Acuerdo de Procesamiento de Datos

DPA de autoservicio: Este Acuerdo de Procesamiento de Datos (DPA) está disponible para su aceptación en línea como parte del Contrato Marco de Servicios de Staffinity. Los clientes empresariales que requieran un DPA contrafirmado en PDF o condiciones personalizadas pueden ponerse en contacto con privacy@staffinity.io.

§1 Partes

Vigente desde el 15 de mayo de 2026

El presente Acuerdo de Procesamiento de Datos ("DPA") se celebra entre:

Encargado del Tratamiento

Staffinity, Inc.

Sociedad constituida conforme a las leyes de los Estados Unidos
Contacto: privacy@staffinity.io
Consultas de seguridad: security@staffinity.io

Responsable del Tratamiento

El Cliente

La entidad o persona física que ha suscrito un Contrato Marco de Servicios o Formulario de Pedido de Staffinity, identificada en dicho contrato como "Cliente".

En conjunto denominadas las "Partes". Este DPA forma parte del Contrato Marco de Servicios de Staffinity ("CMS") o del Formulario de Pedido aplicable y queda incorporado al mismo. En caso de conflicto entre el presente DPA y el CMS, este DPA prevalecerá en lo que respecta al tratamiento de Datos Personales.

§2 Objeto y Duración

2.1 Objeto

El presente DPA regula el tratamiento de Datos Personales por parte de Staffinity ("Encargado del Tratamiento") en nombre del Cliente ("Responsable del Tratamiento"), en el contexto de la plataforma de agentes de inteligencia artificial para el lugar de trabajo de Staffinity, incluida la integración con Teams/Slack, la infraestructura de orquestación, la recuperación de conocimiento (RAG), la programación y los servicios relacionados (en conjunto, los "Servicios"), según se describe en el Anexo B.

2.2 Naturaleza del Tratamiento

Las actividades de tratamiento comprenden: recopilación, almacenamiento, transmisión, recuperación, uso y supresión de Datos Personales enviados por el Responsable del Tratamiento o en su nombre a través de los Servicios. Los Datos Personales se tratan exclusivamente para prestar los Servicios y no para fines propios de Staffinity.

2.3 Duración

El presente DPA entra en vigor desde la fecha en que el Cliente acepta el CMS o el Formulario de Pedido y permanece vigente durante la duración de los Servicios. A la terminación, se aplica la Sección 10 (Supresión de Datos).

2.4 Delimitación de Roles

El Cliente es el Responsable del Tratamiento; Staffinity es el Encargado del Tratamiento. Staffinity trata los Datos Personales únicamente siguiendo instrucciones documentadas del Responsable, salvo cuando la legislación aplicable lo exija. En caso de que Staffinity considere razonablemente que una instrucción infringe el RGPD u otra normativa aplicable de protección de datos, informará al Responsable de forma inmediata.

§3 Obligaciones del Responsable del Tratamiento

El Responsable del Tratamiento declara y garantiza que:

Dispone de una base jurídica válida conforme al Artículo 6 del RGPD (y al Artículo 9, cuando corresponda) para cada actividad de tratamiento realizada en virtud del presente DPA.
Ha proporcionado todos los avisos requeridos a los Interesados cuyos Datos Personales se tratan en virtud del presente DPA y, cuando sea necesario, ha obtenido todos los consentimientos requeridos.
No instruirá al Encargado del Tratamiento para que trate los Datos Personales de ninguna manera que pueda ocasionar que el Encargado infrinja la legislación aplicable.
Cooperará con el Encargado del Tratamiento para facilitar el ejercicio de los derechos de los Interesados, según se describe en la Sección 7.
Notificará de forma inmediata al Encargado del Tratamiento cualquier cambio en la legislación aplicable que afecte materialmente a las actividades de tratamiento previstas en el presente DPA.
Llevará a cabo y mantendrá, cuando sea obligatorio, una Evaluación de Impacto en la Protección de Datos (EIPD) para actividades de tratamiento de alto riesgo, y consultará al Encargado del Tratamiento según sea razonablemente necesario.

