R
RRHH

Tratamiento de Datos Personales

Política de Tratamiento de Datos Personales

Versión 1.1.0· Vigente desde 2026-05-25· Aplica a la operación de RRHH SaaS y sus suscriptores

La presente Política de Tratamiento de Datos Personales (en adelante, la “Política”) regula la manera en que RRHH SaaS trata los datos personales que recibe a través de su plataforma software como servicio (en adelante, la “Plataforma”) en cumplimiento de la normativa colombiana y europea de protección de datos, en particular:

  • Colombia: Ley 1581 de 2012 (Régimen General de Protección de Datos Personales), Decreto 1377 de 2013, Decreto 1074 de 2015, Resolución 02466 de 2017 de la Superintendencia de Industria y Comercio (SIC) y demás normas concordantes (régimen Habeas Data).
  • Unión Europea: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos, “RGPD”).

1. Rol de RRHH SaaS como ENCARGADO del tratamiento

Esta Política aclara expresamente la calidad jurídica en la que RRHH SaaS interviene frente a los datos personales que un Suscriptor (cliente B2B) sube a la Plataforma sobre sus candidatos, empleados, proveedores u otros terceros:

  • El Suscriptor es el Responsable del Tratamiento (en términos del artículo 3, lit. e) de la Ley 1581 de 2012) y el Responsable en términos del artículo 4, ap. 7 del RGPD. Es quien decide sobre los fines, contenido y uso de los datos personales y mantiene la relación jurídica directa con los titulares.
  • RRHH SaaS actúa como Encargado del Tratamiento (artículo 3, lit. d) y artículo 25 de la Ley 1581 de 2012), y como Encargado (en español del RGPD) o Processor/Procesador en los términos del artículo 28 del RGPD. Trata los datos personales por cuenta y bajo instrucciones documentadas del Suscriptor.

Esta calidad de Encargado se formaliza mediante el correspondiente Acuerdo de Tratamiento de Datos (DPA — Data Processing Agreement) suscrito como anexo al contrato de servicios entre RRHH SaaS y el Suscriptor, conforme exigen el artículo 25 de la Ley 1581 de 2012, los artículos 49 a 51 del Decreto 1377 de 2013 y el artículo 28 del RGPD.

En cambio, RRHH SaaS actúa como Responsable respecto de los datos personales de: (i) los visitantes del sitio web público, (ii) los prospectos comerciales (Leads), (iii) los contactos firmantes del Suscriptor, (iv) sus propios empleados y candidatos directos. Para esa calidad consulte adicionalmente la Política de Privacidad.

2. Obligaciones de RRHH SaaS como Encargado

En su calidad de Encargado del Tratamiento, RRHH SaaS asume las siguientes obligaciones frente al Suscriptor (Responsable) y, en lo aplicable, frente a los titulares:

