Certificaciones
Eleva el talento
Nos comprometemos a mantener altos estándares en la transferencia de nuestro know how para asegurar la correcta implementación de nuestras herramientas.
GDPR – POLITICA DE PRIVACIDAD Y PROTECCIÓN DE DATOS
1. Introducción
En HS GROUP SOCIEDAD DE RESPONSABILIDAD LIMITADA (en adelante, “PDA”) valoramos su privacidad y la protección de sus datos personales.
La presente Política Global de Privacidad y Protección de Datos (en adelante, la “Política de Privacidad”) describe cómo recopilamos, utilizamos, compartimos y protegemos su información en todos los países donde operamos o prestamos servicios.
A los efectos de los Contratos de Licencia de Uso de Software (EULA), los Términos y Condiciones del sitio web y demás documentos contractuales de PDA, esta Política Global de Privacidad y Protección de Datos podrá ser también referida como “Política de Seguridad y Privacidad”, manteniendo en todos los casos el mismo alcance y contenido.
PDA cumple, entre otras, con las siguientes normativas de protección de datos:
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (GDPR).
Ley Argentina N° 25.326 y Decreto Reglamentario N° 1558/2001.
Lei Geral de Proteção de Dados Pessoais (LGPD – Brasil).
California Consumer Privacy Act y California Privacy Rights Act (CCPA/CPRA – EE. UU.).
Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP – México).
Protection of Personal Information Act (POPIA – Sudáfrica).
PDA aplica los principios de licitud, lealtad, transparencia, minimización de datos, limitación de la finalidad, exactitud, integridad, confidencialidad y responsabilidad proactiva en todo tratamiento de datos personales.
2. Responsable del tratamiento y contacto global
El responsable del tratamiento de los datos personales dependerá de la entidad del grupo PDA que preste el servicio y figure como “Licenciante” o proveedor contractual en el EULA, contrato marco de servicios o documento comercial equivalente.
Responsable del Tratamiento – Argentina
Cuando el Cliente contrate los servicios a través de la entidad argentina, el responsable del tratamiento será:
HS GROUP SOCIEDAD DE RESPONSABILIDAD LIMITADA
(“HS GROUP” o “PDA INTERNATIONAL”)
CUIT: 30-70987001-0
Domicilio: Cerrito 782, Piso 1, Ciudad Autónoma de Buenos Aires, C1010AAP, República Argentina
Correo: gdpr@pdainternational.net
Sitio web: www.pdainternational.net
Responsable del Tratamiento – Estados Unidos y resto del mundo (fuera de Argentina y de la Unión Europea)
Cuando el Cliente contrate los servicios a través de la entidad internacional, el responsable del tratamiento será:
PDA USA LLC
Domicilio: 1752 Aspen Ln, Weston, Florida, Estados Unidos
EIN: 32-0502196
Correo: gdpr@pdainternational.net
Representante en la Unión Europea (art. 27 GDPR)
Para clientes, interesados y autoridades ubicados dentro de la Unión Europea, PDA designa como representante a:
Mantra Desarrollo de Negocios S.L.
Domicilio: Calle Cetrería, 103, 28232 Las Rozas de Madrid, Madrid, España.
Correo: gdpr@pdainternational.net
Mantra Desarrollo de Negocios S.L. actúa exclusivamente como representante designado conforme al artículo 27 del Reglamento General de Protección de Datos (GDPR).
No actúa como responsable ni corresponsable del tratamiento y no desempeña funciones de Delegado de Protección de Datos (DPO).
Contacto de privacidad
Las consultas relacionadas con protección de datos personales y el ejercicio de derechos por parte de los titulares podrán realizarse a través del correo:
📧 gdpr@pdainternational.net
Independientemente de la entidad del grupo PDA que actúe como responsable, las solicitudes serán derivadas internamente a la entidad correspondiente.
3-Definiciones
Se aplican las definiciones establecidas en el GDPR, la Ley Argentina 25.326, la LGPD y las normas equivalentes.
“Datos personales”: toda información sobre una persona física identificada o identificable.
“Tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales, como recolección, registro, organización, conservación, consulta, comunicación, modificación, anonimización o supresión.
