Legal
Acuerdo de Encargado de Tratamiento
Última actualización: junio de 2026
El presente Acuerdo de Encargado de Tratamiento (en adelante, el "DPA", por sus siglas en inglés: Data Processing Agreement) se celebra entre, de una parte, el Cliente, que actúa como responsable del tratamiento en los términos del artículo 4.7 del Reglamento (UE) 2016/679 (RGPD), y de otra parte, LOOM S.L. (en adelante, "LOOM" o el "Encargado"), que actúa como encargado del tratamiento en los términos del artículo 4.8 del RGPD.
1Objeto, duración y naturaleza del tratamiento
Mediante el presente DPA, el Cliente encarga a LOOM el tratamiento de datos personales necesario para la prestación del servicio ChronoWork, en los términos descritos en los Términos de Servicio y en la documentación funcional del Servicio.
La duración del tratamiento coincide con la vigencia del contrato de prestación del Servicio. Al término del mismo, LOOM:
- Devolverá al Cliente los datos personales tratados en un formato estructurado, de uso común y lectura mecánica, o
- Eliminará los datos personales tratados, salvo en los casos en los que una norma legal obligue a su conservación durante un plazo superior (en particular, los registros de jornada contemplados en el artículo 34.9 del Estatuto de los Trabajadores, que se conservarán durante cuatro (4) años).
Las finalidades del tratamiento son exclusivamente las propias del Servicio contratado: registro, almacenamiento, consulta, exportación y verificación de los registros de jornada de las personas trabajadoras del Cliente, así como la gestión administrativa derivada del mismo.
2Tipo de datos personales y categorías de interesados
El Servicio trata las siguientes categorías de datos personales:
| Categoría | Detalle |
|---|---|
| Datos identificativos | Nombre completo, DNI/NIE, correo electrónico corporativo, teléfono. |
| Datos de jornada | Marcas de entrada, salida y pausas con marca temporal; pausas realizadas; horas totales computadas. |
| Datos de geolocalización | Coordenadas GPS en el momento del fichaje (únicamente, no seguimiento continuo); track GPS completo para auditoría (almacenado por separado y cifrado). |
| Datos de autenticación | Hash de credenciales, factores TOTP, eventos de sesión; nunca datos biométricos en bruto. |
| Datos de salud (categoría especial, art. 9 RGPD) | Documentación médica justificativa de bajas laborales, en caso de que el Cliente active el módulo de solicitudes con justificante. |
| Metadatos técnicos | Direcciones IP, cabeceras HTTP reducidas, eventos de auditoría. |
Los interesados son las personas trabajadoras del Cliente y, en su caso, los inspectores de la Inspección de Trabajo y Seguridad Social que accedan al perfil de lectura específico previsto en el Servicio.
3Instrucciones del responsable del tratamiento
LOOM se compromete a tratar los datos personales únicamente conforme a las instrucciones documentadas del Cliente, que se concretan en:
- La configuración y parametrización que el Cliente realiza en el panel de administración del Servicio.
- Las funcionalidades descritas en los Términos de Servicio y en la documentación funcional del Servicio.
- Las solicitudes razonables y documentadas que el Cliente dirija por escrito a LOOM para la realización de operaciones específicas (exportaciones masivas, anonimización, etc.).
Si LOOM considerase que alguna instrucción del Cliente infringe el RGPD u otra normativa aplicable en materia de protección de datos, lo pondrá en conocimiento del Cliente de forma inmediata, quedando exonerado del cumplimiento de dicha instrucción en lo que resulte manifiestamente ilegal.
4Subencargados del tratamiento
Para la prestación del Servicio, LOOM recurre a los siguientes subencargados del tratamiento. El Cliente consiente expresamente la subcontratación con cada uno de ellos. LOOM notificará al Cliente cualquier cambio previsto en esta lista con al menos treinta (30) días de antelación, concediendo al Cliente la posibilidad de oponerse por motivos razonables.
