⚠️ BORRADOR — revisar con abogado antes de uso. Generado 6-jun-2026.
Art. 28 del Reglamento (UE) 2016/679 (RGPD) · Art. 33 LOPDGDD
| Campo | Dato |
| **Encargado del Tratamiento** | lintatalle SL |
| **CIF** | B16387789 |
| **Domicilio** | Calle Cenicero 6, 28014 Madrid (España) |
| **Marca comercial del servicio** | TRESAAA |
| **Sitio web / app** | tresaaa.com |
| **Contacto en materia de datos** | [email protected] |
| **Responsable del Tratamiento** | La empresa u organización cliente que contrata el servicio (en adelante, «el Responsable» o «la Empresa»). |
| **Fecha de entrada en vigor** | La misma que la fecha de aceptación del alta en el servicio TRESAAA Fichaje. |
El servicio TRESAAA Fichaje tiene por objeto que lintatalle SL (marca TRESAAA) ponga a disposición de las empresas clientes una herramienta tecnológica para el registro de la jornada laboral de sus empleados, conforme al art. 34.9 del Estatuto de los Trabajadores (ET) (redacción dada por el RD-ley 8/2019, de 8 de marzo).
En este contexto:
Esta calificación es estructural: existe relación responsable-encargado (art. 28 RGPD). El presente contrato regula dicha relación y es parte integrante e indisociable del contrato de prestación del servicio TRESAAA Fichaje.
El presente Contrato de Encargo del Tratamiento (en adelante, «DPA») regula el tratamiento de datos personales que lintatalle SL (TRESAAA), en calidad de Encargado, realiza por cuenta del Responsable en el marco del servicio TRESAAA Fichaje, de conformidad con:
Este DPA prevalece sobre cualquier estipulación contradictoria de las Condiciones de Servicio de TRESAAA Fichaje en lo relativo a protección de datos personales.
| Elemento | Detalle |
| **Objeto** | Tratamiento de datos personales de los empleados del Responsable necesario para prestar el servicio de registro de jornada laboral TRESAAA Fichaje. |
| **Duración** | La del contrato de prestación del servicio y sus prórrogas. El tratamiento por cuenta del Responsable cesa con la resolución o vencimiento de dicho contrato. |
| **Naturaleza del tratamiento** | Recogida, registro, almacenamiento, consulta, organización, comunicación interna (acceso por parte del Responsable) y, al término del contrato, supresión o devolución de los datos, según instrucciones del Responsable. |
| **Finalidad** | Cumplimiento de la obligación legal de registro y control de jornada laboral (art. 34.9 ET · RD-ley 8/2019), a disposición de los empleados, representantes sindicales e Inspección de Trabajo. |
| **Tipos de datos personales tratados** | Nombre y apellidos del empleado; identificador interno/número de empleado; número de teléfono móvil (cuando el fichaje se realiza por canal WhatsApp); marca de tiempo (fecha, hora de inicio, pausas y fin) de cada fichaje; cadena de verificación de integridad (hash vinculado a cada registro). **No se tratan**: datos biométricos, datos de geolocalización continua, datos salariales ni categorías especiales del art. 9 RGPD. |
| **Categorías de interesados** | Empleados (trabajadores por cuenta ajena) de la empresa Responsable que han sido dados de alta por esta en el sistema TRESAAA Fichaje. |
| **Tratamientos autorizados** | Exclusivamente los necesarios para prestar el servicio. El Encargado no está autorizado a tratar estos datos con fines propios ni a incorporarlos a ninguna otra base de datos del Encargado. |
El Encargado tratará los datos personales únicamente siguiendo instrucciones documentadas del Responsable, incluidas las relativas a transferencias internacionales de datos, salvo que una obligación legal imponga al Encargado un tratamiento distinto, en cuyo caso informará al Responsable antes de proceder, salvo que dicha ley lo prohíba por razones de interés público (art. 28.3.a RGPD).