4-Datos que recopilamos
PDA puede recopilar las siguientes categorías de datos personales:
Datos de identificación: nombre, apellido, tipo y número de documento, nacionalidad, fecha de nacimiento.
Datos de contacto: domicilio, teléfono, correo electrónico.
Datos laborales o profesionales: cargo, empresa, sector, historial laboral, área de desempeño.
Datos técnicos: dirección IP, tipo de dispositivo, sistema operativo, navegador, identificadores en línea, información de conexión y registros de actividad.
Datos de facturación o pago: datos necesarios para la gestión de cobros y facturación, según corresponda.
Resultados de evaluaciones o assessments realizados mediante herramientas PDA (perfiles conductuales, indicadores, reportes asociados).
Información adicional que el usuario, candidato, participante o cliente proporcione voluntariamente a través de formularios, comunicaciones o documentación remitida a PDA.
5. Finalidades y bases legales
PDA trata los datos personales para las siguientes finalidades, con las bases jurídicas que se indican de forma referencial (en particular, conforme al GDPR y normas equivalentes):
Prestación, soporte y mantenimiento de servicios contratados
Gestión de evaluaciones, generación de reportes, acceso a plataformas SaaS, soporte funcional y técnico.
Base jurídica:
Ejecución de un contrato o medidas precontractuales (art. 6.1.b GDPR; art. 7 LGPD; art. 10 LFPDPPP).
Interés legítimo del responsable (art. 6.1.f GDPR), cuando resulte aplicable.
Gestión de cuentas, autenticación y comunicaciones con clientes y usuarios
Creación y administración de cuentas de usuario, envío de notificaciones operativas, alertas de seguridad y comunicaciones de servicio.
Base jurídica:
Ejecución de un contrato (art. 6.1.b GDPR).
Interés legítimo (art. 6.1.f GDPR).
Envío de información comercial, newsletters y contenidos de interés
Envío de noticias, invitaciones a eventos, webinars, materiales formativos y comunicaciones de marketing.
Base jurídica:
Consentimiento (art. 6.1.a GDPR; art. 7 LGPD).
Interés legítimo (art. 6.1.f GDPR) para clientes existentes, cuando la normativa lo permita, ofreciendo siempre mecanismos de “opt-out”.
Procesos de selección de personal y reclutamiento
Gestión de candidaturas, entrevistas, evaluaciones y procesos de incorporación.
Base jurídica:
Consentimiento o medidas precontractuales (art. 6.1.a y 6.1.b GDPR).
Cumplimiento de obligaciones legales y regulatorias
Cumplimiento de obligaciones contables, fiscales, regulatorias o de requerimientos de autoridades de control.
Base jurídica:
Obligación legal (art. 6.1.c GDPR).
Investigación, desarrollo y mejora de herramientas PDA
Mejora continua de algoritmos, métricas, reportes y funcionalidades de las plataformas, incluyendo análisis estadísticos y estudios de uso.
En estos casos, los datos se utilizan preferentemente en forma anonimizada o agregada.
Base jurídica:
Interés legítimo (art. 6.1.f GDPR).
Consentimiento cuando sea requerido por la normativa local.
Gestión y respuesta de solicitudes de ejercicio de derechos
Atención de solicitudes de acceso, rectificación, supresión, oposición, portabilidad o cualquier derecho aplicable.
Base jurídica:
Obligación legal (art. 6.1.c GDPR).
Interés legítimo en la defensa de derechos (art. 6.1.f GDPR).
5.1BIS. Investigación y Publicaciones Científicas
PDA podrá utilizar datos completamente anonimizados o agregados, en tanto no permitan la identificación directa o indirecta de personas físicas u organizaciones clientes, con fines de investigación científica, estadística, académica, metodológica, comparativa o de divulgación técnica, incluyendo la elaboración de publicaciones, estudios sectoriales, análisis metodológicos, ponencias o material técnico.
Los tratamientos realizados sobre datos anonimizados no constituyen tratamiento de datos personales conforme al GDPR, Ley 25.326, LGPD, CCPA/CPRA u otras normas equivalentes, en la medida en que la anonimización aplicada sea irreversible y no permita la reidentificación de los interesados.
