Calibana
Documento legal

Acuerdo de Encargo de Tratamiento de Datos

Data Processing Agreement (DPA) · Conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD)

Versión: 1.0 Fecha de publicación: 11 de junio de 2025 Próxima revisión: Enero 2026 Contacto: legal@calibana.com
Responsable del Tratamiento
El Cliente
La persona física o jurídica identificada en la cuenta de Calibana en el momento de la aceptación de este Acuerdo.
Encargado del Tratamiento
Sergio Sáez de Ibarra González
Getxo, Bizkaia, España
NIF disponible previa solicitud a legal@calibana.com
Operando bajo la marca Calibana
El presente Acuerdo entra en vigor mediante aceptación electrónica durante el proceso de registro o desde los ajustes de la cuenta en app.calibana.com.

Contenido

  1. Objeto y naturaleza del tratamiento
  2. Identificación de los tratamientos
  3. Instrucciones del Responsable
  4. Obligaciones del Encargado
  5. Obligaciones del Responsable
  6. Retención y supresión de datos
  7. Subencargados del tratamiento
  8. Transferencias internacionales
  9. Auditorías y verificación
  10. Inteligencia artificial y transparencia
  11. Responsabilidad
  12. Ley aplicable y jurisdicción
  13. Modificaciones del Acuerdo
Cláusula 1

Objeto y naturaleza del tratamiento

El presente Acuerdo de Encargo de Tratamiento (en adelante, «el Acuerdo») tiene por objeto establecer los términos y condiciones bajo los cuales el Encargado del Tratamiento (Calibana) tratará datos personales por cuenta del Responsable del Tratamiento (el Cliente), en el marco de la prestación de los servicios descritos a continuación, de conformidad con el artículo 28 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD).

1.1 Descripción del servicio

Calibana es una plataforma de inteligencia de reuniones B2B que presta los siguientes servicios:

  • Transcripción automatizada de videollamadas realizadas mediante Google Meet, mediante la captura de subtítulos generados por el propio servicio de Google, sin grabación de audio.
  • Generación de resúmenes y extracción de tareas a partir de las transcripciones, mediante modelos de inteligencia artificial (Google Gemini).
  • Gestión de tareas en tablero Kanban y seguimiento de compromisos.
  • Extracción de tareas a partir de hilos de correo electrónico en Gmail.
  • Generación de briefings previos a reuniones basados en el historial del cliente.
  • Envío de notificaciones y resúmenes por correo electrónico.

1.2 Finalidad del tratamiento

Los datos personales serán tratados exclusivamente para la prestación de los servicios descritos en la cláusula 1.1 y nunca para finalidades propias del Encargado del Tratamiento, incluyendo pero no limitado a: publicidad, perfilado comercial, entrenamiento de modelos de inteligencia artificial propios, o cesión a terceros no autorizados.

1.3 Vigencia

El presente Acuerdo entrará en vigor en la fecha de aceptación electrónica por parte del Responsable y permanecerá vigente mientras subsista la relación contractual entre las partes derivada de los Términos y Condiciones de uso de Calibana.

Cláusula 2

Identificación de los tratamientos

2.1 Categorías de datos tratados

Categoría de datosDescripción y ejemplos
Datos de identificaciónNombre y apellidos, dirección de correo electrónico de participantes en reuniones y correos electrónicos.
Datos de comunicacionesContenido de las transcripciones de videollamadas (texto de subtítulos), contenido de correos electrónicos procesados.
Datos profesionalesCargo, empresa, rol en el proyecto, compromisos y tareas profesionales.
Metadatos de reunionesFecha, hora, duración, nombre de la reunión, participantes, código de sala.
Datos de uso del servicioAccesos, preferencias de configuración, historial de reuniones.
Calibana no trata de forma intencionada datos de categorías especiales (art. 9 RGPD), tales como datos de salud, origen étnico, opiniones políticas, afiliación sindical, datos genéticos o biométricos. El Responsable del Tratamiento es el único responsable de garantizar que los datos procesados a través del servicio no incluyen categorías especiales sin la base jurídica adecuada.

2.2 Categorías de interesados

  • Empleados, colaboradores o contratistas del Responsable del Tratamiento.
  • Clientes, proveedores, socios o cualquier tercero que participe en reuniones o intercambios de correo electrónico gestionados por el Responsable.
  • Cualquier persona cuya voz o texto quede reflejado en una transcripción procesada a través del servicio.

