El presente anexo regula las condiciones del encargo de tratamiento de datos personales que el CLIENTE (Responsable del Tratamiento) encomienda a MODULOOPER RPA, S.L. (Encargado del Tratamiento), en cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (RGPD) y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
1. Identificación de las partes
1.1. Responsable del Tratamiento (Cliente)
La entidad o persona física que contrata el servicio Clocki, con los datos identificativos proporcionados en el momento del alta (nombre/razón social, CIF/NIF, dirección, email de contacto).
1.2. Encargado del Tratamiento (MODULOOPER)
- Razón social: MODULOOPER RPA, S.L.
- CIF: B67361808
- Domicilio social: Calle Juan Garay 14, 5, Pl. 4, 08014, Barcelona (España)
- Email: hola@clocki.es
- Email de privacidad: privacidad@clocki.es
2. Objeto y naturaleza del encargo
El CLIENTE encomienda a MODULOOPER el tratamiento de datos personales de sus empleados y usuarios autorizados, en el marco de la prestación del servicio de control horario, planificación de turnos y gestión de ausencias que ofrece la plataforma Clocki.
MODULOOPER actuará como Encargado del Tratamiento únicamente en relación con los datos de los empleados y usuarios del CLIENTE, y únicamente en la medida en que sea necesario para prestar el servicio contratado.
3. Categorías de datos personales tratados
Los datos personales que MODULOOPER tratará por encargo del CLIENTE incluyen (de forma enunciativa, no limitativa):
- Datos identificativos: Nombre, apellidos, DNI/NIE, correo electrónico, número de teléfono.
- Datos laborales: Puesto de trabajo, departamento, ubicación, horario de trabajo, turnos asignados.
- Datos de control horario: Registros de entrada y salida (fichajes), geolocalización (si el Cliente activa esta función), horas trabajadas.
- Datos de ausencias: Vacaciones, bajas, permisos, motivos de ausencia.
- Otros datos: Cualquier información adicional que el CLIENTE decida introducir en la plataforma (por ejemplo, comentarios, notas).
4. Categorías de interesados
Los interesados cuyos datos serán tratados por MODULOOPER son:
- Empleados del CLIENTE.
- Usuarios autorizados por el CLIENTE (por ejemplo, colaboradores, subcontratados) que utilicen la plataforma Clocki.
5. Finalidad del tratamiento
MODULOOPER tratará los datos personales exclusivamente con las siguientes finalidades:
- Prestar el servicio de control horario y registro de jornada laboral.
- Facilitar la planificación de turnos y gestión de horarios del CLIENTE.
- Gestionar las ausencias (vacaciones, bajas, permisos) de los empleados del CLIENTE.
- Generar informes y analíticas solicitadas por el CLIENTE en relación con la jornada laboral.
- Proporcionar soporte técnico al CLIENTE y a sus usuarios.
- Mantener la seguridad, estabilidad y buen funcionamiento de la plataforma.
MODULOOPER no utilizará los datos de los empleados del CLIENTE para finalidades propias, ni para fines de marketing, perfilado o comunicaciones comerciales, salvo que el CLIENTE lo autorice expresamente.
6. Duración del encargo
El presente DPA estará vigente durante todo el periodo en el que el CLIENTE mantenga una suscripción activa al servicio Clocki.
Una vez finalizada la relación contractual (por cancelación, vencimiento o cualquier otra causa), MODULOOPER procederá según lo establecido en la cláusula 14 (Destino de los datos al finalizar la prestación).
7. Obligaciones del Encargado del Tratamiento (MODULOOPER)
7.1. Tratamiento conforme a instrucciones
MODULOOPER tratará los datos personales únicamente siguiendo las instrucciones documentadas del CLIENTE, que se establecen mediante:
- Los Términos y Condiciones del servicio Clocki.
- La configuración y uso de la plataforma por parte del CLIENTE.
- Instrucciones específicas que el CLIENTE comunique por escrito (correo electrónico) a MODULOOPER.
Si MODULOOPER considera que una instrucción del CLIENTE infringe el RGPD o la normativa aplicable, informará de inmediato al CLIENTE.
7.2. Confidencialidad
MODULOOPER garantiza que las personas autorizadas para tratar los datos personales del CLIENTE se comprometen a respetar la confidencialidad o están sujetas a una obligación de confidencialidad de naturaleza estatutaria.