Las instrucciones iniciales resultan de las Condiciones de Servicio y del uso de la plataforma. El Responsable puede emitir instrucciones adicionales con efecto desde su comunicación a [email protected].
El Encargado se obliga a:
a) Confidencialidad. Garantizar que las personas autorizadas para tratar los datos se han comprometido a mantener la confidencialidad o están sujetas a un deber de confidencialidad de naturaleza estatutaria (art. 28.3.b RGPD). El Encargado mantendrá el secreto profesional respecto de los datos con carácter indefinido, incluso tras la extinción del contrato.
b) Medidas de seguridad (art. 32 RGPD). Aplicar las medidas técnicas y organizativas descritas en la Cláusula 6 del presente DPA, apropiadas para garantizar el nivel de seguridad adecuado al riesgo.
c) Subencargados. No subcontratar tratamientos sin autorización previa del Responsable, en los términos de la Cláusula 7 del presente DPA.
d) Asistencia al Responsable en derechos de los interesados. Asistir al Responsable mediante medidas técnicas y organizativas apropiadas para responder a las solicitudes de ejercicio de los derechos de los interesados (acceso, rectificación, supresión, oposición, limitación, portabilidad — arts. 15 a 22 RGPD), en un plazo que permita al Responsable responder en el plazo máximo del art. 12.3 RGPD (un mes desde la recepción). El Encargado trasladará al Responsable, sin dilación y en un plazo máximo de 5 días hábiles, cualquier solicitud de ejercicio de derechos que reciba directamente de un empleado del Responsable.
e) Asistencia al Responsable en obligaciones de seguridad. Ayudar al Responsable a cumplir las obligaciones de los arts. 32 a 36 RGPD (seguridad, notificación de brechas, evaluaciones de impacto, consultas previas), teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el Encargado.
f) Notificación de brechas de seguridad. Notificar al Responsable, sin dilación indebida y en un plazo máximo de 48 horas desde que tenga conocimiento de ella, cualquier violación de la seguridad de los datos personales, aportando la información disponible indicada en el art. 33.3 RGPD, para que el Responsable pueda cumplir a su vez el plazo de 72 horas ante la AEPD (art. 33.1 RGPD).
g) Supresión o devolución al término del contrato. A elección del Responsable (comunicada antes de la finalización del contrato o en el plazo de 30 días naturales tras ella), el Encargado devolverá o suprimirá todos los datos personales objeto del encargo y destruirá las copias existentes, salvo que el Derecho de la UE o nacional exija su conservación (art. 28.3.g RGPD). El Encargado conservará los registros de fichaje durante el plazo legal de 4 años (art. 34.9 ET; criterio ITSS) antes de la supresión definitiva, o hasta que el Responsable indique lo contrario dentro del marco legal. Una vez devueltos o destruidos los datos, el Encargado lo acreditará por escrito al Responsable.
h) Información y auditorías. Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del art. 28 RGPD, y permitir y contribuir a la realización de auditorías, incluidas inspecciones, realizadas por el Responsable o un auditor por él mandatado, mediante preaviso por escrito de al menos 15 días hábiles y con sujeción a los deberes de confidencialidad. El coste de las auditorías corresponde al Responsable salvo que la auditoría revele un incumplimiento material imputable al Encargado.
i) Registro de actividades de tratamiento. Mantener, conforme al art. 30.2 RGPD, un registro de las categorías de actividades de tratamiento realizadas por cuenta del Responsable, a disposición de la AEPD cuando lo requiera.
j) No finalidad propia. El Encargado no utilizará los datos personales de los empleados del Responsable para fines propios, en particular no los incorporará a bases de datos de marketing, enriquecimiento, análisis de mercado u otras finalidades propias del Encargado o de terceros.
