Acuerdo legal vigente

Acuerdo de Procesamiento de Datos

Este Acuerdo de Procesamiento de Datos ("DPA") regula el procesamiento de Datos Personales que talyzr SpA ("Procesador") realiza por cuenta del Cliente ("Controlador") en el marco de la prestación del servicio talyzr. Forma parte integrante del Contrato Principal suscrito entre las partes y aplica automáticamente a todos los clientes que utilicen el servicio.

Última actualización: 14 de mayo de 2026 · Versión: 1.0

1. Definiciones y partes

Las Partes. Este DPA se celebra entre el Cliente ("Controlador"), entidad que contrata el servicio talyzr y determina los fines y medios del procesamiento de Datos Personales; y talyzr SpA, sociedad por acciones constituida en Chile ("Procesador" o "talyzr"), que procesa Datos Personales exclusivamente por cuenta del Controlador.

Para los efectos de este DPA se entiende por:

  • Datos Personales: cualquier información relativa a una persona natural identificada o identificable, conforme a la Ley N° 21.719 de Chile, el GDPR (UE) 2016/679, la LGPD (Brasil) Ley 13.709/2018 y demás normativa equivalente aplicable.
  • Procesamiento: cualquier operación efectuada sobre Datos Personales (recolección, almacenamiento, organización, consulta, comunicación, supresión, etc.).
  • Sub-procesador: tercero contratado por talyzr para procesar Datos Personales por cuenta del Controlador, listados en el Anexo B.
  • Titular: persona natural a la que se refieren los Datos Personales (típicamente, empleados, candidatos y managers del Controlador).
  • Brecha de Seguridad: incidente que resulta en la destrucción, pérdida, alteración, comunicación o acceso no autorizado a Datos Personales.
  • Instrucciones Documentadas: el Contrato Principal, este DPA y cualquier instrucción adicional que el Controlador entregue por escrito o a través de los paneles de configuración del servicio.

2. Objeto y duración del procesamiento

talyzr procesa Datos Personales única y exclusivamente para prestar el servicio talyzr al Controlador conforme al Contrato Principal y a las Instrucciones Documentadas. talyzr no utilizará los Datos Personales para fines propios, no los venderá, no los compartirá con terceros distintos de los Sub-procesadores listados en el Anexo B, ni los empleará para entrenar modelos propios de inteligencia artificial.

El procesamiento se mantendrá vigente mientras dure la relación contractual entre el Controlador y talyzr, más un período de retención post-cancelación de 30 (treinta) días corridos para permitir al Controlador exportar sus datos, según lo regulado en la sección "Devolución y destrucción".

3. Naturaleza del procesamiento

La descripción detallada de los Datos Personales procesados, las categorías de Titulares, los fines, la frecuencia y la duración se encuentra en el Anexo A del presente DPA.

Categorías sensibles bajo GDPR Art. 9 / Ley 21.719 (datos especialmente protegidos): talyzr no procesa datos relativos a salud, vida sexual u orientación sexual, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, origen racial o étnico, datos genéticos, datos biométricos para identificación unívoca, ni datos relativos a condenas o infracciones penales. El Controlador se obliga a no incorporar este tipo de datos en el servicio talyzr salvo acuerdo previo y por escrito con talyzr que defina las salvaguardas adicionales aplicables.

4. Obligaciones del Procesador

Conforme al Artículo 28(3) del GDPR y disposiciones equivalentes en LGPD y Ley 21.719, talyzr se obliga a:

