Acuerdo de Tratamiento de Datos

Última actualización: Mayo 2026

Este Acuerdo (en adelante, el "DPA") forma parte integral de los Términos del Servicio y rige el tratamiento de Datos Personales que Jerónimo Muñoz Castillo Kanahuati, persona física con actividad empresarial realiza por cuenta del Cliente al prestar el servicio Qualifly AI.

1. Partes y roles

  • Responsable: el Cliente que contrata el Servicio.
  • Encargado: Jerónimo Muñoz Castillo Kanahuati, persona física con actividad empresarial, RFC MUKJ960121DQA, con domicilio en Circuito Club Campestre 434, C.P. 76190, Querétaro, Querétaro, México.

El Encargado trata Datos Personales por cuenta y bajo instrucciones del Responsable, conforme a la LFPDPPP, su Reglamento y los Lineamientos del INAI.

2. Objeto, naturaleza y duración

  • Objeto: tratamiento de datos personales de candidatos a puestos publicados por el Responsable, con el fin de transcribir, evaluar y puntuar entrevistas asistidas por IA.
  • Naturaleza: almacenamiento, transcripción automatizada, evaluación mediante modelos de lenguaje, generación de reportes y entrega al Responsable.
  • Duración: mientras esté vigente la relación contractual. Tras la terminación, el Encargado conservará los datos según lo previsto en la cláusula 9.

3. Tipos de datos y categorías de titulares

  • Titulares: candidatos invitados por el Responsable.
  • Datos personales tratados: nombre, correo, teléfono, CV, transcripciones de voz, puntajes y resúmenes generados por IA, metadatos técnicos del dispositivo y de la sesión.
  • Datos sensibles: el Encargado no solicita datos sensibles. Si el candidato los proporciona voluntariamente, el Responsable es quien debe contar con consentimiento expreso y por escrito.

4. Obligaciones del Encargado

El Encargado se obliga a:

  1. Tratar los Datos Personales exclusivamente conforme a las instrucciones documentadas del Responsable (configuración de la plataforma + estos términos).
  2. Implementar medidas de seguridad administrativas, técnicas y físicas suficientes para proteger los datos contra daño, pérdida, alteración, destrucción o acceso no autorizado (ver Anexo I).
  3. Guardar confidencialidad respecto de los datos tratados, incluyendo obligaciones equivalentes para su personal y subencargados.
  4. Suprimir o devolver los datos al término del servicio según lo indique el Responsable.
  5. Asistir al Responsable con medios técnicos razonables para responder solicitudes ARCO de los titulares.
  6. Notificar al Responsable cualquier vulneración de seguridad que afecte los Datos Personales tan pronto la detecte, y a más tardar dentro de las 72 horas siguientes, con la información disponible.
  7. Permitir al Responsable solicitar evidencia razonable del cumplimiento de este DPA (reportes, certificaciones, atestaciones).

5. Obligaciones del Responsable

  1. Contar con base legal y consentimiento de los titulares para el tratamiento descrito.
  2. Publicar su propio Aviso de Privacidad describiendo el uso del Servicio.
  3. Configurar el Servicio (preguntas, criterios) de manera que cumpla la ley aplicable y las políticas anti-discriminación.
  4. Atender las solicitudes ARCO de sus candidatos y notificar al Encargado las instrucciones necesarias.
  5. No introducir en el Servicio datos personales que no sean estrictamente necesarios para el proceso de reclutamiento.

6. Subencargados (Subprocessors)

El Responsable autoriza al Encargado a utilizar los siguientes subencargados para la prestación del Servicio. El Encargado garantiza que cada subencargado está sujeto a obligaciones contractuales sustancialmente equivalentes a este DPA.

SubencargadoServicioPaís
OpenAI, LLCModelos GPT, transcripción WhisperEE. UU.
Groq, Inc.Transcripción Whisper aceleradaEE. UU.
Stripe Payments Inc.Procesamiento de pagosEE. UU.
Clerk Inc.Autenticación y gestión de cuentasEE. UU.
Hetzner Online GmbH (vía Coolify)Hospedaje, base de datos, almacenamientoAlemania (UE)

El Encargado notificará al Responsable con al menos 30 días de anticipación la incorporación o cambio de subencargados. El Responsable podrá objetar por motivos razonables relacionados con protección de datos; en caso de no llegar a un acuerdo, el Responsable podrá terminar el contrato sin penalidad.

7. Transferencias internacionales

El Responsable autoriza expresamente la transferencia internacional de Datos Personales a los países donde residen los subencargados listados en la cláusula 6. Las transferencias se realizan al amparo del artículo 37, fracción VI de la LFPDPPP (cumplimiento de la relación) y mediante cláusulas contractuales que obligan al receptor a observar la legislación mexicana. Cuando aplique RGPD/GDPR, se utilizan Standard Contractual Clauses (SCC).

8. Atención de derechos ARCO de titulares

El Responsable es quien atiende directamente las solicitudes ARCO de los candidatos. El Encargado proveerá al Responsable las herramientas técnicas necesarias para acceder, rectificar, cancelar u oponerse al tratamiento de datos específicos. En caso de que un titular se dirija directamente al Encargado, éste reenviará la solicitud al Responsable dentro de los 5 días hábiles siguientes.

9. Devolución / supresión de datos al término

Al término del contrato, el Encargado, a elección del Responsable:

  • Devolverá los datos en formato exportable (CSV, JSON) durante 30 días.
  • Suprimirá los datos de sus sistemas activos, conservando únicamente los respaldos cifrados durante un máximo de 90 días, tras lo cual también serán eliminados.

