Anexo de Tratamiento de Datos (DPA)
Última actualización: 13 de mayo de 2026
Este Anexo de Tratamiento de Datos (el "DPA") forma parte del contrato entre el creador (el "Responsable") y Marea Kiss LLC, que opera Clonify (el "Encargado"), y refleja las obligaciones de las partes conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD). La aceptación es automática al activarse una suscripción de pago.
Artículo 1. Definiciones
- Responsable: el creador que se suscribe a Clonify y determina los fines y medios del tratamiento de los datos personales de sus visitantes.
- Encargado: Marea Kiss LLC, que opera el servicio Clonify por cuenta del Responsable.
- Interesado: cualquier visitante de un clon publicado por el Responsable.
Artículo 2. Objeto y duración
El Encargado trata datos personales de los visitantes del Responsable con el único fin de prestar el servicio Clonify. Este DPA permanece en vigor mientras el Encargado trate datos personales por cuenta del Responsable.
Artículo 3. Naturaleza y finalidad
Operar un clon de IA del Responsable: almacenar el contenido subido, transcribir audio/vídeo, generar embeddings, ejecutar modelos de lenguaje para producir respuestas, mantener sesiones de visitantes, elaborar perfil de memoria por visitante y devolver analítica.
Artículo 4. Tipos de datos y categorías de interesados
Interesados: visitantes del clon del Responsable. Categorías tratadas:
- Dirección de email y nombre opcional.
- Transcripciones de conversaciones con el clon.
- Perfil de memoria derivado por IA.
- Dirección IP, user agent, cookies de sesión.
- Fecha de aceptación de los términos del visitante.
No se tratan intencionadamente categorías especiales de datos (art. 9 RGPD). El Responsable no debe configurar el clon para provocar la entrega de tales datos.
Artículo 5. Derechos y obligaciones del Responsable
- Dar instrucciones lícitas; configurar el clon desde el panel cuenta como instrucciones documentadas.
- Garantizar una base jurídica válida para el tratamiento de los datos de los visitantes.
- Publicar su propia información de privacidad cuando el clon se integre en el dominio del Responsable.
- Atender solicitudes de derechos en los plazos legales.
Artículo 6. Obligaciones del Encargado
- Tratar los datos únicamente bajo instrucciones documentadas.
- Garantizar que las personas autorizadas estén sujetas a confidencialidad.
- Implementar las medidas de seguridad descritas en el Artículo 9.
- Recurrir a subencargados conforme al Artículo 7.
- Notificar al Responsable cualquier violación de seguridad sin dilación indebida y en 72 horas desde su conocimiento.
- Asistir al Responsable en el cumplimiento de los artículos 32-36 RGPD.
Artículo 7. Subencargados
El Responsable autoriza al Encargado a recurrir a los siguientes subencargados, cada uno vinculado por un contrato escrito que les impone obligaciones equivalentes a este DPA:
| Subencargado | Finalidad | Ubicación |
|---|---|---|
| Neon Inc. | Base de datos PostgreSQL | EE.UU. / UE |
| Upstash Inc. | Rate limiting y cache | EE.UU. / UE |
| Sentry | Telemetría de errores | EE.UU. |
| OpenAI L.L.C. | Modelos LLM | EE.UU. |
| Anthropic PBC | Modelos LLM | EE.UU. |
| Resend Inc. | Emails transaccionales | EE.UU. |
| AssemblyAI Inc. | Transcripción de audio | EE.UU. |
| Replicate Inc. | Procesamiento de audio auxiliar | EE.UU. |
| Vercel Inc. | Hosting | EE.UU. |
| Cloudflare R2 | Almacenamiento de archivos | EE.UU. / UE |
| PostHog Inc. | Analítica de producto | UE (Frankfurt) |
El Encargado avisará al Responsable con al menos 30 días de antelación sobre cualquier alta o sustitución. El Responsable podrá oponerse por motivos razonables de protección de datos; si no se alcanza acuerdo, cualquiera de las partes podrá resolver la parte afectada.
Artículo 8. Derechos de los interesados
Cuando un visitante ejerza sus derechos directamente ante el Encargado, éste trasladará la solicitud al Responsable sin dilación indebida y le asistirá en su cumplimiento. Las solicitudes de borrado dirigidas a privacy@clonify.com las atiende el Encargado de forma inmediata.
Artículo 9. Medidas de seguridad
- Aislamiento multi-tenant en la capa de aplicación vía el primitive queryWithTenant, complementado por reglas de lint.
- Cifrado en reposo proporcionado por Neon (base de datos) y Cloudflare R2 (archivos).
- Cifrado en tránsito (TLS 1.2+) en todos los endpoints públicos.
- Rate limiting en endpoints sensibles (auth, OTP, chat) vía Upstash.
- Fijación de CORS a orígenes autorizados para el widget embebible.
- Autenticación basada en OTP para identificar visitantes.
- Control de acceso basado en roles en el panel de administración.
- Logging centralizado de errores y eventos de seguridad vía Sentry.
Artículo 10. Transferencias internacionales
Varios subencargados están ubicados en Estados Unidos. Dichas transferencias se amparan en Cláusulas Contractuales Tipo (Decisión 2021/914 de la Comisión) y, cuando el destinatario esté autocertificado, en el marco EU-US Data Privacy Framework.
Artículo 11. Terminación — devolución o supresión
Al terminar, el Encargado aplica un calendario de soft-delete tipo Shopify:
- El workspace pasa a estado "suspendido" durante 90 días; el Responsable puede exportar datos y reactivar.
- Pasados 90 días: datos personales de visitantes eliminados de forma definitiva.
- Esqueleto mínimo del tenant (facturación, datos fiscales) conservado 4 años por obligación fiscal española.
- El Responsable puede solicitar la supresión inmediata de todos los datos en cualquier momento.
Artículo 12. Derecho de auditoría
El Responsable podrá auditar el cumplimiento del Encargado de este DPA hasta una vez por año natural, con preaviso mínimo de 30 días por escrito, durante el horario laboral y sin perjudicar indebidamente las operaciones. El Encargado podrá atender solicitudes aportando certificaciones, atestados o resúmenes escritos de controles existentes. Las auditorías adicionales motivadas por una brecha documentada o por una instrucción vinculante de una autoridad de control no contarán para el límite anual.
Aceptación
La aceptación de este DPA es automática al activarse una suscripción de pago de Clonify. Aplica la versión más reciente publicada. Las modificaciones sustanciales se notificarán por email con un preaviso de al menos 30 días cuando sea razonablemente posible.