Acuerdo de Encargado del Tratamiento (DPA)

Última actualización: 5/31/2026

El presente Acuerdo de Encargado del Tratamiento (en adelante, el “DPA”) regula el tratamiento de datos personales que JOBO PEOPLE TECHNOLOGIES, S.L., con CIF B88736665 (“JOBO” o el “Encargado”) realiza por cuenta del Cliente (el “Responsable”) en ejecución de los Términos del Servicio para Empresas (B2B). Su contenido se ajusta al artículo 28 del Reglamento (UE) 2016/679 (RGPD) y a la Decisión de Ejecución (UE) 2021/915 sobre cláusulas contractuales tipo entre responsables y encargados.

1. Objeto, naturaleza y finalidad del tratamiento

JOBO trata datos personales de candidatos por cuenta del Responsable para la prestación de servicios de evaluación y gestión de procesos de selección, incluyendo: hospedaje, almacenamiento, generación y administración de evaluaciones (juicio situacional, técnicas, visuales, cognitivas y simulación), informes de idoneidad, mensajería con candidatos, programación de videollamadas y soporte. La duración del tratamiento coincide con la vigencia del contrato y las obligaciones supervivientes de éste.

2. Tipos de datos y categorías de interesados

Categorías de interesados: candidatos a procesos de selección publicados por el Responsable y, en su caso, sus Usuarios Autorizados.

Tipos de datos: datos identificativos (nombre, apellidos, email, DNI/NIF si lo facilita el candidato, teléfono), datos profesionales (CV, experiencia, formación, idiomas), datos de evaluación (puntuaciones cognitivas, soft skills, technicalities, visual interview, city survival), grabaciones de vídeo y audio de entrevistas y su transcripción, fotografía de perfil, idioma de uso, dirección IP y metadatos técnicos. JOBO no trata categorías especiales del artículo 9 RGPD por iniciativa propia; si el candidato las facilita voluntariamente en una respuesta libre, el Responsable es el único responsable de la base jurídica aplicable.

3. Obligaciones del Encargado (JOBO)

  1. Tratar los datos únicamente conforme a las instrucciones documentadas del Responsable, salvo obligación legal.
  2. Garantizar la confidencialidad de su personal autorizado mediante compromisos legales o contractuales.
  3. Adoptar las medidas técnicas y organizativas apropiadas (artículo 32 RGPD) descritas en el Anexo II.
  4. Asistir al Responsable en el cumplimiento de los derechos de los interesados (artículos 12 a 22) y de sus obligaciones (artículos 32 a 36).
  5. Notificar al Responsable, sin dilación indebida y como máximo en 48 horas desde su conocimiento, cualquier violación de la seguridad de los datos.
  6. A elección del Responsable, suprimir o devolver los datos al término del Servicio, así como suprimir las copias existentes salvo conservación obligatoria por ley.
  7. Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento del artículo 28 y permitir auditorías razonables, con preaviso de quince (15) días, durante horario laboral y bajo confidencialidad.

4. Obligaciones del Responsable

  1. Disponer de base jurídica adecuada para los tratamientos solicitados.
  2. Informar a los interesados sobre el tratamiento conforme a los artículos 13 y 14 RGPD, incluyendo la existencia de decisiones automatizadas y perfilado.
  3. No introducir en la Plataforma datos cuya recogida no sea necesaria para el proceso de selección.
  4. Respetar las obligaciones del AI Act respecto del uso de los resultados (intervención humana significativa, no toma de decisiones legales únicamente automatizadas).

5. Subencargados autorizados

El Responsable autoriza a JOBO a recurrir a los siguientes subencargados de tratamiento:

  • Google Ireland Limited / Google LLC — Firebase Authentication, Firebase Storage, App Hosting (UE / EE.UU. con SCC y EU-US Data Privacy Framework).
  • Google Ireland Limited / Google LLC — Genkit / Gemini 3.5 Flash (procesamiento IA, sin uso de los datos del Cliente para entrenar modelos públicos).
  • Neon, Inc. — Base de datos PostgreSQL serverless (región UE).
  • Stripe Payments Europe Ltd. — Procesamiento de pagos y suscripciones.
  • ElevenLabs Inc. — Transcripción de audio/vídeo (cuando esté activado).
  • Functional Software, Inc. (Sentry) — Monitorización de errores.

JOBO informará al Responsable de cualquier cambio previsto en la incorporación o sustitución de subencargados con al menos treinta (30) días de antelación, dando al Responsable la oportunidad de oponerse motivadamente. En caso de oposición razonable, las partes negociarán de buena fe; si no se alcanza acuerdo, el Responsable podrá resolver el contrato sin penalización al final del periodo en curso.

6. Transferencias internacionales

Cuando el tratamiento implique transferencia fuera del EEE, JOBO se asegurará de que existan garantías adecuadas: decisión de adecuación, cláusulas contractuales tipo (SCC) de la Decisión 2021/914, certificación EU-US Data Privacy Framework u otro mecanismo válido del artículo 46 RGPD. La lista de transferencias y mecanismos se mantendrá actualizada.

7. Devolución y supresión de datos

Al término del Servicio, JOBO facilitará al Responsable, durante un máximo de noventa (90) días, una copia exportable de los datos. Transcurrido dicho plazo, los datos serán suprimidos de los sistemas en producción y de las copias de seguridad operativas en un máximo de treinta (30) días adicionales, salvo obligación legal de conservación o necesidad de defensa frente a reclamaciones (en cuyo caso quedarán bloqueados).

8. Responsabilidad

Cada parte responderá del cumplimiento de las obligaciones que le incumben conforme al RGPD y al presente DPA. La limitación de responsabilidad del contrato principal aplica salvo en relación con las multas administrativas del artículo 83 RGPD impuestas a una parte por incumplimiento exclusivo de la otra.

9. Anexo I — Tratamientos

Naturaleza: hospedaje, evaluación con IA, mensajería, videollamadas, soporte. Finalidad: gestión de procesos de selección por cuenta del Responsable. Tipo de datos y categorías de interesados: ver apartado 2. Duración: vigencia del contrato + plazos legales aplicables.

10. Anexo II — Medidas técnicas y organizativas

  • Cifrado en tránsito (TLS 1.2+) y en reposo en BBDD y almacenamiento.
  • Control de accesos basado en roles y autenticación multifactor para administradores.
  • Segregación de entornos (production / development / test) con secrets independientes y aislamiento de datos.
  • Logs de eventos sensibles (cambios de rol, eliminaciones) en AccountEventLog y DeletionLog.
  • Política de retención y eliminación de datos.
  • Detección de incidencias mediante Sentry; notificación al Responsable en plazo máximo de 48 horas desde su conocimiento.
  • Plan de continuidad y copias de seguridad gestionadas por Neon y Google Cloud.
  • Filtros de cumplimiento AI Act (lista de palabras prohibidas en flow de análisis de vídeo).

11. Contacto

Delegado de Protección de Datos: dpo@joboapp.es.