| Subencargado | Función | Ubicación de procesamiento | Garantía RGPD |
|---|---|---|---|
| Supabase Inc. | Alojamiento de base de datos PostgreSQL, autenticación, almacenamiento de objetos y funciones Edge. Cifrado AES-256 en reposo, TLS 1.3 en tránsito. | AWS Frankfurt (UE) | DPA + Cláusulas Contractuales Tipo de la Comisión Europea (2021/914) |
| Vercel Inc. | Hosting y Edge Network de la aplicación web. Sirve la interfaz y las funciones serverless. | AWS / edge global | DPA + SCCs |
| Stripe Payments Europe Ltd. | Procesamiento de pagos y gestión de suscripciones. Tokenización PCI DSS nivel 1. | UE (Irlanda) / EE. UU. para antifraude | DPA + SCCs |
| Resend Inc. | Envío de correos transaccionales (notificaciones, alertas, informes). | AWS us-east-1 | DPA + SCCs + opt-out de entrenamiento IA |
| MiniMax (módulo Asistente IA Premium, opcional) | Procesamiento de lenguaje natural para el asistente. Activación: solo si el Cliente contrata el módulo. | API global | DPA + X-Training-Opt-Out + SCCs si aplica |
Adicionalmente, Tesseract.js se ejecuta en proceso en el servidor de Vercel para OCR de respaldo de justificantes médicos: no se trata de un subencargado, sino de un componente de software sin transferencia externa de datos.
LOOM ha suscrito con cada uno de los subencargados un contrato que impone, como mínimo, las mismas obligaciones de protección de datos que las asumidas en el presente DPA, conforme al artículo 28.4 del RGPD. LOOM mantiene actualizada la relación de subencargados en su Política de Privacidad (sección 5).
5Transferencias internacionales
Por defecto, los datos personales del Cliente se procesan dentro del Espacio Económico Europeo. Algunos subencargados pueden realizar transferencias internacionales fuera del EEE desde sus centros de respaldo o funciones de soporte. En tales casos, LOOM garantiza que las transferencias se realizan al amparo de alguna de las siguientes bases jurídicas del RGPD (artículo 46 y siguientes):
- Decisión de adecuación de la Comisión Europea para el país de destino, cuando exista.
- Cláusulas Contractuales Tipo (SCCs) de la Comisión Europea (Decisión 2021/914) o su versión actualizada, en particular los módulos de encargado a encargado y de encargado a subencargado.
- Normas Corporativas Vinculantes (BCR) del subencargado, aprobadas por la autoridad de control competente.
- Cualquier otro mecanismo de transferencia válida conforme al RGPD y, en particular, al RGPD UE–EE. UU. Data Privacy Framework cuando esté en vigor para el destinatario.
A solicitud del Cliente, LOOM facilitará copia de las garantías correspondientes.
6Medidas técnicas y organizativas de seguridad
LOOM aplica, de forma proporcionada al nivel de riesgo, las medidas técnicas y organizativas previstas en el artículo 32 del RGPD, entre otras:
| Medida | Descripción |
|---|---|
| Cifrado en tránsito | TLS 1.3 para todas las comunicaciones cliente-servidor. |
| Cifrado en reposo | AES-256 sobre datos en base de datos, almacenamiento de objetos y backups. |
| Control de acceso | Row Level Security (RLS) por empresa en base de datos. Modelo de roles admin_empresa / empleado / inspector_itss. |
| Autenticación multifactor | 2FA TOTP obligatoria para administradores de empresa (rol admin_empresa). |
| Segregación de datos | Cada empresa cliente opera en un espacio lógico aislado por empresa_id; las políticas RLS impiden el acceso cruzado. |
| Inmutabilidad de registros | Los registros de jornada se almacenan en tablas con restricciones que prohíben su modificación, exigiendo operaciones específicas de corrección que quedan registradas en el log de auditoría. |
| Logs de auditoría | Acceso completo a operaciones de lectura y escritura. Retención de 4 años para operaciones legalmente relevantes. |
| Backups | Copias diarias cifradas, retención 30 días, restauración probada periódicamente. |
| Gestión de vulnerabilidades | Actualización regular de dependencias; análisis SAST en CI; cobertura de tipos estricta en TypeScript. |
| Formación y concienciación | El personal de LOOM con acceso a datos está formado en protección de datos y firma cláusulas de confidencialidad. |
Detalles adicionales y certificación ISO 27001 en proceso, consultar al equipo comercial.
7Notificación de incidentes de seguridad
LOOM notificará al Cliente, sin dilación indebida y en todo caso en un plazo máximo de cuarenta y ocho (48) horas desde que tenga conocimiento del incidente, cualquier violación de seguridad que afecte de forma significativa a los datos personales tratados por cuenta del Cliente. La notificación incluirá, al menos:
- Naturaleza del incidente, categorías y volumen aproximado de datos e interesados afectados.
- Nombre y datos de contacto del Delegado de Protección de Datos (DPD) o responsable de privacidad de LOOM.
- Consecuencias probables del incidente.
- Medidas adoptadas o propuestas para remediar el incidente y mitigar sus efectos.