§4 Obligaciones del Encargado del Tratamiento

4.1 Instrucciones

Staffinity tratará los Datos Personales únicamente siguiendo instrucciones documentadas del Responsable del Tratamiento, incluyendo lo relativo a las transferencias de Datos Personales a terceros países, salvo que la legislación aplicable de la Unión o del Estado miembro lo exija. Staffinity informará inmediatamente al Responsable del Tratamiento si, a su juicio, una instrucción infringe la normativa aplicable de protección de datos.

4.2 Confidencialidad

Staffinity velará por que las personas autorizadas para tratar Datos Personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal adecuada de confidencialidad. El acceso a los Datos Personales se limitará al personal que lo necesite para la prestación de los Servicios.

4.3 Seguridad

Staffinity implementará y mantendrá las Medidas Técnicas y Organizativas ("MTO") adecuadas para garantizar un nivel de seguridad apropiado al riesgo, incluidas las que se detallan en el Anexo A. Las medidas de seguridad de Staffinity se fundamentan en los controles de la norma ISO 27001, el Marco de Buenas Prácticas de AWS (AWS Well-Architected Framework) y los requisitos de CSA STAR.

4.4 Prohibición de Uso Secundario

Staffinity no tratará los Datos Personales para ningún fin distinto de la prestación de los Servicios. Los datos del Cliente nunca se utilizan para entrenar modelos de IA — esto se aplica contractualmente a través de los acuerdos de Staffinity con todos los proveedores de modelos de IA.

4.5 Asistencia

Teniendo en cuenta la naturaleza del tratamiento, Staffinity asistirá al Responsable del Tratamiento mediante las medidas técnicas y organizativas adecuadas, tanto en el cumplimiento de las obligaciones del Responsable frente a las solicitudes de ejercicio de derechos de los Interesados, como en el cumplimiento de los Artículos 32 a 36 del RGPD (seguridad, notificación de brechas, EIPD y consulta previa).

4.6 Registros

Staffinity mantendrá registros de todas las actividades de tratamiento realizadas en nombre del Responsable del Tratamiento, según exige el Artículo 30(2) del RGPD, y los pondrá a disposición del Responsable cuando lo solicite.

§5 Subencargados del Tratamiento

El Responsable del Tratamiento otorga autorización general a Staffinity para contratar subencargados del tratamiento. Staffinity impondrá a los subencargados obligaciones de protección de datos equivalentes a las establecidas en el presente DPA, mediante contrato escrito. Staffinity seguirá siendo plenamente responsable frente al Responsable del Tratamiento por el cumplimiento de las obligaciones de los subencargados.

Staffinity notificará al Responsable del Tratamiento cualquier cambio previsto en relación con la incorporación o sustitución de subencargados con al menos 30 días de antelación, mediante correo electrónico al contacto registrado del Responsable, otorgándole la oportunidad de oponerse. La lista vigente de subencargados del tratamiento autorizados es la siguiente:

Subencargado	Finalidad	Ubicación de los Datos	Garantías
Amazon Web Services (AWS) Amazon.com, Inc. — Seattle, WA, EE. UU.	Infraestructura en la nube, cómputo ECS, RDS (pgvector), ElastiCache, S3, KMS, CloudWatch, GuardDuty. Todo el procesamiento se realiza en us-east-2 (Ohio) de forma predeterminada, o en cualquier región de AWS en la UE (p. ej., eu-central-1 Fráncfort, eu-west-1 Irlanda, eu-west-3 París) para clientes con sede en la UE — seleccionada en el momento del despliegue.	EE. UU. o UE según la región del cliente	ISO 27001 SOC 2 Type II GDPR DPA EU SCCs
Anthropic, PBC San Francisco, CA, EE. UU.	Inferencia de IA (Claude Sonnet). El contenido de los mensajes se envía a la API de Anthropic para la generación de respuestas. Ningún dato se utiliza para entrenar modelos en virtud del Acuerdo Empresarial con Anthropic.	EE. UU. (API de Anthropic)	Enterprise DPA GLBA Addendum EU SCCs No model training
Microsoft Corporation Redmond, WA, EE. UU.	Entrega de mensajes a través de Microsoft Teams, Microsoft Graph API (para SharePoint y autenticación con Entra ID). Los datos de identidad de los empleados (Object IDs de AAD, nombres para mostrar) se procesan únicamente a efectos de autorización.	UE/EE. UU. (Límite de Datos de la UE de Microsoft para clientes europeos)	ISO 27001 SOC 2 Type II GDPR DPA EU Data Boundary
Perplexity AI, Inc. San Francisco, CA, EE. UU.	Herramienta de búsqueda web (función opcional). Cuando los agentes realizan búsquedas en internet, las consultas se envían a la API de Perplexity. Las consultas de búsqueda pueden contener contexto de los mensajes del usuario. Este subencargado solo está activo cuando la funcionalidad de búsqueda web está habilitada.	EE. UU.	Perplexity DPA EU SCCs No model training
Cloudflare, Inc. San Francisco, CA, EE. UU.	DNS, CDN y protección contra DDoS para los dominios staffinity.io. Cloudflare procesa direcciones IP y metadatos HTTP; no procesa el contenido de los mensajes.	Edge global (solo metadatos)	ISO 27001 SOC 2 Type II GDPR DPA