2.3 Operaciones de tratamiento

  • Recogida y almacenamiento de transcripciones en texto plano en base de datos cifrada.
  • Procesamiento mediante IA para generación de resúmenes, extracción de tareas y métricas de reunión.
  • Transmisión cifrada a proveedores subencargados listados en la cláusula 7.
  • Eliminación automatizada conforme a los plazos establecidos en la cláusula 6.
Cláusula 3

Instrucciones del Responsable del Tratamiento

El Encargado tratará los datos personales únicamente siguiendo las instrucciones documentadas del Responsable, que quedan establecidas por:

  • El presente Acuerdo y sus modificaciones debidamente notificadas.
  • Los Términos y Condiciones de uso de Calibana.
  • Las instrucciones comunicadas por el Responsable a través de la configuración del servicio (ajustes de cuenta, proyectos, retención de datos).

Si el Encargado considera que una instrucción del Responsable infringe el RGPD u otra normativa de protección de datos aplicable, lo notificará al Responsable de forma inmediata por escrito a la dirección de correo electrónico registrada en la cuenta. En tal caso, el Encargado podrá suspender la ejecución de dicha instrucción hasta recibir confirmación o instrucción alternativa.

El Encargado no tratará los datos para ninguna finalidad distinta a las establecidas en el presente Acuerdo, salvo que sea requerido por el Derecho de la Unión Europea o del Estado miembro aplicable, en cuyo caso informará al Responsable previamente a dicho tratamiento, salvo que la ley lo prohíba por razones de interés público.

Cláusula 4

Obligaciones del Encargado del Tratamiento

4.1 Confidencialidad

El Encargado garantiza que las personas autorizadas para tratar los datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad. Esta obligación subsistirá tras la finalización del presente Acuerdo.

4.2 Seguridad del tratamiento (art. 32 RGPD)

El Encargado aplica las siguientes medidas técnicas y organizativas, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento:

  • Cifrado de datos en tránsito mediante TLS 1.2 o superior en todas las comunicaciones.
  • Cifrado de datos en reposo en la base de datos (PostgreSQL con cifrado AES-256).
  • Control de acceso basado en roles (Row Level Security) que garantiza que cada usuario solo accede a sus propios datos.
  • Autenticación mediante JWT con expiración y renovación segura de tokens.
  • Separación de sesiones entre la extensión de navegador y la aplicación web.
  • Monitorización de errores y alertas de seguridad.
  • Backups automatizados gestionados por el proveedor de base de datos.
  • Acceso a datos de producción restringido al titular del servicio.

4.3 Asistencia al Responsable

El Encargado asistirá al Responsable en el cumplimiento de sus obligaciones en relación con:

  • La seguridad del tratamiento (art. 32 RGPD).
  • La notificación de violaciones de seguridad a la autoridad de control (art. 33 RGPD) y a los interesados (art. 34 RGPD).
  • La realización de evaluaciones de impacto relativas a la protección de datos (art. 35 RGPD), cuando sea requerido.
  • Las consultas previas a la autoridad de control (art. 36 RGPD).

4.4 Atención de derechos de los interesados

Cuando el Encargado reciba directamente una solicitud de ejercicio de derechos por parte de un interesado (acceso, rectificación, supresión, portabilidad, limitación u oposición), lo comunicará al Responsable en un plazo máximo de 5 días hábiles, sin dar respuesta directa al interesado salvo instrucción expresa del Responsable. El Responsable es el único obligado a responder a los interesados en los plazos legales.

4.5 Notificación de brechas de seguridad

El Encargado notificará al Responsable, sin dilación indebida y en todo caso en un plazo máximo de 72 horas desde que tenga conocimiento de ella, cualquier violación de seguridad de los datos personales que pueda suponer un riesgo para los derechos y libertades de los interesados. La notificación se realizará al correo electrónico registrado en la cuenta e incluirá, en la medida de lo posible:

  • La naturaleza de la violación de seguridad.
  • Las categorías y el número aproximado de interesados y registros afectados.
  • Las medidas adoptadas o propuestas para remediar la violación.
Cláusula 5

Obligaciones del Responsable del Tratamiento

El Responsable del Tratamiento declara y garantiza que:

  • Dispone de base jurídica legítima para el tratamiento de los datos personales que introduce o procesa a través del servicio (consentimiento, interés legítimo, ejecución de contrato u otra base aplicable según el art. 6 RGPD).
  • Ha informado a los interesados cuyos datos serán tratados a través de Calibana, conforme a los artículos 13 y 14 RGPD, incluyendo la existencia del servicio de transcripción y sus finalidades.
  • Garantiza que los participantes en reuniones transcritas han sido informados previamente del uso del servicio de transcripción.
  • No introducirá en el servicio datos de categorías especiales (art. 9 RGPD) sin contar con la base jurídica explícita requerida para dicha categoría.
  • Es responsable de la exactitud, actualización y legitimidad de los datos que introduce en el servicio.
  • Cumple con las obligaciones derivadas del RGPD en su calidad de Responsable del Tratamiento, incluyendo el registro de actividades de tratamiento (art. 30 RGPD) cuando sea aplicable.
Cláusula 6

Retención y supresión de datos

6.1 Plazos de retención durante la vigencia del contrato

PlanPeríodo de retención de transcripciones
Plan Gratuito3 meses desde la fecha de la reunión.
Plan Pro12 meses (1 año) desde la fecha de la reunión.
Tras cancelación de cuenta30 días naturales desde la fecha de cancelación, salvo solicitud de supresión inmediata.