  • Procesar los Datos Personales únicamente conforme a las Instrucciones Documentadas del Controlador, incluidas las relativas a transferencias internacionales, salvo cuando una obligación legal exija lo contrario, en cuyo caso talyzr informará al Controlador antes del procesamiento.
  • Garantizar que las personas autorizadas para procesar los Datos Personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad.
  • Aplicar las medidas técnicas y organizativas apropiadas descritas en la sección "Medidas técnicas y organizativas" y en el Anexo II del Contrato Principal cuando exista.
  • Cumplir las condiciones de sub-procesamiento establecidas en la sección "Sub-procesadores".
  • Asistir al Controlador en el cumplimiento de las solicitudes de los Titulares (acceso, rectificación, supresión, oposición, portabilidad, limitación) mediante las herramientas técnicas que ofrece el servicio.
  • Asistir al Controlador a garantizar el cumplimiento de las obligaciones de seguridad, notificación de brechas, evaluaciones de impacto (DPIA) y consultas previas a la autoridad de control.
  • A elección del Controlador, suprimir o devolver todos los Datos Personales tras el cese de la prestación del servicio y suprimir las copias existentes, salvo obligación legal de conservación.
  • Poner a disposición del Controlador la información necesaria para demostrar el cumplimiento de las obligaciones aquí establecidas y permitir las auditorías descritas en la sección correspondiente.

5. Notificación de brechas de seguridad

talyzr notificará al Controlador toda Brecha de Seguridad que afecte sus Datos Personales sin dilación indebida y en todo caso dentro de las 72 (setenta y dos) horas corridas siguientes desde que talyzr tome conocimiento de la brecha.

La notificación contendrá, como mínimo:

  • Naturaleza de la brecha, incluyendo, cuando sea posible, las categorías y el número aproximado de Titulares afectados y de registros de Datos Personales afectados.
  • Datos de contacto del responsable de talyzr para gestionar la brecha.
  • Consecuencias probables de la brecha.
  • Medidas adoptadas o propuestas por talyzr para abordarla y mitigar sus posibles efectos adversos.

Si la información completa no estuviera disponible al momento de la notificación inicial, talyzr la entregará en fases a medida que se obtenga, sin demoras injustificadas.

La notificación se enviará por correo electrónico al contacto técnico-legal designado por el Controlador en el panel de talyzr. El Controlador es responsable de mantener actualizada dicha información de contacto.

El Controlador, en su calidad de Responsable del Tratamiento, es quien debe efectuar las notificaciones a las autoridades de control y a los Titulares cuando corresponda. talyzr prestará toda la asistencia razonable para que el Controlador pueda cumplir oportunamente con dichas notificaciones.

6. Derechos de los Titulares

El Controlador, como Responsable del Tratamiento, atiende directamente las solicitudes de los Titulares relativas a sus derechos de acceso, rectificación, supresión, oposición, portabilidad, limitación del tratamiento y retiro del consentimiento.

talyzr asistirá al Controlador en la atención de dichas solicitudes mediante:

  • Funcionalidades del producto: exportación de datos en formato estructurado (ZIP con archivos JSON/CSV) disponible bajo el flujo "GDPR export" del panel; edición y supresión de registros desde la interfaz del Controlador; histórico de cambios en el AuditLog inmutable.
  • Asistencia operativa: respuesta a consultas específicas del Controlador dentro de 10 (diez) días hábiles desde la recepción de la solicitud, sin perjuicio de plazos menores establecidos por ley.

Si un Titular contacta directamente a talyzr ejerciendo un derecho, talyzr derivará la solicitud al Controlador sin procesarla, salvo instrucción expresa del Controlador en contrario.

7. Sub-procesadores

El Controlador autoriza de manera general a talyzr a contratar Sub-procesadores para el procesamiento de Datos Personales, conforme a las condiciones establecidas en esta sección y la lista actualizada del Anexo B.

talyzr se obliga a:

  • Celebrar un contrato escrito con cada Sub-procesador que imponga obligaciones de protección de datos equivalentes a las establecidas en este DPA.
  • Mantener una lista actualizada de Sub-procesadores en el Anexo B y comunicar al Controlador toda incorporación o reemplazo planificado con al menos 30 (treinta) días de anticipación.
  • Responder ante el Controlador por el cumplimiento de las obligaciones de cada Sub-procesador como si fueran propias.