Nota para clientes sujetos a HIPAA: Los DPA estándar de Perplexity y Anthropic no constituyen Acuerdos de Socio Comercial (BAA). Los despliegues habilitados para HIPAA requieren la negociación de BAA independientes con estos proveedores. Póngase en contacto con privacy@staffinity.io antes de procesar Información Sanitaria Protegida.

§6 Transferencias Internacionales de Datos

6.1 De la UE/EEE a EE. UU.

El proveedor principal de inferencia de IA de Staffinity (Anthropic) y el proveedor de búsqueda web (Perplexity) tienen su sede en los Estados Unidos. Las transferencias de Datos Personales desde la UE/EEE hacia estos proveedores se rigen por las Cláusulas Contractuales Estándar (CCE) establecidas en la Decisión de Ejecución (UE) 2021/914 de la Comisión ("CCE de 2021"), específicamente las cláusulas del Módulo 2 (Responsable a Encargado).

6.2 Opción de Residencia de Datos para Clientes con Sede en la UE

Los clientes con requisitos de residencia de datos en la UE pueden solicitar el despliegue en cualquier región de AWS en la UE (incluidas eu-central-1 Fráncfort, eu-west-1 Irlanda, eu-west-3 París, eu-north-1 Estocolmo y otras). La región específica se acuerda en el momento del despliegue y se documenta en el Formulario de Pedido aplicable. En esta configuración, todo el procesamiento a nivel de infraestructura (cómputo, almacenamiento, bases de datos, caché) tiene lugar dentro de la UE. La inferencia de IA (Anthropic) continúa implicando procesamiento en EE. UU. bajo las CCE según lo descrito anteriormente.

6.3 Evaluación del Impacto de la Transferencia

Staffinity ha realizado una Evaluación del Impacto de la Transferencia (EIT) para las transferencias a Anthropic y Perplexity. Principales conclusiones: (a) los datos transferidos consisten en mensajes conversacionales, sin categorías especiales de datos; (b) Anthropic y Perplexity operan bajo sólidos controles de seguridad y cumplen con las leyes federales de privacidad aplicables en EE. UU.; (c) las CCE proporcionan garantías adecuadas junto con medidas técnicas complementarias, incluido TLS 1.3 en tránsito y AES-256 en reposo. La EIT está disponible para los Responsables del Tratamiento que la soliciten bajo acuerdo de confidencialidad.

6.4 Prohibición de Transferencias No Autorizadas a Terceros Países

Staffinity no transferirá Datos Personales a ningún tercer país u organización internacional no incluidos en la Sección 5 sin el consentimiento previo por escrito del Responsable del Tratamiento y sin garantizar que exista una salvaguarda adecuada conforme al Capítulo V del RGPD.

§7 Derechos del Interesado

Cuando Staffinity reciba directamente de un Interesado una solicitud para el ejercicio de sus derechos en virtud de los Artículos 15 a 22 del RGPD (acceso, rectificación, supresión, limitación, portabilidad, oposición), Staffinity:

No responderá de forma independiente al Interesado, sino que remitirá la solicitud de inmediato al Responsable del Tratamiento;
Asistirá al Responsable del Tratamiento en la respuesta a la solicitud, facilitando la ayuda técnica y organizativa que sea razonablemente necesaria;
No cobrará al Responsable del Tratamiento por la asistencia estándar en la atención de solicitudes de los Interesados (podrán aplicarse costes razonables para exportaciones a gran escala u operaciones técnicas complejas).