6-Rol de PDA
PDA puede actuar como Responsable del tratamiento o como Encargada del tratamiento, según la naturaleza de los datos y la finalidad del tratamiento:
(a) PDA como Responsable del Tratamiento
PDA actúa como Responsable del Tratamiento, entre otros, en los siguientes supuestos:
- datos de clientes, potenciales clientes, representantes y personas de contacto de organizaciones con las que PDA mantiene relaciones comerciales (por ejemplo, nombre, cargo, correo corporativo, teléfono, historial de interacción);
- datos de usuarios del sitio web, suscriptores anewsletters, asistentes a eventos,webinars o actividades de marketing;
- datos necesarios para la gestión de cuentas, facturación, cumplimiento legal, seguridad y mejora de servicios.
En estos casos, PDA puede utilizar proveedores de servicios que actúan como encargados del tratamiento de PDA (por ejemplo, plataformas de CRM y automatización como HubSpot, herramientas de email marketing, proveedores de nube), que procesan los datos siguiendo las instrucciones de PDA y conforme a contratos de tratamiento de datos.
(b) PDA como Encargada del Tratamiento
PDA actúa como Encargada del Tratamiento cuando procesa datos personales en nombre de sus clientes, que actúan como Responsables del Tratamiento. Esto incluye, por ejemplo:
- datos de candidatos, empleados, consultores, evaluadores u otras personas físicas que el cliente incorpore a las plataformas de PDA en el marco de procesos de selección, evaluación, desarrollo o gestión del talento;
- resultados deassessments, perfiles conductuales e información asociada cargada por el cliente o por los propios evaluados según las instrucciones del cliente.
En estos casos, PDA procesa los datos exclusivamente conforme a las instrucciones documentadas del cliente y a lo establecido en el correspondiente Contrato de Licencia / contrato de servicios y en el Anexo II – Data Processing Agreement (DPA).
(c) Relación con el EULA y el DPA
Cuando PDA actúe como Encargada del Tratamiento, se aplicarán las obligaciones previstas en el EULA y en el DPA suscripto con el cliente. Cuando PDA actúe como Responsable del Tratamiento, se aplicarán las disposiciones de esta Política de Privacidad, sin perjuicio de los derechos de los titulares de los datos y de las normas imperativas de protección de datos aplicables.
7. Elaboración de perfiles y decisiones automatizadas
Las herramientas y assessments de PDA pueden generar perfiles de comportamiento o competencias laborales, así como indicadores orientativos para procesos de selección, desarrollo, movilidad interna o formación. No obstante: Estos perfiles son de carácter orientativo y no implican decisiones automatizadas con efectos jurídicos o significativamente similares para las personas, en conformidad con el artículo 22 del GDPR y con principios del EU AI Act (2024). La interpretación de los resultados y las decisiones que se adopten a partir de ellos corresponden al cliente o usuario responsable del proceso (empleador, organización, entidad educativa, etc.). Esta disposición se encuentra alineada con el EULA, que establece que el Software no produce decisiones automatizadas vinculantes. Las personas interesadas podrán: solicitar intervención humana en la interpretación de resultados, expresar su punto de vista, impugnar la evaluación cuando corresponda, y ejercer los derechos previstos en la sección 12 de esta Política.
8. Seguridad y confidencialidad
PDA implementa medidas técnicas, organizativas y administrativas adecuadas al riesgo, incluyendo, entre otras:
Cifrado en tránsito y en reposo (por ejemplo, TLS 1.3, AES-256).
Control de acceso basado en roles y autenticación multifactor, cuando corresponda.
Registro y auditoría de operaciones relevantes sobre datos personales.
Copias de seguridad cifradas, segregación de entornos (producción, prueba, desarrollo) y planes de recuperación ante desastres.
Políticas de confidencialidad, acuerdos de no divulgación y formación continua del personal en materia de privacidad y seguridad.
Protocolos de respuesta ante incidentes y violaciones de seguridad de datos.
Ante una violación de seguridad que pueda afectar los derechos de las personas, PDA notificará a las autoridades competentes y, cuando corresponda, a los afectados dentro de las 72 horas, conforme a los artículos 33 y 34 del GDPR y normas equivalentes en otras jurisdicciones.
9. Transferencias internacionales de datos
PDA realiza transferencias internacionales de datos personales bajo las siguientes garantías:
Entre Argentina y la Unión Europea: Argentina es considerada país con nivel adecuado de protección según la Decisión 2003/490/CE de la Comisión Europea.