El Responsable se obliga a:
a) Emitir instrucciones lícitas y documentadas al Encargado.
b) Garantizar que dispone de base jurídica válida para el tratamiento de los datos de sus empleados con la finalidad de registro de jornada (art. 6.1.c RGPD en relación con el art. 34.9 ET), y que ha cumplido el deber de información hacia sus empleados (art. 13 RGPD) con carácter previo al uso del servicio.
c) Garantizar la exactitud de los datos de empleados que da de alta en la plataforma.
d) Comunicar sin demora al Encargado cualquier modificación que afecte a las instrucciones o al perfilado de los interesados.
e) Velar por el cumplimiento de la normativa de protección de datos durante toda la vigencia del tratamiento.
El Encargado declara y mantiene las siguientes medidas, apropiadas al riesgo del tratamiento:
El Responsable otorga mediante el presente DPA una autorización general para que el Encargado recurra a los siguientes subencargados, con quienes el Encargado mantiene contratos equivalentes en materia de protección de datos:
| Subencargado | Servicio | País de tratamiento | Garantías de transferencia |
| **Hetzner Online GmbH** | Alojamiento de servidores y base de datos | Alemania (UE) | No aplicable (EEE) |
| **Meta Platforms Ireland Limited** (WhatsApp Business API) | Canal de mensajería para el fichaje por WhatsApp | Irlanda (UE) / Infraestructura global | EU–US Data Privacy Framework (DPF) + Cláusulas Contractuales Tipo (SCC) [PENDIENTE: verificar DPA vigente con Meta/WhatsApp Business API] |
| **Resend Inc.** | Envío de notificaciones y correo transaccional | [PENDIENTE: confirmar país de procesamiento de datos] | [PENDIENTE: confirmar DPF/SCC si hay transferencia a EEUU] |
| **Anthropic PBC** | Asistente de soporte de IA (solo cuando el usuario interactúa voluntariamente con el asistente; no accede a registros de fichaje en modo automático) | EEUU | [PENDIENTE: confirmar instrumento — SCC o DPF] |
El Encargado informará al Responsable de cualquier incorporación o sustitución prevista de subencargados con una antelación mínima de 30 días, a través del correo indicado en el alta del servicio o de la sección de privacidad de la plataforma. El Responsable podrá oponerse justificadamente; si no lo hace en ese plazo, se entenderá que consiente.
En todo caso, el Encargado seguirá siendo responsable ante el Responsable del correcto cumplimiento de las obligaciones de los subencargados (art. 28.4 RGPD).
Con carácter ordinario, el tratamiento principal se realiza en la UE (Hetzner, Alemania). Las transferencias derivadas del uso de subencargados ubicados o con infraestructura fuera del EEE (en particular Meta/WhatsApp y Anthropic) se amparan en los mecanismos indicados en la Cláusula 7. El Encargado se obliga a no realizar transferencias internacionales adicionales sin informar previamente al Responsable y sin acreditar las garantías del Capítulo V del RGPD. [PENDIENTE: completar análisis de transferencias y documentar TIA (*Transfer Impact Assessment*) para los subencargados fuera del EEE.]
Dado que el registro de jornada laboral —con la finalidad específica del art. 34.9 ET y limitado a los datos descritos en la Cláusula 2— no constituye habitualmente un tratamiento de «alto riesgo» para los derechos y libertades de los empleados en el sentido del art. 35 RGPD (ausencia de decisiones automatizadas con efectos jurídicos, ausencia de biometría o geolocalización, finalidad legal tasada), se estima que la EIPD no es obligatoria en la configuración estándar del servicio. [PENDIENTE CONSULTOR: confirmar esta valoración; podría cambiar si el Responsable activa funcionalidades adicionales o tiene una plantilla muy numerosa.]
Si el Responsable determina la conveniencia de realizar una EIPD, el Encargado colaborará aportando la información técnica necesaria.
