Acuerdo de tratamiento de datos

Última actualización: 31 de marzo de 2026

El presente Acuerdo de tratamiento de datos ("ATD") forma parte de las Condiciones del servicio entre Kit ("Encargado del tratamiento", "nosotros") y el Cliente ("Responsable del tratamiento", "usted") y regula el tratamiento de datos personales por parte de Kit en nombre del Cliente.

El presente ATD entra en vigor en la fecha más temprana entre (a) la aceptación de las Condiciones del servicio por parte del Cliente, o (b) el primer uso del Servicio por parte del Cliente. En caso de conflicto o discrepancia, el orden de prevalencia será: (1) las Cláusulas contractuales tipo aplicables; (2) el presente ATD; (3) las Condiciones del servicio; (4) la Política de privacidad de Kit. Los clientes de empresa pueden solicitar una copia contrafirmada del presente ATD.

1. Definiciones

En el presente ATD, los siguientes términos tienen el significado que se indica a continuación. Los términos no definidos aquí tienen el significado que se les atribuye en el RGPD o en las Condiciones del servicio.

  • Datos del Cliente se refiere a cualquier dato personal que Kit trate en nombre del Cliente en el curso de la prestación del Servicio. Esto incluye datos de candidatos y solicitantes, datos de los miembros del equipo de contratación y datos de comunicaciones enviados o generados dentro de la plataforma.
  • Datos de la Cuenta se refiere a los datos personales relativos a la relación del Cliente con Kit, incluida la información de facturación, análisis de uso y datos de administración de la cuenta. Kit es el responsable del tratamiento de los Datos de la Cuenta conforme a su Política de privacidad.
  • Responsable del tratamiento se refiere a la persona física o jurídica que determina los fines y medios del tratamiento de datos personales (el Cliente).
  • Encargado del tratamiento se refiere a la persona física o jurídica que trata datos personales por cuenta del Responsable del tratamiento (Kit).
  • Subencargado del tratamiento se refiere a cualquier tercero contratado por el Encargado del tratamiento para tratar Datos del Cliente.
  • Interesado se refiere a la persona física identificada o identificable a la que se refieren los datos personales.
  • RGPD se refiere al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (Reglamento General de Protección de Datos).
  • RGPD del Reino Unido se refiere al RGPD incorporado al Derecho del Reino Unido mediante la Ley de Protección de Datos de 2018 y el Reglamento sobre Protección de Datos, Privacidad y Comunicaciones Electrónicas (Enmiendas, etc.) (Salida de la UE) de 2019.
  • LPD suiza se refiere a la Ley Federal de Protección de Datos de Suiza (revisada el 25 de septiembre de 2020). Las referencias al "RGPD" en el presente ATD incluyen, cuando proceda, el RGPD del Reino Unido y la LPD suiza.
  • Datos personales, Tratamiento, Violación de la seguridad de los datos personales y Autoridad de control tienen el significado que se les atribuye en el artículo 4 del RGPD.
  • CCT se refiere a las Cláusulas contractuales tipo para la transferencia de datos personales a terceros países adoptadas por la Decisión de la Comisión Europea 2021/914.
  • Legislación de Protección de Datos se refiere al RGPD, el RGPD del Reino Unido, la LPD suiza, la Ley de Privacidad del Consumidor de California en su versión modificada por la Ley de Derechos de Privacidad de California ("CCPA"), y cualquier otra legislación aplicable en materia de protección de datos o privacidad.

2. Funciones de las Partes

Las partes reconocen y acuerdan que:

  • Con respecto a los Datos del Cliente, el Cliente es el Responsable del tratamiento y Kit es el Encargado del tratamiento. El presente ATD regula el tratamiento de los Datos del Cliente por parte de Kit.
  • Con respecto a los Datos de la Cuenta, Kit es un Responsable del tratamiento independiente y trata dichos datos de conformidad con su Política de privacidad.

