Legal

Acuerdo de Procesamiento de Datos

Última actualización: 27 de abril de 2026

1. Introducción

Este Acuerdo de Procesamiento de Datos ("APD") forma parte de los Términos de Servicio ("Acuerdo") entre la organización cliente ("Responsable del Tratamiento," "usted") y Anima HR ("Encargado del Tratamiento," "nosotros"), con sede en Nueva Jersey, Estados Unidos.

Este APD se aplica cuando procesamos Datos Personales en su nombre en relación con la plataforma Anima HR. Refleja los requisitos del Reglamento General de Protección de Datos de la UE (RGPD), el RGPD del Reino Unido, la Ley Federal Suiza de Protección de Datos (FADP), la LGPD brasileña, la Ley de Privacidad del Consumidor de California (CCPA/CPRA) y otras leyes de protección de datos aplicables.

Al utilizar el servicio de Anima HR, usted acepta este APD. Si necesita una copia contrafirmada, contáctenos a través de nuestro formulario de contacto.

2. Definiciones

  • "Datos Personales" — cualquier información relativa a una persona física identificada o identificable, según se define en la legislación de protección de datos aplicable.
  • "Tratamiento" — cualquier operación realizada sobre Datos Personales, incluyendo la recogida, almacenamiento, recuperación, uso, divulgación, supresión o destrucción.
  • "Responsable del Tratamiento" — la entidad que determina los fines y medios del Tratamiento de Datos Personales (usted, la organización cliente).
  • "Encargado del Tratamiento" — la entidad que trata Datos Personales por cuenta del Responsable del Tratamiento (Anima HR).
  • "Subencargado" — un tercero contratado por el Encargado del Tratamiento para tratar Datos Personales por cuenta del Responsable del Tratamiento.
  • "Interesado" — la persona física a la que se refieren los Datos Personales (sus empleados y usuarios del espacio de trabajo).
  • "Violación de Datos" — una brecha de seguridad que provoque la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a Datos Personales.
  • "CCT" — las Cláusulas Contractuales Tipo adoptadas por la Comisión Europea para transferencias internacionales de datos (Decisión de Ejecución (UE) 2021/914 de la Comisión).
  • "Servicio" — la plataforma Anima HR y los servicios relacionados proporcionados en virtud del Acuerdo.

3. Alcance y Roles

Usted es el Responsable del Tratamiento. Anima HR es el Encargado del Tratamiento. Tratamos los Datos Personales únicamente según sus instrucciones documentadas para proporcionar el Servicio.

Este APD no se aplica a los datos que recopilamos como Responsable del Tratamiento por derecho propio (por ejemplo, formularios de contacto del sitio de marketing, datos de facturación). Nuestra Política de Privacidad rige dicho tratamiento.

Aislamiento multi-inquilino

Cada organización cliente recibe una base de datos dedicada y aislada. Sus datos nunca se mezclan con los datos de otros clientes. La identidad del inquilino se verifica criptográficamente en cada solicitud de API.

4. Detalles del Tratamiento

Los detalles del Tratamiento se describen en el Anexo A. En resumen:

ElementoDescripción
ObjetoPrestación de la plataforma Anima HR
DuraciónVigencia del Acuerdo más el período de eliminación de datos (90 días)
Naturaleza y finalidadGestión de RRHH — ausencias, evaluaciones, retroalimentación, salarios, encuestas, analítica de personas, notas 1:1
Categorías de InteresadosSus empleados, contratistas y usuarios del espacio de trabajo
Tipos de Datos PersonalesNombre, correo electrónico, cargo, departamento, responsable, fechas de empleo, salario, registros de ausencias, datos de rendimiento, retroalimentación, respuestas a encuestas, campos personalizados

5. Obligaciones del Encargado del Tratamiento

Anima HR deberá:

  • Tratar los Datos Personales únicamente según sus instrucciones documentadas, salvo que lo exija la legislación aplicable (en cuyo caso le informaremos antes del tratamiento, a menos que la ley lo prohíba).
  • Garantizar que las personas autorizadas para tratar Datos Personales se hayan comprometido a la confidencialidad o estén sujetas a una obligación legal de confidencialidad apropiada.
  • Implementar y mantener las medidas de seguridad técnicas y organizativas descritas en el Anexo B.
  • Respetar las condiciones para la contratación de Subencargados establecidas en la Sección 6.
  • Asistirle en la respuesta a las solicitudes de los Interesados según lo descrito en la Sección 10.
  • Asistirle en el cumplimiento de sus obligaciones relativas a la notificación de violaciones de datos, EIPD y consultas previas.
  • A su elección, eliminar o devolver todos los Datos Personales tras la terminación del Servicio, y eliminar las copias existentes salvo que la legislación aplicable exija su conservación.
  • Poner a su disposición toda la información necesaria para demostrar el cumplimiento de este APD y permitir auditorías según lo descrito en la Sección 13.
  • Informarle de inmediato si, en nuestra opinión, una instrucción suya infringe la legislación de protección de datos aplicable.