  1. Tratar los datos personales únicamente conforme a las instrucciones documentadas del Responsable (RGPD art. 28.3.a; Ley 1581 art. 18 lit. b), recibidas a través del contrato, de la configuración de la Plataforma o de comunicaciones formales por escrito. Si una instrucción infringe la normativa aplicable, RRHH SaaS lo informará al Suscriptor.
  2. Garantizar la confidencialidad de quienes accedan a los datos (empleados, contratistas, subprocesadores) mediante acuerdos de confidencialidad, formación periódica y controles de acceso por roles (RBAC) con principio de mínimo privilegio (RGPD art. 28.3.b; Ley 1581 art. 18 lit. f).
  3. Aplicar medidas técnicas y organizativas apropiadas al riesgo del tratamiento (RGPD art. 28.3.c y art. 32; Ley 1581 art. 17 lit. d), incluyendo, sin limitarse a:
    • Cifrado en tránsito mediante TLS 1.2/1.3.
    • Cifrado en reposo de campos sensibles con AES-256-GCM y rotación de claves gestionadas por el operador.
    • Hash criptográfico SHA-256 para integridad de evidencias y de la cadena de auditoría inmutable.
    • Hashing de credenciales con bcrypt y bloqueo automático tras intentos fallidos.
    • Aislamiento multi-tenant aplicado server-side en cada query.
    • Auditoría inmutable de acciones críticas con marcas de tiempo, IP y user-agent.
    • Respaldos automáticos con punto de restauración hasta treinta (30) días.
    • Pruebas regulares de seguridad y evaluación periódica de la eficacia de los controles.
  4. Asistir al Responsable en el cumplimiento de su obligación de responder a las solicitudes de los titulares para el ejercicio de los derechos previstos en la Ley 1581 art. 8 (derechos ARCO: Acceso, Rectificación, Cancelación/Supresión, Oposición) y en el Capítulo III del RGPD (acceso, rectificación, supresión, limitación, portabilidad, oposición). RRHH SaaS pone a disposición herramientas dentro de la Plataforma para localizar, exportar, rectificar y eliminar datos de titulares específicos (RGPD art. 28.3.e).
  5. Asistir al Responsable en garantizar la seguridad del tratamiento, la notificación de violaciones, las evaluaciones de impacto (DPIA) y las consultas previas a la autoridad cuando proceda (RGPD art. 28.3.f, art. 32 a 36).
  6. Notificar al Responsable, sin dilación indebida y en un plazo máximo de veinticuatro (24) horas desde el momento en que tenga conocimiento, cualquier violación de seguridad de los datos personales (incidente de seguridad o brecha), aportando toda la información disponible para que el Responsable pueda cumplir sus obligaciones de notificación a la autoridad competente (RGPD art. 33 — 72 horas; Resolución 02466 de 2017 de la SIC) y a los titulares afectados.
  7. Eliminar o devolver los datos personales al final del contrato de prestación de servicios, a elección del Responsable, eliminando las copias existentes, salvo que la normativa exija su conservación (RGPD art. 28.3.g). El Suscriptor dispondrá de un periodo de exportación (ver Términos y Condiciones, sección de cancelación) tras el cual se procederá a la supresión segura.
  8. Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del Encargado y permitir la realización deauditorías, incluidas inspecciones, por parte del Responsable o de otro auditor autorizado por él, con preaviso razonable y respetando la confidencialidad y continuidad operativa (RGPD art. 28.3.h).
  9. No subcontratar el tratamiento a otro Encargado (subprocesador) sin la autorización previa, general o específica, del Responsable (RGPD art. 28.2). El listado de subprocesadores autorizados se publica en la sección 4 de esta Política y se mantiene actualizado; los cambios sustanciales se comunican con antelación razonable para permitir objeción.
  10. Llevar un registro de actividades de tratamiento realizadas por cuenta del Responsable (RGPD art. 30.2).

3. Identificación del Encargado y del Oficial de Protección de Datos

4. Subprocesadores autorizados

Para prestar el Servicio, RRHH SaaS se apoya en una lista cerrada de subprocesadores tecnológicos que actúan bajo contratos que reproducen, en lo esencial, las obligaciones de RRHH SaaS como Encargado (incluyendo cláusulas contractuales tipo aprobadas por la Comisión Europea para transferencias internacionales cuando aplica, conforme al RGPD art. 46.2.c):

SubprocesadorPropósitoPaís de tratamientoGarantías
Neon (Neon, Inc.)Base de datos PostgreSQL gestionada.EE. UU. (us-east, sobre AWS).DPA + SCC RGPD; cifrado en reposo y en tránsito.
Vercel (Vercel Inc.)Hosting de aplicación Next.js y CDN.Global (puntos de presencia); origen EE. UU.DPA + SCC RGPD; aislamiento multi-tenant.
Resend (Resend, Inc.)Entrega de correo electrónico transaccional (OTP, notificaciones).EE. UU. / UE.DPA + SCC RGPD.
Stripe (Stripe, Inc.)Procesamiento de pagos del Suscriptor (no procesa datos de candidatos).EE. UU. / Irlanda (UE).PCI-DSS Nivel 1; DPA + SCC RGPD; los datos de tarjeta nunca tocan los servidores de RRHH SaaS.
Proveedores de validación (BG check, polígrafo)Ejecución de Servicios de Validación contratados por el Suscriptor.Colombia / país donde se ejecuta la validación.Contratos específicos por proveedor; transferencia limitada al dato necesario.

