Acuerdo de Encargado del Tratamiento (DPA)
Anexo a los Términos y Condiciones
Última actualización: 3 de junio de 2026
Este Acuerdo (Data Processing Agreement, DPA) cumple con el artículo 49 de la nueva LFPDPPP.
Preámbulo
Este Acuerdo de Encargado del Tratamiento (en adelante, “Acuerdo” o “DPA”) forma parte integrante de los Términos y Condiciones celebrados entre Talentu Software, S.A. de C.V. (“Talentu”) y la persona física o moral que contrata el Servicio (el “Cliente” o el “Responsable”), conforme al artículo 49 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (“LFPDPPP”) publicada el 20 de marzo de 2025.
Cláusula 1 — Objeto
El presente Acuerdo tiene por objeto regular el tratamiento de Datos Personales que Talentu, en calidad de Encargado, realiza por cuenta y orden del Cliente, en calidad de Responsable, en el marco de la prestación del Servicio descrito en los Términos y Condiciones.
Este Acuerdo aplica al tratamiento de datos personales realizado por Talentu como Encargado por cuenta del Cliente en ambas plataformas: la plataforma principal de Talentu y la bolsa de trabajo empleos.talentu.work, cuando el Cliente utilice esta última como fuente de candidatos integrada con su proceso de reclutamiento.
Cláusula 2 — Definiciones
Para los efectos del presente Acuerdo:
- Datos Personales: información concerniente a una persona física identificada o identificable que el Cliente carga, almacena, procesa o gestiona dentro del Servicio.
- Titular: persona física a quien corresponden los Datos Personales (típicamente, empleados, candidatos, contactos del Cliente).
- Tratamiento: cualquier operación realizada sobre Datos Personales (recolección, uso, divulgación, almacenamiento, acceso, manejo, aprovechamiento, transferencia o disposición).
- Responsable: el Cliente, quien decide sobre el tratamiento de los Datos Personales.
- Encargado: Talentu, quien trata los Datos Personales por cuenta del Responsable.
- Subencargado: tercero al que Talentu delega parte del tratamiento (proveedores de infraestructura, pagos, etc.).
- Incidente de Seguridad: cualquier vulneración a las medidas de seguridad que afecte los Datos Personales.
Cláusula 3 — Roles de las partes
3.1. El Cliente actúa como Responsable del tratamiento de los Datos Personales que carga al Servicio. Es el único responsable ante los Titulares y ante las autoridades competentes por el cumplimiento de la LFPDPPP, incluyendo:
- La obtención del consentimiento de los Titulares cuando aplique.
- La elaboración y entrega de su propio Aviso de Privacidad a los Titulares.
- La atención de derechos ARCO ejercidos por los Titulares.
- La determinación de las finalidades y medios del tratamiento.
- La notificación de incidentes a los Titulares cuando proceda.
3.2. Talentu actúa exclusivamente como Encargado, tratando los Datos Personales únicamente según las instrucciones del Cliente y para las finalidades pactadas en los Términos y Condiciones.
Cláusula 4 — Instrucciones documentadas
4.1. Talentu tratará los Datos Personales únicamente conforme a las instrucciones documentadas del Cliente, contenidas en:
- Los Términos y Condiciones del Servicio.
- El presente Acuerdo.
- La configuración que el Cliente realice dentro de la plataforma.
4.2. Talentu no destinará los Datos Personales a finalidades distintas de las acordadas, no los venderá ni comercializará, no los utilizará para entrenar modelos de inteligencia artificial propios o de terceros, ni los procesará para fines propios.
4.3. Si Talentu considera que una instrucción del Cliente infringe la LFPDPPP u otra normativa aplicable, lo notificará al Cliente y podrá suspender la ejecución de dicha instrucción.
Cláusula 5 — Categorías de datos y Titulares
5.1 Categorías de Titulares
- Empleados activos, inactivos y exempleados del Cliente.
- Candidatos a empleo registrados por el Cliente.
- Contactos de emergencia, dependientes económicos y beneficiarios cuando aplique.
- Administradores y usuarios del sistema designados por el Cliente.
- Cualquier otra persona física cuyos datos sean cargados por el Cliente.
5.2 Categorías de datos tratados (de manera enunciativa más no limitativa)
- Datos de identificación (nombre, CURP, RFC, fecha de nacimiento, fotografía).
- Datos de contacto (correo, teléfono, domicilio).
- Datos laborales (puesto, sueldo, prestaciones, asistencia, contrato).
- Datos fiscales y de seguridad social (RFC, NSS, INFONAVIT).
- Datos académicos (grado, certificaciones).
- Datos bancarios para nómina (cuando el Cliente decida usar la plataforma para esta finalidad).