Los datos de configuración de cuenta, proyectos y tareas del Kanban se conservan durante la vigencia del contrato. Transcurrido el período aplicable, los datos son eliminados de forma automatizada mediante procesos programados. Los resúmenes e informes generados por IA se eliminan siguiendo los mismos plazos que las transcripciones de origen.

6.2 Supresión a petición del Responsable

El Responsable puede solicitar la eliminación de datos específicos (reuniones, proyectos, tareas, cuenta completa) en cualquier momento a través de la interfaz del servicio o mediante solicitud a legal@calibana.com. El Encargado ejecutará la supresión en un plazo máximo de 10 días hábiles desde la solicitud y confirmará su realización por escrito.

6.3 Fin del contrato

A la finalización del contrato por cualquier causa, el Encargado pondrá a disposición del Responsable sus datos en formato exportable (JSON o CSV) durante un período de 30 días naturales. Transcurrido dicho período sin que el Responsable los haya descargado, los datos serán eliminados de forma definitiva. El Encargado certificará la eliminación si el Responsable lo solicita.

Cláusula 7

Subencargados del tratamiento

De conformidad con el artículo 28.2 RGPD, el Encargado cuenta con la autorización general del Responsable para recurrir a los subencargados listados a continuación. Todos los subencargados están sujetos a obligaciones de protección de datos equivalentes a las establecidas en este Acuerdo mediante sus respectivos acuerdos de procesamiento de datos (DPA).

SubencargadoFinalidad y datos tratados
Supabase, Inc.
Infraestructura en UE		 Base de datos principal. Almacena transcripciones, tareas, configuración y todos los datos del servicio. DPA disponible en supabase.com/legal/dpa.
Amazon Web Services
AWS SES · eu-west-1, Irlanda		 Envío de correos electrónicos transaccionales (resúmenes, notificaciones). Trata la dirección de correo electrónico del usuario. DPA en aws.amazon.com.
Google LLC — Gemini API Procesamiento de transcripciones mediante IA para generación de resúmenes, extracción de tareas y métricas. Trata contenido de transcripciones. DPA incluido en los Google Cloud Terms of Service.
Google LLC — Calendar API Sincronización de eventos del calendario del usuario para briefings previos. Trata metadatos de eventos y asistentes. Sujeto a los mismos términos de Google Cloud.
Sentry
Functional Software, Inc.		 Monitorización de errores de la aplicación. Puede procesar datos de sesión y contexto de error. DPA en sentry.io/legal/dpa.
Stripe, Inc. Gestión de pagos y suscripciones. Trata datos de facturación del titular de la cuenta. Calibana no almacena datos de tarjeta de crédito. DPA en stripe.com/es/legal/dpa.
Hostinger International Ltd. Alojamiento de la aplicación web. Accede a logs de servidor y archivos estáticos. DPA en hostinger.es/legal/gdpr.

El Encargado notificará al Responsable cualquier incorporación o sustitución de subencargados con un mínimo de 30 días de antelación mediante correo electrónico a la dirección registrada en la cuenta. El Responsable dispondrá de dicho plazo para oponerse motivadamente al cambio. Si el Responsable no manifiesta oposición en dicho plazo, se entenderá aceptado el nuevo subencargado.

Cláusula 8

Transferencias internacionales de datos

Los datos personales se almacenan y procesan principalmente en el Espacio Económico Europeo (EEE). No obstante, algunos subencargados listados en la cláusula 7 pueden realizar transferencias de datos fuera del EEE. En todos los casos, dichas transferencias están amparadas por alguno de los siguientes mecanismos legales:

  • Decisión de adecuación de la Comisión Europea (ej. Marco de Privacidad de Datos UE-EE.UU.).
  • Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea (Decisión 2021/914).
  • Normas corporativas vinculantes (Binding Corporate Rules).

El Encargado garantiza que cualquier transferencia internacional realizada por él o por sus subencargados cumple con el Capítulo V del RGPD y proporciona las garantías adecuadas para la protección de los datos transferidos.

Cláusula 9

Auditorías y verificación del cumplimiento

El Responsable tiene derecho a verificar el cumplimiento del presente Acuerdo por parte del Encargado. A tal efecto, el Encargado adoptará las siguientes medidas:

  • Facilitará al Responsable, previa solicitud por escrito a legal@calibana.com, toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 RGPD.
  • Responderá a cuestionarios de seguridad y protección de datos en un plazo máximo de 20 días hábiles desde la recepción de la solicitud.
  • Notificará al Responsable si, en su opinión, alguna instrucción de este infringe el RGPD u otra normativa aplicable.

