ACUERDO DE ENCARGO DE TRATAMIENTO
(Data Processing Agreement — DPA)
Última actualización: marzo 2026
1. PARTES Y OBJETO
1.1. El presente Acuerdo de Encargo de Tratamiento (en adelante, el "DPA") se formaliza entre:
- El Cliente de los servicios de Bliko, que actúa como Responsable del Tratamiento (en adelante, el "Responsable").
- Bliko Tech, S.L. (en adelante, "Bliko"), con NIF B27569656, domicilio en Calle Caramuixa S/N, 07760 Ciutadella de Menorca, Illes Balears, que actúa como Encargado del Tratamiento (en adelante, el "Encargado").
1.2. El presente DPA forma parte integrante de la relación contractual entre las Partes, ya sea formalizada mediante Acuerdo Marco de Servicios (MSA), aceptación de las Condiciones Generales de Contratación publicadas en bliko.ai/terminos, o cualquier otro acuerdo que regule la prestación de los Servicios.
1.3. Este DPA se suscribe en cumplimiento del artículo 28 del Reglamento (UE) 2016/679, General de Protección de Datos (en adelante, "RGPD"), y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, "LOPDGDD").
2. NATURALEZA Y FINALIDAD DEL TRATAMIENTO
2.1. Bliko trata datos personales por cuenta del Responsable exclusivamente para la prestación de los Servicios contratados, que comprenden las siguientes operaciones:
(a) Procesamiento de pedidos recibidos a través de los canales de comunicación del Cliente (WhatsApp, email, contestador u otros).
(b) Digitalización de facturas y albaranes mediante tecnología de inteligencia artificial.
(c) Envío de comunicaciones automatizadas a los contactos del Cliente.
(d) Conciliación de facturas y albaranes.
(e) Conciliación bancaria.
2.2. Las operaciones de tratamiento incluyen: recogida, registro, estructuración, conservación, consulta, comunicación por transmisión, y supresión de datos personales.
3. TIPOS DE DATOS PERSONALES
3.1. En el contexto de los Servicios, Bliko podrá tratar las siguientes categorías de datos personales, en función de los módulos contratados y de la información que el Responsable y sus contactos introduzcan en la plataforma:
| Categoría | Ejemplos |
|---|---|
| Datos identificativos | Nombre, apellidos, nombre comercial, razón social |
| Datos de contacto | Número de teléfono, dirección de email, dirección postal |
| Datos comerciales | Pedidos, productos, cantidades, precios, condiciones de venta, histórico de transacciones |
| Datos de facturación | Datos de facturas, albaranes, importes, números de referencia, datos bancarios para conciliación (IBAN, referencias de movimientos) |
| Datos de comunicación | Contenido de mensajes de WhatsApp, emails, transcripciones de mensajes de voz, archivos adjuntos (imágenes, documentos) |
| Metadatos | Fecha y hora de comunicaciones, identificadores de sesión, registros de actividad en la plataforma |
3.2. El Responsable se compromete a no introducir en la plataforma datos de categorías especiales (artículo 9 del RGPD), tales como datos de salud, biométricos, de orientación sexual, origen étnico, afiliación sindical o convicciones religiosas, salvo que disponga de base jurídica adecuada y lo comunique previamente a Bliko por escrito.
3.3. El Responsable se compromete a no introducir datos de tarjetas de pago (PAN, CVV, fecha de caducidad) en la plataforma. Bliko no dispone de certificación PCI DSS y no está diseñada para el tratamiento de datos de medios de pago.
4. CATEGORÍAS DE INTERESADOS
Los datos personales tratados se refieren a las siguientes categorías de interesados:
(a) Clientes del Responsable (establecimientos HORECA, minoristas y otros compradores).
(b) Proveedores del Responsable.
(c) Empleados y colaboradores del Responsable que utilicen la plataforma.
(d) Contactos comerciales del Responsable.
5. DURACIÓN DEL TRATAMIENTO
5.1. El presente DPA permanecerá vigente mientras Bliko trate datos personales por cuenta del Responsable.
5.2. La duración del tratamiento coincidirá con la vigencia de la relación contractual entre las Partes (MSA, Condiciones Generales u otro acuerdo aplicable).
5.3. Las obligaciones de este DPA relativas a la devolución y supresión de datos (Cláusula 12) y confidencialidad (Cláusula 7) sobrevivirán a la terminación del DPA.
6. OBLIGACIONES DEL ENCARGADO
Bliko, como Encargado del Tratamiento, se compromete a:
6.1. Instrucciones documentadas
(a) Tratar los datos personales únicamente conforme a las instrucciones documentadas del Responsable, incluyendo las establecidas en el presente DPA, las Condiciones Generales de Contratación, el MSA y los Formularios de Pedido aplicables.
