Contrato de Encargado de Tratamiento (DPA)

Este Contrato de Encargado de Tratamiento (en adelante, «DPA») forma parte integrante del Contrato de Servicio SaaS suscrito entre Samanoba, S.L. (titular de la marca «Aunte»; con NIF B-22594923 y domicilio en Calle Alejandro Seiquer 2, 30001 Murcia (España); en adelante, «Aunte» o «Encargado») y el Cliente (en adelante, «Responsable») y regula el tratamiento de datos personales realizado por Aunte por cuenta del Cliente en el marco de la prestación del Servicio, conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD) y a la Ley Orgánica 3/2018 (LOPDGDD).

En caso de conflicto entre este DPA y el Contrato de Servicio, prevalecerá lo dispuesto en este DPA respecto al tratamiento de datos personales.

1. Objeto y rol de las partes

El Cliente es Responsable del Tratamiento de los datos personales de sus empleados y de cualquier otra persona cuya información introduzca en el Servicio. Aunte actúa como Encargado del Tratamiento y trata dichos datos exclusivamente por cuenta del Responsable y siguiendo sus instrucciones documentadas, con la finalidad de prestar el Servicio descrito en el Contrato.

2. Detalle del tratamiento (art. 28.3 RGPD)

• Objeto: gestión de personal en el sector hostelería mediante el Servicio Aunte.
• Duración: la vigencia del Contrato de Servicio más, en su caso, los plazos de devolución/supresión previstos en §11.
• Naturaleza y finalidad: recogida, registro, almacenamiento, consulta, organización, estructuración, modificación, comunicación interna, supresión y demás operaciones necesarias para prestar las funcionalidades contratadas (fichajes, turnos, ausencias, documentos, comunicaciones internas).
• Tipo de datos personales:
  • Identificativos (nombre, apellidos, NIF/NIE, fecha de nacimiento, fotografía si se sube voluntariamente).
  • Contacto (email, teléfono).
  • Laborales (puesto, departamento, fechas de alta/baja, horario, turnos, fichajes, ausencias y motivos generales).
  • Documentos laborales que el Responsable o sus empleados decidan subir.
  • Datos de geolocalización puntual en el momento del fichaje (distancia al centro de trabajo, precisión y estado de verificación; no se conservan las coordenadas exactas del empleado), únicamente cuando el Responsable active esta funcionalidad. Aunte recuerda al Responsable que su activación exige informar previamente a los trabajadores (art. 90 LOPDGDD) y, en su caso, a sus representantes legales.
  • Datos de uso de la aplicación (logs técnicos, sesiones, IP).
• NO se tratan categorías especiales (art. 9 RGPD: salud, biometría, etc.) salvo que el Responsable lo introduzca activamente, en cuyo caso será su responsabilidad asegurar la base jurídica habilitante (art. 9.2 RGPD) y, si procede, informar a Aunte para reforzar medidas de seguridad.
• Categorías de interesados: empleados del Responsable, candidatos, personas a quienes el Responsable conceda acceso al Servicio.
• Finalidades específicas autorizadas: las inherentes al funcionamiento del Servicio. Aunte no utilizará los datos para fines propios ni de terceros.

3. Instrucciones del Responsable

Aunte tratará los datos personales únicamente conforme a las instrucciones documentadas del Responsable, incluidas las contenidas en este DPA y en el Contrato de Servicio. El uso del Servicio por parte del Responsable, sus Usuarios Autorizados y las configuraciones que apliquen constituirán instrucciones documentadas a estos efectos.

Si Aunte considera que una instrucción infringe el RGPD, la LOPDGDD u otra normativa de protección de datos, informará inmediatamente al Responsable y podrá suspender la ejecución de dicha instrucción.

Cualquier tratamiento que Aunte realice fuera de las instrucciones del Responsable (salvo obligación legal de la UE o de un Estado miembro) le convertirá en Responsable de ese tratamiento conforme al art. 28.10 RGPD.