7.3. Medidas de seguridad
MODULOOPER implementará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:
- Cifrado: Comunicaciones cifradas mediante HTTPS/TLS. Cifrado de datos sensibles en base de datos.
- Control de acceso: Autenticación segura (contraseñas robustas, autenticación de dos factores opcional). Control de permisos basado en roles.
- Copias de seguridad: Backups diarios con retención de al menos 7 días.
- Monitorización: Supervisión de la infraestructura para detectar y responder a incidentes de seguridad.
- Actualización: Mantenimiento y actualización regular de sistemas y software.
7.4. Notificación de violaciones de seguridad
En caso de violación de la seguridad de los datos personales (data breach), MODULOOPER notificará al CLIENTE sin dilación indebida y, en cualquier caso, dentro de las 48 horas siguientes a tener conocimiento del incidente.
La notificación incluirá, como mínimo:
- Descripción de la naturaleza de la violación (categorías y número aproximado de interesados y registros afectados).
- Posibles consecuencias de la violación.
- Medidas adoptadas o propuestas para subsanar la violación y mitigar sus efectos.
MODULOOPER cooperará con el CLIENTE para que este pueda cumplir con su obligación de notificar la violación a la Agencia Española de Protección de Datos (AEPD) y, en su caso, a los interesados.
7.5. Asistencia al Responsable
MODULOOPER asistirá al CLIENTE, en la medida de lo posible y teniendo en cuenta la naturaleza del tratamiento, para que este pueda cumplir con:
- La obligación de responder a las solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, limitación, portabilidad, oposición).
- Las obligaciones relativas a evaluaciones de impacto y consultas previas a la autoridad de control, cuando proceda.
Las solicitudes de ejercicio de derechos que MODULOOPER reciba directamente de los empleados del CLIENTE serán remitidas al CLIENTE en un plazo de 5 días hábiles, para que este pueda atenderlas.
7.6. Auditoría e inspección
MODULOOPER pondrá a disposición del CLIENTE toda la información necesaria para demostrar el cumplimiento de las obligaciones del encargado del tratamiento.
El CLIENTE podrá solicitar auditorías (incluidas inspecciones) para verificar el cumplimiento del presente DPA, previa solicitud por escrito con al menos 30 días de antelación.
Las auditorías se realizarán en horario laboral, sin interferir en el normal funcionamiento de la actividad de MODULOOPER, y los costes derivados serán asumidos por el CLIENTE, salvo que se detecten incumplimientos graves imputables a MODULOOPER.
8. Subcontratación (Subencargados)
El CLIENTE autoriza a MODULOOPER a subcontratar determinadas operaciones de tratamiento con los siguientes subencargados:
| Subencargado | Servicio | Ubicación |
|---|---|---|
| Loading.es | Hosting y alojamiento de la plataforma | Unión Europea (Alicante, España) |
| Microsoft Clarity | Análisis de experiencia de usuario (UX) | Unión Europea / EEE |
| Plausible Analytics | Analítica web (agregada, sin cookies) | Unión Europea |
MODULOOPER se compromete a:
- Imponer a cada subencargado las mismas obligaciones de protección de datos que las establecidas en este DPA.
- Notificar al CLIENTE cualquier cambio previsto en la incorporación de nuevos subencargados o la sustitución de los actuales, con al menos 30 días de antelación.
- Permitir al CLIENTE oponerse a dichos cambios. En caso de oposición justificada, el CLIENTE podrá cancelar el servicio sin penalización.
MODULOOPER seguirá siendo plenamente responsable ante el CLIENTE del cumplimiento de las obligaciones del subencargado.
9. Transferencias internacionales de datos
MODULOOPER se compromete a que los datos personales tratados por encargo del CLIENTE permanezcan en servidores ubicados en la Unión Europea o en países con un nivel de protección adecuado reconocido por la Comisión Europea.
En caso de que, excepcionalmente, sea necesario realizar una transferencia internacional de datos a un país tercero sin decisión de adecuación, MODULOOPER implementará las garantías apropiadas (cláusulas contractuales tipo de la Comisión Europea, certificación Privacy Shield si aplica, etc.) y notificará al CLIENTE con antelación.
10. Ejercicio de derechos de los interesados
Cuando un empleado del CLIENTE ejerza sus derechos (acceso, rectificación, supresión, limitación, portabilidad, oposición) ante MODULOOPER, este:
- Comunicará al CLIENTE la solicitud en un plazo de 5 días hábiles.
