Saltar al contenido principal

Legal

Adenda de Tratamiento de Datos

Última actualización: 9 de abril de 2026

Plantilla — pendiente de contrafirma. Esta página reproduce la Adenda de Tratamiento de Datos estándar de Nexu HR que se ofrece a todos los clientes sujetos al RGPD, UK GDPR, LGPD brasileña o normativa comparable. Para firmar la DPA con su entidad legal, escriba a legal@nexuhr.com indicando el nombre de su empresa, domicilio registrado y el correo electrónico del firmante autorizado. Normalmente contrafirmamos en un plazo de 2 días hábiles.

1. Definiciones

"Cliente" significa la entidad que ha aceptado los Términos del Servicio de Nexu HR. "Datos del Cliente" significan los datos personales que el Cliente o sus usuarios finales envíen al Servicio. "Subencargado" significa cualquier tercero contratado por Nexu HR para tratar Datos del Cliente en su nombre, listado en /sub-processors. "RGPD" significa el Reglamento (UE) 2016/679. Los demás términos en mayúsculas tienen el significado que les asigna el RGPD.

2. Funciones de las partes

Respecto de los Datos del Cliente, el Cliente actúa como responsable del tratamiento y Nexu HR actúa como encargado del tratamiento. Cuando los Datos del Cliente son aportados por candidatos que postulan a través de la página de empleo del Cliente, el Cliente es el responsable del tratamiento de esos datos de candidatos y Nexu HR los trata únicamente conforme a las instrucciones documentadas del Cliente (la configuración del Servicio, el uso del producto por el Cliente y las solicitudes de soporte explícitas).

3. Alcance y finalidad del tratamiento

Nexu HR trata los Datos del Cliente únicamente durante la vigencia del Acuerdo y exclusivamente para prestar el Servicio: alojar registros de candidatos, empleados, vacantes y entrevistas; ejecutar las funciones de análisis de candidatos con IA a solicitud del Cliente; enviar correos transaccionales en nombre del Cliente; producir analítica agregada para el espacio de trabajo del Cliente; y brindar soporte.

4. Subencargados

El Cliente autoriza a Nexu HR a contratar los subencargados listados en /sub-processors. Cada subencargado está vinculado por un contrato escrito que impone obligaciones de protección de datos no menos estrictas que las de esta DPA. Nexu HR dará al Cliente al menos 30 días de aviso de cualquier nuevo subencargado antes de que comience a tratar Datos del Cliente, dando al Cliente la oportunidad de objetar por motivos razonables.

5. Transferencias internacionales

Cuando los Datos del Cliente originados en el Espacio Económico Europeo, el Reino Unido o Suiza se transfieran a un país que no se beneficie de una decisión de adecuación, las partes incorporan por referencia las Cláusulas Contractuales Tipo de la Comisión Europea (Módulo 2: Responsable a Encargado) anexas a la Decisión de Ejecución (UE) 2021/914, con la cláusula de acoplamiento opcional y la Opción 1 de la Cláusula 17 (ley aplicable). El Adenda de Transferencia Internacional de Datos del Reino Unido se aplica sobre las CCT para los datos personales del Reino Unido. Las partes se comprometen a aplicar las medidas suplementarias recomendadas por el CEPD tras Schrems II, incluidas las obligaciones de cifrado descritas en la Sección 7.

6. Derechos del titular

Nexu HR asistirá al Cliente, teniendo en cuenta la naturaleza del tratamiento, mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, para cumplir las obligaciones del Cliente de responder a solicitudes del titular de acceso, rectificación, supresión, limitación, portabilidad y oposición conforme a los Artículos 15-22 del RGPD. Nexu HR transferirá al Cliente cualquier solicitud de este tipo recibida directamente de un titular dentro de 5 días hábiles y no responderá en nombre del Cliente sin autorización previa por escrito. La asistencia estándar para solicitudes de titulares está incluida en el Servicio sin costo adicional.

7. Medidas de seguridad

Nexu HR implementa medidas técnicas y organizativas apropiadas diseñadas para proteger los Datos del Cliente contra la destrucción accidental o ilícita, pérdida, alteración, divulgación o acceso no autorizados. Las medidas actuales incluyen:

  • TLS 1.3 en tránsito; AES-256 en reposo en la base de datos y el almacenamiento de archivos
  • Políticas de Row-Level Security de Postgres aplicadas a nivel del motor para que una empresa nunca pueda leer ni escribir datos de otra
  • Control de acceso basado en roles con seis roles integrados, más listas de acceso confidencial por vacante
  • Tokens de actualización OAuth para integraciones con terceros almacenados en columnas cifradas
  • Copias de seguridad diarias automatizadas con recuperación a un punto en el tiempo de hasta 24 horas, probadas trimestralmente
  • Registro de auditoría de acciones sensibles dentro del espacio de trabajo de cada empresa
  • Seguridad de proveedores: cada subencargado está sujeto a una DPA equivalente a las obligaciones que Nexu HR asume aquí

La postura de seguridad completa se describe en /security.

8. Notificación de brechas de datos personales

Nexu HR notificará al Cliente sin demora indebida y, en cualquier caso, dentro de las 72 horas siguientes a tener conocimiento, de cualquier brecha de datos personales que afecte a los Datos del Cliente. La notificación describirá la naturaleza de la brecha, las categorías y el número aproximado de titulares afectados, las consecuencias probables y las medidas tomadas o propuestas para abordar la brecha y mitigar sus efectos.

9. Derechos de auditoría e información

Nexu HR pondrá a disposición del Cliente toda la información razonablemente necesaria para demostrar el cumplimiento de esta DPA. Previa notificación razonable por escrito (no más de una vez al año salvo que lo exija una autoridad de control o en respuesta a un incidente de seguridad), el Cliente podrá solicitar una copia de los informes de auditoría externos vigentes de Nexu HR (p. ej., SOC 2 una vez disponible) y resúmenes recientes de pruebas de penetración.

10. Devolución y eliminación de Datos del Cliente

A la terminación del Acuerdo, el Cliente podrá exportar sus datos en cualquier momento mediante los botones de exportación del producto. Tras la terminación, Nexu HR, salvo solicitud contraria del Cliente, marcará el espacio de trabajo para eliminación. El espacio de trabajo y todos los Datos del Cliente serán purgados de manera permanente y automática en un plazo de 90 días mediante una tarea automática de retención (purge_expired_companies), registrándose cada purga en un log de auditoría interno. El Cliente puede solicitar la eliminación anticipada en cualquier momento escribiendo a privacy@nexuhr.com; Nexu HR atenderá las solicitudes verificadas dentro de 30 días.

11. Orden de prelación

En caso de conflicto entre esta DPA y los Términos del Servicio, esta DPA prevalece respecto de los datos personales. Cualquier modificación debe constar por escrito y estar firmada por ambas partes.

12. Contacto

Consultas sobre esta DPA, o para iniciar el proceso de firma, contacte a legal@nexuhr.com.