6. Subencargados

Usted otorga autorización general para que contratemos Subencargados. La lista actual se encuentra en el Anexo C.

  • Le notificaremos con al menos 30 días de antelación antes de añadir o sustituir un Subencargado, actualizando esta página y, para clientes Enterprise, mediante notificación por correo electrónico.
  • Puede oponerse a un nuevo Subencargado dentro de los 14 días siguientes a la notificación. Si no podemos atender razonablemente su objeción, podrá rescindir el Servicio afectado.
  • Imponemos a cada Subencargado obligaciones de protección de datos no menos protectoras que las de este APD.
  • Seguimos siendo plenamente responsables de los actos y omisiones de nuestros Subencargados.

7. Transferencias Internacionales de Datos

Usted elige su región de datos durante el registro. Su base de datos de inquilino se crea exclusivamente en esa región.

  • Región del EEE seleccionada — sus datos permanecen en el EEE. No se produce ninguna transferencia internacional.
  • Región fuera del EEE seleccionada — si usted o sus empleados se encuentran en el EEE, las transferencias se rigen por las Cláusulas Contractuales Tipo (CCT) de la UE, Módulo 2 (Responsable a Encargado), que se incorporan a este APD por referencia.
  • Transferencias al Reino Unido — se aplica el Addendum de Transferencia Internacional de Datos del Reino Unido a las CCT de la UE.
  • Transferencias a Suiza — se aplican las CCT modificadas por el Comisionado Federal Suizo de Protección de Datos e Información.

Nuestro proveedor principal de infraestructura participa en el Marco de Privacidad de Datos UE-EE.UU., proporcionando un mecanismo de adecuación adicional para las transferencias de la UE a EE.UU.

8. Medidas de Seguridad

Implementamos las medidas técnicas y organizativas descritas en el Anexo B. Las medidas clave incluyen:

  • Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256)
  • Base de datos dedicada por inquilino — sin almacenes de datos compartidos
  • Claves de firma criptográficas por inquilino (RSA-2048, cifradas con AES-256-GCM)
  • Control de acceso basado en roles aplicado en la capa de API
  • Registro de auditoría de todas las operaciones de escritura
  • Limitación de velocidad por ventana deslizante por usuario autenticado
  • Validación de identidad del inquilino en cada llamada a la API
  • Redacción de campos sensibles según el rol del usuario

Revisamos y actualizamos periódicamente estas medidas para reflejar las amenazas en evolución y las mejores prácticas de la industria. No reduciremos materialmente el nivel general de seguridad durante la vigencia del Acuerdo.

9. Notificación de Violación de Datos

En caso de una Violación de Datos que afecte a sus Datos Personales, nosotros:

  • Le notificaremos sin demora indebida y en cualquier caso dentro de las 48 horas siguientes a tener conocimiento de la violación.
  • Proporcionaremos información suficiente para permitirle cumplir con sus obligaciones de notificar a las autoridades de control y a los Interesados, incluyendo:
    • Naturaleza de la violación (categorías y número aproximado de Interesados y registros afectados)
    • Consecuencias probables de la violación
    • Medidas adoptadas o propuestas para abordar la violación y mitigar sus efectos
    • Punto de contacto para más información
  • Cooperaremos con usted y tomaremos medidas razonables para asistir en la investigación, mitigación y remediación de la violación.
  • No notificaremos a ningún tercero (incluidas las autoridades de control o los Interesados) en su nombre a menos que usted nos instruya explícitamente a hacerlo o estemos obligados por ley.

10. Solicitudes de los Interesados

Si recibimos una solicitud de un Interesado respecto a sus Datos Personales tratados en su nombre, nosotros:

  • Redirigiremos rápidamente al Interesado hacia usted, salvo que la ley lo prohíba.
  • Le notificaremos de la solicitud dentro de los 5 días hábiles siguientes.
  • Le asistiremos en el cumplimiento de la solicitud a través de las funciones integradas de exportación, corrección y eliminación de datos del Servicio.
  • No responderemos de forma independiente al Interesado a menos que usted nos lo indique o la ley lo exija.