5.3 Datos Personales Sensibles
El Cliente reconoce que el Servicio no requiere datos personales sensibles (artículo 8 LFPDPPP). En caso de que el Cliente decida cargarlos voluntariamente, será su responsabilidad exclusiva obtener el consentimiento expreso y por escrito del Titular.
Cláusula 6 — Confidencialidad
6.1. Talentu garantiza que las personas autorizadas para tratar los Datos Personales:
- Están obligadas a guardar confidencialidad mediante contratos de trabajo, prestación de servicios o convenios específicos de no divulgación.
- Reciben capacitación periódica en materia de protección de datos personales.
- Operan bajo el principio de menor privilegio, accediendo únicamente a los datos estrictamente necesarios para sus funciones.
6.2. La obligación de confidencialidad subsistirá indefinidamente después de la terminación del Acuerdo.
Cláusula 7 — Medidas de seguridad
Talentu implementa las siguientes medidas técnicas, administrativas y físicas de seguridad, en cumplimiento del artículo 19 de la LFPDPPP:
7.1 Medidas técnicas
- Cifrado en tránsito mediante TLS 1.2 o superior (HTTPS).
- Cifrado en reposo de las bases de datos.
- Aislamiento de datos entre empresas-cliente (multi-tenant lógico).
- Control de accesos basado en roles (RBAC).
- Autenticación con contraseñas hasheadas (bcrypt o equivalente) y opción de doble factor.
- Bitácoras de auditoría con retención mínima de 12 meses.
- Respaldos automáticos diarios con retención de 7 días.
- Pruebas de seguridad periódicas y monitoreo continuo.
7.2 Medidas administrativas
- Política interna de seguridad de la información.
- Procedimientos documentados de respuesta a incidentes.
- Capacitación obligatoria del personal en protección de datos.
- Acuerdos de confidencialidad con todo el personal.
- Revisión y actualización periódica de las medidas de seguridad.
7.3 Medidas físicas
- Infraestructura alojada en centros de datos certificados (AWS, Cloudflare, Supabase, etc.) con controles físicos de acceso, redundancia eléctrica y de red.
Talentu podrá actualizar estas medidas siempre que mantenga un nivel de protección equivalente o superior.
Cláusula 8 — Subencargados
8.1. El Cliente autoriza expresamente a Talentu a contratar Subencargados para la prestación del Servicio. Los Subencargados actuales incluyen, entre otros:
| Subencargado | Función | País |
|---|---|---|
| Supabase Inc. | Base de datos y autenticación | Estados Unidos |
| Cloudflare Inc. | Hosting, CDN, seguridad | Estados Unidos |
| Stripe Inc. (o equivalente) | Procesamiento de pagos | Estados Unidos |
| Resend / SendGrid (proveedor de email) | Email transaccional | Estados Unidos |
| Claude | Asistente legal con IA | Estados Unidos |
8.2. La lista actualizada de Subencargados está disponible en https://talentu.work/subencargados (o publicada por Talentu mediante notificación).
8.3. Talentu se asegura que cada Subencargado:
- Esté contractualmente obligado a niveles de protección equivalentes o superiores a los de este Acuerdo.
- Cumpla con estándares internacionales de seguridad de la información.
- Implemente medidas técnicas y organizativas apropiadas.
8.4. Talentu notificará al Cliente cualquier cambio sustancial en la lista de Subencargados con al menos 30 (treinta) días naturales de anticipación. Si el Cliente tiene objeciones razonables, podrá manifestarlas; si la objeción no puede resolverse, el Cliente podrá rescindir el Servicio sin penalidad.
8.5. Talentu responderá ante el Cliente por las acciones u omisiones de los Subencargados como si fueran propias.
Cláusula 9 — Transferencias internacionales
9.1. Algunos Subencargados están ubicados fuera de México, principalmente en Estados Unidos y la Unión Europea. El Cliente autoriza expresamente dichas transferencias internacionales conforme al artículo 36 de la LFPDPPP.
9.2. Talentu garantiza que las transferencias se realizan a Subencargados que:
- Operan bajo marcos de protección reconocidos (cláusulas contractuales tipo, certificaciones, etc.).
- Mantienen niveles de seguridad equivalentes o superiores a los exigidos por la LFPDPPP.
Cláusula 10 — Derechos ARCO de los Titulares
10.1. Si Talentu recibe directamente una solicitud ARCO de un Titular cuyos datos sean tratados por cuenta del Cliente, Talentu redirigirá dicha solicitud al Cliente y se abstendrá de responderla directamente, salvo instrucción expresa.
10.2. Talentu pondrá a disposición del Cliente las herramientas técnicas dentro de la plataforma (acceso, edición, exportación, eliminación) para facilitar la atención de los derechos ARCO ejercidos ante el Cliente.
