Acuerdo de Encargo de Tratamiento

Este Acuerdo de Encargo de Tratamiento (el "DPA") forma parte de los Términos y Condiciones entre Klyria y el cliente (el "Cliente") y regula el tratamiento de datos personales que Klyria realiza por cuenta del Cliente al prestar el Servicio, conforme al artículo 28 del RGPD.

A efectos de este DPA, el Cliente es el responsable del tratamiento y Klyria es el encargado. En caso de conflicto con los Términos en materia de protección de datos, prevalece este DPA.

Los términos "datos personales", "tratamiento", "responsable", "encargado", "interesado", "subencargado" y "violación de seguridad" tienen el significado del RGPD. "Normativa de protección de datos" incluye el RGPD, la LOPDGDD y demás normativa aplicable de la UE y española.

Klyria tratará los datos personales únicamente siguiendo las instrucciones documentadas del Cliente —incluidas las configuraciones del Servicio— salvo obligación legal, en cuyo caso informará al Cliente con carácter previo cuando esté permitido. Klyria informará al Cliente si, en su opinión, una instrucción infringe la normativa.

El objeto y la duración del tratamiento coinciden con la vigencia del Servicio. La naturaleza y finalidad del tratamiento es la prestación de la plataforma de evaluación y selección con IA. Las categorías de interesados y de datos se detallan en el Anexo I.

Klyria garantiza que las personas autorizadas para tratar los datos se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad, y que el acceso se limita a quienes lo necesitan para prestar el Servicio.

Klyria aplica medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (art. 32 RGPD), descritas en el Anexo II. Estas medidas pueden evolucionar, sin que ello reduzca el nivel de protección.

El Cliente otorga a Klyria autorización general para recurrir a subencargados para prestar el Servicio. Klyria mantiene una lista de subencargados (Anexo III) e informará de cualquier cambio previsto, dando al Cliente la oportunidad de oponerse por motivos razonables de protección de datos. Klyria impone a cada subencargado, mediante contrato, las mismas obligaciones de protección de datos que las de este DPA, y responde de su cumplimiento.

Teniendo en cuenta la naturaleza del tratamiento, Klyria asistirá al Cliente, mediante medidas técnicas y organizativas apropiadas, para:

• Atender las solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, oposición, limitación, portabilidad).
• Garantizar la seguridad, notificar violaciones y realizar evaluaciones de impacto (EIPD) y consultas previas cuando proceda.

Klyria notificará al Cliente sin dilación indebida tras tener conocimiento de una violación de la seguridad que afecte a datos personales tratados por cuenta del Cliente, proporcionando la información razonablemente disponible para que el Cliente cumpla sus obligaciones de notificación.

A la finalización del Servicio, y a elección del Cliente, Klyria suprimirá o devolverá los datos personales y eliminará las copias existentes, salvo que la normativa exija su conservación. Durante un periodo razonable tras la baja, el Cliente podrá exportar sus datos.

Klyria pondrá a disposición del Cliente la información necesaria para demostrar el cumplimiento de las obligaciones del art. 28 RGPD y permitirá y contribuirá a auditorías, incluidas inspecciones, por el Cliente o un auditor mandatado, con preaviso razonable y sin comprometer la seguridad o la confidencialidad de otros clientes.

El almacenamiento principal se realiza en la UE/EEE. Determinados subencargados de IA, voz/vídeo, infraestructura, correo y pagos están ubicados en Estados Unidos, por lo que existen transferencias internacionales. Se aplican garantías adecuadas conforme al Capítulo V del RGPD: cláusulas contractuales tipo de la Comisión Europea y, cuando aplica, el EU–US Data Privacy Framework, con medidas adicionales cuando proceda.

La responsabilidad de las partes derivada de este DPA se rige por las limitaciones establecidas en los Términos y Condiciones, en la medida permitida por la normativa de protección de datos.

Categorías de interesados: candidatos y solicitantes de empleo del Cliente; usuarios del Cliente (reclutadores, managers); en su caso, empleados del Cliente (selección interna y referidos).

Categorías de datos: datos identificativos y de contacto; datos del CV, formación y experiencia; respuestas a tests y pruebas; grabaciones y transcripciones de entrevistas con IA; puntuaciones y evaluaciones; metadatos de uso. El Cliente determina el alcance al configurar su proceso y debe evitar incluir categorías especiales salvo base legal adecuada.

Finalidad: prestación del servicio de evaluación y selección con IA. Duración: la vigencia del Servicio y los plazos de conservación configurados.

• Cifrado de datos en tránsito (TLS) y protección del almacenamiento.
• Control de acceso basado en roles y principio de mínimo privilegio.
• Registro de auditoría de las acciones y de las decisiones de IA.
• Aislamiento de datos entre clientes (multi-tenant) mediante políticas de acceso a nivel de fila.
• Minimización de datos y evaluación a ciegas opcional.
• Copias de seguridad y procesos de recuperación.
• Gestión de proveedores/subencargados con garantías contractuales.

Klyria recurre a subencargados de las siguientes categorías para prestar el Servicio:

• Alojamiento e infraestructura cloud — base de datos y almacenamiento (UE), más servidores y caché.
• Modelos de inteligencia artificial — evaluación y análisis (EE. UU.).
• Transcripción, voz y avatar de vídeo — entrevistas con IA (EE. UU.).
• Correo transaccional (EE. UU.).
• Procesamiento de pagos (EE. UU./UE).
• Calendario e inicio de sesión, cuando el Cliente activa esas funciones (EE. UU.).

La lista nominativa y actualizada de subencargados (con identidad, ubicación y finalidad de cada uno) se facilita al Cliente a petición y se mantiene conforme a la cláusula de subencargados, incluido el derecho de oposición ante cambios.