Acuerdo de Tratamiento de Datos (DPA)

Growly Hire · entre el Responsable (la agencia) y el Encargado (Growly)

Última actualización: 2026-06-10 · Documento modelo, sujeto a revisión legal antes de firma.

1. Roles

La agencia de staffing o headhunting que usa Growly Hire es el Responsable del tratamiento de los datos personales de sus candidatos. In Growth Solutions ("Growly") actúa como Encargado: trata los datos únicamente siguiendo las instrucciones del Responsable y para prestar el servicio.

2. Objeto y duración

El tratamiento cubre el sourcing, evaluación, presentación y colocación de candidatos. Dura mientras esté vigente la suscripción. A su término, el Responsable puede exportar sus datos; Growly los elimina o anonimiza dentro de los 30 días siguientes salvo obligación legal de conservación.

3. Tipos de datos y titulares

Datos identificativos y de contacto de candidatos, trayectoria, resultados de evaluaciones (incluida personalidad, tratada como dato sensible y solo con consentimiento), y verificación de antecedentes cuando el Responsable la solicita con consentimiento del titular. Los titulares son los candidatos del Responsable.

4. Obligaciones del Encargado

• Tratar los datos solo según las instrucciones documentadas del Responsable.
• Confidencialidad del personal con acceso a los datos.
• Medidas de seguridad: cifrado en tránsito y en reposo de credenciales (AES-256-GCM), control de acceso por organización, aislamiento por owner.
• Asistir al Responsable en la atención de derechos ARCO (acceso, rectificación, cancelación, oposición) mediante el Centro de Cumplimiento.
• Notificar al Responsable sin demora indebida cualquier incidente de seguridad que afecte sus datos.
• Eliminar o devolver los datos al término del servicio.

5. Subencargados

Growly puede apoyarse en subencargados para prestar el servicio. Cada uno está sujeto a obligaciones equivalentes. Subencargados actuales relevantes para Hire:

• Google (Gemini API): procesamiento de texto e imágenes para lectura de CV y asistencia de redacción. Los CV que el Responsable sube se envían para extracción de datos.
• Proveedor de base de datos administrada: almacenamiento.
• Resend: envío de notificaciones y correos transaccionales.
• Truora / Emptor (BYO): verificación de antecedentes, solo cuando el Responsable conecta su propia cuenta y con consentimiento del titular.
• Meta (WhatsApp Cloud API) (BYO): mensajería, solo cuando el Responsable conecta su WABA.

Ver también la lista general de subprocesadores.

6. Transferencias internacionales

Algunos subencargados operan fuera del país del Responsable. El Responsable, como tal, debe informarlo en su aviso de privacidad a los titulares. Growly aplica salvaguardas contractuales con sus subencargados.

7. Datos sensibles y decisiones automatizadas

La personalidad y los antecedentes se tratan como datos sensibles, solo con consentimiento explícito. Growly NO toma decisiones de selección automatizadas: los puntajes e informes son insumos orientativos; la decisión es siempre de una persona del Responsable (art. 22 GDPR como referencia, criterio aplicado de forma transversal).

8. Derechos de los titulares

El Responsable atiende los derechos ARCO de sus titulares con las herramientas del Centro de Cumplimiento: acceso (exporta todo el dato del titular), rectificación, cancelación (anonimización con bitácora) y oposición/revocación (con efecto material: vence informes y degrada el dato a uso de solo comunicación).

9. Marco legal

Este acuerdo se interpreta conforme a la LFPDPPP (México), la LGPD (Brasil) y el régimen de habeas data (Colombia), según el domicilio del Responsable y de los titulares.

Para firmar la versión vinculante de este DPA, escríbenos a legal@ingrowthsolutions.com.