Iniciar sesión

RGPD

Cumplimiento del RGPD en Bedoott

Última actualización: 03/05/2026

En BEDOOTT, S.L. (en adelante, «Bedoott») la protección de los datos personales no es una obligación legal más: es un pilar fundamental de nuestro servicio. Como plataforma SaaS especializada en la gestión de Recursos Humanos, tratamos datos personales de empleados, candidatos y colaboradores de nuestros clientes, y somos plenamente conscientes de la responsabilidad que ello conlleva.

Esta página tiene como objetivo informar de manera transparente sobre nuestro compromiso con el cumplimiento del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), así como detallar las medidas técnicas, organizativas y contractuales que aplicamos para garantizar la seguridad y confidencialidad de los datos.

1. Identificación

Razón socialBEDOOTT, S.L.
DomicilioCalle Ríos Rosas 42, primera planta, 28003 Madrid (España)
CIFB75541359
Teléfono93 585 19 04
Email de contacto RGPDgdpr@bedoott.com

2. Compromiso de Bedoott con el RGPD

Bedoott trabaja bajo los principios fundamentales establecidos en el artículo 5 del RGPD:

  • Licitud, lealtad y transparencia: todos los tratamientos de datos personales se realizan sobre una base legal válida y se informa adecuadamente a los interesados.
  • Limitación de la finalidad: los datos se recogen con fines determinados, explícitos y legítimos, y no se tratan posteriormente de manera incompatible con dichos fines.
  • Minimización de datos: solo se tratan los datos personales adecuados, pertinentes y limitados a lo necesario.
  • Exactitud: se adoptan medidas razonables para mantener los datos actualizados y exactos.
  • Limitación del plazo de conservación: los datos se conservan únicamente durante el tiempo necesario para los fines del tratamiento.
  • Integridad y confidencialidad: se aplican medidas técnicas y organizativas que garantizan la seguridad apropiada de los datos.
  • Responsabilidad proactiva (accountability): Bedoott es capaz de demostrar el cumplimiento de los principios anteriores en todo momento.

3. Doble condición de Bedoott: Responsable y Encargado del tratamiento

Bedoott actúa con dos condiciones diferenciadas en función del tipo de datos personales que trata:

3.1. Bedoott como Responsable del tratamiento

Bedoott actúa como Responsable del tratamiento respecto de los datos personales que recaba directamente a través de su sitio web www.bedoott.com y canales de contacto: visitantes, leads comerciales, candidatos a procesos de selección internos, suscriptores a la newsletter, asistentes a webinars y eventos, etc.

Este tratamiento se rige por nuestra Política de Privacidad.

3.2. Bedoott como Encargado del tratamiento

Bedoott actúa como Encargado del tratamiento respecto de los datos personales que sus clientes (empresas que contratan la plataforma SaaS) introducen, cargan o gestionan a través de la plataforma para administrar a sus empleados, candidatos, exempleados y colaboradores.

En este escenario:

  • El Responsable del tratamiento es la empresa cliente.
  • Bedoott trata los datos únicamente siguiendo las instrucciones documentadas del cliente, conforme al artículo 28 del RGPD.
  • Bedoott no utiliza los datos para finalidades propias ni los cede a terceros distintos de los subencargados autorizados.
  • La relación se formaliza mediante un Contrato de Encargado de Tratamiento (DPA – Data Processing Agreement) que se firma con cada cliente y que regula obligaciones, garantías, plazos, subencargados, devolución o supresión de datos a la finalización del contrato, asistencia al Responsable y notificación de brechas de seguridad.

Si usted es un empleado de una empresa cliente de Bedoott y desea ejercer sus derechos sobre los datos contenidos en la plataforma, debe dirigirse a su empleador, que es el Responsable del tratamiento de esos datos. Bedoott colaborará con el cliente para atender la solicitud en los plazos legales.