No se eliminarán: (a) los datos cuya conservación sea exigida por ley (registros fiscales, contractuales o por requerimiento de autoridad); (b) los datos necesarios para la defensa de derechos en procedimientos actuales o probables; (c) los datos previamente anonimizados de manera irreversible, los cuales han dejado de ser datos personales y pueden conservarse y utilizarse por el Encargado sin límite temporal (cláusula 13).

10. Plazos de conservación durante la relación

Durante la vigencia del contrato el Encargado conservará los datos personales de los titulares hasta por 24 meses desde la última actividad del titular en la plataforma, salvo que el Responsable instruya un plazo distinto. Los registros de uso, logs de seguridad y prevención de fraude pueden conservarse hasta por 24 meses por finalidad de seguridad, independientemente del plazo aplicable a los datos del titular.

11. Uso de datos por el Encargado para mejora del Servicio

El Responsable autoriza expresamente al Encargado a utilizar:

  • Datos anonimizados de manera irreversible derivados de las interacciones de candidatos con el Servicio, para entrenar, mejorar, probar y validar los modelos, algoritmos, prompts y rúbricas del Encargado;
  • Métricas y datos agregados (por ejemplo: distribución de puntuaciones, tiempo promedio de respuesta, tasas de finalización), sin identificación de titulares individuales ni del Responsable, para fines de investigación, benchmarking comercial y desarrollo de producto;
  • Información sobre el desempeño del Servicio para el Responsable, con el fin exclusivo de mejorar la calidad del Servicio prestado.

Esta autorización es de carácter no exclusivo, irrevocable, sin límite temporal ni geográfico, y subsiste tras la terminación del contrato, en el entendido de que aplica únicamente a datos que ya no constituyen datos personales tras su anonimización irreversible (LFPDPPP art. 3, fracción V, contrario sensu).

12. Responsabilidad por instrucciones del Responsable

El Encargado actúa siguiendo las instrucciones documentadas del Responsable. El Encargado no es responsable por:

  • La legalidad de las finalidades de tratamiento determinadas por el Responsable;
  • La adecuación del Aviso de Privacidad publicado por el Responsable a sus titulares;
  • La obtención del consentimiento de los titulares por parte del Responsable;
  • Las preguntas, criterios de evaluación o instrucciones cargadas por el Responsable o sus usuarios autorizados, incluyendo aquellas que pudieran resultar discriminatorias, sesgadas o ilegales;
  • Las decisiones de selección, rechazo, avance o contratación que el Responsable tome con base en los resultados del Servicio.

El Responsable mantendrá indemne al Encargado conforme a la cláusula de indemnización de los Términos del Servicio.

13. Auditorías

El Responsable podrá auditar el cumplimiento de este DPA sujeto a las siguientes condiciones, las cuales son acumulativas:

  • Aviso previo por escrito de al menos 60 días.
  • Frecuencia máxima de una (1) auditoría por año calendario, salvo en caso de incidente de seguridad confirmado que afecte al Responsable.
  • Medios preferentes: (a) cuestionario documental; (b) revisión de reportes de seguridad, certificaciones (ISO, SOC) y atestaciones de terceros independientes que el Encargado proporcione. La visita en sitio solo procederá si los medios anteriores resultan insuficientes y existe justificación específica, en horario hábil y por un máximo de un (1) día.
  • Costos: a cargo exclusivo del Responsable, incluyendo el tiempo razonable que el personal del Encargado dedique a la auditoría, facturable a tarifas comerciales del Encargado, salvo que la auditoría detecte un incumplimiento material atribuible al Encargado.
  • Confidencialidad: todo dato observado durante la auditoría es confidencial. El Responsable y sus auditores firmarán acuerdo de confidencialidad con el Encargado previo al inicio.
  • Restricciones: las auditorías no podrán comprometer la seguridad de otros clientes del Encargado ni acceder a información de terceros, código fuente, secretos comerciales o ambientes productivos críticos. Las auditorías de competidores directos del Encargado están excluidas.
  • Reportes y certificaciones existentes: si el Encargado cuenta con reportes SOC 2, ISO 27001 o equivalentes vigentes (cuando existan), su entrega satisface la obligación de auditoría del año correspondiente.

14. Responsabilidad y límites

Cada parte responde por las multas y daños derivados de sus propios incumplimientos. La responsabilidad del Encargado bajo este DPA estará sujeta a los mismos límites de responsabilidad establecidos en los Términos del Servicio (cláusula 11), los cuales se incorporan a este DPA por referencia. El Encargado no asume responsabilidad alguna por decisiones de selección o contratación tomadas por el Responsable con base en los resultados de la plataforma.

15. Vigencia y modificación

Este DPA entra en vigor desde la aceptación de los Términos por el Responsable y se mantiene vigente mientras el Encargado trate Datos Personales por cuenta del Responsable. El Encargado podrá actualizar este DPA para reflejar cambios legales o de subencargados, con notificación de al menos 30 días.

Anexo I , Medidas de seguridad

  • Cifrado en tránsito TLS 1.2+ y en reposo (AES-256 o equivalente).
  • Control de acceso por roles con principio de mínimo privilegio.
  • Autenticación en dos pasos obligatoria para personal con acceso a datos.
  • Registros de auditoría de accesos a información sensible.
  • Segregación de ambientes (desarrollo, staging, producción).
  • Respaldos cifrados con plan de recuperación documentado.
  • Política interna de contraseñas y rotación de credenciales.
  • Revisión periódica de vulnerabilidades y aplicación de parches.
  • Acuerdos de confidencialidad firmados por personal y proveedores.

Aviso legal: este DPA es un modelo basado en la LFPDPPP y prácticas comunes. Para operaciones con titulares en la Unión Europea o jurisdicciones con requisitos adicionales (RGPD, CCPA, LGPD brasileña), debe complementarse con cláusulas específicas y revisión por abogado.