(b) Informar inmediatamente al Responsable si, a juicio de Bliko, una instrucción infringe el RGPD u otra normativa de protección de datos aplicable en la Unión Europea o en España.
(c) No tratar los datos personales para finalidades propias ni de terceros, incluyendo, de forma expresa, el entrenamiento de modelos de inteligencia artificial.
6.2. Deber de confidencialidad
(a) Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad.
(b) Limitar el acceso a los datos personales al personal de Bliko que lo necesite estrictamente para la prestación de los Servicios.
6.3. Medidas de seguridad
Bliko aplicará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al artículo 32 del RGPD, incluyendo como mínimo:
| Ámbito | Medidas |
|---|---|
| Cifrado | Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256) para todos los datos personales |
| Control de acceso | Autenticación multifactor, gestión de permisos basada en roles, principio de mínimo privilegio |
| Aislamiento de datos | Arquitectura multi-tenant con aislamiento lógico por cliente a nivel de base de datos (Row Level Security en Supabase) |
| Disponibilidad | Copias de seguridad automatizadas, infraestructura redundante, SLA del 99,5% mensual |
| Monitorización | Registro de accesos y operaciones sobre datos personales, alertas ante comportamientos anómalos |
| Gestión de vulnerabilidades | Actualizaciones periódicas de dependencias, evaluación continua de seguridad |
| Desarrollo seguro | Revisión de código, separación de entornos (desarrollo, staging, producción) |
6.4. Asistencia al Responsable
(a) Asistir al Responsable, mediante medidas técnicas y organizativas apropiadas y teniendo en cuenta la naturaleza del tratamiento, para que este pueda cumplir con su obligación de atender las solicitudes de ejercicio de derechos de los interesados conforme al Capítulo III del RGPD (acceso, rectificación, supresión, limitación, portabilidad y oposición).
(b) Asistir al Responsable para garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información disponible para Bliko, en particular respecto a:
- Seguridad del tratamiento (artículo 32).
- Notificación de violaciones de seguridad a la autoridad de control (artículo 33).
- Comunicación de violaciones de seguridad a los interesados (artículo 34).
- Evaluaciones de impacto relativas a la protección de datos (artículo 35).
- Consultas previas a la autoridad de control (artículo 36).
6.5. Uso de inteligencia artificial
(a) Bliko utiliza modelos de inteligencia artificial de terceros (véase la tabla de Subencargados en la Cláusula 9) para el procesamiento automatizado de las comunicaciones y documentos del Responsable.
(b) Los datos del Responsable se procesan dentro del contexto aislado de su espacio de trabajo (workspace). Los datos de un cliente no son accesibles para otros clientes.
(c) Bliko no utiliza los datos del Responsable para entrenar, ajustar (fine-tune) ni mejorar modelos de inteligencia artificial, ni propios ni de terceros.
(d) Los proveedores de IA contratados por Bliko (actualmente Google Vertex AI) están sujetos a compromisos equivalentes de no utilización de datos para entrenamiento de modelos.
(e) Conforme al Reglamento (UE) 2024/1689 (EU AI Act), Bliko informará al Responsable sobre el uso de sistemas de IA en el tratamiento de datos, incluyendo su naturaleza, finalidad y limitaciones.
(f) Bliko no realiza decisiones automatizadas con efectos jurídicos o análogamente significativos sobre los interesados en el sentido del artículo 22 del RGPD. Los resultados generados por IA (pedidos procesados, documentos digitalizados, conciliaciones) requieren validación por parte del Responsable antes de considerarse definitivos.
7. CONFIDENCIALIDAD
7.1. Bliko tratará como confidencial toda la información relativa a los datos personales del Responsable, incluyendo el propio contenido de los datos, su estructura, volumen y cualquier información derivada del tratamiento.
7.2. Esta obligación de confidencialidad se mantendrá incluso después de la finalización de la relación contractual, por un periodo mínimo de dos (2) años.
8. NOTIFICACIÓN DE VIOLACIONES DE SEGURIDAD
8.1. Bliko notificará al Responsable, sin dilación indebida y en un plazo máximo de cuarenta y ocho (48) horas desde que tenga conocimiento de ello, cualquier violación de la seguridad de los datos personales que pueda afectar a los datos tratados por cuenta del Responsable.
8.2. La notificación incluirá, como mínimo, la siguiente información (o se complementará progresivamente conforme esté disponible):
(a) Descripción de la naturaleza de la violación, incluyendo, cuando sea posible, las categorías y número aproximado de interesados afectados y de registros de datos afectados.
