← Volver al inicio

Contrato de Encargo de Tratamiento

Versión 1.10 · Vigencia: 24 de mayo de 2026

(Art. 28 Reglamento (UE) 2016/679 — RGPD)

1. Partes

De una parte, la entidad cliente que contrata la plataforma ImadSync (en adelante, el Responsable del tratamiento).

Y de otra, Ramón Jové Díaz, con NIF 47635894L, con domicilio en Calle Josep María Juncadella 67, 43882 Segur de Calafell, correo electrónico de contacto soporte@imadsync.com y, en materia de protección de datos, privacidad@imadsync.com, como proveedor de la plataforma ImadSync (en adelante, el Encargado del tratamiento).

Ambas partes, reconociéndose capacidad legal suficiente, acuerdan suscribir el presente Contrato de Encargado del tratamiento.

2. Objeto

Regular las condiciones en las que el Encargado tratará datos personales por cuenta del Responsable para la prestación del servicio SaaS de registro horario, gestión de jornada laboral y control de presencia mediante la plataforma ImadSync.

3. Duración

El presente contrato tendrá la misma duración que la relación de prestación de servicios. Una vez finalizada, se aplicará lo dispuesto en la cláusula 12 (destino de los datos).

4. Naturaleza y finalidad del tratamiento

Finalidad:

Operaciones de tratamiento:

5. Tipos de datos y categorías de interesados

Datos tratados:

Interesados:

6. Obligaciones del Encargado

El Encargado se compromete a:

  1. Tratar los datos únicamente siguiendo instrucciones documentadas del Responsable.
  2. No destinar los datos a fines propios.
  3. No agregar, combinar ni cruzar los datos del Responsable con datos de otros Responsables a los que el Encargado preste el mismo servicio. Las analíticas internas que el Encargado realice sobre el funcionamiento de la Plataforma se efectuarán siempre sobre datos de uso agregados y anonimizados (sin identificación de tenant ni de interesado) o, en su caso, sobre datos del Responsable de forma aislada. El aislamiento técnico se implementa mediante Row-Level Security en base de datos forzada por tenant_id (ver cláusula 7) y se audita en CI con tests bloqueantes.
  4. Garantizar la confidencialidad del personal autorizado.
  5. Formar a su personal en protección de datos.
  6. Mantener el deber de secreto incluso tras finalizar el contrato.
  7. Informar al Responsable de inmediato si, en su opinión, una instrucción infringe el RGPD, la LOPDGDD u otras disposiciones de protección de datos de la UE o de los Estados miembros (art. 28.3, último párrafo, RGPD).

7. Medidas de seguridad

El Encargado aplicará las medidas técnicas y organizativas exigidas por el art. 32 RGPD, entre las que se incluyen:

La infraestructura está alojada íntegramente en proveedores de la Unión Europea (IONOS España S.L.U., España (UE)), salvo las transferencias internacionales declaradas expresamente en la cláusula 9.

7.X. Medidas evolutivas. Las medidas técnicas y organizativas relacionadas podrán actualizarse periódicamente conforme al estado del arte tecnológico, los costes de aplicación y los riesgos identificados en el tratamiento. En cualquier caso, el Encargado mantendrá un nivel de seguridad apropiado al riesgo del tratamiento y al alcance de los datos personales objeto del mismo, conforme exige el art. 32 RGPD. Cualquier reducción significativa del nivel de seguridad que afecte a los datos del Responsable será comunicada con antelación razonable.

8. Sub-encargados

El Responsable autoriza al Encargado a recurrir a los siguientes sub-encargados necesarios para la prestación del servicio:

El Encargado garantizará que todos los sub-encargados cumplen el RGPD, firman un contrato de encargo equivalente y aplican medidas de seguridad adecuadas. El Encargado informará al Responsable con antelación razonable de cualquier adición o sustitución de sub-encargados, ofreciendo al Responsable la posibilidad de oponerse.

9. Transferencias internacionales

El alojamiento principal, los buzones de correo corporativo y las copias de seguridad cifradas se prestan íntegramente dentro del Espacio Económico Europeo.

Las transferencias internacionales fuera del EEE se limitan a los siguientes sub-encargados y datos concretos:

Estas transferencias se amparan en el Marco UE-EE.UU. de Protección de Datos (Decisión de Adecuación 2023/1795 de la Comisión Europea) y, subsidiariamente, en las Cláusulas Contractuales Tipo aprobadas por la Comisión (Decisión 2021/914), conforme al art. 46 RGPD. Cloudflare, Stripe y GitHub están adheridas al Data Privacy Framework.