Derecho de objeción: durante los 30 días posteriores a la notificación de un cambio de Sub-procesador, el Controlador podrá objetar el cambio por motivos razonables relacionados con la protección de Datos Personales. Si la objeción no puede resolverse mediante medidas técnicas u organizativas adicionales, el Controlador podrá terminar el Contrato Principal sin penalidad respecto del servicio afectado, con derecho a la devolución proporcional de los montos prepagados no devengados.

8. Transferencias internacionales

La infraestructura principal de talyzr se aloja en AWS región sa-east-1 (São Paulo, Brasil). Los datos de los clientes LATAM se mantienen residentes en esta región.

Algunos Sub-procesadores listados en el Anexo B procesan datos fuera de la región principal (Estados Unidos, Unión Europea, Reino Unido). En estos casos, las transferencias se realizan bajo los mecanismos legales aplicables:

  • Para Controladores establecidos en el Espacio Económico Europeo o Reino Unido, las transferencias se efectúan al amparo de las Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea mediante la Decisión de Ejecución (UE) 2021/914 — Módulo Two (Controller-to-Processor), que se incorporan por referencia en el Anexo C de este DPA.
  • Para Controladores establecidos en Brasil o Chile, las transferencias se efectúan conforme a los mecanismos previstos por la LGPD y la Ley 21.719 respectivamente.

talyzr aplica medidas técnicas y organizativas adicionales para las transferencias internacionales, incluyendo cifrado en tránsito (TLS 1.2+) y en reposo, controles de acceso bajo principio de mínimo privilegio y revisión periódica de la idoneidad del destino conforme al criterio Schrems II.

9. Medidas técnicas y organizativas

talyzr implementa y mantiene medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al GDPR Art. 32 y normativa equivalente.

Medidas técnicas vigentes:

  • Cifrado en tránsito mediante TLS 1.2 o superior en todas las comunicaciones públicas.
  • Cifrado en reposo de bases de datos (Neon PostgreSQL gestionado) y almacenamiento de objetos (Amazon S3 con SSE-S3).
  • Aislamiento multi-tenant aplicado en la capa ORM mediante filtrado obligatorio por identificador de empresa en todas las consultas, con fallo cerrado ante ausencia del identificador.
  • Autenticación basada en JWT de corta duración, segundo factor TOTP, opcional SSO empresarial (SAML 2.0, OIDC) y provisioning vía SCIM 2.0.
  • Validación de contraseñas contra el servicio Have I Been Pwned para bloquear credenciales filtradas conocidas.
  • Backups automatizados con recuperación a punto en el tiempo (point-in-time recovery) gestionados por el proveedor de base de datos.
  • Registro de auditoría persistente para todas las acciones críticas (creación, modificación y eliminación de recursos) consultable por el Controlador.
  • Monitoreo de errores y disponibilidad mediante Sentry con limpieza automática de información personal identificable (PII).
  • Endpoints de health-check (/health/live, /health/ready) para monitoreo externo de disponibilidad.
  • Cabeceras de seguridad web: HSTS de 2 años, X-Frame-Options DENY, X-Content-Type-Options nosniff, Referrer-Policy strict-origin-when-cross-origin, Permissions-Policy restrictiva, Content-Security-Policy en modo Report-Only con migración planificada a enforce.
  • WAF y CDN globales con reglas administradas y reglas personalizadas para el caso de uso de talyzr.
  • Rate limiting global (60 solicitudes por minuto por defecto) y específico en endpoints de autenticación.
  • Redacción de información personal identificable antes del envío de prompts a proveedores de inteligencia artificial.
  • Revisión de código obligatoria mediante pull requests antes de cada despliegue a producción.

