificación. Si la objeción no puede resolverse, el Responsable de Datos puede rescindir el acuerdo.
6. Transferencias Internacionales de Datos
Hareki LLC tiene su sede en EE. UU. y los datos personales se procesan en servidores en EE. UU. Los siguientes mecanismos de protección se aplican para las transferencias de datos desde la UE/EEE o Turquía:
- Cláusulas Contractuales Estándar (SCC): Se aplican las Cláusulas Contractuales Estándar vigentes bajo la Decisión de Implementación de la Comisión Europea del 4 de junio de 2021 (2021/914).
- Marco de Privacidad de Datos UE-EE. UU.: Se considera como mecanismo de protección adicional en la medida en que las certificaciones relevantes de los subprocesadores sean válidas.
- Medidas de protección adicionales: Se aplican cifrado de extremo a extremo (TLS 1.3), seudonimización y controles de acceso a los datos transferidos.
- Cumplimiento KVKK: Para las transferencias desde Turquía, se garantizan los compromisos necesarios y el cumplimiento de las decisiones de la Junta bajo el Artículo 9 de la Ley KVKK N.° 6698.
7. Notificación de Violación de Datos
En caso de que se detecte una violación de datos personales, Hareki LLC:
- Notifica al Responsable de Datos por escrito dentro de las 72 horas a más tardar desde el momento en que se descubre la violación.
- La notificación incluye la siguiente información:
- Naturaleza y alcance de la violación
- Categorías de datos afectados y número estimado de registros
- Posibles consecuencias de la violación
- Medidas tomadas y medidas recomendadas
- Información de la persona de contacto
- Toma las medidas necesarias de inmediato para mitigar los efectos de la violación y prevenir su recurrencia.
- Proporciona cooperación total al Responsable de Datos durante el proceso de investigación e informe.
- Documenta todos los hechos, efectos y medidas correctivas relacionados con la violación.
8. Medidas Técnicas y Organizativas (Anexo)
Medidas de seguridad aplicadas de acuerdo con el Artículo 32 del GDPR:
8.1 Cifrado
- Datos en tránsito: Protocolo TLS 1.3
- Datos en reposo: Cifrado AES-256
- Conexiones de base de datos: SSL/TLS obligatorio
- Copias de seguridad: almacenamiento cifrado
8.2 Control de Acceso
- Control de Acceso Basado en Roles (RBAC)
- Supabase Row Level Security (RLS) — aislamiento a nivel de base de datos
- Separación de datos por inquilino — arquitectura multi-inquilino
- Principio de mínimo privilegio
8.3 Autenticación
- Hash de contraseña: algoritmo bcrypt
- Integraciones OAuth 2.0 (Google, Apple, Microsoft, LinkedIn)
- Gestión de sesión: token JWT, cookie segura
- Limitación de velocidad: protección contra fuerza bruta
8.4 Monitoreo y Registro
- Seguimiento de errores de aplicación: Sentry
- Registros de acceso y pista de auditoría
- Detección de actividad anormal
8.5 Copia de Seguridad y Recuperación ante Desastres
- Copia de seguridad automática diaria de la base de datos
- Copia de seguridad distribuida geográficamente
- Capacidad de recuperación punto en el tiempo
- Plan de recuperación ante desastres y pruebas regulares
8.6 Personal y Organización
- Capacitación en concienciación sobre protección de datos
- Acuerdos de confidencialidad (NDA)
- Revisión regular de autorizaciones de acceso
- Procedimientos de respuesta a incidentes de seguridad
9. Plazo y Terminación
- Este DPA entra en vigor con la entrada en vigencia de los Términos de Uso y permanece en vigor durante la relación de servicio.
- Tras la terminación de la relación de servicio, el Procesador de Datos elimina o devuelve todos los datos personales al Responsable de Datos dentro de 30 días.
- Los datos retenidos bajo obligaciones legales de retención se eliminan automáticamente al final del período correspondiente.
- Se envía confirmación escrita al Responsable de Datos cuando se completa el proceso de eliminación de datos.
10. Ley Aplicable
- GDPR: Reglamento General de Protección de Datos de la Unión Europea (Reglamento 2016/679) — aplicable para datos de ciudadanos de la UE/EEE.
- KVKK: Ley N.° 6698 sobre la Protección de Datos Personales — aplicable para datos de ciudadanos de la República de Turquía.
- Resolución de disputas: Las disputas entre las partes se intentarán resolver primero de manera amistosa. Si no se logra una resolución, los tribunales de Nuevo México, EE. UU., tendrán jurisdicción.
Última actualización: 12 de marzo de 2026 · Contacto: legal@hareki.com