El Servicio proporciona herramientas de autoservicio para que los administradores exporten, corrijan y eliminen datos de empleados sin necesidad de nuestra intervención.

11. Evaluaciones de Impacto en la Protección de Datos

Cuando lo exija la legislación aplicable, proporcionaremos asistencia razonable para la realización de Evaluaciones de Impacto en la Protección de Datos (EIPD) y consultas previas con las autoridades de control, teniendo en cuenta la naturaleza del Tratamiento y la información disponible para nosotros.

12. Retención y Eliminación de Datos

  • Durante la vigencia — conservamos sus Datos Personales durante la vigencia del Acuerdo, según sea necesario para proporcionar el Servicio.
  • Tras la terminación — a su elección, eliminaremos o devolveremos todos los Datos Personales dentro de los 90 días siguientes al cierre de la cuenta. Puede exportar sus datos en cualquier momento durante la vigencia utilizando las funciones de exportación integradas del Servicio.
  • Excepciones — podemos conservar Datos Personales en la medida en que lo exija la legislación aplicable (por ejemplo, registros de facturación para el cumplimiento fiscal). Dichos datos seguirán sujetos a las protecciones de este APD.
  • Confirmación de eliminación — previa solicitud, proporcionaremos confirmación por escrito de que los Datos Personales han sido eliminados.

13. Derechos de Auditoría

  • Pondremos a su disposición toda la información razonablemente necesaria para demostrar el cumplimiento de este APD.
  • Puede realizar una auditoría (o designar a un auditor externo cualificado) no más de una vez al año, con al menos 30 días de aviso por escrito, durante el horario comercial normal y sujeto a obligaciones razonables de confidencialidad.
  • Podemos satisfacer las solicitudes de auditoría proporcionando:
    • Informes SOC 2 Tipo II (cuando estén disponibles)
    • Certificación ISO 27001 (cuando esté disponible)
    • Cuestionarios de seguridad completados (SIG, CAIQ o personalizados)
    • Resúmenes de pruebas de penetración
  • Si un informe de auditoría de terceros aborda razonablemente su solicitud de auditoría, podemos proporcionar dicho informe en lugar de una auditoría presencial.

14. Responsabilidad

La responsabilidad de cada parte en virtud de este APD está sujeta a las limitaciones de responsabilidad establecidas en el Acuerdo. Este APD no limita la responsabilidad de ninguna de las partes por incumplimientos de la legislación de protección de datos en la medida en que dicha limitación esté prohibida por la legislación aplicable.

15. Vigencia y Terminación

Este APD entra en vigor cuando usted acepta el Acuerdo y permanece vigente hasta que todos los Datos Personales hayan sido eliminados o devueltos de conformidad con la Sección 12. Las obligaciones de este APD sobreviven a la terminación del Acuerdo en la medida necesaria para proteger los Datos Personales.

16. Ley Aplicable

  • Si usted está establecido en el EEE, este APD se rige por las leyes del Estado miembro de la UE en el que esté establecido.
  • Si usted está establecido en el Reino Unido, este APD se rige por las leyes de Inglaterra y Gales.
  • Si usted está establecido en Suiza, este APD se rige por la legislación suiza.
  • En todos los demás casos, este APD se rige por las leyes del Estado de Nueva Jersey, Estados Unidos.

Anexo A — Detalles del Tratamiento

A.1 Objeto y duración

Tratamiento de Datos Personales según sea necesario para proporcionar la plataforma Anima HR en virtud del Acuerdo, durante la vigencia del Acuerdo más el período de eliminación de 90 días.

A.2 Naturaleza y finalidad del Tratamiento

Anima HR trata Datos Personales para proporcionar las siguientes capacidades de gestión de RRHH:

  • Directorio de empleados y gestión de perfiles
  • Gestión de ausencias (solicitudes, aprobaciones, seguimiento de saldos, acumulación)
  • Ciclos de evaluación del rendimiento (preguntas, respuestas, calificaciones, historial)
  • Retroalimentación continua, reconocimiento entre pares (kudos) y retroalimentación ascendente
  • Gestión salarial (historial, flujos de solicitud y aprobación)
  • Encuestas a empleados (creación, distribución, recopilación de respuestas, analítica)
  • Analítica de personas (evaluaciones GWC, seguimiento de competencias)
  • Notas de reuniones 1:1 (formato libre y plantillas estructuradas)
  • Jerarquía organizacional y estructura de reporte
  • Autenticación y control de acceso

A.3 Categorías de Interesados

  • Empleados del Responsable del Tratamiento
  • Contratistas y trabajadores temporales del Responsable del Tratamiento
  • Administradores del espacio de trabajo

