¿Necesito instalar hardware especial?

No es necesario. ImadSync es una plataforma Cloud accesible desde cualquier navegador. Tienes 4 métodos de fichaje: web/PWA desde móvil o PC, tablet como kiosko con PIN, QR dinámico rotativo en una pantalla de oficina, o integración con terminales biométricos Anviz.

¿Qué garantías tengo ante una Inspección de Trabajo?

ImadSync genera reportes con validez legal inmediata. Cumple al 100% con el RD 8/2019: registro diario, conservación de 4 años, firma del trabajador y trazabilidad de cambios (Triple Auditoría).

¿Dónde se guardan mis datos y quién los gestiona?

Tus datos se alojan en la infraestructura segura de IONOS en España. Nosotros nos ocupamos de la seguridad, copias de seguridad y mantenimiento. El cumplimiento del RGPD está garantizado por contrato.

¿Cómo funciona el fichaje por QR dinámico?

El administrador activa una pantalla QR en la sede. El código QR cambia automáticamente cada 10 segundos, haciendo imposible que alguien lo fotografíe y lo use desde fuera. El empleado escanea con su móvil y queda fichado.

¿Cuánto tardo en empezar a usarlo?

El acceso es instantáneo. Solo necesitas crear tu cuenta de empresa y dar de alta a tus empleados. En menos de 5 minutos puedes tener a tu plantilla fichando.

← Volver al inicio

Contrato Encargado de Tratamiento de Datos

(Art. 28 Reglamento (UE) 2016/679 – RGPD)

Versión 1.3 · Fecha de vigencia: 8 de abril de 2026

1. PARTES

De una parte, la entidad cliente que contrata la plataforma ImadSync (en adelante, el Responsable del Tratamiento).

Y de otra, Ramón Jové Díaz, con NIF 47635894L, con domicilio en C/Josep María Juncadella 67. 43882, Segur de Calafell, correo electrónico info@imadsync.com, como proveedor de la plataforma ImadSync (en adelante, el Encargado del Tratamiento).

Ambas partes, reconociéndose capacidad legal suficiente, acuerdan suscribir el presente Contrato de Encargado del Tratamiento.

2. OBJETO

Regular las condiciones en las que el Encargado tratará datos personales por cuenta del Responsable para la prestación del servicio SaaS de registro horario, gestión de jornada laboral y control de presencia mediante la plataforma ImadSync.

3. DURACIÓN

El presente contrato tendrá la misma duración que la relación de prestación de servicios. Una vez finalizada, se aplicará lo dispuesto en la cláusula 12 (Destino de los datos).

4. NATURALEZA Y FINALIDAD DEL TRATAMIENTO

Finalidad:

Gestión del registro horario.
Control de jornada laboral.
Gestión de turnos y ausencias.
Elaboración de informes laborales.
Cumplimiento de obligaciones legales.

Operaciones de tratamiento:

Recogida y registro.
Conservación y consulta.
Organización.
Supresión.

5. TIPOS DE DATOS Y CATEGORÍAS DE INTERESADOS

Datos tratados:

Identificativos (nombre, apellidos, email).
Laborales (puesto, horario).
Registros de fichaje.
Geolocalización puntual en el momento del fichaje (únicamente si la empresa Responsable la activa expresamente; desactivada por defecto).
Logs de acceso.
Documentación laboral subida por el cliente.
No se tratan datos biométricos.

Interesados:

Empleados.
Colaboradores.
Usuarios autorizados por el Responsable.

6. OBLIGACIONES DEL ENCARGADO

El Encargado se compromete a:

Tratar los datos únicamente siguiendo instrucciones documentadas del Responsable.
No destinar los datos a fines propios.
Garantizar la confidencialidad del personal autorizado.
Formar a su personal en protección de datos.
Mantener el deber de secreto incluso tras finalizar el contrato.
Informar al Responsable de inmediato si, en su opinión, una instrucción infringe el RGPD, la LOPDGDD u otras disposiciones de protección de datos de la UE o de los Estados miembros (art. 28.3, último párrafo, RGPD).