Esta distinción garantiza la claridad: los datos personales de sus candidatos y solicitantes se tratan exclusivamente conforme a sus instrucciones, mientras que Kit gestiona de forma independiente los datos necesarios para mantener su cuenta y prestar el Servicio.

3. Ámbito y Finalidad del Tratamiento

Kit trata los Datos del Cliente únicamente con el fin de prestar el servicio de seguimiento de candidatos y gestión de la contratación descrito en las Condiciones del servicio y según se especifica en el Anexo 1. Kit deberá:

  • Tratar los Datos del Cliente únicamente siguiendo las instrucciones documentadas del Responsable del tratamiento, incluidas las relativas a transferencias de datos personales a un tercer país, salvo que esté obligado a ello por el Derecho de la Unión Europea o de los Estados miembros al que esté sujeto el Encargado del tratamiento (artículo 28, apartado 3, letra a) del RGPD).
  • Informar inmediatamente al Responsable del tratamiento si, en opinión de Kit, una instrucción infringe el RGPD u otras disposiciones aplicables en materia de protección de datos.

3.1 Leyes de privacidad de California y de los estados de EE. UU.

En la medida en que la Ley de Privacidad del Consumidor de California (CCPA) u otras leyes de privacidad de los estados de EE. UU. sean aplicables al tratamiento de Datos del Cliente por parte de Kit, Kit actúa como "proveedor de servicios" (CCPA) o "encargado del tratamiento" (según la definición de la legislación estatal aplicable). Kit no venderá ni compartirá Datos del Cliente, no retendrá, utilizará ni divulgará Datos del Cliente salvo en la medida necesaria para prestar el Servicio, ni de otro modo salvo lo permitido por la legislación aplicable.

4. Confidencialidad

Kit garantiza que las personas autorizadas para tratar Datos del Cliente se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad apropiada (artículo 28, apartado 3, letra b) del RGPD).

5. Medidas de Seguridad

Kit aplica las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, de conformidad con el artículo 32 del RGPD. Dichas medidas se describen en detalle en el Anexo 2 e incluyen, entre otras:

  • Cifrado de datos personales en tránsito (TLS 1.2+) y en reposo
  • Aislamiento de datos multitenant mediante consultas de base de datos delimitadas por cuenta
  • Control de acceso basado en roles dentro de las cuentas de empleadores
  • Cifrado a nivel de aplicación de campos sensibles (Active Record Encryption)
  • Infraestructura residente en la UE (Hetzner Cloud, Núremberg, Alemania)
  • Escaneo de seguridad periódico y gestión de vulnerabilidades

Kit revisa y actualiza periódicamente estas medidas para mantener un nivel de protección adecuado. Las medidas aquí descritas son coherentes con las prácticas de seguridad estándar del sector; las certificaciones específicas, cuando se obtengan, se referenciarán en el Anexo 2.

6. Subencargados del Tratamiento

6.1 Autorización general

El Responsable del tratamiento otorga una autorización general por escrito para que Kit contrate Subencargados del tratamiento para tratar Datos del Cliente, con sujeción a las condiciones establecidas en la presente Sección 6 (artículo 28, apartado 2, del RGPD).

6.2 Subencargados actuales

La lista actual de Subencargados del tratamiento figura en el Anexo 3. El Responsable del tratamiento reconoce y aprueba los Subencargados enumerados en dicho anexo a la fecha de entrada en vigor del presente ATD.

6.3 Notificación de cambios

Kit notificará al Responsable del tratamiento por correo electrónico con al menos 30 días de antelación antes de contratar a un nuevo Subencargado del tratamiento o sustituir a uno existente. La notificación identificará al Subencargado, su ubicación y las actividades de tratamiento que se realizarán.

6.4 Derecho de oposición

El Responsable del tratamiento podrá oponerse a la designación de un nuevo Subencargado del tratamiento en un plazo de 15 días desde la recepción de la notificación, mediante comunicación escrita a Kit con motivos razonables de la oposición. Si Kit no puede atender razonablemente la oposición, el Responsable del tratamiento podrá resolver el Servicio afectado mediante comunicación escrita a Kit.

