Acuerdo de Encargo del Tratamiento (DPA)
Acuerdo de Encargo del Tratamiento de Datos Personales conforme al artículo 28 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD), y al artículo 33 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
1. Partes
- Responsable del tratamiento: La empresa cliente que contrata los servicios de Timple (en adelante, "el Responsable" o "el Cliente").
- Encargado del tratamiento: GRANITE DEVELOPMENT & SECURITY SLU, con CIF XXXXXXX y domicilio social en XXXXXXX (en adelante, "el Encargado" o "Timple").
El presente Acuerdo forma parte integrante de los Términos y Condiciones del servicio Timple y entra en vigor en el momento del registro del Cliente en la plataforma.
2. Objeto del encargo
El Responsable encarga al Encargado el tratamiento de datos personales necesario para la prestación del servicio de gestión de control horario a través de la plataforma Timple, en los términos y condiciones descritos en el presente Acuerdo.
El Encargado tratará los datos personales únicamente conforme a las instrucciones documentadas del Responsable, incluidas las transferencias de datos a un tercer país u organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros. En tal caso, el Encargado informará al Responsable de esa exigencia legal antes del tratamiento, salvo que el Derecho lo prohíba por razones de interés público.
3. Datos objeto del tratamiento
3.1. Categorías de interesados
- Empleados del Responsable dados de alta en la plataforma.
- Administradores y gestores del Responsable.
3.2. Tipos de datos personales
| Categoría | Datos concretos |
|---|---|
| Datos identificativos | Nombre, apellidos, correo electrónico, número de identificación (DNI/NIE/pasaporte) |
| Datos laborales | Puesto de trabajo, fecha de alta, centro de trabajo asignado, jornada laboral, días laborables, régimen de jornada, modalidad de trabajo |
| Datos de fichaje | Hora de entrada, hora de salida, zona horaria, modalidad de trabajo (presencial/remoto), notas |
| Datos de ausencias | Tipo de ausencia, fechas, estado de aprobación |
| Datos técnicos | Dirección IP, user-agent (asociados al acto de fichar) |
| Datos de auditoría | Registro inmutable de modificaciones: actor, acción, fecha, IP, user-agent, detalle de cambios |
3.3. Categorías especiales
El presente encargo no contempla el tratamiento de categorías especiales de datos (art. 9 RGPD). Si el Responsable introduce datos de salud u otros datos especialmente protegidos en campos de texto libre (como notas de fichaje o motivos de ausencia), lo hará bajo su exclusiva responsabilidad.
4. Duración
El presente Acuerdo tendrá la misma duración que la relación contractual entre las partes. Las obligaciones de confidencialidad y las relativas a la devolución o destrucción de datos subsistirán tras la finalización del Acuerdo.
5. Obligaciones del Encargado
El Encargado se compromete a:
5.1. Instrucciones del Responsable
- Tratar los datos únicamente conforme a las instrucciones documentadas del Responsable.
- Informar inmediatamente al Responsable si, a su juicio, una instrucción infringe el RGPD u otras disposiciones de protección de datos.
5.2. Deber de confidencialidad
- Garantizar que las personas autorizadas para tratar los datos se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad.
5.3. Medidas de seguridad
Aplicar medidas técnicas y organizativas adecuadas conforme al art. 32 del RGPD, incluyendo:
- Cifrado: contraseñas almacenadas con algoritmos de hash seguros; comunicaciones cifradas mediante HTTPS/TLS.
- Control de acceso: sistema de roles (propietario, administrador, empleado) que limita el acceso a los datos según la función del usuario. Cada empleado solo accede a sus propios registros.
- Integridad y trazabilidad: registro de auditoría inmutable (append-only) de todas las operaciones sobre datos de fichaje, incluyendo actor, fecha, IP y detalle de cambios.
- Seguridad del servidor: acceso restringido mediante VPN privada y autenticación por clave pública (SSH sin contraseña), firewall perimetral, actualizaciones automáticas de seguridad, protección contra fuerza bruta (fail2ban).
- Minimización: los motivos de ausencia de empleados no son visibles para sus compañeros. Cada empleado solo accede a sus propios datos.
- Copias de seguridad: procedimientos de respaldo periódico.
5.4. Subencargados
El Encargado cuenta con la autorización general del Responsable para recurrir a los siguientes subencargados del tratamiento:
| Subencargado | Servicio | Ubicación | Datos tratados |
|---|---|---|---|
| Hetzner Online GmbH | Alojamiento del servidor | Falkenstein, Alemania (UE) | Todos los datos almacenados en la plataforma |
| Brevo (Sendinblue SAS) | Envío de correos electrónicos transaccionales | París, Francia (UE) | Correo electrónico del destinatario, contenido del email |
| Migadu | Correo electrónico corporativo | Suiza | Correo electrónico (comunicaciones de soporte) |
| OVHcloud | Copias de seguridad (Litestream + snapshots diarios) | Roubaix, Francia (UE) | Copia completa de la base de datos (todos los datos de la plataforma) |
| Sentry GmbH (Functional Software, Inc.) | Monitorización de errores de la aplicación | Frankfurt, Alemania (UE — instancia regional EU) | Trazas de excepciones (mensaje, stack trace, ruta de la petición sin identificadores numéricos, cabeceras técnicas mínimas). No se transmite información personal por configuración: send_default_pii=false y filtrado adicional vía before_send |
El Encargado informará al Responsable de cualquier cambio previsto en la lista de subencargados con un mínimo de 30 días de antelación, otorgando al Responsable la posibilidad de oponerse. Si el Responsable se opone justificadamente y no es posible prescindir del nuevo subencargado, cualquiera de las partes podrá resolver el contrato.