Dado el tamaño y la naturaleza del servicio, las auditorías in situ quedan sustituidas por el mecanismo de cuestionario descrito anteriormente, salvo acuerdo expreso de ambas partes. Los costes de cualquier auditoría serán asumidos por el Responsable salvo que la auditoría revele incumplimientos imputables al Encargado.

Cláusula 10

Uso de inteligencia artificial y transparencia

El servicio utiliza modelos de inteligencia artificial (Google Gemini) para el procesamiento de transcripciones y la generación de contenido (resúmenes, tareas, métricas, briefings). El Responsable acepta y declara haber informado a los interesados afectados sobre:

  • El uso de sistemas de IA para el análisis del contenido de reuniones y correos electrónicos.
  • La naturaleza automatizada de los resúmenes, tareas y métricas generados, que pueden contener errores y no deben considerarse como registros fidedignos sin verificación humana.
  • La posibilidad de revisar, corregir o eliminar el contenido generado por IA a través de la interfaz del servicio.

Calibana garantiza que Google LLC, en su calidad de proveedor de la API de Gemini bajo el plan de facturación de pago de Google Cloud, no utiliza los datos enviados a través de la API para el entrenamiento de sus modelos de IA, conforme a las condiciones del servicio de Google Cloud.

Cláusula 11

Responsabilidad y limitación de responsabilidad

El Encargado será responsable de los daños y perjuicios causados al Responsable o a terceros como consecuencia del incumplimiento de las obligaciones establecidas en el presente Acuerdo o en el RGPD, en los términos previstos en el artículo 82 RGPD.

El Encargado no será responsable de los daños derivados de:

  • El uso indebido del servicio por parte del Responsable o de sus usuarios.
  • La introducción en el servicio de datos de categorías especiales sin base jurídica adecuada.
  • El incumplimiento por parte del Responsable de sus obligaciones de información a los interesados.
  • Interrupciones del servicio imputables a los subencargados listados en la cláusula 7.
  • Instrucciones del Responsable que el Encargado hubiera señalado como potencialmente infractoras.

La responsabilidad total del Encargado derivada del presente Acuerdo quedará limitada, en todo caso, al importe total pagado por el Responsable durante los doce meses anteriores al evento generador del daño, excepto en casos de dolo o negligencia grave.

Cláusula 12

Ley aplicable y jurisdicción

El presente Acuerdo se regirá e interpretará conforme a la legislación española y a la normativa europea de protección de datos, en particular el RGPD y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

La autoridad de control competente para supervisar el cumplimiento del presente Acuerdo es la Agencia Española de Protección de Datos (AEPD), con sede en Calle Jorge Juan, 6, 28001 Madrid — www.aepd.es.

Para la resolución de cualquier controversia derivada del presente Acuerdo, las partes se someten, con renuncia expresa a cualquier otro fuero que pudiera corresponderles, a los Juzgados y Tribunales de Bilbao (Bizkaia).

Cláusula 13

Modificaciones del Acuerdo

El Encargado podrá modificar el presente Acuerdo para adaptarlo a cambios normativos, resoluciones de la AEPD u otras autoridades de control, o cambios en los subencargados o en las medidas de seguridad. Las modificaciones serán notificadas al Responsable por correo electrónico con un mínimo de 30 días de antelación a su entrada en vigor.

Si el Responsable no manifiesta su oposición en dicho plazo, se entenderá que acepta la nueva versión del Acuerdo. En caso de oposición, el Responsable podrá resolver el contrato de servicio sin penalización, con reembolso proporcional de la parte del período de suscripción no disfrutada.

Las versiones anteriores del Acuerdo estarán disponibles en calibana.com/dpa/historial durante un período mínimo de 3 años.

Aceptación electrónica

El presente Acuerdo entra en vigor mediante aceptación electrónica. Al marcar la casilla «He leído y acepto el Acuerdo de Encargo de Tratamiento de Datos» durante el proceso de registro o en los ajustes de la cuenta, el Responsable del Tratamiento manifiesta su conformidad con todos los términos del presente documento.

La fecha, versión aceptada y dirección IP del Responsable quedan registradas por Calibana como evidencia de la aceptación. Este registro tiene valor probatorio equivalente al de una firma electrónica simple conforme al Reglamento (UE) 910/2014 (eIDAS).

Para preguntas sobre este Acuerdo contacta con legal@calibana.com.

Calibana · Sergio Sáez de Ibarra González · Getxo, Bizkaia, España
NIF disponible previa solicitud a legal@calibana.com
Versión 1.0 · 11 de junio de 2025
↑ Volver al inicio