Acuerdo de Encargo del Tratamiento (DPA)

Este Acuerdo de Encargo del Tratamiento (“DPA”) forma parte de los Términos y Condiciones de Labora y regula el tratamiento de datos personales que Labora realiza por cuenta del cliente empresarial, de conformidad con el artículo 28 del RGPD.

Documento relacionado: Términos y Condiciones / Aviso Legal: www.getlabora.com/terms-and-conditions
Política de Privacidad: www.getlabora.com/privacy-policy
Política de Cookies: www.getlabora.com/cookies-policy

1. Partes

1.1. Responsable del tratamiento (Cliente)

El Responsable es la empresa que contrata los servicios de Labora y determina los fines y medios del tratamiento de datos personales a través de la Plataforma.

En adelante, el “Responsable” o el “Cliente”.

1.2. Encargado del tratamiento (Labora)

  • Titular / Responsable del tratamiento: Juan Antonio Seco Merchán
  • NIF: 53345220D
  • Domicilio: Calle Caño Ronco 123, Camas, Sevilla, 41900
  • Email de contacto: hola@getlabora.com

En adelante, el “Encargado” o “Labora”.

2. Definiciones

Salvo que se indique lo contrario, los términos “datos personales”, “tratamiento”, “responsable”, “encargado”, “violación de seguridad”, etc., tendrán el significado establecido en el RGPD.

3. Objeto del encargo

El Responsable encarga al Encargado el tratamiento de datos personales necesario para prestar los servicios de Labora (SaaS B2B de gestión de RR. HH., control horario y fichaje), conforme a las instrucciones documentadas del Responsable.

4. Duración

Este DPA estará vigente mientras el Encargado preste servicios al Responsable y trate datos personales por su cuenta.
Tras la terminación, se aplicará lo previsto en la Cláusula 12 (Devolución o supresión).

5. Naturaleza, finalidad y descripción del tratamiento

La naturaleza, finalidad, categorías de interesados, tipos de datos y operaciones de tratamiento se describen en el Anexo I (Detalles del tratamiento).

6. Instrucciones del Responsable

  1. El Encargado tratará los datos personales únicamente:
    • siguiendo las instrucciones documentadas del Responsable, y
    • para los fines necesarios de prestación del servicio Labora.
  2. Las instrucciones se entienden documentadas mediante:
    • este DPA,
    • los Términos del servicio,
    • la configuración y uso que el Responsable haga de la Plataforma, y
    • cualquier instrucción adicional por escrito (email/ticket).
  3. Si el Encargado considera que una instrucción infringe el RGPD u otra normativa aplicable, lo comunicará al Responsable sin dilación indebida.

7. Obligaciones del Encargado

El Encargado se obliga a:

7.1. Confidencialidad

Garantizar que las personas autorizadas para tratar datos personales se comprometan a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad.

7.2. Medidas de seguridad

Aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (art. 32 RGPD).
Se describen medidas mínimas en el Anexo II (Medidas de seguridad).

7.3. Registro de actividades (cuando aplique)

Mantener, cuando corresponda, un registro de categorías de actividades de tratamiento realizadas por cuenta del Responsable (art. 30.2 RGPD).

7.4. No uso para fines propios

No tratar los datos personales del Responsable para fines propios del Encargado (p. ej., marketing, analítica de empleados, perfilado), salvo obligación legal o instrucción expresa y válida del Responsable.

8. Subencargados (proveedores)

  1. El Responsable autoriza al Encargado a contratar subencargados para la prestación del servicio, conforme a lo establecido en esta cláusula.
  2. El Encargado impondrá a los subencargados obligaciones de protección de datos equivalentes a las de este DPA.
  3. Lista inicial de subencargados: ver Anexo III.
  4. Cambios de subencargados:
    • El Encargado podrá añadir o sustituir subencargados por necesidades del servicio.
    • Informará al Responsable con un preaviso de 30 días mediante: correo electrónico a la dirección de administración de la cuenta (p. ej. admin@empresa.com).
    • El Responsable podrá oponerse por motivos razonables y documentados relacionados con protección de datos dentro de 15 días. Si no hay acuerdo, cualquiera de las partes podrá resolver el servicio conforme a los Términos.

9. Transferencias internacionales

Si algún tratamiento implicase transferencias internacionales de datos, el Encargado garantizará un mecanismo válido conforme al Capítulo V del RGPD (p. ej., Cláusulas Contractuales Tipo) y lo reflejará en el Anexo III o documentación aplicable.

10. Asistencia al Responsable

10.1. Ejercicio de derechos de interesados

El Encargado asistirá al Responsable, teniendo en cuenta la naturaleza del tratamiento, mediante medidas técnicas y organizativas apropiadas, para que el Responsable pueda responder a solicitudes de:

  • acceso, rectificación, supresión, oposición, limitación y portabilidad.

Si el Encargado recibe directamente una solicitud de un interesado relativa a datos tratados por cuenta del Responsable, la remitirá al Responsable sin dilación indebida, salvo prohibición legal.

10.2. Cumplimiento de obligaciones (seguridad, brechas, DPIA)

El Encargado asistirá al Responsable en:

  • la seguridad del tratamiento (art. 32),
  • la notificación de violaciones de seguridad (arts. 33 y 34),
  • evaluaciones de impacto (art. 35) y consultas previas (art. 36), en la medida en que resulte aplicable y razonable para el servicio.

11. Violaciones de seguridad de los datos personales

  1. El Encargado notificará al Responsable sin dilación indebida y, en todo caso, en un plazo máximo de 24 horas desde que tenga conocimiento, cualquier violación de seguridad que afecte a los datos tratados por cuenta del Responsable.
  2. La notificación incluirá, cuando sea posible:
    • naturaleza del incidente,
    • categorías y volumen aproximado de interesados/datos afectados,
    • medidas adoptadas o propuestas,
    • punto de contacto para ampliar información,
    • impacto probable y recomendaciones de mitigación.

12. Devolución o supresión de datos al finalizar el servicio

A elección del Responsable (marcar opción en el panel o por escrito):

  • (A) Devolución: el Encargado permitirá exportar los datos en formato CSV, JSON o PDF durante 30 días tras la terminación; y/o
  • (B) Supresión: el Encargado suprimirá los datos personales tratados por cuenta del Responsable en un plazo de 60 días.

Backups: los datos podrán permanecer en copias de seguridad durante un periodo máximo de 30 días, tras el cual se eliminarán o quedarán sobrescritos conforme al ciclo de backup, permaneciendo siempre protegidos.

En lo relativo a registros de fichaje sujetos a conservación obligatoria (p. ej. 4 años), el Responsable determina los plazos y la base legal; el Encargado facilitará la conservación y exportación conforme al servicio.

13. Auditorías y demostración de cumplimiento

  1. El Encargado pondrá a disposición del Responsable la información necesaria para demostrar el cumplimiento de este DPA.
  2. El Responsable podrá realizar auditorías razonables (incluyendo inspecciones) con:
    • preaviso de 30 días,
    • un máximo de 1 al año,
    • durante horario laboral,
    • respetando obligaciones de confidencialidad y seguridad del Encargado y de otros clientes.

Las auditorías podrán sustituirse por evidencias documentales (p. ej., informes de seguridad del proveedor de hosting) cuando proceda: cuestionario de seguridad; documentación de arquitectura y de medidas técnicas y organizativas del Encargado (incluyendo control de accesos por roles y aislamiento por tenant); políticas y procedimientos aplicables (p. ej., gestión de accesos, gestión de vulnerabilidades y respuesta ante incidentes); y evidencias de cumplimiento de los subencargados críticos, incluyendo la documentación de seguridad y cumplimiento disponible en los Trust Centers de Vercel y Neon (p. ej., SOC 2 e ISO cuando proceda y en la medida en que estén disponibles para el plan contratado o bajo NDA).

14. Modo Kiosk (fichaje presencial)

Cuando el Responsable utilice el modo kiosko (fichaje presencial mediante NIF + PIN de empresa):

  • El Responsable es responsable de la configuración, el control del PIN y las medidas organizativas y físicas del dispositivo (ubicación, supervisión, acceso restringido).
  • El Encargado registra técnicamente los fichajes y eventos conforme a la operativa del servicio.

15. Responsabilidades de las partes

Cada parte será responsable del incumplimiento de las obligaciones que le correspondan según el RGPD y este DPA.
Las limitaciones de responsabilidad (si aplica) se regulan en los Términos y Condiciones.

16. Legislación aplicable y jurisdicción

Este DPA se rige por la legislación española y europea (RGPD). La jurisdicción aplicable será la establecida en los Términos y Condiciones.

17. Aceptación del DPA (firma electrónica / clickwrap)

Este DPA puede aceptarse:

  • mediante firma manuscrita o electrónica, o
  • mediante aceptación electrónica al registrarse/contratar (checkbox) indicando que se aceptan los Términos y este DPA.

Evidencia de aceptación:

  • fecha/hora, IP, user-agent, ID del usuario y de la empresa, versión del DPA y hash del documento.

Anexo I — Detalles del tratamiento (art. 28.3 RGPD)

A. Objeto

Prestación del servicio Labora para gestión de control horario y fichaje.

B. Duración

La indicada en la cláusula 4, y durante el tiempo necesario tras la terminación para exportación/supresión y backups (cláusula 12).

C. Finalidad(es)

  • Control horario y registro de jornada (check-in/check-out).
  • Gestión de empleados, turnos, ausencias, incidencias.
  • Generación de informes (incluyendo exportaciones y PDFs).

D. Naturaleza de las operaciones

  • Recogida, registro, estructuración, conservación, consulta, actualización, extracción, comunicación (solo por instrucción), supresión.

E. Categorías de interesados

  • Empleados del Responsable.
  • Usuarios autorizados (ADMIN/MANAGER/USER) del Responsable.

F. Tipos de datos personales

  • Identificativos: nombre y apellidos, NIF/DNI, email, teléfono (opcional).
  • Laborales/contractuales: tipo de contrato, fechas de inicio/fin, jornada, horas, estado.
  • Actividad laboral: fichajes, incidencias, ausencias, turnos, resúmenes de horas.
  • Datos técnicos vinculados al uso: tokens de sesión (JWT).

G. Categorías especiales

  • En principio, no se tratan categorías especiales (art. 9 RGPD) salvo que el Responsable introduzca información de salud en “baja médica” u otros campos. En tal caso, el Responsable debe limitarse a lo necesario y configurar políticas internas.

Anexo II — Medidas de seguridad (mínimos)

Estas medidas pueden ajustarse según la arquitectura y proveedores reales.

  1. Control de accesos

    • Roles (ADMIN/MANAGER/USER) y principio de mínimo privilegio.
    • Aislamiento por tenant (multi-tenancy) evitando cruces entre empresas.

  2. Seguridad de autenticación

    • Magic link por email, tokens de sesión JWT.
    • Cookies técnicas de sesión con httpOnly, secure, SameSite (según configuración).
    • Protección CSRF en el flujo de autenticación.

  3. Cifrado

    • Cifrado en tránsito mediante HTTPS/TLS.
    • Cifrado en reposo en base de datos y backups: Sí. Cifrado en reposo (AES-256) a nivel de proveedor (Vercel y Neon), y cifrado en tránsito (HTTPS/TLS)..

  4. Disponibilidad y resiliencia

    • Backups: periodicidad continuo (PITR / instant restore) gestionado por Neon y retención hasta 30 días (según plan de Neon) mediante PITR/instant restore.
    • Monitorización y alertas: Monitorización operativa mediante paneles/alertas del proveedor (Vercel/Neon) y revisión de errores a través de logs runtime.

  5. Registro y trazabilidad

    • Logs de acceso y eventos relevantes: Logs técnicos de ejecución (runtime logs) disponibles en Vercel con retención según plan y logs/métricas de Neon según plan.
    • Auditoría de acciones críticas (p. ej., altas/bajas, cambios de rol): No se mantiene actualmente un registro de auditoría funcional de acciones críticas a nivel de aplicación; la trazabilidad se apoya en controles de acceso por roles/tenant y en logs técnicos del proveedor cuando proceda..

  6. Gestión de vulnerabilidades

    • Actualizaciones de dependencias y parches de seguridad.
    • Revisión de configuración de infraestructura.

  7. Gestión de incidentes

    • Procedimiento interno de respuesta a incidentes y notificación al Responsable dentro del plazo pactado.

Anexo III — Subencargados autorizados

El Responsable autoriza inicialmente los siguientes subencargados:

  1. Resend (envío de emails transaccionales)

    • Servicio: envío de magic links y emails operativos.
    • Datos: email del destinatario y contenido del email.
    • Ubicación: Irlanda
    • DPA del proveedor (opcional enlazar): https://resend.com/legal/dpa

  2. Proveedor de hosting de la aplicación

    • Proveedor: Vercel Inc.
    • Ubicación servidores: Paris
    • Servicio: alojamiento y ejecución de la aplicación.

  3. Proveedor de base de datos PostgreSQL

    • Proveedor: Neon, LLC.
    • Ubicación: Frakfurt
    • Servicio: almacenamiento de datos del Responsable.

Nota sobre Google Fonts: si se cargan fuentes desde servidores de terceros, el navegador puede realizar solicitudes a dichos servidores (p. ej., IP).

Referencias (informativas)