LOOM colaborará activamente con el Cliente en la investigación y en la gestión de la notificación a la autoridad de control (AEPD) y, en su caso, a los interesados, conforme a los artículos 33 y 34 del RGPD.
8Derechos de los interesados y solicitudes del Cliente
El Cliente, como responsable del tratamiento, es el responsable de atender las solicitudes de derechos de los interesados (acceso, rectificación, supresión, oposición, limitación, portabilidad, decisiones individuales automatizadas). LOOM proporcionará al Cliente, a través de las funcionalidades del Servicio o por medios técnicos complementarios, las herramientas razonables para que el Cliente pueda cumplir con estas obligaciones.
En particular, el Servicio incorpora, sin coste adicional, módulos para exportar los datos de un interesado (art. 20), anonimizar o suprimir un registro a solicitud del interesado (art. 17) y generar evidencias para acreditar el cumplimiento (art. 5.2).
9Evaluaciones de impacto y consultas previas
Cuando el Cliente esté obligado a realizar una Evaluación de Impacto en la Protección de Datos (EIPD) en relación con el Servicio, LOOM proporcionará al Cliente, previa solicitud escrita, la información razonablemente necesaria para su elaboración. Si la autoridad de control requiriese al Cliente una consulta previa conforme al artículo 36 del RGPD como consecuencia del tratamiento encomendado, LOOM colaborará con el Cliente en la medida de sus posibilidades técnicas y operativas.
10Auditoría y derecho de información
LOOM pone a disposición del Cliente, previa solicitud razonable y con una periodicidad no superior a una (1) vez al año, la siguiente información, a fin de que el Cliente pueda verificar el cumplimiento del presente DPA:
- Certificaciones de seguridad vigentes (ISO 27001, SOC 2 o equivalente), cuando aplique.
- Informes resumidos de auditorías externas y pruebas de penetración sobre la infraestructura que aloja los datos del Cliente.
- Resumen anonimizado de incidentes de seguridad de los últimos 12 meses, con su naturaleza y medidas adoptadas.
- Listado actualizado de subencargados.
Adicionalmente, el Cliente podrá solicitar una auditoría específica in situ, con preaviso razonable (mínimo 30 días), durante horario laboral y a su costa, siempre que dicha auditoría no afecte a la confidencialidad de otros clientes de LOOM.
11Devolución o destrucción de los datos al finalizar
Finalizado el contrato de prestación del Servicio por cualquier causa, LOOM, a elección del Cliente, podrá:
- Devolver al Cliente, en un plazo máximo de treinta (30) días naturales desde la fecha efectiva de terminación, todos los datos personales tratados en su nombre, en un formato estructurado, de uso común y lectura mecánica (CSV y/o JSON para fichajes; ZIP cifrado para documentos adjuntos).
- Suprimir los datos personales tratados en nombre del Cliente, salvo en los casos en que la legislación aplicable obligue a su conservación (en particular, registros de jornada durante los plazos legales de cuatro (4) años).
Una vez devueltos o suprimidos los datos, LOOM certificará por escrito al Cliente la operación realizada en el plazo de quince (15) días naturales. Las copias de seguridad cifradas se purgarán conforme a su ciclo de vida natural, sin más demora que la técnica razonablemente necesaria.
12Delegado de protección de datos y puntos de contacto
Para cualquier comunicación relacionada con la protección de datos personales en el marco de este DPA, las partes podrán dirigirse a:
| LOOM S.L. — DPO / Privacidad | hugoestudiospm1@gmail.com |
| Delegado de Protección de Datos (DPD) | Pendiente de designación formal. A efectos de notificación se utiliza el mismo canal. |
El Cliente designará, en su caso, su propio Delegado de Protección de Datos y comunicará su identidad a LOOM, quien podrá utilizarla como punto de contacto para las obligaciones del presente DPA.
13Ley aplicable y jurisdicción
El presente DPA se rige por la legislación española y, en lo que resulte aplicable, por el RGPD y la normativa europea de protección de datos. Para la resolución de cualquier controversia derivada del mismo, las partes se someten a los Juzgados y Tribunales competentes conforme a la cláusula de jurisdicción prevista en los Términos de Servicio, sin perjuicio de las competencias exclusivas de la Agencia Española de Protección de Datos y, en su caso, de los tribunales europeos en materia de protección de datos.
¿Tienes dudas sobre este Acuerdo de Encargado de Tratamiento? Escríbenos a hugoestudiospm1@gmail.com