4. Obligaciones de Aunte como Encargado

Aunte se obliga a:

• (a) Tratar los datos personales únicamente por instrucciones documentadas del Responsable.
• (b) Garantizar que las personas autorizadas para tratar los datos personales se han comprometido a respetar la confidencialidad o están sujetas a un deber de confidencialidad de naturaleza estatutaria.
• (c) Adoptar todas las medidas técnicas y organizativas necesarias conforme al art. 32 RGPD, detalladas en la Política de Seguridad, que el Responsable declara conocer y aceptar como adecuadas para el riesgo del tratamiento.
• (d) Respetar las condiciones del §5 para subcontratar.
• (e) Asistir al Responsable, teniendo en cuenta la naturaleza del tratamiento, mediante medidas técnicas y organizativas apropiadas, para responder a las solicitudes de ejercicio de derechos de los interesados (arts. 12-22 RGPD), conforme al §6.
• (f) Ayudar al Responsable a garantizar el cumplimiento de las obligaciones de los arts. 32 a 36 RGPD (seguridad, brechas, DPIA, consulta previa), teniendo en cuenta la naturaleza del tratamiento y la información disponible.
• (g) A elección del Responsable, suprimir o devolver todos los datos personales una vez finalice la prestación del servicio, suprimiendo asimismo las copias existentes, salvo que se requiera su conservación por norma de la UE o de un Estado miembro (ver §11).
• (h) Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del art. 28 RGPD, y permitir y contribuir a auditorías, incluidas inspecciones, conforme al §8.
• (i) Designar, si procede, un Delegado de Protección de Datos y comunicar al Responsable sus datos de contacto (ver Política de Privacidad §1).
• (j) Mantener un Registro de Actividades como Encargado conforme al art. 30.2 RGPD.

5. Subcontratación (subencargados)

El Responsable autoriza con carácter general a Aunte a recurrir a los subencargados listados en la Política de Privacidad (§ subprocesadores) para la prestación del Servicio.

Aunte:

• (a) Notificará al Responsable, con al menos 30 días de antelación, la incorporación o sustitución de cualquier subencargado, mediante actualización de la lista pública y comunicación por correo electrónico o aviso en la aplicación.
• (b) El Responsable podrá oponerse motivadamente al cambio en el plazo de 15 días desde la notificación. Si la oposición es fundada y no es posible alcanzar un acuerdo, cualquier parte podrá resolver el Contrato sin penalización, conservando el Responsable el derecho a recuperar sus datos conforme al §11.
• (c) Aunte garantizará que el subencargado asuma por contrato las mismas obligaciones de protección de datos establecidas en este DPA, en particular el cumplimiento del art. 28 RGPD y de las medidas del art. 32 RGPD.
• (d) Aunte responderá frente al Responsable por el incumplimiento del subencargado de sus obligaciones de protección de datos.

6. Asistencia para ejercicio de derechos de los interesados

Cuando un interesado dirija al Encargado una solicitud de ejercicio de sus derechos (acceso, rectificación, supresión, limitación, oposición, portabilidad, retirada de consentimiento), Aunte:

• (a) No responderá directamente al interesado salvo autorización del Responsable.
• (b) Notificará al Responsable sin dilación indebida (orientativamente, en 5 días hábiles desde la recepción).
• (c) Pondrá a disposición del Responsable las funcionalidades técnicas del Servicio que permitan atender los derechos (exportación de datos del empleado, modificación, eliminación selectiva, etc.).
• (d) Asistirá al Responsable en la medida razonable y proporcional cuando esa asistencia no esté cubierta por las funcionalidades estándar del Servicio. Los trabajos extraordinarios podrán facturarse a precios razonables previa aceptación del Responsable.

7. Notificación de brechas

Aunte notificará al Responsable cualquier brecha de seguridad de los datos personales sin dilación indebida y, en todo caso, dentro de las 48 horas siguientes a tener conocimiento de ella, proporcionando al menos:

• (a) Descripción de la naturaleza de la brecha, incluyendo, si es posible, las categorías y número aproximado de interesados y registros afectados.
• (b) Datos de contacto del DPO o punto de contacto.
• (c) Descripción de las posibles consecuencias.
• (d) Descripción de las medidas adoptadas o propuestas para resolver la brecha y mitigar sus posibles efectos adversos.

La notificación al Responsable se realizará al correo registrado por éste como contacto técnico/legal. La obligación de notificar a la AEPD en 72 horas conforme al art. 33 RGPD corresponde al Responsable, sin perjuicio del deber de cooperación de Aunte.