La lista vigente y detallada de subprocesadores está disponible bajo solicitud al DPO. Las incorporaciones de nuevos subprocesadores se comunicarán con al menos treinta (30) días de antelación para permitir al Responsable objetar fundadamente.

5. Países de tratamiento y transferencias internacionales

Como consecuencia del modelo cloud-first, parte del tratamiento se realiza en infraestructura ubicada en Estados Unidos (Neon DB en AWS región us-east-1, Vercel y Resend). Para estas transferencias internacionales se aplican las siguientes garantías:

  • Bajo el RGPD (art. 44 a 50): se emplean Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea (Decisión 2021/914), así como las medidas suplementarias recomendadas por el Comité Europeo de Protección de Datos (EDPB) cuando es aplicable; se evalúa caso a caso conforme a la doctrina Schrems II. Cuando el subprocesador esté adherido al EU-U.S. Data Privacy Framework, se documenta dicha adhesión.
  • Bajo el régimen colombiano (Ley 1581 art. 26 y Decreto 1377 art. 49): se verifica que el país de destino brinde niveles adecuados de protección o, en su defecto, se obtiene autorización expresa del Titular y/o se suscriben cláusulas contractuales que garanticen la observancia de los principios y obligaciones.
  • Cuando el Suscriptor lo requiera, es posible acordar restricciones geográficas adicionales (residencia de datos en UE) bajo condiciones comerciales específicas.

6. Definiciones

  • Titular: persona natural (Ley 1581) o física (RGPD) cuyos datos personales son objeto de tratamiento.
  • Dato personal: cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
  • Dato sensible: aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar discriminación (origen racial, opinión política, convicciones religiosas, afiliación sindical, datos de salud, vida sexual, datos biométricos, datos genéticos). Bajo el RGPD, art. 9, son “categorías especiales”.
  • Tratamiento: cualquier operación o conjunto de operaciones sobre datos personales (recolección, almacenamiento, uso, circulación, supresión).
  • Responsable del Tratamiento: persona que decide sobre la base de datos y los fines del tratamiento. En la operación de la Plataforma, es el Suscriptor.
  • Encargado del Tratamiento / Processor: persona que realiza el tratamiento por cuenta del Responsable. Es RRHH SaaS.
  • Subprocesador: tercero contratado por el Encargado para tareas de tratamiento específicas por cuenta del Responsable.
  • Autorización / Consentimiento: manifestación libre, específica, informada e inequívoca del Titular para llevar a cabo el tratamiento.

7. Tipos de datos personales tratados

7.1 Datos de identificación

  • Nombres y apellidos completos
  • Tipo y número de documento de identidad
  • Fecha y lugar de nacimiento
  • Nacionalidad
  • Género

7.2 Datos de contacto

  • Dirección de residencia
  • Correo electrónico
  • Teléfono fijo y/o móvil (incluido WhatsApp)
  • Perfil de LinkedIn

7.3 Datos socioeconómicos y familiares

  • Estado civil, composición familiar, número de hijos
  • Estrato socioeconómico, condiciones de vivienda
  • Información de la visita domiciliaria (presencial o autogestionada)

7.4 Datos académicos y profesionales

  • Hoja de vida, formación académica, experiencia laboral
  • Referencias laborales, certificados, licencias y tarjetas profesionales
  • Resultados de pruebas de conocimiento

7.5 Datos para validaciones de seguridad y confiabilidad

  • Antecedentes judiciales, disciplinarios, fiscales
  • Resultados de listas restrictivas (LA/FT, OFAC, PEP)
  • Resultados de pruebas psicotécnicas
  • Resultados de pruebas de polígrafo / EyeDetect (datos sensibles)
  • Declaración de bienes y haberes
  • Fotografías, geolocalización y evidencias de visita domiciliaria

