koiura

Acuerdo de Encargo de Tratamiento

Versión 1.0 · 5 de mayo de 2026

Este Acuerdo de Encargo de Tratamiento (en adelante, DPA) forma parte de los Términos y condiciones y cumple los requisitos del Artículo 28 del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). La aceptación del registro en koiura.es implica la aceptación de este DPA.

1. Partes

Responsable del tratamiento (en adelante, el Responsable): el usuario titular de la cuenta en ko·iura, en su condición de traductor o traductora jurada que recibe documentos de sus propios clientes para su traducción jurada.

Encargado del tratamiento (en adelante, el Encargado): KOROBENKO SLU, NIF B98914310, con domicilio social en Avenida Peña Roja nº 10, 46119 Náquera (Valencia), España.

2. Objeto y alcance

El Encargado prestará al Responsable el servicio ko·iura conforme a los Términos y condiciones, lo que conlleva el tratamiento de datos personales contenidos en los documentos que el Responsable suba para su procesamiento. Este DPA regula las condiciones de dicho encargo.

3. Descripción del tratamiento

Naturaleza del tratamientoExtracción de datos estructurados de PDF, traducción asistida al castellano, generación de DOCX a partir de plantilla del Responsable.
FinalidadApoyar al Responsable en la elaboración de traducciones juradas de documentos oficiales.
Tipos de datosDatos identificativos (nombre, fecha de nacimiento, identificadores oficiales). Datos de categoría especial cuando los documentos sean certificados de antecedentes penales (Art. 10 RGPD).
Categorías de interesadosPersonas físicas titulares de los documentos oficiales que el Responsable traduce profesionalmente.
DuraciónPor defecto, el tiempo de cada sesión de procesamiento, sin retención posterior del contenido. Como excepción, se conservan: (i) las muestras que el Responsable aporta para crear y mantener su plantilla, mientras la cuenta esté activa; y (ii) si el Responsable activa el opt-in «Compartir documentos», los documentos que procese a partir de ese momento, mientras el opt-in siga vigente. En ambos casos el almacenamiento se realiza en servidores situados en la Unión Europea, con acceso restringido, sin uso para entrenamiento de modelos, y se suprime a la baja de la cuenta o a petición del Responsable, salvo obligación legal de conservación.

4. Obligaciones del Encargado

El Encargado se compromete a:

  • Tratar los datos exclusivamente conforme a las instrucciones documentadas del Responsable y a los fines establecidos en este DPA. Si el Encargado considerase que una instrucción infringe la normativa, lo notificará al Responsable.
  • Garantizar la confidencialidad mediante compromisos formales del personal con acceso a los datos.
  • Adoptar las medidas técnicas y organizativas apropiadas (Art. 32 RGPD), descritas en el Anexo de este DPA.
  • No subcontratar el tratamiento sin la autorización del Responsable. Las subcontrataciones autorizadas en este DPA constan en el apartado 5.
  • Asistir al Responsable, en la medida de lo posible, para que pueda atender las solicitudes de ejercicio de derechos de los interesados.
  • Notificar al Responsable cualquier violación de la seguridad de los datos sin dilación indebida y, en todo caso, en un plazo máximo de 48 horas desde su detección.
  • A elección del Responsable, suprimir o devolver los datos personales tras la finalización de la prestación, salvo obligación legal de conservación.
  • Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento del Art. 28 RGPD y permitir auditorías razonables.

5. Subencargados autorizados

El Responsable autoriza al Encargado a recurrir a los siguientes subencargados, todos ellos con DPA firmado y con garantías conformes al RGPD:

  • Google LLC — Google AI Studio (plan de pago, con DPA firmado) — modelos lingüísticos de visión y traducción. El procesamiento puede implicar una transferencia a EE. UU. amparada por el marco EU-US Data Privacy Framework (DPF). Está previsto migrar este procesamiento a Vertex AI en la Unión Europea (región europe-west4).
  • Anthropic Ireland Limited — modelos lingüísticos auxiliares.
  • Stripe Payments Europe Limited — procesamiento de pagos (no recibe contenido documental).
  • Hostinger International Limited — alojamiento de infraestructura.

Cualquier modificación de la lista se comunicará al Responsable con al menos 30 días de antelación, momento en el que podrá oponerse motivadamente.

6. Medidas técnicas y organizativas (Anexo)

  • Cifrado en tránsito mediante TLS 1.3 con certificados Let's Encrypt.
  • Por defecto, procesamiento del contenido documental en memoria, sin persistencia en disco ni copias de seguridad del contenido. La conservación solo se produce para las muestras de onboarding y para los documentos cubiertos por el opt-in «Compartir documentos», en servidores situados en la Unión Europea, con acceso restringido y sin uso para entrenamiento de modelos.
  • Almacenamiento de metadatos (fecha, tipo de documento, usuario); el contenido del PDF no se conserva salvo en los supuestos de retención descritos (muestras de onboarding y opt-in «Compartir documentos»).
  • Hash bcrypt para credenciales de usuario; tokens JWT para autenticación con expiración de 24 horas.
  • Acceso al sistema mediante claves SSH; autenticación por contraseña deshabilitada.
  • Cortafuegos UFW con reglas restrictivas; fail2ban activo para bloqueo de intentos abusivos.
  • Registro de operaciones (logs) con retención máxima de 30 días para fines de seguridad y diagnóstico.
  • Aislamiento de los datos por usuario (multi-tenant con identificación obligatoria en todas las tablas que contengan datos del Responsable).
  • Revisión periódica del software, las dependencias y los procedimientos de seguridad.

7. Notificación de violaciones de seguridad

En caso de violación de la seguridad de los datos personales que afecte al Responsable, el Encargado notificará a éste sin dilación indebida (en un plazo máximo de 48 horas desde su detección) y le facilitará la información necesaria para que pueda cumplir con sus obligaciones de notificación a la AEPD y, en su caso, a los interesados (Arts. 33 y 34 RGPD).

8. Asistencia al Responsable

El Encargado asistirá al Responsable en el cumplimiento de sus obligaciones de evaluación de impacto (Art. 35 RGPD), consulta previa (Art. 36 RGPD), y respuesta a solicitudes de los interesados (Arts. 15 a 22 RGPD), siempre que la asistencia se solicite con la diligencia debida y por canales adecuados (info@koiura.es).

9. Vigencia, devolución y eliminación

Este DPA estará vigente mientras lo esté la cuenta del Responsable. A la baja de la cuenta, los datos personales asociados se eliminarán o se devolverán al Responsable a su elección, en formato estructurado y de uso común, en un plazo máximo de 30 días naturales, salvo que normativa imperativa obligue a su conservación durante un periodo superior. Las copias de respaldo del Encargado se purgan en el ciclo natural de la rotación de copias (máximo 30 días).

10. Versión firmable

Si la gestoría, el cliente o un tercero auditor exigen una versión firmable en PDF de este DPA para su archivo, escríbenos a info@koiura.es y te la enviamos en 24 horas laborables.

11. Ley aplicable

Este DPA se rige por la ley española y, en lo no previsto, por las disposiciones del RGPD y la LOPDGDD. Para cualquier controversia, las partes se someten a los juzgados y tribunales de Valencia.

Contacto

KOROBENKO SLU · NIF B98914310 · Valencia, España · info@koiura.es.

← Volver a koiura.es