La plataforma de Staffinity está diseñada para facilitar el cumplimiento del Responsable del Tratamiento con los derechos de los Interesados, incluyendo:

Derecho de acceso: El historial de conversaciones y los datos almacenados son recuperables previa solicitud;
Derecho de supresión: Staffinity eliminará todos los Datos Personales de un usuario concreto, previa instrucción documentada del Responsable del Tratamiento, en un plazo de 30 días;
Derecho de limitación: El tratamiento para usuarios específicos puede suspenderse previa instrucción;
Portabilidad de datos: La exportación del historial de conversaciones está disponible en formato JSON previa solicitud.

§8 Notificación de Brechas de Seguridad

8.1 Notificación del Encargado

En caso de que se produzca una Violación de la Seguridad de los Datos Personales (tal y como se define en el Artículo 4(12) del RGPD) que afecte a los Datos Personales tratados en virtud del presente DPA, Staffinity notificará al Responsable del Tratamiento sin dilación indebida y, cuando sea posible, en un plazo de 48 horas desde que tenga conocimiento de la brecha. Este plazo tiene como finalidad apoyar la obligación del Responsable de notificar a la autoridad de control competente en un plazo de 72 horas, conforme al Artículo 33 del RGPD.

8.2 Contenido de la Notificación

La notificación de la brecha incluirá, en la medida en que esté disponible en el momento de la notificación:

Una descripción de la naturaleza de la brecha, incluyendo (cuando sea posible) las categorías y el número aproximado de Interesados afectados, así como las categorías y el número aproximado de registros afectados;
El nombre y los datos de contacto del responsable de protección de datos de Staffinity;
Una descripción de las posibles consecuencias de la brecha;
Una descripción de las medidas adoptadas o propuestas para hacer frente a la brecha, incluidas las medidas para mitigar sus posibles efectos negativos.

8.3 Cooperación

Staffinity cooperará plenamente con el Responsable del Tratamiento y adoptará las medidas razonablemente necesarias para contribuir a la investigación, mitigación y remediación de una brecha. La notificación al Responsable no constituye una admisión de culpa o responsabilidad por parte de Staffinity.

8.4 Contacto de Seguridad

Todos los asuntos de seguridad y brechas deben dirigirse a: security@staffinity.io. Staffinity mantiene un proceso de respuesta a incidentes disponible las 24 horas del día, los 7 días de la semana, supervisado mediante AWS GuardDuty, canarios de CloudWatch Synthetics y alertas automatizadas.

§9 Derechos de Auditoría

9.1 Documentación

Staffinity pondrá a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente DPA y en el Artículo 28 del RGPD. Esto incluye el acceso a: el presente DPA y sus anexos; los acuerdos de Staffinity con subencargados (con posibles redacciones de condiciones comercialmente sensibles); certificaciones de seguridad e informes de auditoría; y los registros de tratamiento conforme al Artículo 30(2) del RGPD.

9.2 Informes de Auditoría de Terceros

Staffinity proporcionará, previa solicitud por escrito y bajo acuerdo de confidencialidad, copias de los informes de auditoría y certificaciones de terceros disponibles, entre ellos: autoevaluación CSA STAR Nivel 1; Revisión del Marco de Buenas Prácticas de AWS (públicamente disponible en trust.staffinity.io); y, una vez completado, el informe de auditoría SOC 2 Tipo I.

9.3 Auditorías In Situ

En el supuesto de que el Responsable del Tratamiento determine razonablemente que los informes de terceros no proporcionan garantías suficientes, el Responsable podrá realizar (o encargar a un auditor externo cualificado) una auditoría de las operaciones de tratamiento de Staffinity, sujeta a: (a) un preaviso mínimo por escrito de 30 días; (b) la realización de la auditoría durante el horario laboral normal; (c) que el auditor esté sujeto a obligaciones de confidencialidad; y (d) el reembolso por parte del Responsable de los costes razonables de Staffinity. Las auditorías no podrán realizarse más de una vez por año natural, salvo en caso de un incidente de seguridad documentado.

