1. Partes y antecedentes
El presente Acuerdo de Tratamiento de Datos por Encargo (en adelante, "DPA" o "Acuerdo") forma parte integrante de los Términos del Servicio Noelia y tiene por objeto regular el tratamiento de datos personales que HumvotSolutions S.A. (en adelante, "Humvot" o el "Encargado") realice por cuenta y orden del Cliente (en adelante, el "Responsable") en el marco de la prestación del Servicio.
El presente DPA se celebra en cumplimiento del artículo 25 de la Ley 25.326 y de la Disposición DNPDP 60-E/2016, que regulan la prestación de servicios de tratamiento de datos personales por encargo.
2. Definitions’
Datos Personales: información de cualquier tipo referida a personas físicas determinadas o determinables, conforme artículo 2 Ley 25.326.
Datos Sensibles: datos personales que revelen origen racial o étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical, e información referente a la salud o la vida sexual.
Responsable: el Cliente, quien decide sobre la finalidad y los medios del tratamiento de los Datos Personales de sus empleados, candidatos y demás titulares.
Encargado: HumvotSolutions S.A., quien trata los Datos Personales por cuenta y orden del Responsable.
Subencargado: tercero contratado por el Encargado para procesar Datos Personales en el marco del Servicio.
Tratamiento: toda operación o conjunto de operaciones realizadas sobre Datos Personales, conforme artículo 2 Ley 25.326.
AAIP: Agencia de Acceso a la Información Pública.
Brecha de Seguridad: violación de la seguridad que ocasione la destrucción, pérdida, alteración, comunicación o acceso no autorizado a Datos Personales.
3. Objeto, naturaleza y finalidad del tratamiento
3.1. Objeto
Tratamiento de los Datos Personales que el Responsable carga, ingresa o de otro modo aporta al Servicio Noelia, con el fin exclusivo de prestar las funcionalidades contratadas (gestión de RRHH asistida por IA).
3.2. Naturaleza
Almacenamiento, organización, estructuración, consulta, análisis, visualización, generación de outputs asistida por IA, exportación y eliminación de los Datos Personales.
3.3. Finalidadesespecíficas
Permitir al Responsable utilizar las funcionalidades del Servicio.
Permitir consultas, generación de reportes y outputs de IA por parte de los usuarios autorizados del Responsable.
Operación, soporte, mantenimiento y mejora del Servicio (con respeto al principio de finalidad).
Cumplimiento de obligaciones legales aplicables al Encargado.
3.4. Duración
La duración del Acuerdo coincide con la vigencia del contrato del Servicio. Las obligaciones que por su naturaleza subsistan tras la finalización (confidencialidad, devolución/eliminación, defensa contra reclamos) se mantendrán por el plazo necesario.
4. Tipos de Datos Personales y categorías de titulares
El presente Acuerdo abarca el tratamiento de los siguientes tipos de Datos Personales y categorías de titulares:
Datos de identificación: nombre, apellido, DNI, CUIL, fecha de nacimiento, dirección, datos de contacto.
Datos laborales: fecha de ingreso, categoría, jornada, remuneración, evaluaciones, ausencias, sanciones, licencias.
Datos sensibles que el Responsable opte por cargar (datos de salud relacionados a licencias, afiliación sindical, etc.). La carga de Datos Sensibles es decisión y responsabilidad del Responsable.
Categorías de titulares: empleados, ex-empleados, candidatos en proceso de selección, terceros vinculados a la gestión de RRHH del Responsable.
5. Obligaciones del Encargado
5.1. Tratar los Datos Personales únicamente conforme a las instrucciones documentadas del Responsable, salvo cuando deba ajustarse a una obligación legal.
5.2. Garantizar que las personas autorizadas a tratar los Datos Personales se encuentren obligadas por deber de confidencialidad.
5.3. Implementar las medidas de seguridad descriptas en el Anexo Técnico del presente DPA, que se actualizan periódicamente conforme al estado del arte.
5.4. Asistir al Responsable, mediante medidas técnicas y organizativas razonables, para que pueda atender solicitudes de ejercicio de derechos de Acceso, Rectificación, Supresión y Oposición conforme a los artículos 14 a 17 de la Ley 25.326 de los titulares dentro de los plazos legales.
5.5. Asistir al Responsable en el cumplimiento de sus obligaciones de seguridad, notificación de brechas y, cuando corresponda, evaluación de impacto en la protección de datos.
5.6. Poner a disposición del Responsable la información razonable necesaria para demostrar el cumplimiento del presente Acuerdo, en los términos previstos en la cláusula de auditoría.