El Encargado celebrará con cada subencargado un contrato que imponga las mismas obligaciones de protección de datos que las establecidas en el presente Acuerdo.
5.5. Asistencia al Responsable
El Encargado asistirá al Responsable, teniendo en cuenta la naturaleza del tratamiento:
- En el cumplimiento de su obligación de responder a las solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, portabilidad, etc.). Timple proporciona funcionalidades de exportación de datos y gestión de empleados que facilitan el ejercicio de estos derechos.
- En el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD (seguridad, notificación de brechas, evaluaciones de impacto, consulta previa).
5.6. Notificación de brechas de seguridad
El Encargado notificará al Responsable, sin dilación indebida y en un plazo máximo de 24 horas, cualquier brecha de seguridad que afecte a datos personales tratados por cuenta del Responsable. La notificación incluirá:
- Descripción de la naturaleza de la brecha.
- Categorías y número aproximado de interesados afectados.
- Posibles consecuencias de la brecha.
- Medidas adoptadas o propuestas para poner remedio a la brecha.
5.7. Devolución o destrucción de datos
A la finalización de la relación contractual, y a elección del Responsable:
- Devolución: Timple pondrá a disposición del Responsable la exportación de todos sus datos en formato estructurado (Excel/CSV) durante un plazo de 30 días tras la cancelación.
- Destrucción: transcurrido dicho plazo, o a solicitud expresa del Responsable, el Encargado suprimirá todos los datos personales. La obligación de conservación de los registros de jornada durante 4 años (art. 34.9 ET) corresponde al Responsable en su condición de empleador, por lo que deberá exportar los datos antes de la finalización del plazo de 30 días si desea cumplir con dicha obligación.
5.8. Puesta a disposición de información
El Encargado pondrá a disposición del Responsable la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el art. 28 del RGPD.
6. Obligaciones del Responsable
El Responsable se compromete a:
- Informar a sus empleados del tratamiento de sus datos en Timple, conforme a los artículos 13 y 14 del RGPD.
- Disponer de la base jurídica adecuada para el tratamiento de datos de sus empleados.
- Garantizar que los datos proporcionados son exactos y están actualizados.
- No introducir categorías especiales de datos (art. 9 RGPD) en campos de texto libre de la plataforma.
- Gestionar las solicitudes de ejercicio de derechos de sus empleados, pudiendo solicitar la asistencia técnica del Encargado.
7. Transferencias internacionales
Los datos se alojan en servidores ubicados en la Unión Europea (Alemania). Las únicas transferencias internacionales se producen en los términos descritos en la sección 5.4 (subencargados):
- Suiza: decisión de adecuación de la Comisión Europea (Migadu).
- Sentry: aunque la sociedad matriz Functional Software, Inc. tiene sede en EE. UU., el servicio se contrata sobre la instancia regional UE (Frankfurt, Alemania), de modo que los datos residen físicamente en territorio comunitario. Para cubrir cualquier acceso técnico desde la matriz, se aplica el contrato de tratamiento estándar de Sentry, que incorpora las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea (Decisión 2021/914).
Todos los datos personales se almacenan dentro de la Unión Europea (Alemania y Francia) y Suiza. No se realizan transferencias de datos personales a países sin nivel de protección adecuado reconocido por la Comisión Europea o sin las garantías apropiadas previstas en el artículo 46 del RGPD.
8. Limitación de responsabilidad
La responsabilidad del Encargado frente al Responsable por cualquier incumplimiento del presente Acuerdo se regirá por lo establecido en los Términos y Condiciones del servicio. En particular, la responsabilidad total acumulada del Encargado no excederá el importe total abonado por el Responsable durante los 12 meses anteriores al hecho generador de la responsabilidad.
Esta limitación no se aplicará:
- En caso de dolo o negligencia grave del Encargado.
- A las responsabilidades derivadas de incumplimientos del RGPD o la LOPDGDD directamente atribuibles al Encargado, incluidas las sanciones impuestas por la autoridad de control.
- En aquellos supuestos en que la legislación aplicable no permita su exclusión o limitación.
9. Legislación aplicable y jurisdicción
El presente Acuerdo se rige por lo dispuesto en el RGPD, la LOPDGDD y la legislación española. Para la resolución de cualquier controversia, las partes se someten a los Juzgados y Tribunales de Las Palmas de Gran Canaria.
Última actualización: mayo de 2026 (incorporación de Sentry como subencargado)