§10 Supresión y Devolución de Datos

10.1 A la Terminación

Tras la terminación del CMS o previa solicitud por escrito del Responsable del Tratamiento, Staffinity, a elección del Responsable, procederá a:

Eliminar todos los Datos Personales tratados en virtud del presente DPA, incluidas las copias en poder de los subencargados, en un plazo de 30 días; o
Devolver todos los Datos Personales al Responsable del Tratamiento en un formato portable (JSON o CSV), tras lo cual Staffinity eliminará todas las copias en un plazo de 30 días desde la confirmación de recepción por parte del Responsable.

10.2 Conservación por Obligaciones Legales

No obstante lo dispuesto en la Sección 10.1, Staffinity podrá conservar Datos Personales en la medida en que lo exija la legislación aplicable (incluidos los datos de registros de auditoría requeridos para el cumplimiento normativo). Dichos datos conservados estarán sujetos a las obligaciones de confidencialidad y seguridad del presente DPA y serán eliminados en cuanto cese la obligación legal. Staffinity notificará al Responsable del Tratamiento sobre dichos datos conservados y la base jurídica aplicable.

10.3 Certificación

Una vez completada la eliminación, Staffinity proporcionará al Responsable del Tratamiento una certificación escrita que acredite que todos los Datos Personales han sido eliminados o devueltos de conformidad con la presente Sección.

Anexo A Medidas Técnicas y Organizativas (MTO)

Vigentes a partir del 15 de mayo de 2026 — revisadas anualmente

Staffinity implementa las siguientes medidas técnicas y organizativas para proteger los Datos Personales frente a tratamientos no autorizados o ilícitos, así como contra la pérdida, destrucción o daño accidental:

🔐

Cifrado en Reposo

Todos los datos cifrados con AES-256. Claves Gestionadas por el Cliente (CMK) en AWS KMS por cliente, con rotación anual. CMK independientes para cada cuenta de cliente (sin claves compartidas).

🔒

Cifrado en Tránsito

TLS 1.3 obligatorio en todas las conexiones. ELBSecurityPolicy-TLS13-1-2-2021-06. HTTP redirigido a HTTPS. Conexiones Redis solo mediante TLS (puerto 6380).

🏢

Aislamiento por Cuenta

Cada cliente empresarial se aprovisiona en una cuenta de AWS dedicada. Sin cómputo, almacenamiento, bases de datos ni claves de cifrado compartidas entre clientes. Separación física de cuentas.

🧱

Seguridad de Red

Aislamiento de VPC con NAT gateway, grupos de seguridad y NACLs. AWS WAF en todos los puntos de acceso públicos. Sin acceso directo a internet para cómputo o bases de datos. VPC Link para la comunicación entre servicios internos.

🪪

Identidad y Acceso

Autenticación con Microsoft Entra ID y aplicación de MFA. Políticas de Acceso Condicional. Cumplimiento de MDM con Intune. Revisiones de acceso trimestrales. Principio de mínimo privilegio aplicado.

🛡️

Detección de Amenazas

AWS GuardDuty habilitado (protección de S3 y detección de malware). Reglas de cumplimiento de AWS Config. Alertas de EventBridge a SNS. Monitoreo de salud con CloudWatch Synthetics. Alertas de seguridad al personal de guardia.

🧾

Registros de Auditoría

Trazabilidad de auditoría inmutable: DynamoDB + S3 WORM (Object Lock COMPLIANCE, retención de 7 años). Eventos de datos de CloudTrail. Consultas mediante Athena. Registros cifrados con CMK.

🔍

Detección de PII

Capa automatizada de detección de PII en todos los datos entrantes y salientes (NSS, tarjetas de crédito, datos de salud, más de 20 tipos de patrones). Patrones extendidos para HIPAA en clientes del sector sanitario. Registro en auditoría al detectar.

💉

Protección contra Inyección de Prompts

El contenido externo se delimita con marcadores de frontera antes del procesamiento por IA. Limitación de tasa (30/min, 200/hora por usuario). Validación y saneamiento de entradas en la capa de middleware.

