Cláusula de Encargado del Tratamiento
Última actualización · 18 de mayo de 2026
Esta cláusula regula la relación entre la empresa cliente (en adelante, el Responsable) y Signa (en adelante, el Encargado) en relación con el tratamiento de datos personales que el Encargado realice por cuenta del Responsable al prestar el Servicio. Se ajusta al artículo 28 del Reglamento (UE) 2016/679 (RGPD) y al artículo 33 de la LOPDGDD. Su aceptación es condición necesaria para usar el Servicio.
1. Objeto del encargo
El Encargado tratará los datos personales de empleados y otras personas designadas por el Responsable con el único fin de prestar el Servicio contratado: registro horario, gestión de ausencias y vacaciones, entrega digital de nóminas, archivado y entrega de documentos laborales al empleado, y cuadrantes de turnos.
2. Duración
Esta cláusula tiene la misma vigencia que el contrato principal de prestación del Servicio y termina cuando cesa la prestación. Tras la finalización, el Encargado actuará conforme se indica en el apartado 9 (devolución o supresión).
3. Naturaleza y finalidad del tratamiento
- Naturaleza: tratamiento informatizado de datos personales en un entorno SaaS.
- Finalidad: prestación del Servicio según lo indicado en el apartado 1.
- Operaciones de tratamiento: recogida, registro, organización, estructuración, conservación, consulta, modificación, exportación, comunicación a los propios interesados y supresión.
4. Categorías de datos e interesados
- Categorías de interesados: empleados del Responsable y, en su caso, terceros designados (gestoría externa, representación legal de los trabajadores).
- Categorías de datos: identificativos (nombre, apellidos, móvil), contacto, laborales (categoría, horario contratado, fichajes, ausencias, vacaciones), documentales (nóminas, contratos, anexos y recibos de EPI subidos por el Responsable y entregados al empleado a través del Servicio).
- Categorías especiales: el Encargado no trata categorías especiales de datos (art. 9 RGPD). El Responsable no debe cargar datos de esta naturaleza.
5. Obligaciones del Encargado
- Tratar los datos únicamente conforme a las instrucciones documentadas del Responsable, incluso en lo relativo a transferencias internacionales, salvo obligación legal aplicable al Encargado (en cuyo caso informará al Responsable antes del tratamiento, salvo que la ley lo prohíba).
- No utilizar los datos para finalidades distintas de las contratadas ni cederlos a terceros salvo obligación legal o autorización expresa del Responsable.
- Mantener el deber de secreto sobre los datos, también tras finalizar la relación contractual.
- Garantizar que las personas autorizadas a tratar los datos se han comprometido a la confidencialidad o están bajo una obligación legal apropiada de confidencialidad.
- Aplicar las medidas técnicas y organizativas descritas en el apartado 6.
- Asistir al Responsable, mediante medidas técnicas y organizativas apropiadas y siempre que sea posible, en la atención de los derechos de los interesados (arts. 15 a 22 RGPD).
- Asistir al Responsable en la gestión de brechas de seguridad y, cuando proceda, en la realización de evaluaciones de impacto (EIPD, art. 35) y consultas previas (art. 36).
- Notificar al Responsable cualquier brecha de seguridad sin dilación indebida y, a más tardar, en un plazo de 72 horas desde que tenga conocimiento, por correo electrónico al canal designado por el Responsable o, en su defecto, a la dirección facilitada en el alta. La notificación incluirá los datos exigidos por el artículo 33.3 RGPD: naturaleza de la brecha, categorías y número aproximado de interesados afectados, consecuencias probables y medidas adoptadas.
- Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 RGPD y permitir auditorías razonables, previa notificación con antelación razonable y bajo deber de confidencialidad.
6. Medidas técnicas y organizativas
En cumplimiento del artículo 32 RGPD, el Encargado aplica al menos las siguientes medidas, que podrán actualizarse a lo largo del tiempo para mantener un nivel de seguridad adecuado al riesgo:
- Cifrado: comunicaciones cifradas con TLS 1.3 y base de datos cifrada en reposo con AES-256.
- Confidencialidad e integridad: control de acceso basado en roles, aislamiento de datos entre organizaciones mediante Row Level Security, autenticación segura por usuario y registro de actividad.
- Disponibilidad y resiliencia: copias de seguridad diarias con retención mínima documentada y pruebas periódicas de restauración.
- Verificación y evaluación: revisión periódica de la configuración, pruebas de seguridad y proceso de actualización de dependencias.
- Gestión de incidentes: procedimiento documentado de detección, contención, notificación y aprendizaje de brechas de seguridad.
- Personal autorizado: acceso restringido al mínimo necesario y formación periódica del equipo en protección de datos.
7. Subencargados
El Responsable autoriza con carácter general al Encargado a contar con subencargados para la prestación del Servicio. La lista vigente de subencargados es la siguiente:
| Subencargado | Servicio | Localización |
|---|---|---|
| Supabase Inc. | Base de datos y autenticación | UE (Frankfurt) |
| Vercel Inc. | Alojamiento del sitio web y aplicación | UE |
| Stripe Payments Europe Ltd. | Procesamiento de pagos | Irlanda (UE) |
El Encargado informará al Responsable de cualquier alta o sustitución de subencargados con una antelación razonable, dando al Responsable la posibilidad de oponerse de forma motivada. Si la oposición es justificada y no es posible mantener el Servicio con un subencargado alternativo, cualquiera de las partes podrá resolver el contrato sin penalización.
El Encargado mantendrá con cada subencargado un contrato que imponga las mismas obligaciones de protección de datos que las recogidas en esta cláusula. El Encargado responderá frente al Responsable del incumplimiento por parte de sus subencargados.
8. Transferencias internacionales
Los datos se alojan en centros de datos ubicados en el Espacio Económico Europeo (EEE). Si por necesidad técnica algún subencargado mantiene la matriz fuera del EEE, las garantías se basan en cláusulas contractuales tipo (Decisión 2021/914) o en el marco EU-US Data Privacy Framework, cuando resulte aplicable.
9. Devolución o supresión al término del contrato
A la finalización del Servicio, el Encargado pondrá a disposición del Responsable una exportación de los datos durante 30 días en formato estándar (CSV/Excel o JSON, según corresponda). Transcurrido ese plazo:
- Los datos serán suprimidos de los sistemas de producción.
- Los datos contenidos en las copias de seguridad se eliminarán conforme a los ciclos de rotación pactados, en un plazo máximo de 90 días adicionales.
- Se conservarán bloqueados únicamente los datos imprescindibles para atender posibles responsabilidades legales durante los plazos de prescripción aplicables (registros horarios: 4 años; obligaciones contables: 6 años).
10. Responsabilidad e indemnidad
Cada parte responderá frente a la otra y frente a los interesados del incumplimiento de sus obligaciones en materia de protección de datos. El Encargado mantendrá indemne al Responsable frente a sanciones administrativas firmes que sean directamente atribuibles a un incumplimiento doloso o gravemente negligente del Encargado o sus subencargados, en los términos del artículo 82 RGPD.
11. Contacto
Encargado: [Nombre y apellidos pendientes] (Persona física en régimen de autónomo, NIF [DNI pendiente]). Para cualquier cuestión relacionada con esta cláusula, escribe a privacidad@fichajepro.com.
Estado de este documento: redactado conforme al artículo 28 RGPD. La tabla de subencargados refleja la cadena prevista; el proveedor de mensajería se publicará en cuanto se contrate. La obligación de indemnidad del apartado 10 debe ajustarse al criterio del abogado colegiado antes del lanzamiento comercial.