Controlhorario.chat
EntrarProbar gratis

Legal

Contrato de Encargado de Tratamiento

Última actualización: 7 de mayo de 2026

El presente Contrato de Encargado de Tratamiento (en adelante, «DPA» por sus siglas en inglés: Data Processing Agreement) se formaliza entre:

  • El cliente que contrata el servicio clockin.chat (en adelante, «el Responsable»), y
  • David Lorenzo García, NIF 12395061Q, Urbanización Espejo del Mar, 04002 Almería, España, prestador del servicio (en adelante, «el Encargado»).

Este DPA es parte integrante de los Términos y Condiciones del servicio y entra en vigor en el momento en que el Responsable activa su cuenta en clockin.chat.

1. Objeto

El Encargado tratará datos personales por cuenta del Responsable, exclusivamente para la prestación del servicio de control horario y gestión de vacaciones descrito en los Términos y Condiciones, de conformidad con el artículo 28 del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

2. Naturaleza y finalidad del tratamiento

  • Finalidad: Registro digital de la jornada laboral (fichajes de entrada y salida), gestión de solicitudes y aprobaciones de vacaciones y ausencias, y comunicación con los empleados a través de WhatsApp Business API.
  • Naturaleza: Recogida, almacenamiento, consulta, modificación, exportación y supresión de datos de jornada y ausencias.

3. Categorías de datos y de interesados

Categoría de datosEjemplos
Datos identificativosNombre y apellidos del empleado
Datos de contactoNúmero de teléfono WhatsApp
Datos laboralesHoras de entrada/salida, duración de jornada, solicitudes de vacaciones, ausencias aprobadas o denegadas

Interesados: Empleados, trabajadores autónomos coordinados y cualquier otra persona cuya jornada sea registrada mediante el servicio por parte del Responsable.

No se tratan categorías especiales de datos del artículo 9 del RGPD.

4. Duración del tratamiento

El tratamiento se realizará mientras dure la relación contractual entre el Responsable y el Encargado. A la finalización del contrato, se aplicará lo dispuesto en la cláusula 9 del presente DPA.

5. Obligaciones del Encargado

El Encargado se compromete a:

  1. Tratar los datos conforme a las instrucciones documentadas del Responsable. Si considera que alguna instrucción infringe el RGPD, lo comunicará al Responsable.
  2. Garantizar la confidencialidad. Todas las personas autorizadas para tratar los datos personales se han comprometido a mantener la confidencialidad o están sujetas a una obligación de confidencialidad de naturaleza estatutaria.
  3. Aplicar medidas de seguridad técnicas y organizativas apropiadas (artículo 32 RGPD), incluyendo:
    • Cifrado de las comunicaciones mediante TLS/HTTPS.
    • Cifrado de datos sensibles en reposo.
    • Control de accesos basado en roles y autenticación segura.
    • Copias de seguridad periódicas con retención mínima de 30 días.
    • Supervisión y registro de accesos a datos personales.
  4. Asistir al Responsable en el cumplimiento de sus obligaciones en materia de:
    • Seguridad del tratamiento (artículo 32 RGPD).
    • Notificación de violaciones de seguridad (artículos 33-34 RGPD).
    • Evaluaciones de impacto relativas a la protección de datos (artículo 35 RGPD), cuando proceda.
    • Atención de solicitudes de ejercicio de derechos por parte de los interesados.
  5. Notificar brechas de seguridad. En caso de violación de la seguridad de los datos, el Encargado notificará al Responsable sin dilación indebida, y en todo caso antes de que transcurran 72 horas desde que tenga constancia de ella, facilitando toda la información disponible.
  6. Suprimir o devolver los datos al finalizar el contrato, conforme a lo dispuesto en la cláusula 9.
  7. Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del presente DPA, y permitir la realización de auditorías conforme a la cláusula 8.

6. Subencargados

El Responsable autoriza con carácter general al Encargado a contratar subencargados del tratamiento. La lista de subencargados autorizados es la siguiente:

ProveedorFunciónPaísGarantías transferencia
Meta Platforms Ireland Ltd. Envío y recepción de mensajes de WhatsApp Business API Irlanda (UE) / EE.UU. Sí, Cláusulas Contractuales Tipo
Stripe, Inc. Pasarela de pago y facturación EE.UU. / UE Sí, Cláusulas Contractuales Tipo
OVHcloud SAS Alojamiento de servidores e infraestructura Francia (UE) No necesarias (UE/EEE)
DonDominio / Arsys Internet S.L. Registro de dominio y envío de correo electrónico transaccional España (UE) No necesarias (UE/EEE)
Google LLC (Google Analytics) Análisis de tráfico web (con anonimización de IP) EE.UU. Sí, Cláusulas Contractuales Tipo
Simple Analytics BV Análisis de tráfico web respetuoso con la privacidad (sin cookies) Países Bajos (UE) No necesarias (UE/EEE)

El Encargado informará al Responsable de cualquier cambio previsto en la incorporación o sustitución de subencargados, con un preaviso mínimo de 30 días. El Responsable podrá oponerse motivadamente a dicho cambio. En caso de oposición no resuelta, el Responsable podrá resolver el contrato sin penalización.

El Encargado impondrá a los subencargados las mismas obligaciones en materia de protección de datos que las establecidas en el presente DPA, en particular en lo que respecta a garantías suficientes de implantación de medidas técnicas y organizativas apropiadas.

7. Transferencias internacionales

Algunos subencargados listados anteriormente realizan transferencias fuera del EEE. Dichas transferencias se efectúan mediante las garantías adecuadas previstas en el artículo 46 RGPD, en particular Cláusulas Contractuales Tipo adoptadas por la Comisión Europea.

8. Auditoría

El Responsable tiene derecho a auditar el cumplimiento del presente DPA, ya sea directamente o mediante un tercero designado por él. Las auditorías:

  • Deberán notificarse con un mínimo de 30 días de antelación.
  • Se realizarán en horario laboral y sin interrumpir la operativa del Encargado.
  • Se limitarán a los sistemas y datos relevantes para el tratamiento objeto del presente DPA.
  • Los costes derivados de la auditoría correrán a cargo del Responsable.

Como alternativa a la auditoría in situ, el Encargado podrá facilitar al Responsable informes de auditoría relevantes (ISO 27001, SOC 2 u equivalentes) que acrediten el cumplimiento.

9. Devolución y supresión de datos

Tras la finalización del contrato por cualquier causa, el Encargado:

  1. Pondrá a disposición del Responsable, durante un plazo de 30 días naturales desde la terminación, la posibilidad de exportar todos los datos en formato CSV/PDF desde el panel de administración.
  2. Transcurrido dicho plazo, procederá a la eliminación segura e irreversible de todos los datos personales tratados por cuenta del Responsable, salvo que una obligación legal requiera su conservación.
  3. A petición del Responsable, emitirá una certificación de supresión.

10. Vigencia y modificaciones

El presente DPA tiene la misma vigencia que el contrato principal de prestación del servicio. Podrá ser modificado por el Encargado para adaptarse a cambios normativos, previa notificación al Responsable. Última actualización: 2026-05-07.

11. Contacto en materia de protección de datos

Para cualquier cuestión relativa al presente DPA, el Responsable puede dirigirse al Encargado a través de: support@clockin.chat.