(b) Nombre y datos de contacto del punto de contacto en Bliko para obtener más información.
(c) Descripción de las posibles consecuencias de la violación.
(d) Descripción de las medidas adoptadas o propuestas para remediar la violación, incluyendo las medidas para mitigar sus posibles efectos negativos.
8.3. Bliko colaborará activamente con el Responsable en la investigación, mitigación y notificación de la violación a la Agencia Española de Protección de Datos (AEPD) y/o a los interesados, según proceda.
8.4. El canal prioritario para notificaciones de seguridad será: info@bliko.ai.
9. SUBENCARGADOS DEL TRATAMIENTO
9.1. Autorización general
El Responsable otorga a Bliko una autorización general para recurrir a otros encargados del tratamiento (en adelante, "Subencargados") para la prestación de los Servicios, conforme al artículo 28.2 del RGPD.
9.2. Lista de Subencargados
A la fecha de la última actualización de este DPA, Bliko utiliza los siguientes Subencargados:
| Subencargado | Finalidad | Ubicación de datos | Transferencia internacional |
|---|---|---|---|
| Supabase Inc. | Base de datos, autenticación, almacenamiento | Estocolmo, Suecia (AWS eu-north-1) | No — datos en la UE |
| Vercel Inc. | Hosting de la aplicación web | París, Francia (AWS eu-west-3) | No — datos en la UE |
| Google LLC (Vertex AI) | Procesamiento de IA (modelos Gemini) | UE (región europe-west) | No — datos en la UE |
| Meta Platforms Inc. (WhatsApp Business Cloud API) | Canal de comunicación con clientes del Responsable | Estados Unidos | Sí — Marco de Privacidad UE-EE.UU. (EU-US Data Privacy Framework, decisión de adecuación de la Comisión Europea de 10/07/2023) |
| PostHog Inc. | Analítica de producto (datos anonimizados/seudonimizados) | UE (Cloud EU) | No — datos en la UE |
| Resend (Resend, Inc.) | Envío de emails transaccionales | Irlanda (AWS eu-west-1) | No — datos en la UE |
9.3. Obligaciones respecto a Subencargados
(a) Bliko impondrá a cada Subencargado, mediante contrato escrito, las mismas obligaciones de protección de datos establecidas en el presente DPA, en particular en lo que respecta a ofrecer garantías suficientes de aplicar medidas técnicas y organizativas apropiadas.
(b) Bliko será directamente responsable ante el Responsable por cualquier incumplimiento de un Subencargado en relación con sus obligaciones de protección de datos.
9.4. Notificación de cambios
(a) Bliko informará al Responsable con un preaviso mínimo de treinta (30) días de cualquier cambio previsto en la lista de Subencargados (adición o sustitución).
(b) La notificación se realizará por email a la dirección de contacto proporcionada por el Responsable, e incluirá la identidad del nuevo Subencargado, la finalidad del tratamiento, la ubicación de los datos y las garantías de transferencia internacional (si aplica).
(c) El Responsable dispondrá de un plazo de quince (15) días desde la recepción de la notificación para formular objeciones razonables y fundamentadas al nuevo Subencargado.
(d) Si el Responsable formula objeciones, Bliko realizará esfuerzos razonables para ofrecer una alternativa o modificación del servicio que evite el tratamiento por el Subencargado objetado. Si no fuera posible alcanzar una solución satisfactoria en un plazo razonable, el Responsable podrá resolver el contrato de servicios sin penalización.
10. TRANSFERENCIAS INTERNACIONALES
10.1. Bliko procesa los datos personales del Responsable principalmente dentro del Espacio Económico Europeo (EEE).
10.2. La única transferencia internacional activa a la fecha de este DPA corresponde a Meta Platforms Inc. (WhatsApp Business Cloud API), amparada por el Marco de Privacidad de Datos UE-EE.UU. (EU-US Data Privacy Framework), conforme a la decisión de adecuación de la Comisión Europea de 10 de julio de 2023.
10.3. Bliko no realizará transferencias internacionales de datos personales fuera del EEE distintas de las indicadas en la tabla de Subencargados (Cláusula 9.2), salvo que concurra alguna de las siguientes garantías:
(a) Decisión de adecuación de la Comisión Europea (artículo 45 del RGPD).
(b) Cláusulas contractuales tipo aprobadas por la Comisión Europea (artículo 46.2.c del RGPD).
(c) Normas corporativas vinculantes (artículo 47 del RGPD).
10.4. En caso de que el Marco de Privacidad de Datos UE-EE.UU. fuese invalidado o suspendiido, Bliko implementará garantías alternativas (cláusulas contractuales tipo u otras) en un plazo máximo de noventa (90) días, o migrará el tratamiento afectado a proveedores con ubicación de datos dentro del EEE.
