Acuerdo de Tratamiento de Datos

Última actualización el 2 de junio de 2026

Anexo de Encargo de Tratamiento de Datos Personales (DPA)

Última actualización: 12/05/2026

Este Anexo de Encargo de Tratamiento de Datos (“DPA”) forma parte de los Términos de Servicio de HyperFake y regula el tratamiento de datos personales realizado por BLAUMAR MEDIA LABS, S.L. (“HyperFake”) por cuenta del cliente cuando, en el marco de los servicios contratados, HyperFake actúe como encargado del tratamiento y el cliente como responsable del tratamiento.

1. Objeto

El presente DPA regula las condiciones en las que HyperFake tratará datos personales por cuenta del cliente en relación con la prestación de los servicios contratados.

2. Roles de las partes

A efectos del presente DPA:

  • el cliente actuará como responsable del tratamiento, en la medida en que determine los fines y medios del tratamiento de los datos personales objeto del servicio;

  • HyperFake actuará como encargado del tratamiento, en la medida en que trate dichos datos personales por cuenta del cliente para la prestación del servicio contratado.

Si, en algún tratamiento concreto, el cliente actúa también como encargado de un tercero, declara y garantiza que está debidamente autorizado para impartir instrucciones a HyperFake y para suscribir este DPA.

3. Duración

El presente DPA será aplicable desde la fecha en que resulte aplicable conforme a los Términos de Servicio y permanecerá vigente mientras HyperFake trate datos personales por cuenta del cliente en relación con los servicios contratados.

4. Naturaleza y finalidad del tratamiento

HyperFake podrá tratar datos personales por cuenta del cliente con la finalidad de prestar los servicios contratados, incluyendo, según corresponda:

  • acceso y gestión de la cuenta;

  • alojamiento y almacenamiento de materiales del proyecto;

  • organización de activos y contenidos;

  • ejecución del onboarding, briefing, creatividad, producción y entrega;

  • gestión de feedback, validaciones y revisiones;

  • soporte técnico y atención al cliente;

  • medidas de seguridad, prevención de abuso y mantenimiento del servicio;

  • y cualesquiera otras operaciones necesarias para la correcta prestación del servicio contratado.

5. Categorías de interesados y tipos de datos

Los datos personales tratados por HyperFake por cuenta del cliente podrán incluir, según el uso que el cliente haga del servicio:

a) Categorías de interesados

  • empleados, colaboradores o representantes del cliente;

  • clientes, usuarios o leads del cliente;

  • proveedores o colaboradores del cliente;

  • talento, voz, imagen o personas identificables incluidas en materiales cargados por el cliente;

  • y cualquier otra persona cuyos datos personales el cliente incorpore al servicio bajo su responsabilidad.

b) Tipos de datos

  • datos identificativos;

  • datos de contacto;

  • materiales escritos, visuales, sonoros o audiovisuales;

  • comentarios, instrucciones, feedback y contenido de proyecto;

  • metadatos asociados al uso del servicio;

  • y cualquier otro dato personal incorporado por el cliente o tratado en su nombre dentro del alcance del servicio contratado.

HyperFake no tratará categorías especiales de datos personales salvo que ello resulte estrictamente necesario para la prestación del servicio, el cliente lo haya autorizado expresamente y exista base legal suficiente para ello.

6. Instrucciones documentadas

HyperFake tratará los datos personales únicamente siguiendo instrucciones documentadas del cliente, salvo que esté obligado a ello por el Derecho de la Unión Europea o del Estado miembro que resulte aplicable. En tal caso, HyperFake informará al cliente de esa obligación legal antes del tratamiento, salvo que la ley lo prohíba por razones importantes de interés público.

Las instrucciones del cliente se entenderán integradas, entre otros, en los Términos de Servicio, este DPA, la configuración del servicio utilizada por el cliente y las instrucciones adicionales documentadas que sean compatibles con los servicios contratados.

HyperFake podrá rechazar cualquier instrucción que, a su juicio razonable, infrinja la normativa aplicable o exceda del alcance de los servicios contratados.

7. Confidencialidad

HyperFake garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal adecuada de confidencialidad.

8. Medidas de seguridad

HyperFake aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.

Dichas medidas podrán incluir, según proceda:

  • control de acceso a sistemas y servicios;

  • autenticación y gestión de credenciales;

  • cifrado o seudonimización cuando sea apropiado;

  • medidas de integridad, disponibilidad y resiliencia;

  • registro de eventos y monitorización;

  • gestión de incidencias de seguridad;

  • segmentación de accesos y permisos;

  • y procedimientos razonables de copia de seguridad, restauración y continuidad.

El GDPR exige que el encargado aplique medidas de seguridad apropiadas y que el contrato de encargo incluya ese compromiso. 

9. Subencargados

El cliente autoriza a HyperFake a recurrir a terceros subencargados para la prestación del servicio.

HyperFake impondrá a dichos subencargados obligaciones de protección de datos sustancialmente equivalentes a las establecidas en este DPA, en la medida en que les resulte aplicable el acceso a datos personales tratados por cuenta del cliente.

