Contrato de Encargo de Tratamiento
Versión 1.10 · Vigencia: 24 de mayo de 2026
(Art. 28 Reglamento (UE) 2016/679 — RGPD)
1. Partes
De una parte, la entidad cliente que contrata la plataforma ImadSync (en adelante, el Responsable del tratamiento).
Y de otra, Ramón Jové Díaz, con NIF 47635894L, con domicilio en Calle Josep María Juncadella 67, 43882 Segur de Calafell, correo electrónico de contacto soporte@imadsync.com y, en materia de protección de datos, privacidad@imadsync.com, como proveedor de la plataforma ImadSync (en adelante, el Encargado del tratamiento).
Ambas partes, reconociéndose capacidad legal suficiente, acuerdan suscribir el presente Contrato de Encargado del tratamiento.
2. Objeto
Regular las condiciones en las que el Encargado tratará datos personales por cuenta del Responsable para la prestación del servicio SaaS de registro horario, gestión de jornada laboral y control de presencia mediante la plataforma ImadSync.
3. Duración
El presente contrato tendrá la misma duración que la relación de prestación de servicios. Una vez finalizada, se aplicará lo dispuesto en la cláusula 12 (destino de los datos).
4. Naturaleza y finalidad del tratamiento
Finalidad:
- Gestión del registro horario.
- Control de jornada laboral.
- Gestión de turnos y ausencias.
- Elaboración de informes laborales.
- Cumplimiento de obligaciones legales.
Operaciones de tratamiento:
- Recogida y registro.
- Conservación y consulta.
- Organización.
- Supresión.
5. Tipos de datos y categorÃas de interesados
Datos tratados:
- Identificativos (nombre, apellidos, email).
- Laborales (puesto, horario).
- Registros de fichaje.
- Geolocalización puntual en el momento del fichaje (únicamente si la empresa Responsable la activa expresamente; desactivada por defecto).
- Logs de acceso.
- Documentación laboral subida por el cliente.
- No se tratan datos biométricos.
Interesados:
- Empleados.
- Colaboradores.
- Usuarios autorizados por el Responsable.
6. Obligaciones del Encargado
El Encargado se compromete a:
- Tratar los datos únicamente siguiendo instrucciones documentadas del Responsable.
- No destinar los datos a fines propios.
- No agregar, combinar ni cruzar los datos del Responsable con datos de otros Responsables a los que el Encargado preste el mismo servicio. Las analÃticas internas que el Encargado realice sobre el funcionamiento de la Plataforma se efectuarán siempre sobre datos de uso agregados y anonimizados (sin identificación de tenant ni de interesado) o, en su caso, sobre datos del Responsable de forma aislada. El aislamiento técnico se implementa mediante Row-Level Security en base de datos forzada por tenant_id (ver cláusula 7) y se audita en CI con tests bloqueantes.
- Garantizar la confidencialidad del personal autorizado.
- Formar a su personal en protección de datos.
- Mantener el deber de secreto incluso tras finalizar el contrato.
- Informar al Responsable de inmediato si, en su opinión, una instrucción infringe el RGPD, la LOPDGDD u otras disposiciones de protección de datos de la UE o de los Estados miembros (art. 28.3, último párrafo, RGPD).
7. Medidas de seguridad
El Encargado aplicará las medidas técnicas y organizativas exigidas por el art. 32 RGPD, entre las que se incluyen:
- Cifrado en reposo (AES-256-GCM): DNI de empleados, coordenadas GPS de sedes, claves de API de integraciones biométricas y campos sensibles del registro de brechas.
- Cifrado en tránsito: HTTPS/TLS obligatorio en todas las comunicaciones.
- Hashing de credenciales: Argon2id con pepper rotable. Sin almacenamiento de contraseñas en claro.
- Hash parcial de DNI (HMAC-SHA256): identificación en terminales kiosko sin exponer el dato completo.
- Aislamiento multi-tenant: Row-Level Security (RLS) forzado por
app.tenant_id; tabla de claves de cifrado versionada por tenant. - Control de accesos: autenticación por rol, tokens CSRF en operaciones de escritura, cierre automático por inactividad.
- Trazabilidad: registro de auditorÃa de accesos, ediciones manuales, exportaciones y operaciones crÃticas.
- Hash-chain SHA-256 sobre los cierres mensuales: cualquier modificación posterior a la firma se detecta al recomputar.
- Copias de seguridad: backups diarios cifrados con réplica off-site a servidor secundario.