8. Auditorías

El Responsable podrá verificar el cumplimiento por Aunte de las obligaciones de este DPA mediante:

• (a) Información: Aunte responderá a cuestionarios razonables (p. ej. CAIQ Lite, plantillas estándar de seguridad) en un plazo razonable.
• (b) Certificaciones o informes de terceros: Aunte podrá aportar informes de auditoría externa o certificaciones (cuando estén disponibles) como evidencia equivalente.
• (c) Auditoría in situ o remota: previa solicitud con al menos 30 días de antelación, no más de una vez por año (salvo brecha de seguridad o requerimiento de autoridad), en horario laboral, sin perturbar la operativa de Aunte y firmando acuerdo de confidencialidad. Los costes razonables del auditor son asumidos por el Responsable; los de los servicios excepcionales prestados por Aunte podrán facturarse.

9. Transferencias internacionales

Aunte podrá tratar datos personales fuera del Espacio Económico Europeo únicamente cuando exista una garantía adecuada conforme al Cap. V del RGPD:

• Decisión de adecuación de la Comisión Europea.
• Cláusulas Contractuales Tipo (Decisión 2021/914) — el Responsable, al firmar este DPA, acepta la celebración de las CCT en módulo 2 (Responsable → Encargado) entre el Responsable y los subencargados extracomunitarios cuando proceda, autorizando a Aunte a actuar como representante a estos efectos.
• Otra garantía adecuada (art. 46 RGPD) o excepción válida (art. 49 RGPD).

Las transferencias actuales figuran en la Política de Privacidad (§ subprocesadores). El Responsable, en su rol, debe documentar estas transferencias en su Registro de Actividades de Tratamiento y, cuando proceda, realizar la Evaluación de Transferencia (TIA).

10. Datos del personal del Encargado

Aunte garantiza que el personal con acceso a los datos:

• Está vinculado por un compromiso expreso de confidencialidad.
• Recibe formación adecuada en protección de datos.
• Accede únicamente conforme al principio de necesidad («need to know»).
• Tiene autorizaciones revocadas inmediatamente al cese de funciones o de la relación laboral.

11. Devolución y supresión al finalizar

Al término de la prestación del Servicio, y a elección del Responsable comunicada por escrito en los 30 días naturales siguientes a la finalización:

• (a) Devolución: Aunte facilitará la exportación de los datos en formato estructurado y de uso común (CSV o equivalente).
• (b) Supresión: Aunte suprimirá los datos personales del Responsable de sus sistemas activos en un plazo razonable (orientativamente, 30 días desde la fecha efectiva de terminación o desde la confirmación de exportación, lo posterior).

Las copias de seguridad pueden conservarse hasta su rotación natural (orientativo: 35 días), durante los cuales quedarán inaccesibles para uso operativo y se borrarán definitivamente al completarse el ciclo.

Aunte podrá conservar datos cuando lo exija una norma de la UE o de un Estado miembro, informando al Responsable del marco legal aplicable.

12. Responsabilidad

Cada parte responderá frente a la otra de los daños y perjuicios derivados del incumplimiento de sus obligaciones bajo este DPA, sin perjuicio del régimen específico de responsabilidad solidaria frente al interesado previsto en el art. 82 RGPD.

La limitación de responsabilidad pactada en el Contrato de Servicio aplica también a este DPA, salvo en lo que se refiera a sanciones administrativas firmes impuestas por la AEPD o autoridad equivalente directamente imputables al incumplimiento culposo de la parte responsable, en cuyo caso cada parte asumirá la cuantía correspondiente a su responsabilidad.

13. Duración y vigencia

Este DPA es eficaz desde la fecha de aceptación del Contrato de Servicio y vigente mientras Aunte trate datos personales por cuenta del Responsable, incluyendo el periodo de devolución/supresión del §11.

14. Modificaciones

Aunte podrá actualizar este DPA cuando sea necesario para mantenerlo alineado con la normativa de protección de datos o las prácticas del sector. Notificará al Responsable con al menos 30 días de antelación. Si la modificación reduce las protecciones del Responsable, éste podrá oponerse y, de no alcanzarse acuerdo, resolver el Contrato sin penalización.

15. Legislación y jurisdicción

Este DPA se rige por la legislación española y de la UE. Se somete a la jurisdicción acordada en el Contrato de Servicio.

Aceptación

La aceptación del Contrato de Servicio durante el alta —al marcar la casilla correspondiente— implica la aceptación íntegra de este DPA por el Responsable, identificado por los datos de la empresa indicados en el alta. Para clientes que requieran firma específica (procesos de compras corporativos), Aunte facilitará versión firmable a petición a dpo@aunte.es.