HyperFake seguirá siendo responsable frente al cliente del cumplimiento de las obligaciones del subencargado en la medida exigida por la normativa aplicable.

La información sobre subencargados podrá facilitarse mediante documentación contractual, listado específico, centro legal o previa solicitud razonable del cliente.

El artículo 28 GDPR prevé expresamente el uso de subencargados, sujeto a autorización del responsable y a la imposición de las mismas obligaciones de protección de datos. 

10. Transferencias internacionales de datos

Cuando HyperFake o sus subencargados traten datos personales fuera del Espacio Económico Europeo, o desde jurisdicciones que impliquen una transferencia internacional conforme a la normativa aplicable, HyperFake adoptará las garantías adecuadas exigidas por dicha normativa.

Estas garantías podrán incluir, según corresponda:

  • decisiones de adecuación adoptadas por la Comisión Europea;

  • cláusulas contractuales tipo aprobadas por la Comisión Europea;

  • u otros mecanismos legalmente válidos de transferencia internacional.

La Comisión Europea reconoce las decisiones de adecuación y las SCC como mecanismos válidos para transferencias internacionales bajo el GDPR. 

11. Asistencia al cliente

Teniendo en cuenta la naturaleza del tratamiento y la información disponible para HyperFake, esta asistirá al cliente, de forma razonable y apropiada, para que este pueda cumplir sus obligaciones legales en relación con:

  • solicitudes de ejercicio de derechos de los interesados;

  • seguridad del tratamiento;

  • notificación de violaciones de seguridad;

  • evaluaciones de impacto relativas a la protección de datos, cuando proceda;

  • y consultas previas a autoridades de control, cuando resulten legalmente exigibles.

12. Solicitudes de interesados

Si HyperFake recibe directamente una solicitud de un interesado relativa a datos tratados por cuenta del cliente, la remitirá al cliente, salvo que la ley exija otra cosa o que el servicio contratado contemple una funcionalidad específica de gestión de dichas solicitudes.

Corresponderá al cliente responder a las solicitudes de ejercicio de derechos, salvo en la medida en que HyperFake deba asistirle conforme a la cláusula anterior.

13. Violaciones de seguridad de los datos personales

HyperFake notificará al cliente, sin demora indebida, cualquier violación de seguridad de los datos personales de la que tenga conocimiento y que afecte a datos tratados por cuenta del cliente, proporcionando la información razonablemente disponible para que el cliente pueda valorar sus obligaciones legales.

14. Auditoría e información

HyperFake pondrá a disposición del cliente la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones establecidas en este DPA y en la normativa aplicable.

Cualquier auditoría o revisión adicional deberá:

  • estar justificada por razones razonables de cumplimiento;

  • no comprometer la seguridad, confidencialidad ni derechos de otros clientes o terceros;

  • limitarse a información y sistemas relevantes;

  • realizarse con preaviso razonable y durante horario laboral habitual;

  • y, salvo obligación legal o incidencia grave, realizarse preferentemente mediante documentación, cuestionarios de seguridad o evidencias equivalentes.

15. Devolución o supresión de datos

A elección del cliente y salvo obligación legal de conservación, HyperFake suprimirá o devolverá los datos personales tratados por cuenta del cliente una vez finalice la prestación del servicio, dentro de un plazo razonable y conforme a las funcionalidades, procesos y políticas de retención aplicables al servicio.

No obstante, HyperFake podrá conservar los datos bloqueados o mínimamente necesarios cuando ello resulte exigible por obligaciones legales, defensa frente a reclamaciones, seguridad, prevención de fraude o cumplimiento normativo, durante los plazos estrictamente necesarios.

16. Obligaciones del cliente

El cliente declara y garantiza que:

  • tiene base jurídica suficiente para el tratamiento y para encargar a HyperFake el tratamiento de los datos personales objeto del servicio;

  • ha informado, cuando proceda, a los interesados sobre dicho tratamiento;

  • las instrucciones dadas a HyperFake cumplen la normativa aplicable;

  • y no facilitará a HyperFake datos personales innecesarios o desproporcionados para la finalidad del servicio contratado.

El cliente será el único responsable de la exactitud, calidad y licitud de los datos personales que incorpore al servicio o encargue tratar a HyperFake.

17. Responsabilidad

La responsabilidad de cada parte derivada de este DPA estará sujeta a las limitaciones y exclusiones de responsabilidad establecidas en los Términos de Servicio, salvo en aquello que no pueda limitarse o excluirse conforme a la normativa aplicable.

18. Prevalencia

En caso de conflicto entre este DPA y los Términos de Servicio respecto del tratamiento de datos personales por cuenta del cliente, prevalecerá este DPA en relación con dicha materia.

19. Legislación aplicable

Este DPA se interpretará de conformidad con la legislación aplicable al tratamiento de datos personales y, en particular, con el Reglamento (UE) 2016/679 y la normativa nacional que resulte aplicable.

HyperFake está redefiniendo la producción de video publicitario

Estrategia, creatividad y producción — sin fricción.

Empezar
enes