Acuerdo de Tratamiento de Datos (DPA)

Última actualización:

¿Qué es el DPA?

El Acuerdo de Tratamiento de Datos(Data Processing Agreement, DPA) es el contrato exigido por el artículo 28 del RGPD entre tu empresa (responsable del tratamiento) y JobSolutions OÜ (encargado del tratamiento) cuando tu empresa nos confía datos personales de candidatos a través de la plataforma.

Define qué datos tratamos, con qué finalidad, qué medidas de seguridad aplicamos, qué subprocesadores intervienen y cómo se gestionan los derechos ARCO de los candidatos.

¿Cuándo lo firmamos?

Toda empresa que use JobSolutions queda automáticamente vinculada al DPA al aceptar los Términos durante el registro (signup empresa, casilla «Acepto los términos y el Acuerdo DPA»). Esta aceptación electrónica es vinculante y suficiente desde el punto de vista jurídico (art. 28.3 y considerando 81 del RGPD).

Si tu departamento legal necesita una copia firmada con razón social, NIF/CIF y firma autógrafa o cualificada, te la entregamos en menos de 5 días laborables (ver más abajo).

Qué incluye nuestro DPA

  • Objeto y duración: alcance del tratamiento durante la vigencia de tu suscripción.
  • Naturaleza y finalidad: matching, evaluación IA de tests, ranking de candidatos, comunicación dentro de la plataforma.
  • Tipo de datos personales: identificación profesional (nombre, email, teléfono, tecnologías declaradas) y resultados de evaluación; nunca categorías especiales del art. 9.
  • Categorías de interesados: candidatos registrados en la plataforma.
  • Medidas técnicas y organizativas: (anexo II): cifrado en reposo y tránsito, logging redactado de PII, control de accesos por rol, retención de 90 días para tests invalidados, 24 meses para cuentas inactivas.
  • Subprocesadores autorizados: (anexo III): Paddle, Anthropic, Resend, Twilio, Cloudflare, Railway, Sentry. Lista pública en /legal/subprocesadores.
  • Transferencias internacionales: SCCs de la Comisión Europea con los subprocesadores fuera del EEE (Anthropic, Twilio); Paddle (Reino Unido) opera bajo decisión de adecuación UE.
  • Derechos ARCO del interesado: cómo atendemos solicitudes de acceso, rectificación, supresión, portabilidad y oposición (Reglas 07 + 10).
  • Notificación de brechas: ≤ 72 horas desde la detección, al email del DPO de tu empresa registrado en el panel de empresa.
  • Auditorías y supresión al terminar: derecho de auditoría una vez al año con preaviso de 30 días; supresión de datos a 30 días de la cancelación.

Cómo solicitarlo

Escribe a [email protected] desde una dirección corporativa del responsable del tratamiento (la cuenta de empresa registrada en JobSolutions). Incluye:

  • Razón social completa y NIF/CIF.
  • Domicilio fiscal.
  • Persona de contacto del DPO (nombre y email).
  • Formato preferido: PDF firmado o cláusula incorporable a vuestro MSA.

Tiempo de respuesta: 5 días laborables

Para casos con plazo regulatorio inminente, indica «URGENTE» en el asunto.

[email protected]