Anexo de Tratamiento de Datos

Este anexo regula el tratamiento por Skeldy de los Datos Personales del Cliente por cuenta del cliente. El cliente es responsable del tratamiento; Skeldy SAS actúa como encargado.

• Interesados — personal, responsables y usuarios autorizados del cliente.
• Categorías — identificación (nombre, correo), metadatos laborales (rol, sección, cualificaciones), datos de planificación, comunicaciones internas al producto, registros de auditoría y seguridad.
• No se tratan categorías especiales (Art. 9 RGPD) por defecto. No deben introducirse datos de salud, como motivos de baja médica.

El tratamiento dura mientras vigore la suscripción más la ventana de eliminación descrita más abajo. Skeldy trata los datos solo siguiendo las instrucciones documentadas del cliente, incluidas las dadas a través de la interfaz y la API.

Skeldy utiliza los subencargados listados en la Política de privacidad. Notificaremos la incorporación de nuevos subencargados con al menos 30 días de antelación. El cliente puede oponerse por motivos razonables; si la objeción no se resuelve, podrá rescindir el servicio afectado.

Los datos de producción residen en la UE. Cuando sean inevitables transferencias fuera del EEE (p. ej. Stripe), aplicamos las Cláusulas Contractuales Tipo (Decisión 2021/914) y medidas técnicas adicionales. El módulo aplicable de las CCT se incorpora por referencia.

• Cifrado — TLS 1.2+ en tránsito, AES-256 en reposo.
• Acceso — control por roles con privilegios mínimos, MFA en cuentas administrativas.
• Base de datos — políticas RLS por tabla que reflejan la jerarquía.
• Registro — acciones privilegiadas conservadas 13 meses.
• Copias — Point-in-Time Recovery activo, restauración probada al menos anualmente.
• Pen-test — prueba independiente al menos anual; subsanación de hallazgos altos antes del lanzamiento.
• Personal — compromisos de confidencialidad, formación anual.

Skeldy proporciona endpoints autoservicio de exportación y supresión. Si se requiere asistencia adicional, la prestaremos en 30 días. Contacto: [email protected].

Notificaremos al cliente sin dilación indebida y, a más tardar, en las 72 horas siguientes a tener conocimiento de una violación que afecte a Datos Personales del Cliente, con la información necesaria para sus obligaciones del Art. 33/34 del RGPD.

El cliente puede solicitar información de auditoría una vez cada 12 meses, satisfecha mediante informes SOC 2, resúmenes de pen-test o respuestas a un cuestionario de seguridad. Las auditorías presenciales se prestan cuando lo exija la ley, a expensas de la parte requirente.

A la resolución, el cliente dispone de 30 días para exportar. Transcurridos, Skeldy suprime los Datos Personales del Cliente en los 30 días siguientes, salvo conservación impuesta por ley (p. ej. facturación).