El presente DPA establece un plazo de retención mínima de los registros de fichaje de 4 años, derivado del art. 34.9 ET y del criterio de la Inspección de Trabajo y Seguridad Social (ITSS). Los datos no se suprimirán antes de cumplirse dicho plazo sin instrucción expresa y documentada del Responsable que acredite la base legal para la supresión anticipada. Transcurrido el plazo legal, el Encargado procederá conforme a la instrucción del Responsable (supresión o devolución), y en defecto de instrucción, suprimirá o anonimizará los registros.
Cada parte responde de los daños causados por los tratamientos que infrinja el RGPD según el art. 82. El Encargado responde únicamente cuando no haya cumplido las obligaciones del RGPD dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones lícitas del Responsable.
Limitación contractual de responsabilidad del Encargado: sin perjuicio de las normas imperativas del RGPD y de la responsabilidad por dolo o culpa grave, la responsabilidad total del Encargado frente al Responsable derivada de este DPA queda limitada al importe de las tarifas del servicio abonadas por el Responsable durante los 12 meses anteriores al evento que dio lugar a la reclamación. Quedan excluidos los daños indirectos y el lucro cesante. Esta limitación no es oponible frente a los interesados afectados ni frente a la AEPD.
Este DPA tiene la misma duración que el contrato de prestación del servicio TRESAAA Fichaje. Se resolverá automáticamente con el contrato principal. Las obligaciones de confidencialidad (Cláusula 4.a), las de supresión o devolución de datos (Cláusula 4.g), las relativas a la retención legal mínima (Cláusula 10) y las de responsabilidad subsistirán tras la resolución durante el tiempo necesario hasta que se extingan las correspondientes obligaciones.
El Encargado podrá actualizar este DPA para reflejar cambios normativos o de la plataforma, notificándolo al Responsable con un mínimo de 30 días de antelación. Si el Responsable no se opone en ese plazo, se entenderá aceptada la modificación. En caso de oposición fundada, las partes negociarán de buena fe; si no alcanzan acuerdo, cualquiera de ellas podrá resolver el contrato de servicio.
Este DPA se rige por la legislación española. Para cualquier controversia derivada de su interpretación o cumplimiento, las partes se someten a los Juzgados y Tribunales de Madrid, renunciando expresamente a cualquier otro fuero que pudiera corresponderles. Sin perjuicio de los derechos de los interesados ante la Agencia Española de Protección de Datos (AEPD).
| Campo | Valor |
| Nombre / denominación social | [A completar por el Responsable] |
| CIF / NIF | [A completar] |
| Domicilio social | [A completar] |
| Persona de contacto en materia de datos | [A completar] |
| Correo de contacto RGPD | [A completar] |
| ¿Tiene designado DPD/DPO? | [Sí / No — y, si sí, datos de contacto del DPD] |
| Número aproximado de empleados afectados | [A completar] |
| Ref. | Punto pendiente | Responsable |
| DPA-P1 | Confirmar cifrado en reposo real de la base de datos | Encargado (técnico) |
| DPA-P2 | Verificar DPA vigente con Meta / WhatsApp Business API; acreditar SCC o DPF | Encargado (legal) |
| DPA-P3 | Confirmar país de procesamiento de Resend y acreditar garantías de transferencia si aplica | Encargado (legal) |
| DPA-P4 | Confirmar instrumento de transferencia aplicable a Anthropic (SCC/DPF) | Encargado (legal) |
| DPA-P5 | Completar TIA para subencargados fuera del EEE | Encargado (legal) |
| DPA-P6 | Definir SLA real de copias de seguridad y recuperación | Encargado (técnico) |
| DPA-P7 | Confirmar con abogado si la EIPD (art. 35) es o no obligatoria para la configuración estándar | Consultor |
| DPA-P8 | Fijar número de registro mercantil de lintatalle SL | [PENDIENTE: nº inscripción Registro Mercantil] |
*Fin del borrador. Entidad: lintatalle SL · CIF B16387789 · Calle Cenicero 6, 28014 Madrid · [email protected] · Marca: TRESAAA. Documento sujeto a revisión por consultor/abogado especializado antes de cualquier uso.*