A.4 Tipos de Datos Personales

CategoríaElementos de datos
IdentidadNombre completo, dirección de correo electrónico laboral, ID de empleado
EmpleoCargo, departamento, responsable, fecha de inicio, estado laboral
CompensaciónHistorial salarial, solicitudes y aprobaciones de cambios salariales
AusenciasSolicitudes de ausencia, saldos, registros de acumulación, historial de aprobaciones
RendimientoRespuestas de ciclos de evaluación, calificaciones, puntuaciones de competencias, historial de evaluaciones
RetroalimentaciónEntradas de retroalimentación, solicitudes de retroalimentación, kudos, mensajes de reconocimiento
EncuestasRespuestas a encuestas, analítica anonimizada
ReunionesNotas 1:1 (texto libre, respuestas de plantillas estructuradas)
AnalíticaPuntuaciones de evaluación GWC, datos de analítica de personas
Campos personalizadosCualquier campo adicional configurado por el Responsable del Tratamiento
TécnicosCredenciales de autenticación (con hash), tokens de sesión, registros de auditoría (ID de usuario, marca de tiempo, acción)

A.5 Categorías especiales de datos

El Servicio no está diseñado para tratar categorías especiales de Datos Personales (Artículo 9 del RGPD) como datos de salud, datos biométricos o datos que revelen el origen racial o étnico. Si configura campos personalizados que contengan dichos datos, usted es responsable de garantizar una base legal apropiada y salvaguardas adicionales.

Anexo B — Medidas de Seguridad Técnicas y Organizativas

B.1 Cifrado

  • Todos los datos en tránsito cifrados con TLS 1.2 o superior
  • Todos los datos en reposo cifrados con AES-256 (bases de datos, almacenamiento de archivos, copias de seguridad)
  • Claves de firma por inquilino cifradas con AES-256-GCM, almacenadas en un gestor de secretos seguro

B.2 Aislamiento de inquilinos

  • Cada organización cliente recibe una base de datos dedicada — sin almacenes de datos compartidos entre inquilinos
  • La identidad del inquilino se valida criptográficamente en cada solicitud de API
  • Se previene la reutilización de tokens entre inquilinos vinculando los tokens de autenticación al identificador del inquilino

B.3 Control de acceso

  • Control de acceso basado en roles (RBAC) aplicado en la capa de API en cada solicitud
  • Dos roles: empleado (datos propios + datos del equipo si es responsable) y administrador (todos los datos + configuración)
  • Campos sensibles redactados según el rol del usuario y la configuración del inquilino
  • El estado de responsable se deriva en tiempo de ejecución de la jerarquía organizacional — no se almacena como un rol

B.4 Auditoría y monitorización

  • Todas las operaciones de escritura registradas con identidad del usuario, marca de tiempo y valores modificados
  • Limitación de velocidad por ventana deslizante por usuario autenticado
  • Saneamiento de entrada en todos los endpoints de la API
  • Cabeceras de seguridad aplicadas a todas las respuestas

B.5 Infraestructura

  • Arquitectura multi-cuenta — datos del inquilino aislados a nivel de cuenta en la nube
  • Residencia de datos aplicada — la base de datos del inquilino se crea exclusivamente en la región elegida
  • Ningún dato de cliente almacenado en dispositivos de empleados o sistemas locales
  • Certificaciones del proveedor de infraestructura: SOC 1/2/3, ISO 27001, ISO 27017, ISO 27018, PCI DSS, elegible para HIPAA, FedRAMP

B.6 Continuidad del negocio

  • Copias de seguridad automatizadas con recuperación a un punto en el tiempo
  • Replicación multi-región disponible (plan Enterprise)
  • Infraestructura diseñada para alta disponibilidad con conmutación automática por error

Anexo C — Subencargados Autorizados

Los siguientes Subencargados están autorizados para tratar Datos Personales en virtud de este APD:

SubencargadoFinalidadUbicaciónCertificaciones
Amazon Web Services (AWS) Infraestructura en la nube, base de datos, almacenamiento de archivos, CDN y computación Su(s) región(es) elegida(s) SOC 1/2/3, ISO 27001, ISO 27017, ISO 27018, PCI DSS, elegible para HIPAA, FedRAMP
Stripe Procesamiento de pagos Estados Unidos PCI DSS Nivel 1, SOC 1/2, ISO 27001

Esta lista se actualizó por última vez el 27 de abril de 2026. Actualizaremos esta página y notificaremos a los clientes Enterprise con al menos 30 días de antelación antes de añadir o sustituir un Subencargado.