4. Contrato de Encargado de Tratamiento (DPA)

Todo cliente que contrata la plataforma SaaS de Bedoott firma, junto con el contrato principal de servicio, un Contrato de Encargado de Tratamiento que cumple íntegramente con los requisitos del artículo 28.3 del RGPD. Este contrato regula, entre otros aspectos:

  • Objeto, duración, naturaleza y finalidad del tratamiento.
  • Tipo de datos personales y categorías de interesados.
  • Obligaciones y derechos del Responsable del tratamiento.
  • Compromiso de confidencialidad del personal de Bedoott con acceso a los datos.
  • Medidas técnicas y organizativas de seguridad implementadas.
  • Régimen de subencargados y autorización del Responsable.
  • Asistencia al Responsable en el ejercicio de derechos por los interesados.
  • Asistencia al Responsable en la notificación de brechas y evaluaciones de impacto (PIA).
  • Devolución o supresión de los datos a la finalización del contrato.
  • Auditorías y verificaciones por parte del Responsable.

Los clientes pueden solicitar una copia del DPA escribiendo a gdpr@bedoott.com.

5. Medidas técnicas y organizativas de seguridad

Conforme al artículo 32 del RGPD, Bedoott aplica medidas técnicas y organizativas apropiadas al riesgo del tratamiento para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios.

5.1. Certificaciones y auditorías

  • Certificación ISO/IEC 27001 del Sistema de Gestión de Seguridad de la Información (SGSI).
  • Pentest periódicos y auditorías de seguridad realizados por proveedores externos especializados, con planes de remediación documentados.

5.2. Medidas técnicas

  • Cifrado en tránsito mediante protocolos TLS 1.2 o superior en todas las comunicaciones.
  • Cifrado en reposo de los datos almacenados en bases de datos y sistemas de almacenamiento.
  • Copias de seguridad cifradas con periodicidad regular y pruebas de restauración.
  • Control de accesos basado en roles (RBAC) que aplica el principio de mínimo privilegio: cada usuario accede únicamente a los datos estrictamente necesarios para su función.
  • Registros de actividad (logs de auditoría) que permiten trazar quién accede a qué datos, cuándo y con qué propósito.
  • Segregación de entornos de desarrollo, pruebas y producción.
  • Sistemas de detección y prevención de intrusiones, así como protección frente a ataques comunes (OWASP Top 10).

5.3. Medidas organizativas

  • Compromiso de confidencialidad firmado por todo el personal de Bedoott con acceso a datos personales.
  • Formación periódica del equipo en materia de seguridad de la información y protección de datos.
  • Política interna de seguridad y procedimientos documentados de gestión de incidentes.
  • Procedimiento formal de alta y baja de accesos ante incorporaciones y salidas de personal.
  • Registro de Actividades de Tratamiento (RAT) mantenido y actualizado conforme al artículo 30 del RGPD.

6. Subencargados del tratamiento

Para prestar el servicio SaaS, Bedoott se apoya en proveedores que actúan como subencargados del tratamiento. Cada subencargado está vinculado contractualmente con Bedoott mediante un acuerdo que impone obligaciones equivalentes a las que Bedoott asume frente a sus clientes, conforme al art. 28.4 del RGPD.

Listado de subencargados actuales

SubencargadoServicio prestadoUbicaciónTransferencia internacional
OVH, S.L.Hosting e infraestructura de la plataforma SaaS y del sitio webFrancia (UE)No
HubSpot, Inc.CRM, email marketing, soporte y chat en vivoIrlanda (UE) y EE. UU.Sí (con garantías adecuadas)

Aviso a clientes: Bedoott informará previamente al cliente de cualquier cambio previsto en relación con la incorporación o sustitución de subencargados, dando al cliente la oportunidad de oponerse a dichos cambios, conforme a lo establecido en el DPA suscrito.

7. Transferencias internacionales de datos

Con carácter general, los datos personales tratados por Bedoott se almacenan en infraestructura ubicada dentro del Espacio Económico Europeo (EEE), en concreto en los centros de datos de OVH en Francia.

Algunos servicios auxiliares (como HubSpot) pueden implicar transferencias internacionales de datos a EE. UU. Estas transferencias se realizan al amparo de los mecanismos previstos en el Capítulo V del RGPD:

  • Decisión de adecuación de la Comisión Europea, en particular el EU-U.S. Data Privacy Framework, cuando el destinatario está adherido al mismo.
  • Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea, complementadas con medidas técnicas y organizativas adicionales cuando sea necesario tras la correspondiente evaluación de impacto en transferencias (TIA).

