Este documento (en adelante, "DPA") regula las obligaciones de TEVEN24SIETE como Encargado del Tratamiento de los datos personales de los empleados del Cliente, que actúa como Responsable del Tratamiento. Forma parte de las Condiciones del servicio; su aceptación es requisito para la contratación.
1. Partes
- Responsable del Tratamiento: el Cliente, según los datos fiscales facilitados al alta. El Cliente es el empleador de las personas trabajadoras cuyos datos se tratan.
- Encargado del Tratamiento: Raúl Peña Sáez-Diez, con NIF 47237496G y domicilio en Camí de can Cerdà 6, 08290 Cerdanyola del Vallès, Barcelona, titular del nombre comercial TEVEN24SIETE.
2. Objeto del tratamiento
El Encargado tratará los datos personales por cuenta del Responsable con la única finalidad de prestar el servicio de registro de jornada laboral conforme al RD-ley 8/2019 y RD 1007/2023 y los servicios descritos en las Condiciones.
3. Tipo de datos y categoría de interesados
Datos tratados:
- Identificativos: nombre, apellidos, DNI/NIE, fecha de nacimiento, dirección, teléfono.
- Laborales: número de afiliación a la Seguridad Social, puesto, horario, antigüedad.
- Registro horario: hora de entrada, salida y pausas (única categoría que se trata de forma continua).
- Excepcionalmente, imagen: si el Responsable activa el módulo de foto de bienvenida.
Categorías de interesados: empleados del Cliente (Responsable).
4. Duración
Este DPA estará vigente mientras dure la prestación del Servicio. Al finalizar, el Encargado conservará los datos durante el plazo obligatorio de cuatro años establecido en el artículo 34.9 del Estatuto de los Trabajadores. Transcurrido ese plazo, los datos se destruirán de forma segura o se devolverán al Responsable a su petición.
5. Obligaciones del Encargado (TEVEN24SIETE)
- Tratar los datos solo siguiendo las instrucciones documentadas del Responsable, salvo obligación legal.
- Garantizar la confidencialidad: el personal autorizado a tratar los datos está sujeto a deber de secreto.
- Aplicar medidas técnicas y organizativas apropiadas al riesgo (art. 32 RGPD):
- Cifrado en tránsito (HTTPS/TLS 1.2+) y en reposo de los datos sensibles (Supabase con cifrado de disco AES-256).
- Aislamiento multi-tenant por JWT firmado y políticas de Row-Level Security en la base de datos.
- Autenticación de administradores por PIN + factor adicional opcional (WebAuthn / huella).
- Copias de seguridad automáticas diarias de la base de datos con retención de 7 días (Supabase Pro).
- Registro de auditoría de accesos y modificaciones del registro horario.
- Política de mínimos privilegios: el personal del Encargado solo accede a los datos del Cliente cuando es estrictamente necesario para resolver una incidencia comunicada por el propio Cliente.
- Notificar las brechas de seguridad al Responsable sin dilación indebida y como máximo en 72 horas tras tener conocimiento, indicando naturaleza, datos afectados, posibles consecuencias y medidas adoptadas.
- Asistir al Responsable en el cumplimiento de los derechos de los interesados (acceso, rectificación, supresión, limitación, portabilidad, oposición) cuando éstos se ejerzan ante el Encargado.
- Ayudar al Responsable a realizar las evaluaciones de impacto y consultas previas que pudieran ser necesarias.
- Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento del art. 28 RGPD, así como permitir auditorías razonables previa notificación con 30 días de antelación.
- Devolver o suprimir los datos al finalizar el encargo, según indique el Responsable, salvo obligación legal de conservación.
6. Subencargados (proveedores)
El Responsable autoriza al Encargado a contratar a los siguientes subencargados, todos con garantías equivalentes:
- Supabase Inc. (EEUU + UE) — almacenamiento de base de datos y autenticación.
- Vercel Inc. (EEUU + UE) — alojamiento de la aplicación.
- Cloudflare Inc. (EEUU + UE) — DNS, CDN y enrutado de correo.
- Resend Inc. (EEUU + UE) — envío de correos transaccionales.
- Stripe Payments Europe Ltd. (Irlanda, UE) — procesamiento de pagos.
Cualquier cambio o incorporación de subencargados se notificará al Responsable con al menos 30 días de antelación. El Responsable puede oponerse motivadamente; en ese caso, el Encargado podrá no incorporar al subencargado o resolver el contrato sin penalización.
En caso de transferencias internacionales de datos fuera del EEE, el Encargado garantiza la aplicación de las Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea u otro mecanismo de adecuación equivalente.
7. Obligaciones del Responsable
- Garantizar que los empleados cuyos datos se tratan han sido informados del tratamiento, conforme al art. 13 RGPD.
- Configurar correctamente el Servicio (horarios, PINs, permisos) y custodiar las credenciales de administrador.
- Atender los derechos que ejerzan sus empleados como interesados.
8. Responsabilidad
Cada parte responde de los daños y perjuicios causados al otro o a terceros por incumplimiento de sus obligaciones en este DPA, en los términos del art. 82 RGPD.
9. Aceptación
La aceptación de este DPA se formaliza mediante la marca de la casilla correspondiente al iniciar el alta en /empezar y queda registrada con fecha, hora y dirección IP a efectos probatorios.