11. AUDITORÍA
11.1. Bliko pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD y en el presente DPA.
11.2. Bliko permitirá y contribuirá a la realización de auditorías, incluidas inspecciones, por parte del Responsable o de un auditor autorizado por este, en las siguientes condiciones:
(a) El Responsable notificará la auditoría con un preaviso mínimo de treinta (30) días.
(b) La auditoría se realizará durante el horario laboral habitual y de forma que cause la mínima interrupción posible de las operaciones de Bliko.
(c) El auditor estará sujeto a obligaciones de confidencialidad adecuadas.
(d) El alcance de la auditoría se limitará a las actividades de tratamiento realizadas por cuenta del Responsable.
(e) El Responsable asumirá los costes de la auditoría, salvo que esta revele un incumplimiento material de las obligaciones del presente DPA por parte de Bliko, en cuyo caso los costes razonables serán asumidos por Bliko.
11.3. Como alternativa a una auditoría in situ, Bliko podrá facilitar al Responsable informes de auditoría de terceros, certificaciones de seguridad o cuestionarios de seguridad cumplimentados, siempre que estos proporcionen información suficiente para verificar el cumplimiento de las obligaciones del presente DPA.
12. DEVOLUCIÓN Y SUPRESIÓN DE DATOS
12.1. A la finalización de la relación contractual, y a elección del Responsable comunicada por escrito, Bliko:
(a) Devolverá al Responsable todos los datos personales en un formato estructurado, de uso común y lectura mecánica (CSV, JSON u otro formato acordado), en un plazo máximo de treinta (30) días desde la solicitud; o
(b) Suprimirá todos los datos personales y las copias existentes, salvo que la legislación aplicable exija su conservación, y certificará dicha supresión por escrito.
12.2. Si el Responsable no comunica su elección en un plazo de treinta (30) días desde la finalización de la relación contractual, Bliko procederá a la supresión de los datos personales.
12.3. Bliko podrá conservar datos personales del Responsable cuando así lo exija la legislación aplicable (en particular, obligaciones fiscales conforme al artículo 66 de la Ley General Tributaria y obligaciones mercantiles conforme al artículo 30 del Código de Comercio), manteniéndolos bloqueados y protegidos conforme a las medidas de seguridad establecidas en este DPA.
13. OBLIGACIONES DEL RESPONSABLE
El Responsable se compromete a:
13.1. Garantizar que dispone de una base jurídica válida (artículo 6 del RGPD) para cada tratamiento de datos personales que encomiende a Bliko, incluyendo, en su caso, el consentimiento de los interesados o la existencia de un interés legítimo documentado.
13.2. Informar a los interesados cuyos datos se traten a través de la plataforma sobre la identidad y datos de contacto de Bliko como Encargado del Tratamiento, la finalidad del tratamiento, el uso de sistemas de inteligencia artificial, y los demás extremos exigidos por los artículos 13 y 14 del RGPD.
13.3. Asegurar que los datos personales introducidos en la plataforma son exactos, pertinentes y no excesivos en relación con la finalidad del tratamiento.
13.4. No introducir en la plataforma datos de categorías especiales (artículo 9 del RGPD) ni datos de tarjetas de pago sin base jurídica adecuada y comunicación previa por escrito a Bliko.
13.5. Transmitir a Bliko las instrucciones de tratamiento de forma documentada y cooperar con Bliko en el cumplimiento de las obligaciones derivadas de la normativa de protección de datos.
14. RESPONSABILIDAD
14.1. Cada Parte será responsable del cumplimiento de las obligaciones que le correspondan conforme al RGPD y al presente DPA.
14.2. La responsabilidad de Bliko derivada del presente DPA se regirá por las limitaciones establecidas en las Condiciones Generales de Contratación, excepto en la medida en que la normativa de protección de datos aplicable no permita dicha limitación.
15. LEGISLACIÓN Y JURISDICCIÓN
El presente DPA se rige por la legislación española y, en particular, por el RGPD y la LOPDGDD. Para la resolución de cualquier controversia, las Partes se someten a los Juzgados y Tribunales de Ciutadella de Menorca, sin perjuicio de la competencia de la Agencia Española de Protección de Datos (AEPD) en materia de protección de datos personales.
16. CONTACTO
Para cualquier cuestión relativa al tratamiento de datos personales:
| Contacto general | info@bliko.ai |
| Incidencias de seguridad | info@bliko.ai |
| Ejercicio de derechos (ARSLOP) | info@bliko.ai |
Documento identificativo: DPA-BLIKO-v1.0
Versión: 1.0 — Fecha de última actualización: marzo 2026