8. Notificación de brechas de seguridad

Bedoott dispone de un procedimiento documentado de gestión de incidentes de seguridad que permite detectar, contener, evaluar y notificar las violaciones de la seguridad de los datos personales en los plazos exigidos por el RGPD.

En caso de producirse una brecha de seguridad que afecte a datos personales tratados por Bedoott:

  • Como Responsable del tratamiento (datos del sitio web): Bedoott notificará la brecha a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas desde su conocimiento, cuando exista riesgo para los derechos y libertades de los afectados, y comunicará la brecha a los interesados cuando dicho riesgo sea alto (arts. 33 y 34 RGPD).
  • Como Encargado del tratamiento (datos de la plataforma): Bedoott notificará la brecha al cliente afectado sin dilación indebida desde su conocimiento, proporcionando toda la información necesaria para que el cliente, como Responsable, pueda cumplir sus obligaciones de notificación.

9. Derechos de los interesados

El RGPD reconoce a los interesados los siguientes derechos:

  • Acceso a sus datos personales.
  • Rectificación de datos inexactos o incompletos.
  • Supresión («derecho al olvido»).
  • Oposición al tratamiento.
  • Limitación del tratamiento.
  • Portabilidad de los datos.
  • Retirada del consentimiento prestado en cualquier momento.
  • No ser objeto de decisiones automatizadas con efectos jurídicos o significativos.
  • Reclamación ante la Agencia Española de Protección de Datos (AEPD).

¿A quién dirigirse para ejercer los derechos?

  • Si los datos fueron facilitados a través del sitio web de Bedoott (formulario de contacto, newsletter, candidaturas, etc.), puede ejercer sus derechos directamente ante Bedoott, escribiendo a gdpr@bedoott.com o por correo postal a la dirección indicada en el apartado 1.
  • Si los datos están en la plataforma SaaS porque su empleador la utiliza, debe dirigirse a su empleador (la empresa cliente de Bedoott), que es el Responsable del tratamiento. Bedoott asistirá al empleador para atender su solicitud.

Bedoott responde a las solicitudes en el plazo máximo de un (1) mes desde su recepción, prorrogable por dos (2) meses adicionales en casos de especial complejidad.

10. Conservación y supresión de datos

Bedoott conserva los datos personales únicamente durante el tiempo necesario para cumplir con las finalidades del tratamiento y, en su caso, durante los plazos legalmente exigibles para atender posibles responsabilidades.

A la finalización de la relación contractual con un cliente del SaaS, Bedoott procederá, a elección del cliente, a la devolución o supresión segura de todos los datos personales tratados por su cuenta, así como de las copias existentes, salvo que la legislación aplicable exija su conservación. Este procedimiento está regulado en el DPA.

11. Delegado de Protección de Datos (DPO)

Para cualquier cuestión relativa a la protección de datos personales, los interesados pueden contactar directamente con el equipo de privacidad de Bedoott a través del correo electrónico gdpr@bedoott.com.

12. Reclamaciones ante la Autoridad de Control

Si considera que el tratamiento de sus datos personales no se ajusta a la normativa o que sus derechos no han sido debidamente atendidos, tiene derecho a presentar una reclamación ante la autoridad de control competente:Agencia Española de Protección de Datos (AEPD)
C/ Jorge Juan, 6
28001 Madrid
Web: https://www.aepd.es

13. Contacto

Para cualquier consulta, solicitud o aclaración relacionada con el cumplimiento del RGPD por parte de Bedoott:

  • Email: gdpr@bedoott.com
  • Teléfono: 93 585 19 04
  • Dirección postal: BEDOOTT, S.L. – Calle Ríos Rosas 42, primera planta, 28003 Madrid (España)

14. Modificaciones de la presente página

Esta página informativa de Cumplimiento RGPD puede ser modificada para adaptarla a los cambios en la normativa aplicable, en las directrices de la AEPD y del Comité Europeo de Protección de Datos (EDPB), o en los procedimientos internos y proveedores de Bedoott. Se recomienda su consulta periódica.

Documento revisado a fecha de 03/05/2026

Ver planes y precios