Acuerdo de Protección de Datos

17 de julio de 2024

1. Introducción

El objetivo del Acuerdo de Protección de Datos (en adelante "APD") es regular el uso de datos personales del cliente, que actúa como responsable del tratamiento (en adelante "Cliente"), por parte de Hublead, que actúa como encargado del tratamiento (en adelante "Encargado") en el marco del Acuerdo (en adelante "Acuerdo").

2. Compromisos

El Encargado se compromete y certifica que cumple con todas las disposiciones de las normas de protección de datos aplicables, que incluyen el Reglamento General de Protección de Datos (en adelante el "RGPD"; Reglamento (UE) 2016/679 de 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos) y la Ley Francesa de Protección de Datos (Ley nº 78-17 de 6 de enero de 1978 sobre informática, archivos y libertades). El Encargado declara ofrecer todas las garantías suficientes para cumplir los requisitos de las normas de protección de datos aplicables y, más particularmente, garantizar la confidencialidad y protección de los datos del Cliente.

3. Instrucciones

El Encargado declara y se compromete a utilizar los datos del Cliente únicamente según sus instrucciones documentadas descritas en el Acuerdo.

El Cliente se compromete a informar al Encargado de cualquier modificación de las instrucciones relativas al uso de sus datos personales. El Encargado debe notificar al Cliente, por escrito y sin demora, si las instrucciones documentadas constituyen una violación de las normas de protección de datos aplicables.

4. Confidencialidad

El Encargado declara y certifica que todos sus empleados que procesan datos personales del Cliente están vinculados por una cláusula de confidencialidad o por cualquier otro acto legal que garantice la confidencialidad de los datos personales del Cliente. El Encargado se compromete a capacitar regularmente a sus colaboradores sobre las normas de protección de datos aplicables.

5. Seguridad

El Encargado certifica y se compromete a garantizar la seguridad de los datos personales del Cliente e implementar las medidas técnicas y organizativas establecidas en el Anexo 1 de este APD requeridas para prevenir cualquier riesgo de violación de datos.

6. Violación de datos

El Encargado se compromete a notificar al Cliente, sin demora después de haber tenido conocimiento, cualquier violación de datos que pueda afectar los datos personales del Cliente. La notificación debe especificar toda la información necesaria para que el Cliente procese la violación de datos descrita en el Artículo 28 del RGPD. En caso de violación de datos, el Encargado se compromete a tomar todas las medidas necesarias para remediar el impacto.

7. Ayuda y asistencia en materia de seguridad

El Encargado proporcionará al Cliente toda la información necesaria y requerida sobre las medidas de seguridad técnicas y organizativas a implementar en el marco del Acuerdo para garantizar la seguridad de sus datos personales. El Encargado proporcionará al Cliente, previa solicitud por escrito, toda la información necesaria para realizar una evaluación de impacto en la privacidad ("EIP").

8. Ayuda y asistencia respecto a los derechos de los interesados

El Encargado proporcionará al Cliente, previa solicitud por escrito, toda la información necesaria para que el Cliente pueda cumplir con su obligación de atender las solicitudes de los interesados.

9. Sub-encargado

El Cliente acepta que el Encargado pueda trabajar con los Sub-encargados listados en el Anexo 2 de este APD, únicamente con el fin de ejecutar el Acuerdo. El Encargado debe informar al Cliente por email con al menos dos meses de antelación antes de modificar la Lista de Sub-encargados para que el Cliente pueda oponerse.

El Encargado se compromete a reclutar únicamente Sub-encargados con garantías necesarias y suficientes para asegurar la seguridad y confidencialidad de los datos personales del Cliente. En todo caso, el Encargado seguirá siendo responsable de las acciones del Sub-encargado en el marco del Acuerdo.

10. Destino de los datos personales

El Cliente informará al Encargado, por escrito y como máximo un mes antes del final del Acuerdo, de su elección (opción 1) devolver los datos personales al Encargado y luego borrar los datos personales y todas las copias existentes, o (opción 2) borrar directamente los datos personales y todas las copias existentes, o (opción 3) transferir los datos personales a un nuevo proveedor y luego borrar los datos personales y todas las copias existentes.

11. Auditorías

El Cliente tendrá derecho a realizar una auditoría en forma de cuestionario escrito una vez al año para verificar el cumplimiento de este Acuerdo.