7. MEDIDAS DE SEGURIDAD

El Encargado aplicará las medidas técnicas y organizativas exigidas por el art. 32 RGPD, entre las que se incluyen:

Cifrado en reposo (AES-256-GCM): DNI de empleados, coordenadas GPS de sedes, claves de API de integraciones biométricas y campos sensibles del registro de brechas.
Cifrado en tránsito: HTTPS/TLS obligatorio en todas las comunicaciones.
Hashing de credenciales: bcrypt con salt aleatorio. Sin almacenamiento de contraseñas en claro.
Hash parcial de DNI (HMAC-SHA256): identificación en terminales kiosko sin exponer el dato completo.
Aislamiento multi-tenant: base de datos independiente y clave de cifrado propia por cliente.
Control de accesos: autenticación por rol, tokens CSRF en operaciones de escritura, cierre automático por inactividad.
Trazabilidad: registro de auditoría de accesos, ediciones manuales, exportaciones y operaciones críticas.
Copias de seguridad: backups diarios cifrados con réplica off-site a servidor secundario.
Protección frente a ataques comunes: rate limiting, validación de entradas, prepared statements en todas las consultas SQL.

La infraestructura está alojada íntegramente en proveedores de la Unión Europea (IONOS, España).

8. SUBENCARGADOS

El Responsable autoriza al Encargado a recurrir a los siguientes subencargados necesarios para la prestación del servicio:

IONOS SE (1&1 IONOS España S.L.U.) — Alojamiento web, servidores y bases de datos. Ubicación: España / UE.
IONOS SE (Servicio de Email) — Envío de correo transaccional (notificaciones del sistema). Ubicación: España / UE.
Cloudflare, Inc. — Protección anti-bot (Turnstile) en formularios de acceso. Ubicación: UE (con Cláusulas Contractuales Tipo para datos procesados fuera del EEE). DPA: cloudflare.com/cloudflare-customer-dpa.
Stripe, Inc. — Pasarela de pago y facturación. Ubicación: UE / EE.UU. (al amparo de la Decisión de adecuación UE-EE.UU. Data Privacy Framework y Cláusulas Contractuales Tipo aplicables). DPA completo: stripe.com/es/legal/dpa.

El Encargado garantizará que todos los subencargados cumplen el RGPD, firman un contrato de encargo equivalente y aplican medidas de seguridad adecuadas. El Encargado informará al Responsable con antelación razonable de cualquier adición o sustitución de subencargados, ofreciendo al Responsable la posibilidad de oponerse.

9. TRANSFERENCIAS INTERNACIONALES

No se prevén transferencias internacionales de datos fuera del EEE. En caso de producirse, se garantizarán mediante Cláusulas Contractuales Tipo (SCC) o Decisiones de adecuación de la Comisión Europea.

10. ASISTENCIA AL RESPONSABLE

El Encargado asistirá al Responsable en el ejercicio de derechos ARSULIPO, Evaluaciones de Impacto (EIPD) si aplica, consultas previas a autoridades y en el cumplimiento de las obligaciones de seguridad.

11. BRECHAS DE SEGURIDAD

El Encargado notificará al Responsable sin dilación indebida y en un plazo máximo de 72 horas desde que tenga constancia de una brecha de seguridad, aportando la naturaleza de la brecha, los datos afectados, medidas adoptadas y riesgos detectados.

12. DESTINO DE LOS DATOS AL FINALIZAR EL SERVICIO

A elección del Responsable, el Encargado deberá devolver los datos o suprimirlos definitivamente de los servidores. Se conservarán bloqueados únicamente aquellos necesarios para atender posibles responsabilidades legales.

13. AUDITORÍAS

El Responsable podrá solicitar información razonable para verificar el cumplimiento del presente contrato, incluyendo cuestionarios de seguridad, certificaciones disponibles o evidencias de cumplimiento, siempre que dichas solicitudes se realicen en horario laboral y con un preaviso mínimo de quince (15) días hábiles.

14. RESPONSABILIDAD

Cada parte responderá de las infracciones en que incurra por incumplimiento de la normativa de protección de datos.

15. LEGISLACIÓN Y JURISDICCIÓN

El presente contrato se rige por el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y la legislación española aplicable. Las partes se someten a los juzgados y tribunales de la ciudad de Tarragona, con renuncia expresa a cualquier otro fuero que pudiera corresponderles.

16. ACEPTACIÓN

El presente contrato se entenderá aceptado mediante aceptación electrónica junto a los Términos de Contratación del servicio. Tras el alta, ambas partes lo suscriben de manera fehaciente en la fecha de contratación de la plataforma.