Acuerdo de tratamiento de datos
Última actualización: 2026-04-17
Versión 17 de abril de 2026 · Conforme al art. 28 RGPD · Parte integrante de las Condiciones generales
El presente Acuerdo de tratamiento de datos (en adelante, "Acuerdo") se celebra entre el cliente (en adelante, "Responsable del tratamiento") y Triad B.V., ejerciendo bajo el nombre LeadGrid.io (en adelante, "Encargado del tratamiento"), con domicilio social en Parallel Boulevard 17 A, 2202 HK Noordwijk, Países Bajos, inscrita en la Cámara de Comercio de los Países Bajos bajo el número 42034623. Se considera acordado cuando el Responsable del tratamiento contrata una Suscripción al Servicio.
1. Definiciones
Los términos utilizados en el presente Acuerdo tienen el significado que les atribuye el RGPD. Además, se aplican las definiciones de las Condiciones generales. En caso de conflicto, el presente Acuerdo prevalecerá en lo relativo al tratamiento de datos personales.
2. Objeto, naturaleza y finalidad
El Encargado del tratamiento trata datos personales exclusivamente por instrucción y por cuenta del Responsable del tratamiento, en el contexto de la prestación del Servicio LeadGrid.io: gestión de pipelines de reclutamiento y ventas, seguimiento de candidatos y clientes potenciales, resúmenes de currículum asistidos por IA, borradores de correos electrónicos de rechazo, extracción de contactos, correo electrónico entrante y saliente, e integraciones a través de la API REST pública.
Las categorías de interesados y datos personales se describen en el Anexo 1.
3. Duración
El presente Acuerdo entra en vigor cuando se celebra la Suscripción y se mantiene en vigor durante el tiempo que el Encargado del tratamiento trate datos personales por cuenta del Responsable del tratamiento. Tras la resolución, las disposiciones sobre confidencialidad, responsabilidad y ley aplicable siguen en vigor en la medida necesaria.
4. Instrucciones
El Encargado del tratamiento solo trata datos personales conforme a las instrucciones escritas del Responsable del tratamiento. Las Condiciones generales, el presente Acuerdo y la configuración del Servicio por parte del Responsable del tratamiento constituyen tales instrucciones. El Encargado del tratamiento informará al Responsable del tratamiento sin demora si considera que una instrucción infringe el RGPD u otras normas de protección de datos.
5. Confidencialidad
El Encargado del tratamiento garantiza que todas las personas que traten datos personales bajo su autoridad estén sujetas a una obligación de confidencialidad, ya sea legal o contractual.
6. Medidas de seguridad
El Encargado del tratamiento aplica las medidas técnicas y organizativas adecuadas para proteger los datos personales frente a pérdidas, acceso no autorizado y otros tratamientos ilícitos, tal como se describe en el Anexo 2. El Encargado del tratamiento revisa estas medidas periódicamente y las actualiza cuando sea necesario, teniendo en cuenta el estado de la técnica y el riesgo para los interesados.
7. Subencargados del tratamiento
El Responsable del tratamiento otorga al Encargado del tratamiento autorización general para contratar a los subencargados enumerados en el Anexo 3. El Encargado del tratamiento impone a cada subencargado, mediante acuerdo escrito, las mismas obligaciones que las derivadas del presente Acuerdo, en la medida aplicable.
El Encargado del tratamiento informará al Responsable del tratamiento con antelación sobre los cambios previstos en la lista de subencargados (adiciones o sustituciones). El Responsable del tratamiento puede oponerse, con motivación, en los treinta (30) días siguientes a la notificación. Si las partes no alcanzan una solución, el Responsable del tratamiento puede resolver la Suscripción en la fecha de entrada en vigor del cambio.
8. Derechos de los interesados
El Encargado del tratamiento asiste al Responsable del tratamiento mediante las medidas técnicas y organizativas adecuadas, en la medida razonablemente posible, para que este pueda cumplir su obligación de responder a las solicitudes de los interesados (acceso, rectificación, supresión, limitación, portabilidad y oposición). El Encargado del tratamiento remite al Responsable del tratamiento cualquier solicitud que reciba directamente.