Medidas organizativas vigentes:

  • El personal con acceso a Datos Personales ha firmado un acuerdo de confidencialidad (NDA) y está sujeto a obligaciones contractuales y legales de confidencialidad conforme al Código del Trabajo chileno y normativa equivalente.
  • Acceso a sistemas de producción restringido conforme al principio de mínimo privilegio, con revisión periódica.
  • Segundo factor de autenticación obligatorio para todas las cuentas con acceso a producción.
  • Política documentada de respuesta a incidentes con fases definidas (detección, contención, erradicación, recuperación y postmortem) y plazos de notificación al Controlador alineados con la sección "Notificación de brechas".
  • Procesos formales de onboarding y offboarding del personal que incluyen alta y revocación oportuna de credenciales.
  • Política de gestión de credenciales y rotación periódica de llaves de proveedores.

10. Auditorías y derecho de inspección

talyzr pone a disposición del Controlador la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones establecidas en este DPA, incluyendo:

  • Documentación pública sobre arquitectura, sub-procesadores y medidas de seguridad disponible en talyzr.com.
  • Respuesta a cuestionarios de seguridad estándar (SIG Lite, CAIQ, u otros equivalentes) hasta una vez al año por Controlador, sin costo adicional.
  • Reportes de certificaciones que talyzr obtenga (SOC 2, ISO/IEC 27001), cuando estén disponibles. talyzr trabaja activamente hacia la obtención de estos reportes.

El Controlador podrá solicitar auditorías presenciales bajo las siguientes condiciones acumulativas: (a) máximo una vez por año calendario, (b) con al menos 30 días corridos de aviso previo por escrito, (c) durante horario laboral chileno, (d) sujeta a la firma de un acuerdo de confidencialidad por el auditor con talyzr, (e) los costos del auditor y los costos razonables que el ejercicio del derecho imponga a talyzr son de cargo del Controlador, salvo que la auditoría revele incumplimientos materiales por parte de talyzr.

Una auditoría no podrá comprometer la confidencialidad o seguridad de los datos de otros clientes de talyzr. talyzr podrá objetar fundadamente a un auditor concreto si tiene motivos razonables para hacerlo (por ejemplo, conflicto de interés con un competidor).

11. Devolución y destrucción de datos al cese

Al cese del Contrato Principal por cualquier causa, talyzr habilitará al Controlador la exportación de los Datos Personales en formato estructurado y legible por máquina, durante un período de 30 (treinta) días corridos desde la fecha efectiva de cese.

Vencido el plazo de retención, talyzr procederá a la supresión irreversible de los Datos Personales de la base de datos productiva, los sistemas auxiliares (cachés, colas, índices) y los logs operativos, dentro de un plazo adicional de hasta 30 días corridos.

Los backups que contengan Datos Personales se sobreescriben automáticamente dentro del ciclo de retención de backups del proveedor de base de datos (point-in-time recovery hasta 30 días). talyzr no extrae ni segrega Datos Personales individuales desde backups; los datos saldrán de los backups por su ciclo natural de rotación.

A solicitud del Controlador, talyzr emitirá un certificado de destrucción firmado por su Representante Legal confirmando el cumplimiento de las obligaciones de esta sección.

Lo anterior no aplica respecto de Datos Personales que talyzr deba conservar por mandato legal expreso (por ejemplo, registros tributarios o contables), los que serán resguardados con las mismas medidas de seguridad descritas en este DPA por el plazo legal mínimo y luego suprimidos.

12. Responsabilidad y disposiciones finales

La responsabilidad de las partes derivada del incumplimiento de las obligaciones de este DPA se rige por los límites y condiciones establecidos en el Contrato Principal. Las partes acuerdan que este DPA no incrementa ni reduce los límites de responsabilidad allí pactados, salvo en lo que sea estrictamente necesario para cumplir obligaciones legales imperativas.

Prelación de documentos. En caso de contradicción entre este DPA y el Contrato Principal, prevalecerá lo dispuesto en este DPA exclusivamente respecto del procesamiento de Datos Personales.

Modificaciones. talyzr podrá actualizar este DPA para reflejar cambios regulatorios, incorporación de nuevas medidas de seguridad o ajustes en la lista de Sub-procesadores. Los cambios materiales se notificarán al Controlador con al menos 30 días corridos de anticipación. El Controlador podrá objetar los cambios materiales bajo el mismo procedimiento aplicable a Sub-procesadores.