Entre regiones o terceros países: se aplican las Cláusulas Contractuales Tipo (SCCs – Decisión 2021/914/UE) y, cuando corresponda, los mecanismos previstos en la LGPD, la CCPA/CPRA y la LFPDPPP.
Estados Unidos: PDA utiliza proveedores que cumplen con el EU–U.S. Data Privacy Framework o que ofrecen cláusulas contractuales tipo o garantías equivalentes.
Brasil: las transferencias se realizan sujetas a los arts. 33–36 de la LGPD y a las directrices de la Autoridade Nacional de Proteção de Dados (ANPD).
Todas las transferencias se limitan a las finalidades descritas en esta Política y se efectúan bajo estándares equivalentes de seguridad y confidencialidad.
10. Subencargados y terceros
PDA puede utilizar proveedores tecnológicos o de servicios que actúan como subencargados del tratamiento, entre ellos:
Proveedores de hosting y nube (principalmente dentro del Espacio Económico Europeo).
Plataformas de CRM y automatización (por ejemplo, HubSpot u otras plataformas equivalentes).
Pasarelas de pago (por ejemplo, Stripe, Mercado Pago u otras según el país).
Herramientas de mensajería, soporte técnico y análisis de rendimiento.
Todos los subencargados están sujetos a:
contratos de tratamiento de datos que cumplen el artículo 28 del GDPR, y
auditorías o revisiones periódicas de seguridad y privacidad.
El listado actualizado de subencargados puede consultarse en www.pdainternational.net/gdpr o solicitarse a gdpr@pdainternational.net.
PDA garantizará que:
todos los subencargados mantengan garantías adecuadas de seguridad y confidencialidad, y cualquier transferencia internacional asociada se efectúe mediante SCCs, Data Privacy Framework u otros mecanismos reconocidos internacionalmente.
11. Conservación de los datos
Los datos personales se conservarán por el tiempo estrictamente necesario para cumplir con las finalidades del tratamiento o mientras existan obligaciones legales, contractuales o de defensa de derechos. Referencia orientativa de plazos: Datos de evaluaciones: Según contrato o instrucciones del cliente responsable del tratamiento (cuando PDA actúa como Encargada). Datos de clientes y facturación: Mientras dure la relación contractual + hasta 10 años adicionales, según normas de prescripción y obligaciones legales (por ejemplo, fiscales o contables). Datos de candidatos: Hasta 1 año desde el último contacto o hasta que ejerzan su derecho de supresión, salvo obligación legal de conservación mayor. Datos técnicos o cookies: Según la política de cookies aplicable en cada sitio o plataforma, con un plazo máximo habitual de 2 años. Datos anonimizados para investigación y análisis estadístico: Podrán conservarse indefinidamente, en la medida en que no permitan la identificación de personas físicas.
12. Derechos de los titulares de datos
Toda persona titular de datos personales tiene derecho a: Acceder a sus datos personales. Rectificar datos inexactos o incompletos. Suprimir los datos cuando ya no sean necesarios o cuando corresponda legalmente. Limitar u oponerse al tratamiento, en los casos previstos por la ley. Portar sus datos a otro responsable (cuando proceda según la normativa aplicable). Retirar el consentimiento en cualquier momento, sin efectos retroactivos. No ser objeto de decisiones automatizadas con efectos jurídicos o significativamente similares, en los términos del art. 22 GDPR y normas equivalentes. Para ejercer estos derechos, la persona puede escribir a gdpr@pdainternational.net, indicando el derecho que desea ejercer y adjuntando una identificación válida o los elementos necesarios para verificar su identidad. Asimismo, puede presentar reclamos ante la autoridad de protección de datos de su país, por ejemplo: Argentina: Agencia de Acceso a la Información Pública (AAIP). Unión Europea: autoridad nacional competente (por ejemplo, AEPD en España). Brasil: Autoridade Nacional de Proteção de Dados (ANPD). México: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos (INAI). EE. UU.: autoridades estatales de protección del consumidor o privacidad, según la jurisdicción (por ejemplo, Attorney General de California para CCPA/CPRA). Sudáfrica: Information Regulator (POPIA).