5.7. No transferir Datos Personales a Subencargados sin contar con autorización conforme la cláusula 7.
5.8. No utilizar los Datos Personales con fines distintos a la prestación del Servicio. En particular, los Datos Personales no se utilizan para entrenar modelos generales de IA, salvo consentimiento específico y separado del Responsable y, cuando corresponda, del titular.
6. Medidas técnicas y organizativas de seguridad
El Encargado implementa, como mínimo, las siguientes medidas:
Cifrado en tránsito (TLS 1.2 o superior) y en reposo de los Datos Personales.
Control de acceso basado en roles, autenticación multifactor para usuarios con privilegios elevados, principio de mínimo privilegio.
Registro de auditoría (logs) de operaciones sensibles, con retención mínima de 5 años para fines probatorios.
Backups periódicos con prueba de restauración. Recuperación ante desastres con RPO/RTO documentados internamente.
Segregación lógica de datos entre clientes (multi-tenancy seguro).
Plan de respuesta a incidentes de seguridad documentado.
Capacitación periódica del personal en protección de datos y seguridad de la información.
Revisión periódica de las medidas conforme al estado del arte y a la sensibilidad de los datos tratados.
7. Subencargados
7.1. Autorización general
El Responsable autoriza con carácter general al Encargado a contratar Subencargados que presten los servicios técnicos necesarios para la operación del Servicio.
7.2. Lista vigente
La lista de Subencargados al momento de la firma del DPA se detalla a continuación. Toda incorporación o cambio significativo será notificado al Responsable con una antelación mínima de quince (15) días corridos.
| Categoría | Finalidad | Proveedor | Jurisdicción |
|---|---|---|---|
| Modelo de IA generativa | Procesamiento de prompts y generación de outputs. | OpenAI, L.L.C. | EE.UU. (cláusulas contractuales de protección) |
| Modelo de IA generativa (alternativo) | Procesamiento de prompts y generación de outputs en flujos específicos. | [A confirmar con Federico — Anthropic PBC u otros] | [A confirmar] |
| Base de datos + autenticación | Almacenamiento de datos de la cuenta del Cliente, autenticación de usuarios. | Supabase Inc. | EE.UU. / UE (según región del proyecto) |
| Hosting de backend | Alojamiento del servidor y APIs del Servicio. | Heroku (Salesforce, Inc.) | EE.UU. |
| Procesador de pagos | Cobro de la suscripción al Servicio. | MercadoPago S.R.L. | Argentina |
| Analítica web | Medición agregada de uso del sitio institucional. | Google Analytics 4 (Google LLC) | EE.UU. |
| Analítica de comportamiento | Mapas de calor y análisis de comportamiento en el sitio. | Microsoft Clarity (Microsoft Corporation) | EE.UU. |
| Servicio de email transaccional | Envío de notificaciones y avisos al Cliente y usuarios autorizados. | [A confirmar con Federico — Resend, Mailgun o equivalente] | [A confirmar] |
| Servicio de observabilidad / logs | Monitoreo de plataforma; metadata operativa sin contenido de prompts. | [A confirmar con Federico — Sentry, Posthog u otros] | [A confirmar] |
| Servicio de chat / soporte al cliente | Comunicación con usuarios para soporte. | [A confirmar con Federico — Crisp, Intercom u otros] | [A confirmar] |
| Integraciones de mensajería (post-MVP) | Si se habilitan canales WhatsApp/SMS post-MVP. | [A confirmar con Federico — Manychat, Callmebot u otros] | [A confirmar] |
7.3. Cláusulasobligatorias con Subencargados
El Encargado celebra con cada Subencargado un acuerdo escrito que replica las obligaciones del presente DPA, en especial: (i) confidencialidad, (ii) seguridad, (iii) limitación a la finalidad, (iv) asistencia ante solicitudes de titulares, (v) notificación de brechas.
7.4. Derecho de oposición
El Responsable puede oponerse a la incorporación de un nuevo Subencargado por motivos atendibles vinculados a protección de datos. En tal caso, las partes negociarán de buena fe una solución; si no fuera viable mantener la prestación, el Responsable podrá rescindir el contrato del Servicio sin penalidad.
8. Transferencia internacional de datos
Algunos Subencargados se ubican fuera de la República Argentina, en jurisdicciones que pueden no contar con un nivel de protección considerado adecuado por la AAIP.
Para legitimar la transferencia internacional, el Encargado adopta:
Suscripción de cláusulas contractuales con cada Subencargado que repliquen el estándar de protección argentino, conforme al artículo 12 de la Ley 25.326 y la Disposición DNPDP 60-E/2016.
Información al Responsable sobre la jurisdicción de cada Subencargado.