Ley aplicable y jurisdicción. Este DPA se rige por las leyes de la República de Chile y, en lo aplicable, por la normativa de protección de datos del lugar de establecimiento del Controlador. Las controversias se someterán a la jurisdicción acordada en el Contrato Principal. Si el Contrato Principal nada dispone, serán competentes los tribunales ordinarios de justicia con asiento en la ciudad de Santiago de Chile.

Anexo A

Descripción del procesamiento

Categorías de TitularesEmpleados, ejecutivos, candidatos y managers de la organización del Controlador, así como cualquier persona cuyos datos el Controlador cargue en el servicio talyzr.
Categorías de Datos PersonalesIdentificadores (nombre, apellido, correo electrónico, RUT u equivalente, fotografía de perfil opcional). Datos laborales (cargo, área, gerencia, manager directo, fecha de ingreso, salario base, tipo de contrato). Datos de talento (evaluaciones de desempeño, evaluaciones de potencial, niveles de habilidades, puntajes de criticidad de rol, índice de riesgo de talento, candidatos de sucesión, recomendaciones generadas por IA, planes de acción asignados, registros de capacitación).
Categorías especiales (sensibles)Ninguna. talyzr no procesa categorías especiales bajo GDPR Art. 9 ni datos especialmente protegidos bajo la Ley 21.719.
Frecuencia del procesamientoContinua durante la vigencia del Contrato Principal: sincronizaciones automáticas con HRIS (cuando aplique), importaciones manuales puntuales, accesos del personal autorizado del Controlador, generación de recomendaciones por IA bajo demanda.
Duración del procesamientoVigencia del Contrato Principal más 30 días corridos de período de retención post-cancelación.
Fines del procesamientoPrestación del servicio talyzr: análisis de riesgo de talento, planificación de sucesión, mapas de cobertura, recomendaciones de acciones, evaluación de habilidades, perfil 360°, escenarios what-if, dashboard CHRO, agente conversacional Taly sobre datos del Controlador, ciclos de talent review y reportes ejecutivos.
Plazo de retenciónDurante la vigencia del Contrato Principal y hasta 30 días corridos posteriores al cese. Logs de auditoría persistentes mientras el Controlador mantenga acceso al servicio. Backups según ciclo de point-in-time recovery del proveedor de base de datos (máximo 30 días).

Anexo B

Lista de Sub-procesadores autorizados

talyzr utiliza los siguientes Sub-procesadores para la prestación del servicio. Esta lista se actualiza con cambios notificados al Controlador con al menos 30 días de anticipación conforme a la sección "Sub-procesadores".

Sub-procesadorPropósitoDatos procesadosPaís / Región
Neon, Inc.Base de datos PostgreSQL serverless gestionada con pgvector para embeddings.Totalidad de los Datos Personales del Controlador.United States (AWS sa-east-1)
Amazon Web Services, Inc.Infraestructura cloud: compute (EC2/ECS), storage (S3), CDN (CloudFront), balanceo (ALB), WAF.Totalidad de los Datos Personales del Controlador en tránsito y archivos almacenados (exports, imágenes).United States (data in sa-east-1, São Paulo)
Anthropic, PBCModelo de lenguaje (Claude Sonnet) para generación de recomendaciones de talento, agente Taly y perfiles de habilidades.Prompts derivados con información personal identificable previamente redactada por el sistema de guardrails de talyzr. Contrato API de Anthropic prohíbe el entrenamiento con datos del Controlador.United States
Voyage AI, Inc.Generación de embeddings vectoriales para búsqueda semántica del agente Taly y la base de conocimiento.Texto de documentos del Controlador para vectorización (sin retención por el proveedor).United States
Resend Labs, Inc.Envío de correo electrónico transaccional (invitaciones, alertas, recuperación de contraseña, digest semanal, notificaciones).Direcciones de correo electrónico, nombre del destinatario y contenido del correo enviado por talyzr.United States
Paddle.com Market LtdProcesamiento de pagos y facturación como Merchant of Record (suscripciones, checkout, IVA global, dunning).Información de facturación del Controlador (razón social, identificador tributario, dirección, email administrador) y datos de pago tokenizados (Paddle no expone tarjetas a talyzr).United Kingdom / Ireland
Upstash, Inc.Redis gestionado para colas de trabajo (sync HRIS, jobs en background), rate limiting y cache.Datos transitorios en colas de procesamiento (típicamente, identificadores y payloads de jobs) con TTL corto.United States / EU
Functional Software, Inc. (Sentry)Monitoreo de errores backend y frontend, breadcrumbs y observabilidad.Stack traces y metadata de errores con limpieza automática de información personal identificable (PII scrubbing).EU (Frankfurt) / United States
HubSpot, Inc.CRM comercial para prospects e información de marketing.Únicamente datos de leads de marketing (visitantes que solicitan información). No se cargan datos de Titulares del Controlador en HubSpot.United States