6.5 Obligaciones del Subencargado

Kit impone a cada Subencargado del tratamiento, mediante contrato, obligaciones en materia de protección de datos no menos protectoras que las establecidas en el presente ATD (artículo 28, apartado 4, del RGPD). Kit sigue siendo plenamente responsable del cumplimiento de las obligaciones de cada Subencargado del tratamiento.

6.6 Encargados designados por el Cliente

Cuando el Cliente configure integraciones con servicios de terceros utilizando sus propias credenciales o claves API (como proveedores de IA en un modelo de clave propia (BYOK)), estos proveedores son Encargados designados por el Cliente. Kit facilita la integración técnica, pero no selecciona, controla ni contrata con estos proveedores. El Cliente es responsable de garantizar que su propio acuerdo con dichos proveedores cumple los requisitos aplicables en materia de protección de datos.

7. Derechos de los Interesados

Kit asiste al Responsable del tratamiento, mediante medidas técnicas y organizativas apropiadas y en la medida de lo posible, en el cumplimiento de su obligación de atender las solicitudes de ejercicio de los derechos de los Interesados en virtud del Capítulo III del RGPD (artículo 28, apartado 3, letra e) del RGPD). Estos derechos incluyen el derecho de acceso, rectificación, supresión, limitación del tratamiento, portabilidad de los datos y oposición.

Kit proporciona las siguientes funcionalidades de la plataforma para asistir al Responsable del tratamiento en la atención de dichas solicitudes:

  • Funcionalidad de exportación de datos para registros individuales de candidatos y exportaciones a nivel de cuenta
  • Herramientas de supresión y anonimización de datos de candidatos
  • Períodos de conservación de datos configurables con caducidad automatizada
  • Gestión del consentimiento con seguimiento de renovación y retirada

Kit no responde directamente a las solicitudes de los Interesados. Los candidatos y solicitantes deben dirigir sus solicitudes al Responsable del tratamiento (el empleador). Kit notificará sin demora al Responsable del tratamiento si recibe una solicitud directamente de un Interesado.

8. Transferencias Internacionales de Datos

La infraestructura principal de Kit está ubicada en la Unión Europea (Hetzner Cloud, Núremberg, Alemania). Los Datos del Cliente se almacenan y tratan dentro de la UE por defecto.

8.1 Mecanismos de transferencia

Cuando los Subencargados del tratamiento estén ubicados fuera del Espacio Económico Europeo (EEE), Kit garantiza que existen las salvaguardias adecuadas para la transferencia de datos personales, incluidas:

  • Marco de Privacidad de Datos UE-EE. UU. (MPD): Cuando el Subencargado cuente con certificación MPD.
  • Cláusulas contractuales tipo (CCT): Las CCT de 2021 (Decisión de la Comisión 2021/914) se incorporan por referencia cuando proceda.
  • Decisiones de adecuación: Cuando la Comisión Europea haya reconocido que el tercer país ofrece un nivel de protección adecuado.

El mecanismo de transferencia específico para cada Subencargado se identifica en el Anexo 3.

8.2 Selección de módulos de las CCT

Cuando se apliquen las CCT, se utilizan los siguientes módulos:

  • Módulo 2 (Responsable del tratamiento a Encargado del tratamiento): Se aplica entre el Cliente (como Responsable del tratamiento) y Kit cuando el Cliente esté establecido en el EEE y Kit trate Datos del Cliente fuera del EEE.
  • Módulo 3 (Encargado del tratamiento a Subencargado del tratamiento): Se aplica entre Kit y sus Subencargados fuera del EEE enumerados en el Anexo 3.

Para ambos módulos: Se incluye la Cláusula 7 (cláusula de adhesión); se selecciona la Cláusula 9, letra a), Opción 2 (autorización general por escrito); se selecciona la Cláusula 17, Opción 1 (ley aplicable de un Estado miembro de la UE), siendo la ley de Irlanda la ley aplicable.

