Compromisos RGPD.

01Roles

Hirefel SL actúa como responsable de los datos sobre sus propios prospects, candidatos y contactos corporativos. Actuamos como encargado del tratamiento sobre los datos de cliente que tratamos en un proyecto — en cada proyecto firmamos un contrato de encargo antes de tocar cualquier dato personal facilitado por el cliente.

02Contrato de encargo estándar

Nuestro contrato de encargo se basa en las Cláusulas Contractuales Tipo de la Comisión Europea (Módulo 2: responsable a encargado). Cubre:

• Alcance, finalidad, naturaleza y duración del tratamiento.
• Categorías de interesados y de datos personales.
• Instrucciones del responsable y obligaciones del encargado.
• Autorización de subencargados y ventana de objeción de 15 días.
• Transferencias internacionales bajo CCT o decisiones de adecuación.
• Asistencia con solicitudes de derechos y EIPD.
• Plazos de notificación de brechas (en 24 horas desde la detección).
• Devolución y borrado de datos al finalizar.

El contrato de encargo se firma como documento independiente o anexo al SOW.

03Subencargados

Mantenemos una lista viva de subencargados aprobados. Las altas o sustituciones se notifican con al menos 15 días de antelación; los responsables pueden objetar por escrito dentro de ese plazo.

• Google WorkspaceEmail, colaboración documentalUE
• LinearSeguimiento de proyectosUE / EE. UU. (CCT)
• 1PasswordGestión de secretosUE / CA (adecuación)
• Fathom AnalyticsAnalítica web respetuosa con la privacidadUE
• StripeFacturaciónUE / EE. UU. (CCT)

04Medidas técnicas y organizativas

Control de acceso

IAM de mínimo privilegio, MFA con clave hardware para todos los ingenieros, revisión trimestral de accesos.

Cifrado

TLS 1.3 en tránsito; AES-256 en reposo en toda la infraestructura gestionada.

Segregación

Aislamiento por cliente: cuentas cloud, credenciales y logging separados.

Logging

Logs de acceso a prueba de manipulación durante 90 días; logs de cambios durante 24 meses.

Endpoint

Portátiles gestionados por MDM, cifrado de disco completo, borrado remoto, sin copias locales de datos de cliente.

Formación

Formación anual en RGPD y seguridad para todo el personal y colaboradores.

05Transferencias internacionales

Por defecto los datos permanecen en la UE/EEE. Las transferencias a terceros países solo se hacen bajo:

• Una decisión de adecuación de la UE (p. ej. Canadá, Reino Unido, Suiza), o
• Cláusulas Contractuales Tipo de la UE (2021) con evaluación de riesgos de transferencia, o
• El Marco UE-EE. UU. de Privacidad de Datos, cuando el importador esté certificado.

06Notificación de brechas

Al tener constancia de una brecha de datos personales que afecte a datos del cliente, notificamos al responsable por escrito en un plazo de 24 horas, con detalle suficiente para que el responsable pueda cumplir el plazo de 72 horas de notificación a la AEPD. No notificamos a las autoridades en nombre del responsable salvo que se nos pida expresamente.

07Derechos del interesado

Sobre los datos en los que somos responsables, escríbanos a [email protected]. Verificamos identidad, respondemos en 30 días, y podemos extender el plazo hasta 60 días en solicitudes complejas (con justificación). Cuando somos encargados, trasladamos la solicitud al responsable correspondiente en 5 días laborables y asistimos según lo contractualmente acordado.

Puede presentar reclamación ante la Agencia Española de Protección de Datos — AEPD, aepd.es.

08Evaluaciones de Impacto (EIPD)

Para proyectos con tratamientos de alto riesgo — inferencia a gran escala, perfilado, datos biométricos o categorías sensibles — apoyamos la EIPD del responsable con documentación de las actividades de tratamiento, medidas de seguridad y cadena de subencargados. Hay una plantilla de EIPD anexa al contrato de encargo bajo petición.

09Contacto y DPO