talyzr mantiene un DPA firmado o aceptado con cada Sub-procesador, con obligaciones equivalentes a las contraídas con el Controlador.

Anexo C

Cláusulas Contractuales Tipo (SCCs) — UE 2021/914

Si el Controlador se encuentra establecido en el Espacio Económico Europeo, el Reino Unido o Suiza, o se encuentra de otro modo sujeto al GDPR o al UK GDPR, las Cláusulas Contractuales Tipo aprobadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea, Módulo Two (Responsable a Encargado) se incorporan automáticamente por referencia a este DPA y se entienden suscritas entre el Controlador (en calidad de "Exportador de Datos") y talyzr (en calidad de "Importador de Datos").

Selecciones aplicables a las SCCs:

  • Cláusula 7 (Cláusula de adhesión): aplicable, permitiendo la incorporación de partes adicionales.
  • Cláusula 9 (Sub-procesamiento): opción 2 — autorización general con notificación previa de 30 días corridos, conforme a la sección "Sub-procesadores" de este DPA.
  • Cláusula 11 (Reclamaciones): el órgano independiente de resolución de controversias no es aplicable.
  • Cláusula 17 (Ley aplicable): ley de Irlanda.
  • Cláusula 18 (Jurisdicción): tribunales de Irlanda.
  • Anexo I.A (Lista de las partes): el Controlador es el Exportador identificado en el Contrato Principal; talyzr SpA es el Importador.
  • Anexo I.B (Descripción de la transferencia): ver Anexo A del presente DPA.
  • Anexo I.C (Autoridad de control competente): la autoridad de control del Estado miembro en que esté establecido el representante del Exportador, o cualquier autoridad de control conforme al GDPR Art. 56.
  • Anexo II (Medidas técnicas y organizativas): ver sección "Medidas técnicas y organizativas" del presente DPA.
  • Anexo III (Lista de Sub-procesadores): ver Anexo B del presente DPA.

Para los Controladores establecidos en el Reino Unido, las SCCs se aplican junto con el UK International Data Transfer Addendum emitido por la Information Commissioner's Office (ICO) bajo la Sección 119A del Data Protection Act 2018, que se incorpora por referencia.

El texto completo y vigente de las SCCs se encuentra disponible en el Diario Oficial de la Unión Europea. En caso de cualquier contradicción entre las SCCs y otras disposiciones de este DPA, prevalecerán las SCCs únicamente respecto de las transferencias internacionales cubiertas por ellas.

Ver texto oficial de las SCCs en EUR-Lex

¿Necesitas que firmemos formalmente este DPA?

Si tu equipo legal requiere la firma de una versión PDF de este DPA con la razón social y la información del Controlador, escríbenos y coordinamos la firma electrónica en 1 día hábil.

Solicitar firma del DPAConsultar con nuestro equipo