8.3 Transferencias al Reino Unido y Suiza

Para las transferencias sujetas al RGPD del Reino Unido, se aplica el Addendum de Transferencia Internacional de Datos a las CCT de la UE (emitido por la Oficina del Comisionado de Información del Reino Unido). Para las transferencias sujetas a la LPD suiza, se aplican las CCT con las modificaciones requeridas por el Comisionado Federal de Protección de Datos e Información de Suiza.

8.4 Medidas complementarias

Kit ha realizado evaluaciones de impacto de las transferencias para cada Subencargado fuera del EEE. A la fecha del presente ATD, Kit no ha recibido ninguna solicitud de acceso gubernamental relativa a los Datos del Cliente. Kit se compromete a impugnar cualquier solicitud de acceso gubernamental que considere razonablemente ilícita o desproporcionada, y a notificar al Responsable del tratamiento salvo que esté legalmente impedido de hacerlo.

9. Notificación de Violaciones de Seguridad de los Datos

Kit notificará al Responsable del tratamiento sin dilación indebida tras tener conocimiento de una Violación de la seguridad de los datos personales que afecte a los Datos del Cliente (artículo 28, apartado 3, letra f) y artículo 33 del RGPD). La notificación incluirá:

  • Una descripción de la naturaleza de la violación, incluidas, en la medida de lo posible, las categorías y el número aproximado de Interesados y registros afectados
  • El nombre y los datos de contacto del punto de contacto de Kit para obtener más información
  • Una descripción de las consecuencias probables de la violación
  • Una descripción de las medidas adoptadas o propuestas para hacer frente a la violación, incluidas las medidas para mitigar sus posibles efectos adversos

Kit cooperará con el Responsable del tratamiento y adoptará medidas razonables para asistir en la investigación, mitigación y subsanación de la violación.

10. Evaluaciones de Impacto relativas a la Protección de Datos

Kit prestará asistencia razonable al Responsable del tratamiento en la realización de evaluaciones de impacto relativas a la protección de datos y en las consultas previas con las autoridades de control, en la medida requerida conforme a los artículos 35 y 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga Kit (artículo 28, apartado 3, letra f) del RGPD).

11. Derechos de Auditoría

Kit pone a disposición del Responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD y permite y contribuye a la realización de auditorías, incluidas inspecciones, por parte del Responsable del tratamiento o de un auditor designado por este (artículo 28, apartado 3, letra h) del RGPD).

Las auditorías están sujetas a las siguientes condiciones:

  • El Responsable del tratamiento deberá comunicar la solicitud de auditoría con al menos 30 días de antelación por escrito
  • Las auditorías se realizarán en horario comercial habitual y no perturbarán indebidamente las operaciones de Kit
  • El Responsable del tratamiento asumirá sus propios costes asociados a la auditoría
  • Las auditorías se limitan a una por período de doce meses, salvo que se haya producido una Violación de la seguridad de los datos personales o que una Autoridad de control exija una auditoría adicional
  • Kit podrá satisfacer las solicitudes de auditoría proporcionando documentación pertinente, informes de seguridad, resúmenes de pruebas de penetración o informes de auditoría de terceros cuando estén disponibles

Kit mantiene registros de las actividades de tratamiento realizadas por cuenta del Responsable del tratamiento de conformidad con el artículo 30, apartado 2, del RGPD y conserva dichos registros durante al menos tres (3) años.