- Protección frente a ataques comunes: rate limiting, validación de entradas, prepared statements en todas las consultas SQL (sqlc).
La infraestructura está alojada Ãntegramente en proveedores de la Unión Europea (IONOS España S.L.U., España (UE)), salvo las transferencias internacionales declaradas expresamente en la cláusula 9.
7.X. Medidas evolutivas. Las medidas técnicas y organizativas relacionadas podrán actualizarse periódicamente conforme al estado del arte tecnológico, los costes de aplicación y los riesgos identificados en el tratamiento. En cualquier caso, el Encargado mantendrá un nivel de seguridad apropiado al riesgo del tratamiento y al alcance de los datos personales objeto del mismo, conforme exige el art. 32 RGPD. Cualquier reducción significativa del nivel de seguridad que afecte a los datos del Responsable será comunicada con antelación razonable.
8. Sub-encargados
El Responsable autoriza al Encargado a recurrir a los siguientes sub-encargados necesarios para la prestación del servicio:
- IONOS España S.L.U. — alojamiento web, servidores, bases de datos, buzones de correo corporativo (los recibidos en direcciones del dominio del Encargado) y servicio SMTP saliente para el envÃo de correos transaccionales del sistema (verificación de cuenta, recuperación de contraseña, notificaciones, facturación). Ubicación: España (UE).
- Backblaze, Inc. (región EU) — almacenamiento de copias de seguridad cifradas client-side AES-256 con clave gestionada por el Encargado. Ubicación fÃsica de los datos: centro de datos en à msterdam (PaÃses Bajos, UE). Sede de la entidad: Estados Unidos, por lo que constituye transferencia internacional amparada en Cláusulas Contractuales Tipo (Decisión 2021/914, Módulo 2) — ver cláusula 9. El sub-encargado solo accede a blobs cifrados y no puede descifrar el contenido, lo que constituye medida suplementaria conforme a EDPB 01/2020 (Schrems II). DPA: backblaze.com.
- Cloudflare, Inc. — protección anti-bot (Turnstile), CDN y WAF en formularios y rutas públicas. Sede: Estados Unidos (con Marco UE-EE.UU. y Cláusulas Contractuales Tipo aplicables — ver cláusula 9). DPA: cloudflare.com/cloudflare-customer-dpa.
- Stripe, Inc. — pasarela de pago y facturación. Sede: Estados Unidos (con Marco UE-EE.UU. y Cláusulas Contractuales Tipo aplicables — ver cláusula 9). DPA completo: stripe.com/es/legal/dpa.
- GitHub, Inc. (filial de Microsoft) — alojamiento del código fuente y registro de imágenes Docker desplegadas. El sub-encargado NO trata datos personales de los usuarios finales; el código publicado no contiene datos personales y los secretos de CI/CD se almacenan cifrados. Sede: Estados Unidos (con Marco UE-EE.UU. y Cláusulas Contractuales Tipo aplicables — ver cláusula 9). DPA: docs.github.com/en/site-policy/.../github-data-protection-agreement.
El Encargado garantizará que todos los sub-encargados cumplen el RGPD, firman un contrato de encargo equivalente y aplican medidas de seguridad adecuadas. El Encargado informará al Responsable con antelación razonable de cualquier adición o sustitución de sub-encargados, ofreciendo al Responsable la posibilidad de oponerse.
9. Transferencias internacionales
El alojamiento principal, los buzones de correo corporativo y las copias de seguridad cifradas se prestan Ãntegramente dentro del Espacio Económico Europeo.
Las transferencias internacionales fuera del EEE se limitan a los siguientes sub-encargados y datos concretos:
- Cloudflare, Inc. (Estados Unidos): procesa la dirección IP del visitante y los headers HTTP durante la fase de protección perimetral. No accede al contenido autenticado de la Plataforma.
- Stripe, Inc. (Estados Unidos): procesa el email del Cliente, customer_id, importe, datos de tarjeta tokenizados y metadatos de la suscripción, exclusivamente para la gestión del cobro.
- GitHub, Inc. (Estados Unidos): aloja código fuente e imágenes Docker de la Plataforma. NO trata datos personales de usuarios finales.
Estas transferencias se amparan en el Marco UE-EE.UU. de Protección de Datos (Decisión de Adecuación 2023/1795 de la Comisión Europea) y, subsidiariamente, en las Cláusulas Contractuales Tipo aprobadas por la Comisión (Decisión 2021/914), conforme al art. 46 RGPD. Cloudflare, Stripe y GitHub están adheridas al Data Privacy Framework.