7.6 Datos contractuales y de empleado

  • Datos del contrato laboral, salario, beneficios, prestaciones
  • Datos bancarios para pago de nómina
  • Datos de seguridad social
  • Evaluaciones de desempeño, vacaciones, novedades

7.7 Datos sensibles / categorías especiales

Algunos datos tratados constituyen datos sensibles conforme al artículo 5 de la Ley 1581 de 2012 y al artículo 9 del RGPD: resultados de pruebas de polígrafo y EyeDetect, datos biométricos para verificación de identidad facial, ciertos componentes de la visita domiciliaria. Estos datos requieren autorización específica del titular y son tratados con mayor diligencia, accesibles únicamente a usuarios con rol expresamente autorizado.

8. Finalidades del tratamiento

RRHH SaaS, como Encargado, trata los datos exclusivamente para las finalidades que el Suscriptor (Responsable) ha definido al usar la Plataforma y que se circunscriben a:

  1. Adelantar procesos de selección (preentrevista, entrevistas, validaciones, decisión).
  2. Verificar la identidad del Candidato y la veracidad de la información suministrada.
  3. Ejecutar estudios de seguridad y confiabilidad: background check, verificación de antecedentes, listas restrictivas, visita domiciliaria, pruebas psicotécnicas, pruebas de conocimiento, polígrafo / EyeDetect, declaración de bienes y haberes.
  4. Comunicarse con el Titular en relación con el proceso (correo, SMS, WhatsApp, llamada).
  5. Generar oferta laboral, contrato y documentos asociados a la vinculación.
  6. Administrar la relación laboral del empleado: inducción, prueba, desempeño, vacaciones, nómina, novedades.
  7. Cumplir obligaciones legales del empleador en materia de seguridad social, parafiscales, retenciones y reportes a entidades de control.
  8. Conservar evidencia probatoria del cumplimiento del proceso ante reclamaciones, auditorías o requerimientos de autoridad competente.

9. Tratamiento de datos sensibles

El Titular tiene derecho a abstenerse de responder preguntas sobre datos sensibles. Cuando se requiera el tratamiento de datos sensibles para una validación específica (por ejemplo, polígrafo o biometría), el Responsable solicitará autorización adicional, expresa, específica e informada, y la Plataforma registrará la evidencia probatoria correspondiente (sección 14). La negativa del Titular no implica una decisión automática de exclusión, salvo que la validación sea legalmente requerida para el cargo y así se haya informado.

10. Derechos del Titular (ARCO y RGPD)

Bajo la Ley 1581 art. 8 y bajo el RGPD (arts. 15 a 22), el Titular tiene los siguientes derechos:

  1. Acceso: conocer si se tratan sus datos y, en su caso, obtener copia.
  2. Rectificación: solicitar la corrección de datos inexactos o incompletos.
  3. Cancelación / Supresión (“derecho al olvido” en RGPD art. 17).
  4. Oposición al tratamiento basado en interés legítimo o para fines de marketing.
  5. Limitación del tratamiento en los supuestos del RGPD art. 18.
  6. Portabilidad: recibir los datos en un formato estructurado, de uso común y lectura mecánica (RGPD art. 20).
  7. No ser objeto de decisiones automatizadas individuales, incluida la elaboración de perfiles, que produzcan efectos jurídicos o le afecten significativamente (RGPD art. 22).
  8. Revocar la autorización y/o solicitar prueba de la misma cuando proceda.
  9. Presentar quejas ante la autoridad de control competente (SIC en Colombia, o la autoridad de protección de datos del Estado miembro de la UE de residencia o lugar de la supuesta infracción).

Como Encargado, RRHH SaaS canaliza las solicitudes recibidas hacia el Responsable (Suscriptor) y le asiste en su atención dentro de los plazos legales aplicables.

11. Cómo ejercer los derechos

El Titular puede ejercer sus derechos directamente ante el Responsable (el Suscriptor que recolectó sus datos) o utilizando los siguientes canales de RRHH SaaS:

Toda solicitud debe contener:

  • Nombre completo y documento de identidad del Titular.
  • Descripción precisa del derecho que ejerce y los hechos que dan lugar al reclamo.
  • Dirección física o electrónica para notificaciones.
  • Documentos que soporten la solicitud (cuando aplique).