12. Duración, Supresión y Devolución de Datos

Kit trata los Datos del Cliente durante la vigencia de las Condiciones del servicio. Tras la resolución o expiración de las Condiciones del servicio:

  • Kit proporciona un plazo de 30 días durante el cual el Responsable del tratamiento puede exportar todos los Datos del Cliente utilizando la funcionalidad de exportación de datos de la plataforma
  • Transcurrido el plazo de exportación, Kit suprimirá todos los Datos del Cliente de sus sistemas, incluidos los sistemas de copia de seguridad, en un plazo razonable, salvo que el Derecho de la Unión Europea o de los Estados miembros exija su conservación (artículo 28, apartado 3, letra g) del RGPD)
  • El Responsable del tratamiento podrá solicitar la supresión de Datos del Cliente específicos en cualquier momento durante la vigencia del acuerdo, utilizando las herramientas de supresión y anonimización de la plataforma

Los datos anonimizados y agregados que ya no puedan atribuirse a un Interesado no constituyen datos personales y podrán ser conservados por Kit con fines de mejora del producto y análisis.

13. Responsabilidad

La responsabilidad de cada parte en virtud del presente ATD está sujeta a las limitaciones y exclusiones de responsabilidad establecidas en las Condiciones del servicio. La responsabilidad total acumulada del Encargado del tratamiento derivada de o en relación con el presente ATD no excederá el total de las cuotas abonadas por el Responsable del tratamiento al Encargado del tratamiento en los doce (12) meses anteriores al evento que dio lugar a la reclamación.

14. Ley Aplicable

El presente ATD se rige por la misma ley que rige las Condiciones del servicio, sin tener en cuenta los principios de conflicto de leyes. Cualquier controversia derivada del presente ATD estará sujeta a la jurisdicción exclusiva especificada en las Condiciones del servicio.

15. Contacto

Para preguntas o solicitudes relativas al presente ATD, puede contactarnos en [email protected].

Anexo 1: Detalles del Tratamiento

Categorías de Interesados

  • Candidatos y solicitantes de empleo
  • Usuarios del empleador (miembros del equipo de contratación, reclutadores, administradores)
  • Entrevistadores y evaluadores

Categorías de Datos Personales

  • Datos de identidad: nombre, dirección de correo electrónico, número de teléfono, fotografía de perfil
  • Datos de candidatura: currículum/CV, carta de presentación, respuestas a formularios de solicitud, materiales de portfolio
  • Datos de evaluación: notas de entrevista, puntuaciones de evaluación, comentarios de revisión, entregas de ejercicios de código
  • Datos de comunicación: correspondencia por correo electrónico, notas internas, mensajes de canales de Slack (cuando esté integrado)
  • Datos relacionados con el empleo: empleador actual, cargo, perfil de LinkedIn, historial laboral
  • Datos técnicos: dirección IP (cifrada), información de navegador/dispositivo para registros de consentimiento
  • Documentos y archivos adjuntos: archivos cargados asociados a las candidaturas

Categorías Especiales de Datos

Kit no recopila intencionadamente categorías especiales de datos personales (artículo 9 del RGPD). No obstante, los currículos y materiales de candidatura enviados por los candidatos pueden contener incidentalmente dichos datos (por ejemplo, estado de discapacidad, origen étnico, afiliación religiosa). El Responsable del tratamiento es responsable de garantizar que existe una base jurídica para el tratamiento de cualquier categoría especial de datos que pueda estar contenida en las candidaturas.

Finalidad del Tratamiento

Gestión de la contratación y seguimiento de candidatos por cuenta del Responsable del tratamiento, incluyendo: recepción y almacenamiento de candidaturas, gestión de procesos de contratación, facilitación de la evaluación de candidatos y colaboración del equipo, programación de entrevistas, gestión de ofertas y flujos de trabajo de contratación relacionados.

Duración del Tratamiento

Durante la vigencia del acuerdo entre el Responsable del tratamiento y Kit, más el plazo de supresión posterior a la resolución descrito en la Sección 12. El Responsable del tratamiento puede configurar períodos de conservación más cortos dentro de la plataforma, que Kit aplicará de forma automática.