13. Ejercicio de derechos en jurisdicciones específicas
Brasil (LGPD):
Las personas titulares pueden ejercer sus derechos conforme a los artículos 17–22 de la LGPD, contactando a gdpr@pdainternational.net.
Estados Unidos – California (CCPA/CPRA):
Los residentes en California pueden solicitar información sobre las categorías de datos recopilados, su origen, las finalidades del tratamiento y los terceros a quienes se hayan comunicado.
También pueden solicitar la eliminación de su información personal o ejercer el derecho a “opt-out” de una eventual venta o transferencia comercial de datos personales.
PDA no vende información personal en el sentido definido por la CCPA/CPRA.
México (LFPDPPP):
Las personas titulares pueden ejercer los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) conforme a los artículos 28–35 de la LFPDPPP, a través de gdpr@pdainternational.net
14. Almacenamiento de datos
Los datos se almacenan preferentemente en servidores ubicados dentro del Espacio Económico Europeo (EEE), bajo medidas de seguridad certificadas (por ejemplo, ISO 27001, SOC 2).
Cuando se utilicen proveedores ubicados fuera del EEE, PDA garantiza que:
se aplican Cláusulas Contractuales Tipo,
se utilizan mecanismos de transferencia reconocidos internacionalmente (por ejemplo, Data Privacy Framework, SCCs, equivalentes LGPD/LFPDPPP), y
se mantienen niveles adecuados de protección, seguridad y confidencialidad.
15. Responsabilidad del usuario
El Usuario es responsable de la veracidad, exactitud y actualización de los datos personales que incorpore o proporcione a PDA, así como de no transmitir información de terceros sin haber obtenido previamente una base jurídica válida para dicho tratamiento.
Cuando el Usuario decida evaluar o registrar datos personales de menores de edad dentro del Software, será de su exclusiva responsabilidad asegurar el cumplimiento de la normativa aplicable en cada jurisdicción, incluyendo, cuando corresponda, la obtención del consentimiento del titular de la patria potestad, tutor legal u otra figura equivalente. La Licenciante no verifica la edad de los evaluados ni obtiene directamente dicho consentimiento.
16. Incidentes y comunicación de violaciones
En caso de detectar o sospechar cualquier acceso no autorizado, pérdida, divulgación indebida o uso inadecuado de información personal, las personas usuarias pueden notificarlo inmediatamente a gdpr@pdainternational.net, indicando en el asunto: “Incidente de privacidad”. PDA activará sus protocolos de respuesta a incidentes para investigar, mitigar y, cuando corresponda, notificar a autoridades y afectados.
17. Actualizaciones de la Política
PDA podrá modificar esta Política para: adaptarla a nuevas normativas o criterios de autoridades de control, reflejar cambios en sus procesos, servicios o tecnologías, o incorporar requerimientos regulatorios adicionales. Las versiones actualizadas se publicarán en el sitio web de PDA. Cuando las modificaciones sean sustanciales (por ejemplo, cambien de forma relevante las finalidades del tratamiento o los derechos de los interesados), PDA lo notificará por medios electrónicos (correo, aviso en plataforma u otro mecanismo equivalente). La continuación en el uso de los servicios o plataformas de PDA, cuando así lo permita la legislación aplicable, implicará el reconocimiento de la nueva versión, sin perjuicio de que: las modificaciones que supongan un cambio material en la finalidad del tratamiento, o afecten de forma relevante los derechos de las personas, puedan requerir aceptación expresa o renovación del consentimiento, de acuerdo con lo que exija la ley. Fecha de última actualización: 3 de noviembre de 2025.
18. Anexo informativo – Flujo de tratamiento de datos
El flujo de tratamiento de datos durante los procesos de assessment de PDA se representa en el diagrama incluido en los materiales informativos del sistema y/o en la documentación facilitada a clientes.
Dicho diagrama refleja, de manera general, el ciclo de vida de los datos personales, desde su recopilación hasta su eliminación o anonimización, conforme a las obligaciones contractuales y legales vigentes, incluyendo:
recolección de datos, almacenamiento y tratamiento para las finalidades indicadas, generación y uso de reportes o resultados, conservación por los plazos aplicables, y
eliminación, anonimización o bloqueo definitivo cuando ya no sean necesarios.