10.3. Los plazos legales de respuesta corresponden al Cliente como Responsable.
Cláusula 11 — Notificación de incidentes
11.1. En caso de detectar un Incidente de Seguridad que afecte los Datos Personales tratados por cuenta del Cliente, Talentu notificará al Cliente sin demora injustificada, a más tardar dentro de las 72 (setenta y dos) horas siguientes al conocimiento del incidente, mediante el correo registrado en la cuenta del Cliente.
11.2. La notificación incluirá, en la medida de lo posible:
- Naturaleza del incidente.
- Categorías y volumen aproximado de Datos Personales afectados.
- Categorías y número aproximado de Titulares afectados.
- Consecuencias probables.
- Medidas adoptadas o propuestas para mitigar el incidente.
- Datos de contacto para más información.
11.3. La notificación a los Titulares afectados y, en su caso, a la Secretaría Anticorrupción y Buen Gobierno, corresponde al Cliente como Responsable, conforme al artículo 20 de la LFPDPPP.
11.4. Talentu cooperará razonablemente con el Cliente en la investigación y manejo del incidente.
Cláusula 12 — Auditoría
12.1. El Cliente tiene derecho a auditar el cumplimiento de Talentu con este Acuerdo, sujeto a las siguientes condiciones razonables:
- Notificación previa con al menos 30 (treinta) días naturales de anticipación.
- Máximo una auditoría por año calendario, salvo incidente de seguridad confirmado o requerimiento legal.
- Auditoría realizada en horario laboral, sin interferir con la operación del Servicio.
- Compromiso de confidencialidad respecto a la información obtenida.
- Costos de la auditoría a cargo del Cliente, salvo que se identifiquen incumplimientos materiales por parte de Talentu.
12.2. Talentu podrá satisfacer el derecho de auditoría mediante la entrega de certificaciones de terceros independientes (SOC 2, ISO 27001, etc.) que cubran las áreas auditadas, cuando estén disponibles.
Cláusula 13 — Devolución y eliminación de datos
13.1. A la terminación del Servicio por cualquier motivo:
- El Cliente tendrá un periodo de 30 (treinta) días naturales para descargar y exportar todos sus Datos Personales en formatos estándar (CSV, XLSX).
- Talentu podrá ofrecer asistencia razonable para la migración de datos.
13.2. Transcurrido el plazo de exportación, Talentu procederá a la eliminación definitiva de los Datos Personales:
- En bases de datos productivas: dentro de los 30 (treinta) días naturales siguientes.
- En respaldos: conforme al ciclo de retención (máximo 90 días adicionales).
13.3. Quedan exceptuados de la eliminación los datos que Talentu deba conservar:
- Por mandato legal, fiscal, contable, laboral o regulatorio.
- Para defender intereses legítimos en procesos administrativos o judiciales.
- En forma anonimizada para fines estadísticos sin posibilidad de re-identificación.
13.4. A solicitud del Cliente, Talentu emitirá constancia de eliminación.
Cláusula 14 — Responsabilidad
14.1. Cada parte responderá por los daños causados por su propio incumplimiento al presente Acuerdo o a la LFPDPPP.
14.2. Las limitaciones de responsabilidad establecidas en los Términos y Condiciones aplican también a este Acuerdo.
14.3. El Cliente reconoce que es el único responsable ante los Titulares y ante las autoridades por el cumplimiento de las obligaciones que la LFPDPPP impone al Responsable.
Cláusula 15 — Vigencia y terminación
15.1. Este Acuerdo entra en vigor a partir de la aceptación de los Términos y Condiciones por parte del Cliente y permanecerá vigente mientras dure la prestación del Servicio.
15.2. La terminación del Servicio implica la terminación automática de este Acuerdo, sin perjuicio de las obligaciones que por su naturaleza deban subsistir (confidencialidad, eliminación de datos, etc.).
Cláusula 16 — Modificaciones
Talentu podrá modificar este Acuerdo para reflejar cambios legislativos o técnicos, notificando al Cliente con 30 (treinta) días naturales de anticipación. Si el Cliente tiene objeciones razonables, podrá rescindir el Servicio sin penalidad.
Cláusula 17 — Conflictos
17.1. En caso de conflicto entre este Acuerdo y los Términos y Condiciones, prevalecerán las disposiciones de este Acuerdo en lo relativo al tratamiento de Datos Personales.
17.2. En caso de conflicto entre este Acuerdo y la LFPDPPP, prevalecerá la LFPDPPP.
Cláusula 18 — Legislación y jurisdicción
Este Acuerdo se rige por las leyes de los Estados Unidos Mexicanos. Las partes se someten a la jurisdicción de los tribunales competentes de Cd. Obregón, Sonora, renunciando a cualquier otro fuero.
Cláusula 19 — Aceptación
Al aceptar los Términos y Condiciones del Servicio, el Cliente acepta también el presente Acuerdo de Encargado del Tratamiento, el cual forma parte integrante e inseparable de aquellos.
Fecha de última actualización: 3 de junio de 2026
Versión: 1.0