Anexo 2: Medidas Técnicas y Organizativas

Kit aplica las siguientes medidas de conformidad con el artículo 32 del RGPD:

Cifrado

  • Todos los datos en tránsito se cifran mediante TLS 1.2 o superior
  • Los campos de datos personales sensibles se cifran a nivel de aplicación mediante Active Record Encryption (cifrado determinista y no determinista según corresponda)
  • Las copias de seguridad de la base de datos están cifradas

Control de acceso

  • Aislamiento de datos multitenant aplicado a nivel de consulta de base de datos (consultas delimitadas por cuenta)
  • Control de acceso basado en roles dentro de cada cuenta de empleador (roles de propietario, administrador, miembro)
  • Autenticación mediante gestión segura de sesiones con autenticación multifactor configurable
  • Acceso a la API controlado mediante tokens API con permisos granulares

Seguridad de la infraestructura

  • Toda la infraestructura alojada en la Unión Europea (Hetzner Cloud, Núremberg, Alemania, centro de datos nbg1-dc3)
  • Tráfico de base de datos aislado en una red privada sin exposición a internet público
  • Protección contra DDoS y cortafuegos de aplicaciones web mediante Cloudflare
  • Escaneo de seguridad automatizado periódico (Brakeman para vulnerabilidades de Rails, bundler-audit para vulnerabilidades de gemas, importmap audit para dependencias de JavaScript)

Minimización y conservación de datos

  • Períodos de conservación de datos configurables por cuenta de empleador
  • Anonimización automatizada de registros de candidatos tras la expiración del consentimiento
  • Gestión del consentimiento con pista de auditoría (registros de consentimiento con marca temporal y dirección IP)
  • Funcionalidad integral de exportación de datos para la portabilidad de datos

Respuesta ante incidentes

  • Monitorización de errores y alertas (Sentry)
  • Monitorización automatizada del tiempo de actividad con página de estado pública
  • Procedimientos definidos de respuesta ante incidentes, incluidos flujos de trabajo de notificación de violaciones

Medidas organizativas

  • Obligaciones de confidencialidad para todo el personal con acceso a datos personales
  • Principio de mínimo privilegio para el acceso a los sistemas
  • Revisión periódica de los permisos de acceso

Anexo 3: Lista de Subencargados del Tratamiento

Los siguientes Subencargados del tratamiento están autorizados para tratar Datos del Cliente a la fecha indicada en la parte superior del presente ATD:

Subencargado Finalidad Ubicación Mecanismo de transferencia
Hetzner Online GmbH Alojamiento de infraestructura, computación, balanceo de carga, almacenamiento de objetos compatible con S3 Núremberg, Alemania (UE) N/A (UE) — ATD de Hetzner
Cloudflare, Inc. CDN, DNS, protección contra DDoS, cortafuegos de aplicaciones web Global (tratamiento en la UE disponible) MPD + CCT — ATD de Cloudflare
Stripe, Inc. Procesamiento de pagos Estados Unidos MPD + CCT — ATD de Stripe
Functional Software, Inc. (Sentry) Monitorización de errores y seguimiento del rendimiento Estados Unidos MPD + CCT — ATD de Sentry

Encargados designados por el Cliente

Las siguientes integraciones son activadas y configuradas por el Cliente utilizando sus propias credenciales. Kit facilita la conexión técnica, pero no selecciona ni contrata con estos proveedores:

Tipo de integración Finalidad Responsabilidad del Cliente
Proveedores de IA (BYOK) Funcionalidades asistidas por IA (p. ej., evaluación de candidatos, generación de contenidos) cuando sean activadas por el Cliente El Cliente es responsable de su propio acuerdo de tratamiento de datos con el proveedor de IA elegido. Kit no envía datos personales de candidatos a proveedores de IA salvo que lo inicie expresamente el Cliente.
Slack Notificaciones de canales de candidatos y colaboración del equipo (cuando lo conecte el Cliente) El Cliente es responsable de su propio acuerdo con Slack/Salesforce.
GitHub Gestión de repositorios de ejercicios de código (cuando lo conecte el Cliente) El Cliente es responsable de su propio acuerdo con GitHub/Microsoft.

Para recibir notificaciones sobre cambios en esta lista de Subencargados del tratamiento, contacte con [email protected].