Acuerdo de Encargado del Tratamiento

Responsable del tratamiento (Cliente): la persona física o jurídica que suscribe los Términos y Condiciones de TalenIA y utiliza la plataforma para gestionar procesos de selección de personal. Los datos identificativos del Responsable son los facilitados en el registro o en la configuración de facturación.

Encargado del tratamiento (TalenIA):

TalenIA prestará los servicios descritos en los Términos y Condiciones, que implican el tratamiento de datos personales de candidatos y reclutadores por cuenta del Cliente. El presente DPA estará vigente mientras el Cliente mantenga una cuenta activa en la plataforma y por el tiempo que la ley exija conservar los registros del tratamiento.

El tratamiento tiene por finalidad exclusiva la prestación del servicio de evaluación de candidatos mediante inteligencia artificial, incluyendo:

• Análisis y extracción de datos de currículums vitae (CVs) en formato PDF o texto.
• Evaluación del encaje candidato-puesto y generación de rankings razonados.
• Generación de preguntas de entrevista personalizadas.
• Administración de tests psicométricos y generación de informes de resultados.
• Envío de comunicaciones transaccionales a candidatos (invitaciones a test, resultados por email) únicamente cuando el Cliente o el candidato faciliten una dirección de email válida.

Datos de candidatos: texto del CV (experiencia, formación, competencias, datos de contacto opcionales), resultados de evaluación IA, respuestas y resultados de tests psicométricos, dirección de correo electrónico (solo si se facilita). TalenIA no procesa categorías especiales de datos (art. 9 RGPD) ni datos de menores.

Datos de reclutadores: nombre, correo electrónico, empresa, transacciones de crédito.

Pseudonimización: los candidatos se identifican internamente mediante un código de iniciales generado por TalenIA. El nombre real no se almacena en el perfil de candidato ni en los resultados de evaluación.

TalenIA se compromete a:

• Tratar los datos únicamente siguiendo las instrucciones documentadas del Cliente y conforme a los Términos y Condiciones.
• Garantizar que las personas autorizadas para tratar los datos estén sujetas a obligaciones de confidencialidad.
• Aplicar las medidas técnicas y organizativas adecuadas descritas en el apartado 7.
• Notificar al Cliente sin dilación indebida, y en todo caso en un plazo máximo de 72 horas desde su conocimiento, cualquier violación de seguridad de los datos personales que afecte a datos tratados por cuenta del Cliente.
• Asistir al Cliente en la atención de solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, portabilidad, limitación, oposición).
• Suprimir o devolver todos los datos al término del contrato, según elija el Cliente, y destruir las copias existentes salvo que el Derecho de la UE o de los Estados miembros exija la conservación.
• Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento del artículo 28 RGPD.

El Cliente declara y garantiza que:

• Dispone de base jurídica legítima para el tratamiento de los datos de candidatos que carga en la plataforma (interés legítimo en el proceso de selección, art. 6.1.f RGPD, o las bases aplicables en su jurisdicción).
• Ha informado a los candidatos del tratamiento de sus datos y, cuando sea necesario, ha obtenido su consentimiento.
• No cargará en la plataforma datos de categorías especiales (salud, origen racial, religión, orientación sexual, etc.) salvo que tenga base jurídica explícita y lo notifique previamente a TalenIA.
• Atenderá las solicitudes de derechos RGPD de los candidatos. TalenIA prestará asistencia técnica razonable a petición del Cliente.

Obligaciones adicionales bajo el EU AI Act (Reglamento 2024/1689)

Al utilizar TalenIA para procesos de selección de personal, el Cliente actúa como deployer de un sistema de IA de alto riesgo (Anexo III). En consecuencia, el Cliente se compromete a:

• Garantizar que el personal que utiliza TalenIA cuenta con formación documentada en alfabetización en IA conforme al artículo 4 del EU AI Act (obligación en vigor desde agosto de 2025).
• Mantener supervisión humana efectiva sobre las decisiones de contratación, utilizando los resultados de TalenIA como herramienta de apoyo y nunca como criterio único o definitivo.
• Informar a los candidatos de que se utilizó un sistema de IA en su evaluación, utilizando preferentemente las plantillas de comunicación proporcionadas por TalenIA.
• Incluir a TalenIA en su inventario interno de sistemas de IA de alto riesgo y mantenerlo actualizado.
• Atender las solicitudes de explicación y revisión humana que los candidatos puedan formular al amparo del artículo 86 del EU AI Act.