Medidas técnicas adicionales (cifrado, anonimización cuando corresponda).
El Responsable acepta y autoriza la transferencia internacional bajo estas garantías al suscribir el presente DPA.
9. Asistencia ante solicitudes de titulares
El Encargado se compromete a:
Notificar al Responsable, sin demora indebida, cualquier solicitud de ejercicio de derechos de Acceso, Rectificación, Supresión y Oposición conforme a los artículos 14 a 17 de la Ley 25.326 recibida directamente de un titular cuyos datos sean tratados por encargo del Responsable.
Brindar al Responsable, mediante las funcionalidades disponibles en el Servicio o a través del soporte técnico, los medios razonables para atender la solicitud dentro de los plazos legales (10 días para acceso; 5 días hábiles para rectificación, cancelación u oposición).
No responder por sí al titular, salvo instrucción expresa del Responsable o cuando el Encargado actúe a la vez como Responsable respecto de los datos del usuario autorizado del Cliente.
10. Notificación de brechas de seguridad
Producida una Brecha de Seguridad que afecte Datos Personales tratados por encargo del Responsable, el Encargado notificará al Responsable, sin demora indebida, mediante canal autenticado, incluyendo en la medida de lo conocido al momento de la notificación:
Naturaleza, alcance y categorías aproximadas de datos y titulares afectados.
Posiblesconsecuencias.
Medidas adoptadas o propuestas para mitigar el efecto.
Datos del responsable interno de Humvot a quien dirigir consultas.
La notificación inicial puede actualizarse a medida que se complete la investigación. El Encargado asistirá al Responsable en la preparación de la notificación a la AAIP y, cuando corresponda, a los titulares afectados, conforme al criterio vigente de la autoridad.
11. Derecho de auditoría
El Responsable tiene derecho a auditar el cumplimiento del presente DPA mediante:
Recepción anual del informe de seguridad y privacidad agregado del Encargado, con detalle del estado de las medidas técnicas y organizativas, incidentes ocurridos, hallazgos del biasmonitoring, y cambios en Subencargados.
Solicitud razonable de información puntual, con respuesta en plazo de 30 días corridos.
Auditoría in situ o remota, con preaviso mínimo de sesenta (60) días corridos, sin afectar la operación del Servicio ni la confidencialidad de otros clientes. La auditoría in situ se limita a una vez por año salvo causal justificada (incidente de seguridad, requerimiento de autoridad).
El Responsable asume los costos directos de la auditoría in situ. Si la auditoría revelara incumplimientos sustanciales del Encargado, los costos razonables serán reembolsados.
12. Devolución y eliminación de los datos al término del contrato
Al término del contrato del Servicio, el Encargado, según instrucción del Responsable manifestada dentro de los treinta (30) días corridos posteriores:
Pondrá los Datos Personales a disposición del Responsable en un formato razonablemente exportable.
Procederá a la eliminación segura de los Datos Personales de los sistemas productivos en un plazo no superior a treinta (30) días corridos contados desde la finalización efectiva.
Conservará copias en backup hasta su rotación natural o por el plazo necesario para cumplir obligaciones legales o defenderse contra reclamos. Durante ese período, se mantienen las obligaciones de seguridad y confidencialidad.
13. Responsabilidad
Cada parte responde por sus propios incumplimientos del presente DPA. La asignación de responsabilidad entre Responsable y Encargado se rige por las normas aplicables y por los Términos del Servicio en lo que no contradiga al presente Acuerdo.
El Encargado limita su responsabilidad bajo el presente DPA a los términos previstos en los Términos del Servicio. La responsabilidad por los daños causados por culpa grave o dolo no puede ser limitada conforme al artículo 1743 del Código Civil y Comercial.
14. Cooperación con autoridades
Las partes cooperarán de buena fe ante requerimientos de la AAIP u otras autoridades competentes, intercambiando la información razonable necesaria para responder en plazo.
15. Modificaciones del DPA
El presente DPA puede ser modificado por el Encargado para reflejar cambios normativos o ajustes en la prestación del Servicio. Las modificaciones sustanciales se notificarán con quince (15) días corridos de antelación.
16. Ley aplicable y jurisdicción
El presente Acuerdo se rige por las leyes de la República Argentina. Las controversias serán resueltas por los tribunales nacionales en lo comercial de la Ciudad Autónoma de Buenos Aires, con renuncia a cualquier otro fuero o jurisdicción.
17. Aceptación
La aceptación del presente DPA se efectúa mediante la suscripción de los Términos del Servicio. El Responsable manifiesta haber leído íntegramente este Acuerdo y entender sus implicancias antes de aceptar.