12. Transferencias de datos personales fuera de la Unión Europea

El Encargado certifica y se compromete a hacer todo lo necesario para no transferir los datos personales del Cliente fuera de la Unión Europea ni reclutar ningún Sub-encargado ubicado fuera de la Unión Europea.

13. Cooperación con las autoridades de control

Respecto al tratamiento implementado en el marco del Acuerdo, el Encargado se compromete a proporcionar, bajo solicitud, toda la información necesaria para que el Cliente coopere con la autoridad de control competente.

14. Contacto

Tanto el Cliente como el Encargado designan un interlocutor encargado de este Acuerdo y destinatario de las diversas notificaciones y comunicaciones. Si se ha designado un Delegado de Protección de Datos ("DPO"), el interlocutor será necesariamente el Delegado de Protección de Datos.

15. Nulidad

En caso de nulidad del Acuerdo, independientemente de la causa, el Cliente debe comunicar al Encargado, por escrito, dentro de un período de un mes desde la declaración de nulidad, su decisión respecto al destino de sus datos, de acuerdo con el Artículo 10 de este Acuerdo.

16. Modificación

El Cliente se reserva el derecho de modificar este Acuerdo en caso de modificaciones en las normas de protección de datos aplicables que tengan el efecto de modificar alguna de sus disposiciones.

17. Ley aplicable

Sin perjuicio de cualquier disposición en contrario contenida en el Acuerdo, este Acuerdo se rige por la ley francesa. Cualquier disputa relativa a la ejecución de este Acuerdo estará sujeta a la jurisdicción exclusiva de los tribunales de la jurisdicción del domicilio del Cliente.

Anexo 1 – Medidas de seguridad

Hublead toma la seguridad muy en serio. Nuestro equipo implementó las mejores prácticas de seguridad en cada nivel.

Prácticas de seguridad en nuestro equipo

Hublead no vende datos de clientes y nuestra política es respetar la privacidad de datos de nuestros usuarios. Nuestro modelo de negocio se basa en suscripciones pagadas de Hublead.

  • Se utiliza autenticación de dos factores en los servicios de terceros que usa Hublead
  • Cada computadora que ejecuta herramientas de desarrollo de Hublead está protegida y actualizada
  • Los empleados que pueden acceder a datos de clientes a través de nuestro sistema interno tienen diferentes niveles de seguridad. Nos aseguramos de que solo tengan acceso a datos relevantes.
  • Las computadoras de los empleados de Hublead no almacenan datos de clientes
  • No tenemos servidores ni claves de seguridad en nuestras oficinas. De esta manera nos aseguramos de que los datos de Hublead y de los usuarios no estén en riesgo en caso de intrusión en nuestras oficinas.

Infraestructura y seguridad de datos

Estas son algunas de nuestras prácticas en términos de infraestructura y gestión de datos:

  • Todos los servidores y servicios ejecutan las últimas actualizaciones de seguridad y se parchean inmediatamente cuando se publica una vulnerabilidad del kernel
  • Los servidores están ubicados en Francia
  • Nuestras bases de datos se respaldan todos los días
  • Nuestra red está protegida con cortafuegos
  • Nuestro sistema ejecuta un sistema de monitoreo automatizado que nos permite estar al tanto de los problemas antes de que afecten a nuestros clientes
  • Autenticación del servidor mediante claves SSH protegidas (la autenticación directa por contraseña no es posible)
  • Las IPs abusivas se bloquean o limitan automáticamente (previene ataques de fuerza bruta en cuentas)
  • Todo el tráfico está cifrado (TLS)
  • Nuestras bases de datos están cifradas en reposo
  • Los tokens de CRM de nuestros usuarios tienen otra capa de cifrado

Anexo 2 – Proveedores

  1. GitHub: Versionado y compartición de código
  2. Google Workspace: Servicios de email y Drive
  3. Google Cloud Platform: Cloud Hosting in European Union
  4. HubSpot: CRM
  5. Stripe: Payment service provider
  6. PostHog: Product analytics (EU Cloud)

Anexo 3 – Información general

Categorías de datos personales procesados

Estándar (nombre, URL de LinkedIn, email y teléfono públicos, cargo, información de la empresa, habilidades, país, formación, antigüedad)

Duración del almacenamiento

Menos de una hora, no se almacena en absoluto en la mayoría de los casos

Base legal

Ejecución del contrato celebrado con el Cliente

Finalidades

Transferencia de datos personales de LinkedIn a un CRM