♻️

Copias de Seguridad y Recuperación

Copias de seguridad en 3 niveles: diario/35d, semanal/90d, mensual/1 año. PITR habilitado en DynamoDB. RTO <15 min, RPO casi nulo. Protección contra eliminación habilitada en todas las bases de datos en producción.

📦

Seguridad en la Cadena de Suministro

Análisis de imágenes ECR (scanOnPush=true). Inmutabilidad de etiquetas en todos los repositorios de imágenes. Resúmenes de imagen fijados en las definiciones de tareas en producción. Sin registros no confiables.

👤

Medidas de Personal

Todo el personal con acceso a datos está sujeto a obligaciones de confidencialidad. Formación anual en seguridad. Verificación de antecedentes de los empleados con acceso al sistema. Revocación de acceso en un plazo de 24 horas tras cambio de funciones.

Anexo B Detalles del Tratamiento

Categorías de Interesados

Empleados, contratistas y usuarios autorizados del Responsable del Tratamiento que interactúen con el agente de IA de Staffinity a través de Microsoft Teams, Slack u otros canales conectados;
Terceros cuyos Datos Personales puedan ser referenciados incidentalmente en las comunicaciones procesadas por la plataforma (p. ej., contactos o clientes mencionados en los mensajes).

Categorías de Datos Personales

Datos de identidad: Nombre, dirección de correo electrónico, Object ID de Microsoft/Entra ID, nombre para mostrar, departamento;
Datos de interacción: Contenido de mensajes, marcas de tiempo, historial de conversaciones, archivos adjuntos procesados por el agente;
Datos de uso: Identificadores de sesión, métricas de uso de funcionalidades, registros de errores (sin contenido almacenado en las métricas);
Datos de preferencias: Preferencias y configuraciones expresadas por el usuario y almacenadas en la memoria del agente;
Categorías especiales: No se recopilan de forma intencionada. Los datos sensibles conforme a HIPAA se procesan únicamente bajo un BAA independiente y con configuración explícita del cliente.

Operaciones de Tratamiento

Autenticación y autorización mediante Microsoft Entra ID;
Almacenamiento y recuperación del historial de conversaciones (Redis, DynamoDB — ventana deslizante de 7 días);
Inferencia de IA: reenvío del contexto del mensaje a Anthropic Claude para la generación de respuestas;
Recuperación de conocimiento: búsqueda semántica en documentos aportados por el cliente (RAG, pgvector);
Búsqueda web opcional: reenvío de consultas de búsqueda a la API de Perplexity;
Programación y ejecución de tareas mediante EventBridge y Lambda;
Registro de auditoría: registros solo de metadatos (sin contenido de mensajes en los registros de auditoría);
Detección y marcado de PII en la capa de middleware.

Plazos de Conservación

Historial de conversaciones: Conservación deslizante de 7 días en Redis; DynamoDB con TTL configurable;
Registros de auditoría: 7 años (archivo S3 protegido con WORM);
Preferencias de usuario: Duración del contrato de servicios;
Documentos de la base de conocimiento (RAG): Según la configuración del Responsable del Tratamiento; eliminados a la terminación;
Datos de copias de seguridad: Según el nivel de copia (máximo 1 año para copias mensuales).

Anexo C Cláusulas Contractuales Estándar (CCE)

Marco Aplicable

Para las transferencias de Datos Personales desde la Unión Europea / el Espacio Económico Europeo a Staffinity (establecida en los Estados Unidos) o a subencargados del tratamiento con sede en EE. UU. (Anthropic, Perplexity), las Partes acuerdan que las Cláusulas Contractuales Estándar adoptadas por la Comisión Europea mediante la Decisión de Ejecución (UE) 2021/914 de 4 de junio de 2021 quedan incorporadas por referencia al presente DPA de la siguiente manera:

Módulo 2 (Responsable a Encargado) se aplica a las transferencias del Responsable del Tratamiento (entidad de la UE/EEE) a Staffinity;
Módulo 3 (Encargado a Encargado) se aplica a las transferencias posteriores de Staffinity a subencargados con sede en EE. UU. (Anthropic, Perplexity).