Plazos de respuesta: las consultas se atienden en un máximo de diez (10) días hábiles y los reclamos en un máximo de quince (15) días hábiles, prorrogables por ocho (8) días adicionales (Ley 1581). Bajo el RGPD, las solicitudes se atienden en el plazo máximo de un (1) mes, prorrogable hasta dos meses adicionales cuando la complejidad lo justifique (art. 12.3).

12. Conservación de datos

Los datos se conservan durante el tiempo necesario para cumplir las finalidades, y luego:

  • Datos contables y fiscales: diez (10) años (Decreto 410 de 1971, Colombia).
  • Datos laborales: durante la vigencia de la relación laboral y veinte (20) años posteriores (Código Sustantivo del Trabajo, Colombia).
  • Datos de Candidatos no vinculados: máximo cinco (5) años para conservar evidencia del proceso, salvo solicitud previa de supresión.
  • Datos de Leads no convertidos: máximo veinticuatro (24) meses, salvo solicitud previa.

Al término del contrato con el Suscriptor, RRHH SaaS eliminará o devolverá los datos a su elección conforme a la sección 2 (obligaciones del Encargado).

13. Medidas de seguridad

RRHH SaaS implementa medidas técnicas, humanas y administrativas razonables y proporcionales, incluyendo:

  • Cifrado en tránsito (TLS 1.2/1.3) y en reposo (AES-256-GCM para campos sensibles).
  • Hash criptográfico SHA-256 para integridad y cadena de auditoría inmutable.
  • Autenticación con contraseñas hasheadas (bcrypt) y lockout tras intentos fallidos.
  • Sistema de roles (RBAC) con principio de mínimo privilegio.
  • Aislamiento multi-tenant aplicado server-side en cada operación de base de datos.
  • Trazabilidad de quién consultó datos sensibles (resultado de polígrafo, BG check, declaración de bienes).
  • Respaldos automáticos con punto de restauración hasta treinta (30) días.
  • Plan documentado de respuesta a incidentes con notificación al Responsable en máximo 24 horas y, cuando aplica como Responsable, a la SIC en 72 horas (Resolución 02466 de 2017) y conforme al RGPD art. 33-34.
  • Capacitación al personal en protección de datos personales y confidencialidad.

14. Evidencia probatoria del consentimiento

Cada autorización del Titular queda registrada con la siguiente evidencia probatoria:

  • Fecha y hora exacta del consentimiento.
  • Versión del texto aceptado (control de versionado: si la política cambia, se conserva la versión firmada).
  • Dirección IP y user-agent del dispositivo desde el que se firmó.
  • Hash criptográfico SHA-256 del payload aceptado.
  • Código único de autorización (formato: AUTH-XXXX).
  • Método de firma utilizado (checkbox, OTP por correo, OTP por SMS, firma electrónica).
  • Cuando aplique, verificación adicional vía OTP al correo o teléfono del Titular.

15. Vigencia y modificaciones

Esta Política rige a partir del 25 de mayo de 2026. RRHH SaaS se reserva el derecho de modificarla. Las modificaciones sustanciales se notificarán mediante publicación en la página web y, cuando proceda, mediante comunicación directa al Responsable y al Titular. La continuación del uso del Servicio luego de la modificación implica aceptación de la versión vigente.

16. Autoridades de control y reclamaciones

Si el Titular considera que sus derechos no han sido atendidos adecuadamente, puede presentar queja ante la autoridad de control competente:

  • Colombia — Superintendencia de Industria y Comercio (SIC): www.sic.gov.co; contactenos@sic.gov.co; Carrera 13 No. 27-00, Bogotá D.C., Colombia.
  • Unión Europea: la autoridad de protección de datos del Estado miembro de residencia, trabajo o lugar de la supuesta infracción. La lista oficial se encuentra disponible en el portal del Comité Europeo de Protección de Datos (EDPB).

17. Contacto

Para consultas, reclamaciones o ejercicio de derechos: