Acuerdo de Encargo de Tratamiento de Datos (DPA)

El presente Acuerdo de Encargo de Tratamiento de Datos (en adelante, «DPA») regula el tratamiento de datos personales que Bando Consultoría Digital, S.L. realiza por cuenta del Cliente con motivo de la prestación del servicio OkTime, en cumplimiento del artículo 28 del Reglamento (UE) 2016/679 («RGPD») y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales («LOPDGDD»).

Este DPA forma parte integrante de los Términos y condiciones de uso y se entiende aceptado por el Cliente al contratar OkTime, sin necesidad de firma adicional.

1. Partes intervinientes

1.1 Responsable del tratamiento

El Cliente, persona física o jurídica que contrata el servicio OkTime, actúa como Responsable del Tratamiento de los datos personales que introduce en la plataforma (empleados, turnos, fichajes, ausencias, correcciones).

1.2 Encargado del tratamiento

• Razón social: Bando Consultoría Digital, S.L.
• NIF: B21771308
• Domicilio social: Calle Barrio Viejo, 2, 21600 Valverde del Camino (Huelva), España.
• Email de privacidad / DPO: privacidad@oktime.es
• Producto: OkTime · oktime.es

2. Objeto del encargo

El Encargado tratará por cuenta del Responsable los datos personales necesarios para prestar el servicio OkTime, consistente en una aplicación SaaS de:

• Registro diario de la jornada laboral conforme al Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo.
• Planificación y gestión de turnos, ausencias, vacaciones, correcciones y comunicaciones internas relacionadas con la jornada.
• Generación de informes y exportaciones requeridas por la Inspección de Trabajo y Seguridad Social.
• Asistencia inteligente opcional (ok·IA) sobre los datos del propio espacio del Cliente, cuando el Cliente activa expresamente esta funcionalidad.

3. Duración

Este DPA estará vigente desde la activación de la cuenta del Cliente y hasta la terminación efectiva del contrato del servicio OkTime, incluido el período de conservación legal posterior previsto en la cláusula 9.

4. Naturaleza y finalidad del tratamiento

El Encargado tratará los datos personales con las siguientes finalidades, todas ellas circunscritas a la prestación del servicio:

• Registrar fichajes (entrada, salida y pausas) y almacenar de forma íntegra y no manipulable los timestamps y metadatos asociados (IP, dispositivo, método de fichaje).
• Permitir la planificación de cuadrantes, la asignación de turnos y la gestión de ausencias y vacaciones.
• Generar el cómputo legal de jornada, horas extra y descansos, así como los informes exigidos por la normativa laboral.
• Posibilitar el fichaje por GPS cuando el Cliente lo configure y siempre con base en el consentimiento informado del empleado o cobertura legal del Responsable.
• Prestar soporte técnico, mantenimiento, copias de seguridad y mejora del servicio.

El Encargado no utilizará los datos personales del Responsable ni de los Interesados para finalidades propias distintas de las anteriores. En particular, no realizará perfiles comerciales, no comercializará los datos ni los empleará para entrenar modelos de inteligencia artificial generales.

5. Tipo de datos personales

El tratamiento podrá incluir las siguientes categorías de datos:

• Datos identificativos: nombre, apellidos, email corporativo, teléfono, fotografía de perfil opcional, DNI/NIE cuando el Cliente lo incorpore para informes oficiales.
• Datos profesionales: puesto, departamento, centro de trabajo, jornada teórica, salario por hora cuando se utiliza la calculadora de costes (opcional).
• Datos de jornada: fichajes con timestamp, pausas, ausencias (motivo, fechas), correcciones, turnos asignados, horas trabajadas y extraordinarias.
• Datos de geolocalización: coordenadas GPS y/o IP en el momento del fichaje, únicamente cuando el Cliente active la modalidad de Fichaje por GPS.
• Datos técnicos y de auditoría: IP, user-agent, dispositivo, logs de acceso y de cambios sobre el registro de jornada.
• Datos de comunicaciones: mensajes intercambiados con ok·IA (asistente IA) y notas internas, cuando el Cliente active la funcionalidad.

El Encargado no tratará categorías especiales de datos (Art. 9 RGPD) salvo que el Responsable las incorpore unilateralmente, en cuyo caso será responsabilidad exclusiva del Responsable garantizar la base legal y las medidas adicionales pertinentes.

6. Categorías de Interesados

Personas físicas vinculadas al Responsable (empleados con relación laboral, becarios, autónomos contratados que utilicen la plataforma para el registro de jornada, y administradores designados por el Cliente).

7. Obligaciones del Encargado

El Encargado se compromete a:

• Tratar los datos personales únicamente conforme a las instrucciones documentadas del Responsable, incluidas las recogidas en este DPA. Si el Encargado considerase que una instrucción infringe el RGPD u otra norma de protección de datos, informará inmediatamente al Responsable.
• Garantizar que las personas autorizadas para tratar datos personales se han comprometido a respetar la confidencialidad, mediante acuerdos contractuales equivalentes con todo el personal y subencargados.
• Adoptar todas las medidas técnicas y organizativas previstas en el Art. 32 RGPD y detalladas en la cláusula 10.
• Asistir al Responsable para que pueda atender el ejercicio de los derechos de los Interesados (acceso, rectificación, supresión, oposición, limitación y portabilidad), poniendo a su disposición las herramientas adecuadas dentro del propio panel OkTime.
• Ayudar al Responsable a cumplir las obligaciones de los artículos 32 a 36 RGPD (seguridad, notificación de brechas, evaluación de impacto y consulta previa) en la medida que dependa del Encargado.
• A elección del Responsable, devolver o suprimir los datos personales una vez finalice la prestación, conforme a la cláusula 9, salvo conservación obligatoria por ley.
• Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del Art. 28 RGPD y permitir auditorías razonables.

8. Subencargados (subcontratistas)

El Responsable autoriza expresamente al Encargado a recurrir a los siguientes subencargados, cada uno de ellos vinculado por contrato con obligaciones de protección de datos equivalentes a las del presente DPA:

• Supabase, Inc. — base de datos PostgreSQL gestionada, autenticación y almacenamiento de archivos. Servidores en la Unión Europea (Frankfurt y/o París).
• Hostinger International, Ltd. / Easypanel. — infraestructura de cómputo (VPS) donde se ejecutan la API y los servicios accesorios. Servidores en la Unión Europea.
• Stripe Payments Europe, Ltd. — procesamiento de pagos por tarjeta y facturación recurrente. Datos tratados: facturación del Cliente, no datos de empleados. Sede en Irlanda, con transferencias amparadas por Cláusulas Contractuales Tipo de la Comisión Europea.
• Resend, Inc. — envío de email transaccional (altas, notificaciones del servicio, recuperación de credenciales). Estados Unidos, con SCC.
• Anthropic, PBC y/o OpenAI, OpCo, LLC — procesamiento de las consultas dirigidas al asistente ok·IA, únicamente cuando el Cliente active la funcionalidad. Los proveedores no retienen los contenidos enviados para entrenamiento, conforme a sus condiciones para uso empresarial. Estados Unidos, con SCC.
• Cloudflare, Inc. — CDN, DNS, mitigación de ataques y borde de red. Sin acceso al contenido de las bases de datos.
• Meta Platforms Ireland, Ltd. (WhatsApp Business Cloud API) — únicamente cuando el Cliente activa el módulo "Fichaje por WhatsApp" (planes Pro y Business). Datos tratados: número de teléfono y contenido de los mensajes intercambiados entre el empleado y OkTime para fichar y recibir avisos automáticos (olvidos de fichaje, peticiones de explicación). Los mensajes en tránsito están cifrados end-to-end por WhatsApp; los metadatos los procesa Meta conforme a sus políticas. El empleado puede revocar el canal en cualquier momento enviando "STOP" al bot — esto borra su vinculación sin afectar a otros métodos de fichaje. Sede en Irlanda (UE), con transferencias amparadas por SCC para los proveedores fuera del EEE.

El Encargado notificará al Responsable cualquier modificación prevista en la relación de subencargados, dando ocasión razonable al Responsable para oponerse. La lista actualizada se publica permanentemente en oktime.es/dpa.

9. Devolución y supresión de datos

Finalizada la prestación, el Encargado pondrá a disposición del Cliente, durante un plazo mínimo de 30 días, la posibilidad de exportar los datos en formatos abiertos (CSV / PDF). Transcurrido ese plazo, los datos serán suprimidos de los sistemas de producción.

Las copias de seguridad cifradas se purgan de forma rotatoria en un plazo máximo de 90 días. Los registros de jornada que el Responsable esté obligado a conservar por imperativo legal (Art. 34.9 ET, plazo de 4 años) podrán mantenerse en un repositorio de solo lectura a solicitud expresa del Responsable; en caso contrario, la responsabilidad de su conservación recaerá íntegramente en el Responsable tras la exportación.

10. Medidas de seguridad

El Encargado aplica medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:

• Cifrado en tránsito: TLS 1.2 o superior en todas las conexiones (web, API y email).
• Cifrado en reposo: AES-256 en base de datos, copias de seguridad y almacenamiento de archivos.
• Control de acceso: autenticación con email + contraseña, MFA disponible, segregación de roles (RBAC) por organización (tenant).
• Aislamiento multi-tenant: Row-Level Security en base de datos para evitar fugas cruzadas entre clientes.
• Registro de auditoría: log inmutable de fichajes, correcciones y acciones administrativas.
• Copias de seguridad: backups diarios cifrados con retención de 30 días.
• Gestión de incidentes: protocolo documentado de detección, contención, notificación y mitigación.
• Revisión periódica: evaluación anual de medidas técnicas y organizativas y actualización de las mismas.

11. Notificación de brechas

El Encargado notificará al Responsable sin dilación indebida, y en cualquier caso en un plazo máximo de 72 horas desde su conocimiento, cualquier violación de seguridad que afecte a los datos personales tratados por cuenta del Responsable, indicando:

• Naturaleza de la violación.
• Categorías y número aproximado de Interesados afectados.
• Categorías y número aproximado de registros afectados.
• Posibles consecuencias.
• Medidas adoptadas o propuestas para mitigarla.

12. Transferencias internacionales

Los datos operativos se alojan en la Unión Europea. Cuando alguno de los subencargados enumerados en la cláusula 8 implique transferencia a un tercer país sin decisión de adecuación, dicha transferencia quedará amparada por las Cláusulas Contractuales Tipo aprobadas por la Decisión de Ejecución (UE) 2021/914, complementadas con las medidas suplementarias requeridas conforme a las directrices del Comité Europeo de Protección de Datos.

13. Responsabilidad

Cada parte responde frente a la otra y frente a los Interesados de los daños y perjuicios derivados del incumplimiento de las obligaciones que le incumben conforme al RGPD, la LOPDGDD y el presente DPA. La responsabilidad económica máxima del Encargado frente al Responsable queda limitada al importe facturado en los 12 meses anteriores al hecho que motive la reclamación, sin perjuicio de las responsabilidades indisponibles frente a los Interesados o ante las autoridades de control.

14. Auditoría

El Responsable podrá auditar el cumplimiento del Encargado, con preaviso razonable y respetando la confidencialidad y continuidad del servicio. El Encargado pone a disposición del Responsable, en el panel y bajo solicitud, las evidencias necesarias (políticas, informes de incidentes, descripción de controles) para acreditar el cumplimiento.

15. Modificaciones

El Encargado podrá actualizar este DPA para adaptarlo a cambios normativos, técnicos o de subencargados, notificando los cambios sustanciales con al menos 30 días de antelación a través del panel y/o por email.

16. Ley aplicable y jurisdicción

Este DPA se rige por la legislación española y por el RGPD. Para cualquier controversia, las partes se someten expresamente a los Juzgados y Tribunales de Huelva, con renuncia a cualquier otro fuero que pudiera corresponderles.

17. Documentos relacionados

• Términos y condiciones — contrato principal del servicio.
• Política de Privacidad — tratamiento de datos de los usuarios del sitio web.
• Seguridad — medidas técnicas y organizativas detalladas.
• Aviso Legal — información identificativa del prestador.