9. Violaciones de la seguridad de los datos personales
El Encargado del tratamiento notifica al Responsable del tratamiento sin demora indebida y, en cualquier caso, en el plazo de 48 horas desde su descubrimiento, cualquier violación de la seguridad de los datos personales. El Encargado del tratamiento facilita toda la información razonablemente disponible que el Responsable del tratamiento necesite para cumplir sus propias obligaciones legales de notificación y documentación, incluyendo:
- la naturaleza de la violación y las categorías de datos afectados
- el alcance (estimado) y las posibles consecuencias
- las medidas ya adoptadas y las propuestas
- los datos de contacto para obtener más información
El Encargado del tratamiento no notificará a la Autoriteit Persoonsgegevens (autoridad neerlandesa de protección de datos) ni a los interesados en nombre del Responsable del tratamiento, salvo instrucción expresa al respecto.
10. Asistencia en EIPDs y consultas previas
El Encargado del tratamiento asiste al Responsable del tratamiento, a solicitud razonable, en cualquier evaluación de impacto relativa a la protección de datos (EIPD) y en cualquier consulta previa con la autoridad de control, teniendo en cuenta la naturaleza del tratamiento y la información de que dispone el Encargado del tratamiento.
11. Devolución y supresión de datos
Tras la resolución de la Suscripción, el Encargado del tratamiento concede al Responsable del tratamiento un plazo de 30 días para exportar los datos personales (a través de la API REST o el panel de control). A continuación, el Encargado del tratamiento suprime todos los datos personales, salvo que exista obligación legal de conservarlos (p. ej., obligaciones de conservación fiscal para los registros de facturación). El Encargado del tratamiento confirma la supresión por escrito a petición.
12. Auditoría
El Encargado del tratamiento pone a disposición del Responsable del tratamiento, a petición, toda la información necesaria para demostrar el cumplimiento del presente Acuerdo. El Responsable del tratamiento puede, una vez al año — o con mayor frecuencia en caso de sospecha razonable de incumplimiento — realizar (o encargar) una auditoría. La auditoría se lleva a cabo en días laborables, en horario de oficina, tras anuncio previo oportuno, y de manera que no perturbe desproporcionadamente el Servicio. Los costes de la auditoría corren a cargo del Responsable del tratamiento, salvo que se detecten deficiencias materiales.
El Encargado del tratamiento puede, en su lugar, proporcionar un informe de auditoría independiente reciente o una certificación ISO 27001 / SOC 2 de sus (sub)encargados, que el Responsable del tratamiento aceptará en principio.
13. Transferencias internacionales
Cuando el tratamiento tenga lugar fuera del Espacio Económico Europeo, se basará en las garantías adecuadas previstas en el art. 46 RGPD, incluidas las cláusulas contractuales tipo de la Comisión Europea (2021/914) o el Marco de Privacidad de Datos UE-EE. UU., complementadas con medidas técnicas adicionales cuando sea necesario.
14. Responsabilidad
La responsabilidad de las partes en virtud del presente Acuerdo se rige por la cláusula de responsabilidad de las Condiciones generales. Cada parte es responsable en virtud del art. 82 RGPD frente a los interesados por los daños causados por el incumplimiento de sus obligaciones en virtud del RGPD.
15. Disposiciones varias
En caso de conflicto entre el presente Acuerdo y otros documentos entre las partes, el presente Acuerdo prevalecerá en lo relativo al tratamiento de datos personales. Las modificaciones son válidas si se anuncian a través del Servicio o por correo electrónico, con un plazo razonable para oponerse o resolver la Suscripción. El presente Acuerdo se rige por el derecho neerlandés; los conflictos se someten al Tribunal de Distrito de La Haya (Rechtbank Den Haag).