El Encargado se compromete a NO realizar transferencias internacionales adicionales sin la autorización previa por escrito del Responsable.
10. Asistencia al Responsable
El Encargado asistirá al Responsable en el ejercicio de derechos ARSULIPO (Acceso, Rectificación, Supresión, Limitación, Portabilidad y Oposición), Evaluaciones de Impacto (EIPD) si aplica, consultas previas a autoridades y en el cumplimiento de las obligaciones de seguridad.
11. Brechas de seguridad
El Encargado notificará al Responsable cualquier brecha de seguridad relativa a los datos personales tratados sin dilación indebida y, en cualquier caso, en un plazo máximo de cuarenta y ocho (48) horas desde que tenga conocimiento efectivo de la misma. La notificación incluirá:
- la naturaleza de la brecha y, cuando sea posible, las categorÃas y volumen aproximado de interesados afectados y de registros comprometidos;
- el nombre y datos de contacto del responsable de seguridad del Encargado o punto de contacto donde obtener más información;
- las posibles consecuencias de la brecha;
- las medidas adoptadas o propuestas para poner remedio a la brecha y, en su caso, mitigar sus posibles efectos adversos.
Lo anterior se entenderá sin perjuicio de la obligación del Responsable de notificar a la autoridad de control competente en el plazo de 72 horas conforme al art. 33 RGPD. El plazo de 48 horas otorgado al Encargado tiene precisamente como finalidad permitir al Responsable cumplir su obligación dentro del plazo legal.
12. Destino de los datos al finalizar el servicio
A elección del Responsable, el Encargado deberá devolver los datos en formato estructurado o suprimirlos definitivamente de los servidores. Se conservarán bloqueados únicamente aquellos necesarios para atender posibles responsabilidades legales (registros de jornada: 4 años por RD-ley 8/2019).
13. AuditorÃas
13.1. El Responsable podrá auditar el cumplimiento del presente contrato hasta una (1) vez al año, mediante una empresa auditora reconocida e independiente, en horario laboral del Encargado y con un preaviso mÃnimo de treinta (30) dÃas naturales. El Encargado pondrá a disposición del auditor la documentación e información razonable necesarias para verificar el cumplimiento de las obligaciones del presente contrato, sin perjuicio del deber de confidencialidad respecto a datos de otros clientes o secretos comerciales.
13.2. Los costes de la auditorÃa correrán a cargo del Responsable, salvo que se acrediten incumplimientos materiales por parte del Encargado, en cuyo caso los asumirá éste, asà como los costes razonables de remediación.
13.3. Como alternativa a la auditorÃa in situ, el Encargado podrá facilitar al Responsable un informe vigente de auditorÃa externa independiente (SOC 2 Type II, ISAE 3402, ENS Medio, ISO 27001 o equivalente) que cubra los aspectos materiales del tratamiento. El Responsable aceptará dicho informe como sustituto de la auditorÃa salvo que acredite causa razonable y motivada para una auditorÃa adicional.
13.4. Excepción por brecha: en caso de brecha de seguridad confirmada o sospecha fundada de incumplimiento material, el Responsable podrá realizar una auditorÃa extraordinaria sin sujeción a los lÃmites de frecuencia, preaviso y costes anteriores.
13.5. El Responsable y, en su caso, sus auditores quedan obligados al deber de confidencialidad sobre la información a la que accedan durante la auditorÃa.
14. Responsabilidad
Cada parte responderá de las infracciones en que incurra por incumplimiento de la normativa de protección de datos. La responsabilidad agregada del Encargado frente al Responsable se sujeta a los mismos lÃmites cuantitativos pactados en los Términos del servicio aplicables a la relación contractual entre las partes.
15. Legislación y jurisdicción
El presente contrato se rige por el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y la legislación española aplicable. Las partes se someten a los Juzgados y Tribunales del partido judicial correspondiente al domicilio social del Encargado en cada momento (a la fecha del presente contrato, partido judicial de El Vendrell, provincia de Tarragona), con renuncia expresa a cualquier otro fuero que pudiera corresponderles, sin perjuicio de la competencia objetiva exclusiva de los Juzgados de lo Mercantil de Tarragona sobre las materias previstas en el artÃculo 86 ter de la LOPJ.
16. Aceptación
El presente contrato se entenderá aceptado mediante aceptación electrónica junto a los Términos de Contratación del servicio. Tras el alta, ambas partes lo suscriben de manera fehaciente en la fecha de contratación de la plataforma.