TalenIA facilita al Cliente la documentación técnica del sistema y puede asistir en la preparación de la Evaluación de Impacto en Derechos Fundamentales (EIDF). Solicítela en [email protected].

TalenIA aplica las siguientes medidas técnicas y organizativas:

• Cifrado en tránsito: todas las comunicaciones se realizan mediante HTTPS/TLS 1.2+.
• Cifrado en reposo: los datos se almacenan en Neon PostgreSQL con cifrado en reposo gestionado por el proveedor de infraestructura.
• Control de acceso: acceso a los datos de producción restringido al equipo técnico mínimo necesario; autenticación de doble factor para el panel de administración.
• Hashing de contraseñas: algoritmo scrypt con sal aleatoria; las contraseñas en texto claro nunca se almacenan.
• Pseudonimización de candidatos: los candidatos se identifican por código de iniciales; el nombre real no aparece en resultados ni en logs.
• Revisiones periódicas: revisión de dependencias y configuración de seguridad con cada despliegue.

TalenIA utiliza los siguientes subencargados para la prestación del servicio. El Cliente autoriza expresamente su uso al aceptar los Términos y Condiciones:

TalenIA notificará al Cliente con al menos 30 días de antelación cualquier cambio previsto en la lista de subencargados. El Cliente podrá oponerse por escrito dentro de ese plazo.

Los subencargados enumerados en el apartado 8 pueden estar ubicados fuera del Espacio Económico Europeo (EEE). En todos los casos, las transferencias se amparan en Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión de Ejecución UE 2021/914) u otro mecanismo de transferencia válido bajo el RGPD.

Los datos de candidatos siguen una política de retención por fases:

• Fase activa: mientras la sesión de evaluación está activa (15, 30 o 60 días según el plan) los datos completos están disponibles para el Responsable.
• Fase de archivo: tras la expiración o cierre de la sesión, los datos se conservan en modo de solo lectura durante 60 días adicionales (archiveUntil).
• Purga de PII: una vez superado el periodo de archivo, los textos de los CVs, datos del perfil (nombre completo, título, experiencia narrativa, etc.) y los correos electrónicos de los candidatos se eliminan irreversiblemente. Se conservan únicamente los scores numéricos de evaluación, los resultados de los tests psicométricos en formato agregado (sin respuestas brutas) y los informes combinados, que constituyen datos de evaluación sin identificador directo.
• Tests psicométricos: las respuestas brutas (escala Likert) y el correo electrónico del candidato se eliminan automáticamente en el momento de completar el test, una vez generado el informe. Los scores por dimensión y el informe narrativo se conservan.

El Cliente puede solicitar la eliminación anticipada de cualquier sesión o candidato enviando un email a [email protected] con la referencia de la sesión.

Si un candidato ejercita sus derechos RGPD (acceso, rectificación, supresión, portabilidad, limitación u oposición) ante TalenIA directamente, TalenIA lo notificará al Cliente en un plazo máximo de 5 días hábiles y colaborará en la atención de la solicitud. El Responsable del tratamiento a efectos RGPD es siempre el Cliente.

TalenIA podrá modificar el presente DPA con 30 días de preaviso por email. Si el Cliente no está de acuerdo con las modificaciones, podrá resolver el contrato sin penalización antes de la entrada en vigor de los cambios. La resolución del contrato principal implica la terminación automática de este DPA.

El presente DPA se rige por la legislación española y el RGPD. Cualquier controversia derivada de su interpretación o ejecución se someterá a los juzgados y tribunales de Barcelona, con renuncia expresa a cualquier otro fuero que pudiera corresponder.