El Encargado se compromete a NO realizar transferencias internacionales adicionales sin la autorización previa por escrito del Responsable.

10. Asistencia al Responsable

El Encargado asistirá al Responsable en el ejercicio de derechos ARSULIPO (Acceso, Rectificación, Supresión, Limitación, Portabilidad y Oposición), Evaluaciones de Impacto (EIPD) si aplica, consultas previas a autoridades y en el cumplimiento de las obligaciones de seguridad.

11. Brechas de seguridad

El Encargado notificará al Responsable cualquier brecha de seguridad relativa a los datos personales tratados sin dilación indebida y, en cualquier caso, en un plazo máximo de cuarenta y ocho (48) horas desde que tenga conocimiento efectivo de la misma. La notificación incluirá:

  1. la naturaleza de la brecha y, cuando sea posible, las categorías y volumen aproximado de interesados afectados y de registros comprometidos;
  2. el nombre y datos de contacto del responsable de seguridad del Encargado o punto de contacto donde obtener más información;
  3. las posibles consecuencias de la brecha;
  4. las medidas adoptadas o propuestas para poner remedio a la brecha y, en su caso, mitigar sus posibles efectos adversos.

Lo anterior se entenderá sin perjuicio de la obligación del Responsable de notificar a la autoridad de control competente en el plazo de 72 horas conforme al art. 33 RGPD. El plazo de 48 horas otorgado al Encargado tiene precisamente como finalidad permitir al Responsable cumplir su obligación dentro del plazo legal.

12. Destino de los datos al finalizar el servicio

A elección del Responsable, el Encargado deberá devolver los datos en formato estructurado o suprimirlos definitivamente de los servidores. Se conservarán bloqueados únicamente aquellos necesarios para atender posibles responsabilidades legales (registros de jornada: 4 años por RD-ley 8/2019).

13. Auditorías

13.1. El Responsable podrá auditar el cumplimiento del presente contrato hasta una (1) vez al año, mediante una empresa auditora reconocida e independiente, en horario laboral del Encargado y con un preaviso mínimo de treinta (30) días naturales. El Encargado pondrá a disposición del auditor la documentación e información razonable necesarias para verificar el cumplimiento de las obligaciones del presente contrato, sin perjuicio del deber de confidencialidad respecto a datos de otros clientes o secretos comerciales.

13.2. Los costes de la auditoría correrán a cargo del Responsable, salvo que se acrediten incumplimientos materiales por parte del Encargado, en cuyo caso los asumirá éste, así como los costes razonables de remediación.

13.3. Como alternativa a la auditoría in situ, el Encargado podrá facilitar al Responsable un informe vigente de auditoría externa independiente (SOC 2 Type II, ISAE 3402, ENS Medio, ISO 27001 o equivalente) que cubra los aspectos materiales del tratamiento. El Responsable aceptará dicho informe como sustituto de la auditoría salvo que acredite causa razonable y motivada para una auditoría adicional.

13.4. Excepción por brecha: en caso de brecha de seguridad confirmada o sospecha fundada de incumplimiento material, el Responsable podrá realizar una auditoría extraordinaria sin sujeción a los límites de frecuencia, preaviso y costes anteriores.

13.5. El Responsable y, en su caso, sus auditores quedan obligados al deber de confidencialidad sobre la información a la que accedan durante la auditoría.

14. Responsabilidad

Cada parte responderá de las infracciones en que incurra por incumplimiento de la normativa de protección de datos. La responsabilidad agregada del Encargado frente al Responsable se sujeta a los mismos límites cuantitativos pactados en los Términos del servicio aplicables a la relación contractual entre las partes.

15. Legislación y jurisdicción

El presente contrato se rige por el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y la legislación española aplicable. Las partes se someten a los Juzgados y Tribunales del partido judicial correspondiente al domicilio social del Encargado en cada momento (a la fecha del presente contrato, partido judicial de El Vendrell, provincia de Tarragona), con renuncia expresa a cualquier otro fuero que pudiera corresponderles, sin perjuicio de la competencia objetiva exclusiva de los Juzgados de lo Mercantil de Tarragona sobre las materias previstas en el artículo 86 ter de la LOPJ.

16. Aceptación

El presente contrato se entenderá aceptado mediante aceptación electrónica junto a los Términos de Contratación del servicio. Tras el alta, ambas partes lo suscriben de manera fehaciente en la fecha de contratación de la plataforma.