- Seguirá las instrucciones del CLIENTE (responsable del tratamiento) sobre cómo responder a la solicitud.
- Proporcionará al CLIENTE toda la asistencia técnica necesaria para que este pueda atender la solicitud dentro de los plazos legales (1 mes, ampliable a 3 meses en casos complejos).
El CLIENTE es el único responsable de atender las solicitudes de ejercicio de derechos de sus empleados.
11. Registro de actividades de tratamiento
MODULOOPER mantiene un registro de las actividades de tratamiento efectuadas por cuenta del CLIENTE, en cumplimiento del artículo 30.2 del RGPD.
Dicho registro estará a disposición de la autoridad de control (AEPD) cuando esta lo solicite.
12. Delegado de Protección de Datos (DPD)
En caso de que MODULOOPER designe un Delegado de Protección de Datos (DPD), comunicará sus datos de contacto al CLIENTE. A fecha de este DPA, MODULOOPER no ha designado DPD, aunque puede contactarse en materia de protección de datos en: privacidad@clocki.es.
13. Obligaciones del Responsable del Tratamiento (CLIENTE)
El CLIENTE se compromete a:
- Garantizar que tiene una base legal para el tratamiento de los datos de sus empleados (por ejemplo, ejecución de un contrato de trabajo, obligación legal de control horario).
- Informar a sus empleados del tratamiento de sus datos personales, incluyendo la identidad del encargado del tratamiento (MODULOOPER).
- Proporcionar a MODULOOPER únicamente los datos necesarios para la prestación del servicio.
- Atender las solicitudes de ejercicio de derechos de sus empleados.
- Notificar a MODULOOPER cualquier modificación o actualización de datos que requiera corrección.
14. Destino de los datos al finalizar la prestación
Al finalizar la prestación del servicio (por cancelación, vencimiento, resolución del contrato), MODULOOPER, a elección del CLIENTE:
- Devolverá al CLIENTE todos los datos personales tratados y suprimirá las copias existentes, salvo que la normativa aplicable exija la conservación de los datos.
- Suprimirá de forma segura todos los datos personales, salvo que la normativa exija su conservación.
El CLIENTE deberá manifestar su elección por escrito (correo electrónico) antes de la fecha de finalización del servicio. En ausencia de instrucciones específicas, MODULOOPER procederá a la supresión segura de los datos transcurridos 30 días desde la cancelación.
MODULOOPER podrá conservar los datos bloqueados durante un plazo adicional si la normativa aplicable así lo exige (por ejemplo, obligaciones fiscales o laborales), pero sin tratarlos activamente salvo para atender reclamaciones o requerimientos judiciales.
15. Responsabilidad y limitación
MODULOOPER será responsable ante el CLIENTE de los daños y perjuicios causados por el incumplimiento de las obligaciones establecidas en este DPA.
La responsabilidad de MODULOOPER estará limitada según lo previsto en los Términos y Condiciones generales del servicio, sin perjuicio de las responsabilidades específicas que establece el RGPD ante los interesados o las autoridades de control.
16. Duración y modificación del DPA
Este DPA entrará en vigor desde el momento en que el CLIENTE comience a utilizar el servicio Clocki y permanecerá vigente durante toda la relación contractual.
MODULOOPER podrá modificar este DPA para adaptarlo a cambios normativos o mejoras del servicio. Las modificaciones se notificarán al CLIENTE con al menos 30 días de antelación.
Si el CLIENTE no está de acuerdo con las modificaciones, podrá cancelar el servicio según lo previsto en la Política de Cancelación.
17. Legislación aplicable y jurisdicción
Este DPA se rige por la normativa española en materia de protección de datos personales (RGPD y LOPDGDD) y, con carácter supletorio, por la legislación española.
Para cualquier controversia derivada de la interpretación o ejecución de este DPA, las partes se someten a la jurisdicción de los Juzgados y Tribunales de Barcelona (España).
18. Contacto
Para cualquier consulta o comunicación relacionada con el tratamiento de datos personales:
- Email general: hola@clocki.es
- Email de privacidad: privacidad@clocki.es
- Dirección postal: Calle Juan Garay 14, 5, Pl. 4, 08014, Barcelona (España)