Acuerdo de Encargo de Tratamiento de Datos
Data Processing Agreement (DPA) · Versión 1.0 · 22 de marzo de 2026
ℹ️ Sobre este documento
Este Acuerdo de Encargo de Tratamiento («AET» o «DPA») es requerido por el Art. 28 del Reglamento (UE) 2016/679 (RGPD) y forma parte integrante de los Términos y Condiciones de AutoFichar. Al contratar los servicios de AutoFichar, el Cliente acepta automáticamente las condiciones del presente AET. No es necesaria firma física para su vigencia.
PARTES
| RESPONSABLE | La empresa que contrata los servicios de AutoFichar («Cliente»), cuyos datos identificativos constan en el contrato de suscripción. |
| ENCARGADO | AutoFichar SL, NIF [PENDIENTE — rellenar tras constitución de la SL], con domicilio en [PENDIENTE — domicilio social registrado]. Email de contacto DPD: dpo@autofichar.es. |
1. Objeto, duración y naturaleza del tratamiento
El presente AET regula el tratamiento de datos personales que AutoFichar realiza en nombre y por cuenta del Responsable (el Cliente) en el marco de la prestación del servicio de registro de jornada laboral.
| Objeto | Prestación del servicio de fichaje digital de trabajadores. |
| Duración | Mientras esté vigente el contrato de suscripción entre las partes. Tras su resolución, los datos se conservan durante 30 días para descarga y son eliminados posteriormente. |
| Naturaleza | Tratamiento automatizado de datos de presencia y jornada laboral mediante plataforma web. |
| Finalidad | Cumplimiento del registro de jornada laboral obligatorio (RDL 8/2019), gestión de RRHH, generación de informes para inspecciones laborales. |
| Tipo de datos | Nombre, apellidos, email, horarios de entrada/salida, IP, dispositivo, coordenadas GPS (opcional). |
| Categorías de interesados | Trabajadores y empleados de la empresa cliente, así como administradores de RRHH designados por el Responsable. |
2. Obligaciones del Encargado del tratamiento (AutoFichar)
AutoFichar se compromete a:
2.1 Tratar los datos según instrucciones del Responsable
AutoFichar tratará los datos personales únicamente conforme a las instrucciones documentadas del Responsable. Si AutoFichar considerase que alguna instrucción infringe el RGPD u otras disposiciones en materia de protección de datos, lo comunicará de inmediato al Responsable.
AutoFichar no utilizará los datos para fines distintos a la prestación del servicio contratado. Queda expresamente prohibido el uso de los datos de los trabajadores del Responsable para fines propios de AutoFichar.
2.2 Confidencialidad del personal
AutoFichar garantiza que todas las personas autorizadas a tratar los datos personales del Responsable han asumido compromisos de confidencialidad o están sujetas a obligaciones legales de confidencialidad.
2.3 Medidas de seguridad (Art. 32 RGPD)
AutoFichar aplica las siguientes medidas técnicas y organizativas:
| Medida | Detalle |
|---|---|
| Cifrado en tránsito | TLS 1.3 en todas las comunicaciones entre cliente y servidor. |
| Cifrado en reposo | Cifrado de disco en el servidor de base de datos. |
| Contraseñas | Hash argon2id con parámetros de alta seguridad. No se almacenan en texto plano. |
| Control de acceso | Acceso a producción restringido con principio de mínimo privilegio. MFA obligatorio para el equipo. |
| Copias de seguridad | Backups automáticos diarios con retención de 30 días en almacenamiento separado. |
| Monitorización |
3. Obligaciones del Responsable del tratamiento (Cliente)
El Responsable se compromete a:
- Proporcionar instrucciones claras, documentadas y conformes al RGPD para el tratamiento de los datos.
- Informar a los trabajadores sobre el tratamiento de sus datos antes de activar el servicio de fichaje (Art. 13 RGPD, Art. 87 LOPD-GDD).
- Obtener las autorizaciones o consultar a la representación legal de los trabajadores (comité de empresa, delegados de personal) cuando sea requerido por la legislación laboral aplicable.
- Garantizar que la activación de la función de geolocalización (si se utiliza) se realiza conforme a los requisitos de la AEPD.
- No instruir a AutoFichar a realizar tratamientos contrarios al RGPD o a la normativa laboral aplicable.
4. Transferencias internacionales de datos
Los datos personales de los trabajadores se almacenan principalmente en servidores de Hetzner Online GmbH ubicados en Alemania (Unión Europea), por lo que no se producen transferencias fuera del EEE para el almacenamiento principal.
Las transferencias a Stripe y Resend (EE.UU.) quedan protegidas mediante las Cláusulas Contractuales Tipo de la Comisión Europea (Decisión 2021/914/UE). AutoFichar ha llevado a cabo la evaluación de impacto de la transferencia (Transfer Impact Assessment) correspondiente y ha concluido que dichas transferencias no presentan riesgo desproporcionado para los interesados.
5. Registro de actividades de tratamiento
AutoFichar mantiene un registro interno de las actividades de tratamiento realizadas como encargado, conforme al Art. 30(2) RGPD, que incluye:
- Nombre y datos de contacto del Responsable (cliente) y del Encargado (AutoFichar).
- Categorías de tratamientos efectuados por cuenta de cada Responsable.
- Transferencias a terceros países e información sobre garantías aplicadas.
- Descripción general de las medidas de seguridad técnicas y organizativas.
Este registro está disponible para la AEPD cuando así lo requiera.
6. Supresión o devolución de datos
A elección del Responsable, y en el plazo máximo de 30 días tras la finalización de la prestación de servicios, AutoFichar:
- Opción A — Devolución: Pondrá a disposición del Responsable todos los datos en formato exportable (CSV, JSON) para su descarga desde el panel de control.
- Opción B — Supresión: Eliminará todos los datos personales y las copias existentes de forma segura e irrecuperable, salvo que la normativa comunitaria o nacional obligue a conservarlos.
AutoFichar emitirá confirmación escrita de la eliminación efectiva de los datos si así lo solicita el Responsable.
7. Auditorías y verificaciones
AutoFichar pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente AET y permitirá la realización de auditorías por parte del Responsable o de un auditor autorizado por este.
Las auditorías se realizarán previa notificación escrita con un mínimo de 30 días de antelación, en horario habitual de oficina y sin interferir con el funcionamiento del servicio. Los costes de la auditoría serán asumidos por el Responsable.
AutoFichar podrá sustituir la auditoría por la presentación de certificaciones de seguridad relevantes (p.ej. ISO 27001, SOC 2 Type II) que acrediten el cumplimiento de los requisitos del Art. 32 RGPD.
8. Ley aplicable y jurisdicción
El presente AET se rige por el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPD-GDD) y la legislación española aplicable.
Para cualquier controversia derivada de este AET, las partes se someten a los Juzgados y Tribunales de España.
9. Modificaciones
AutoFichar podrá actualizar el presente AET para reflejar cambios normativos o en los subencargados utilizados. Las modificaciones se notificarán al Responsable con al menos 15 días de antelación por correo electrónico. Si el Responsable continúa utilizando el servicio tras la entrada en vigor de las modificaciones, se entenderá que las acepta.
Vigencia automática del AET
El presente AET entra en vigor automáticamente en el momento en que el Cliente activa su cuenta en AutoFichar y comienza a procesar datos de trabajadores a través de la plataforma. No es necesaria firma adicional. El Cliente puede solicitar una copia firmada del AET en formato PDF enviando un correo a legal@autofichar.es.
Consultas sobre este AET: dpo@autofichar.es. Delegado de Protección de Datos: dpo@autofichar.es.