Anexo 1 — Datos y categorías de interesados
Categorías de interesados
- Usuarios del Responsable del tratamiento (empleados, administradores)
- Candidatos seguidos en pipelines de reclutamiento
- Clientes potenciales y prospectos seguidos en pipelines de ventas
- Personas de contacto en las organizaciones de clientes potenciales o candidatos
Categorías de datos personales
- Datos de identificación y contacto: nombre, correo electrónico, teléfono, empresa, cargo/título, URL de perfil de LinkedIn o externo
- Contenido de currículum y candidatura: currículos cargados (PDF), historial laboral, formación, competencias, adjuntos
- Datos del pipeline comercial: importe del negocio, moneda, etapa, notas, historial de reuniones, propietario asignado
- Contenido de comunicaciones: correos electrónicos enviados a LeadGrid a través del correo entrante, mensajes salientes enviados desde LeadGrid, notas adjuntas a los expedientes
- Datos derivados generados por IA: resúmenes de candidatos, datos de contacto extraídos, borradores de correos electrónicos de rechazo, puntuaciones de adecuación a la etapa
- Datos de sistemas conectados: datos enviados/recibidos a través de la API REST pública y cualquier integración de terceros activada por el Responsable del tratamiento
- Datos técnicos: dirección IP, datos de sesión y registros con fines de seguridad y soporte
Naturaleza del tratamiento
Recopilación, almacenamiento, consulta, estructuración, modificación, combinación, transmisión (también a través de servicios de IA para clasificación y generación de texto), divulgación a sistemas conectados y supresión.
Anexo 2 — Medidas de seguridad
El Encargado del tratamiento ha implementado, entre otras, las siguientes medidas:
- TLS 1.2+ para todos los datos en tránsito
- Seguridad a nivel de filas (RLS) de Supabase en cada tabla con delimitación obligatoria por identificador de organización como defensa en profundidad
- Control de acceso basado en roles (propietario / administrador / miembro) con aplicación del principio de mínimo privilegio en el lado del servidor
- Hash de contraseñas (bcrypt) gestionado por Supabase Auth; cookies de sesión marcadas como
HttpOnly+Secure - API REST pública protegida con claves de API con hash, límites de velocidad por clave (60 solicitudes/min gratuito, 600 solicitudes/min crecimiento), validación de alcance
- Webhooks de Stripe verificados con firma HMAC; procesamiento idempotente de eventos a través de la tabla
processed_stripe_events - Endpoint de correo electrónico entrante protegido con secreto compartido y comparación en tiempo constante; límites de tamaño de archivo y tipo de contenido para las cargas de currículum
- Gestión de secretos a través de variables de entorno; sin secretos codificados
- Refuerzo CSP, HSTS, X-Frame-Options
DENY, Referrer-Policy, Permissions-Policy en todas las respuestas - Registros de auditoría de acciones sensibles y solicitudes de IA
- Despliegues en sandbox con control de versiones en Vercel con compilaciones automatizadas y comprobaciones de tipos
- Copias de seguridad diarias cifradas de la base de datos gestionadas por Supabase; pruebas de restauración periódicas
- Acceso a los datos de producción restringido a un pequeño número de personas bajo autorización y confidencialidad estrictas
- Proceso de respuesta a incidentes con obligación de notificación de 48 horas para violaciones de la seguridad de los datos personales
Anexo 3 — Subencargados del tratamiento
| Subencargado | Tratamiento | Ubicación |
|---|---|---|
| Supabase Inc. | Base de datos, autenticación, almacenamiento de archivos | UE (Irlanda) |
| Vercel Inc. | Alojamiento de la aplicación y red edge | UE / EE. UU. (CCE) |
| OpenAI, L.L.C. | Clasificación de IA y generación de texto (sin entrenamiento con datos del cliente) | EE. UU. (CCE) |
| Stripe Payments Europe, Ltd. | Facturación de suscripciones y procesamiento de pagos | UE (Irlanda) / EE. UU. (CCE) |
| Resend, Inc. | Correo electrónico transaccional saliente y procesamiento de correo electrónico entrante | EE. UU. (CCE) |