Descarga el DPA en PDF para firma electrónica: botón disponible al final de la página. El documento se persiste con SHA256 en el AccessLog hash-chain (ADR-0012).
Sobre este documento
El presente Acuerdo de Tratamiento de Datos Personales (DPA) regula la relación entre:
- Responsable del Tratamiento: la empresa beneficiaria que contrata los servicios de Academia Hoilab.
- Encargado del Tratamiento: Adrián Barcojo Madrid, NIF 31017423Z (Academia Hoilab).
Se suscribe en cumplimiento del art. 28 del Reglamento (UE) 2016/679 (RGPD) y forma parte integrante del Contrato de Encomienda FUNDAE firmado entre ambas partes. La versión individualizada con los datos de cada empresa se genera dinámicamente durante el onboarding y queda firmada electrónicamente vía DocuSeal self-hosted (eIDAS).
1. Objeto del tratamiento
El presente Acuerdo regula las condiciones en las que el Encargado del Tratamiento realiza, en nombre y por cuenta del Responsable del Tratamiento, las operaciones de tratamiento de datos personales necesarias para la prestación de los servicios de gestión integral de formación bonificable.
2. Duración del tratamiento
El tratamiento se extenderá durante toda la vigencia del Contrato de Encomienda, así como durante el plazo posterior de custodia documental de 4 años exigido por el art. 22.3 del RD 694/2017.
3. Naturaleza y finalidad del tratamiento
- Naturaleza: recogida, registro, organización, estructuración, conservación, adaptación, modificación, extracción, consulta, utilización, comunicación por transmisión, difusión, cotejo, interconexión, limitación, supresión o destrucción.
- Finalidad: gestión administrativa de la formación bonificable, comunicación con FUNDAE y SEPE, custodia documental de cuatro años, emisión de diplomas, recogida de cuestionarios de satisfacción, evaluación pedagógica.
4. Tipo de datos personales
- Datos identificativos: nombre, apellidos, NIF.
- Datos de contacto: correo electrónico corporativo, teléfono.
- Datos académicos / laborales: categoría profesional, tipo de jornada, formación previa cuando sea exigida.
- Datos de actividad formativa: progreso del aprendizaje (timestamps), calificaciones de controles, respuestas a cuestionarios, grabaciones de aula virtual cuando proceda.
- Datos de uso de la plataforma: dirección IP, identificador de sesión, registro de accesos (logs de auditoría inmutables conforme a ADR-0012).
5. Categorías de interesados
Empleados/as por cuenta ajena de la empresa Responsable del Tratamiento que participan en las acciones formativas bonificables gestionadas a través de la plataforma Hoilab Academy.
6. Obligaciones del Encargado del Tratamiento (Art. 28.3 RGPD)
a) Tratar los datos personales únicamente siguiendo instrucciones documentadas del Responsable.
b) Garantizar el deber de confidencialidad de las personas autorizadas a tratar los datos.
c) Aplicar las medidas técnicas y organizativas apropiadas conforme al art. 32 RGPD (Anexo II).
d) No subcontratar el tratamiento sin la autorización general otorgada en el Anexo III (listado de subprocesadores), comunicando con 30 días de antelación cualquier alta o baja.
e) Asistir al Responsable en la atención al ejercicio de derechos de los interesados.
f) Asistir al Responsable en el cumplimiento de los arts. 32 a 36 RGPD (seguridad, brechas, evaluación de impacto, consulta previa).
g) Notificar al Responsable, sin dilación indebida y antes de 72 horas, cualquier violación de la seguridad de los datos personales, con el contenido del art. 33.3 RGPD.
h) A la finalización del tratamiento, suprimir o devolver al Responsable la totalidad de los datos personales y suprimir las copias existentes, salvo cuando se requiera la conservación por obligación legal.
i) Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento del art. 28 RGPD y permitir y contribuir a auditorías por parte del Responsable o de un auditor autorizado.
7. Medidas técnicas y organizativas (Art. 32 RGPD)
Las medidas aplicadas incluyen, como mínimo:
- Cifrado en tránsito (TLS 1.3) y en reposo (AES-256).
- Control de accesos basado en roles (RBAC: SUPER_ADMIN, HR_ADMIN, TUTOR, STUDENT).
- Autenticación reforzada de doble factor (TOTP) para roles administrativos.
- Registro de auditoría inmutable con cadena de hash (AccessLog hash-chain).
- Anonimización / sanitización de datos antes de envío a proveedores de IA.
- Copias de seguridad cifradas con retención mínima de 30 días.
- Almacenamiento de evidencias formativas en Object Lock (modo COMPLIANCE) con retención de 4 años.
8. Notificación de brechas
En caso de violación de la seguridad de los datos personales, el Encargado lo notificará al Responsable en un plazo no superior a 72 horas desde el conocimiento del incidente, aportando la información contemplada en el art. 33.3 RGPD.
El Responsable, a su vez, valorará la procedencia de notificación a la Agencia Española de Protección de Datos (AEPD) y, en su caso, a los interesados afectados.
9. Devolución / supresión de datos al término del tratamiento
Finalizado el plazo de custodia de 4 años (o por terminación anticipada del Contrato de Encomienda), el Encargado, conforme a las instrucciones del Responsable:
- ☐ Devolverá la totalidad de los datos personales en formato estructurado (JSON / CSV) sin retener copias.
- ☐ Suprimirá la totalidad de los datos personales y emitirá certificado de destrucción.
(El Responsable marcará la opción elegida al firmar el Acuerdo individualizado vía DocuSeal.)
10. Transferencias internacionales
Cuando el tratamiento implique transferencia internacional de datos a un país sin decisión de adecuación de la Comisión Europea, las partes adoptarán las Cláusulas Contractuales Tipo (SCC) versión 2021/914/UE.
A la fecha del presente Acuerdo, las transferencias internacionales fuera del EEE se limitan a los subprocesadores enumerados en /legal/subprocesadores, todos ellos con SCC firmadas + medidas adicionales (sanitización PII para IA, cifrado en reposo para almacenamiento).
11. Anexos del DPA individualizado
El DPA firmado por cada empresa incluye los siguientes anexos:
- Anexo I. Categorías de datos personales tratados.
- Anexo II. Medidas técnicas y organizativas detalladas (art. 32 RGPD).
- Anexo III. Listado de subprocesadores autorizados (sincronizado con /legal/subprocesadores).
- Anexo IV. Política de tratamiento de datos por modelos de IA y sanitización previa (alineada con /legal/politica-ia).
Versión: v2026.05.1 · Vigente desde: 19/05/2026
Contacto DPO: rgpd@hoilab.com
Para obtener el DPA individualizado con los datos de tu empresa para firma electrónica, pulsa el botón «Descargar DPA en PDF» al pie de la página o solicítalo a tu cuenta administrativa.