Cláusula 7 — Cláusula de Adhesión

Se activa la cláusula de adhesión de las CCE de 2021 (Cláusula 7), que permite que responsables o encargados adicionales se adhieran a las CCE cuando sea necesario durante la vigencia del presente DPA, sin necesidad de negociar un nuevo DPA.

Cláusula 9 — Subencargados del Tratamiento

Se aplica la Opción 2 (Autorización General por Escrito). Staffinity otorga autorización general conforme a lo descrito en la Sección 5 del presente DPA, con un preaviso de 30 días ante cualquier cambio.

Cláusula 11 — Recurso

El mecanismo opcional de recurso no está activado. Los Interesados ejercerán sus derechos a través del Responsable del Tratamiento según se describe en la Sección 7 del presente DPA.

Cláusula 17 — Ley Aplicable

Las CCE se regirán por el derecho del Estado miembro de la UE en el que esté establecido el Responsable del Tratamiento. Para los Responsables que no estén establecidos en un Estado miembro de la UE, las CCE se regirán por el derecho de la República de Irlanda.

Cláusula 18 — Jurisdicción

Cualquier litigio derivado de las CCE será resuelto por los tribunales del Estado miembro de la UE en el que esté establecido el Responsable del Tratamiento o, para los Responsables que no estén establecidos en un Estado miembro de la UE, por los tribunales de la República de Irlanda.

Addendum para el RGPD del Reino Unido

Para las transferencias sujetas al RGPD del Reino Unido (post-Brexit), el Addendum Internacional de Transferencia de Datos emitido por la Oficina del Comisionado de Información del Reino Unido (ICO) — versión B1.0 — queda incorporado a las CCE. Las Partes acuerdan todas las cláusulas obligatorias y seleccionan: (a) Tabla 1 — según se especifica en el presente DPA; (b) Tabla 2 — CCE de 2021 Módulo 2; (c) Tabla 4 — Encargado del Tratamiento.

Texto completo de las CCE: El texto completo, sin modificaciones, de las CCE de 2021 está disponible en el sitio web de la Comisión Europea en commission.europa.eu. Staffinity proporciona una copia contrafirmada con los Anexos I–III cumplimentados previa solicitud a privacy@staffinity.io.

Disposiciones Generales

Responsabilidad

La responsabilidad de cada Parte en virtud del presente DPA estará sujeta a las limitaciones y exclusiones establecidas en el CMS, en la medida en que lo permita la legislación aplicable. Nada en el presente DPA limita la responsabilidad de ninguna de las Partes por muerte, daños personales, fraude ni ninguna responsabilidad que no pueda limitarse en virtud de la legislación aplicable.

Modificaciones

Staffinity podrá actualizar el presente DPA para reflejar cambios en la legislación aplicable o en sus actividades de tratamiento. Los cambios materiales serán comunicados al Responsable del Tratamiento con al menos 30 días de antelación a su entrada en vigor. El uso continuado de los Servicios tras la fecha de entrada en vigor implicará la aceptación de dichos cambios. Para los clientes con DPA contrafirmados, las modificaciones requerirán acuerdo mutuo por escrito.

Divisibilidad

Si alguna disposición del presente DPA fuese declarada inválida o inaplicable, las disposiciones restantes seguirán teniendo plena vigencia y efecto. Las Partes negociarán de buena fe para reemplazar cualquier disposición inválida por una disposición válida que logre, en la medida de lo posible, el mismo objetivo.

Ley Aplicable

El presente DPA se regirá e interpretará de conformidad con las leyes del Estado de Delaware, Estados Unidos, sin perjuicio de las disposiciones sobre conflicto de leyes, excepto en la medida en que las CCE del Anexo C establezcan una ley aplicable diferente a efectos de transferencias transfronterizas.

Contacto

Las consultas sobre el presente DPA deben dirigirse a: privacy@staffinity.io

¿Necesita un DPA Contrafirmado?

Los clientes empresariales que requieran una copia en PDF contrafirmada, anexos personalizados o un BAA (para casos de uso HIPAA) pueden solicitarlo directamente. Los DPA estándar se procesan en 3 días hábiles.

Solicitar DPA Contrafirmado Volver al Centro de Confianza