Contrato de Encargo de Tratamiento (DPA)

Conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD).

📌 Este documento queda automáticamente incorporado a las condiciones de servicio cuando una empresa contrata Talavora. Se considera firmado por ambas partes al activar la cuenta.

1. Identificación de las partes

  • Responsable del Tratamiento: la empresa cliente, identificada en el alta de la cuenta (en adelante, "el Cliente").
  • Encargado del Tratamiento: Talavora SL, NIF [B-XXXXXXXX], con domicilio en [Dirección] (en adelante, "Talavora").

2. Objeto y duración

Talavora tratará los datos personales de los trabajadores y usuarios autorizados del Cliente exclusivamente para prestar el servicio SaaS de control horario, gestión de ausencias, nóminas, informes y funcionalidades complementarias contratadas.

La duración coincidirá con la vigencia del contrato principal de servicio. Tras su finalización aplica lo dispuesto en la cláusula 9.

3. Naturaleza y finalidad del tratamiento

  • Registro y consulta de fichajes (entrada, salida, pausas).
  • Gestión de horarios, turnos, cuadrantes y ausencias.
  • Almacenamiento y distribución de nóminas y documentos.
  • Generación del informe oficial conforme RD-ley 8/2019.
  • Detección de anomalías mediante reglas y/o IA agregada.

4. Tipos de datos personales tratados

  • Identificativos: nombre, apellidos, DNI/NIE, email, teléfono.
  • Profesionales: cargo, departamento, centro de trabajo, fecha de alta.
  • Económicos: nóminas, gastos, saldos de vacaciones.
  • Operativos: fichajes, geolocalización del fichaje, dispositivo, IP.

Talavora no trata categorías especiales de datos (salud, biometría, etc.) salvo los justificantes médicos que el propio trabajador suba voluntariamente.

5. Categorías de interesados

Trabajadores activos e inactivos del Cliente, administradores y subadministradores designados por el Cliente.

6. Obligaciones de Talavora como Encargado

  • Tratar los datos únicamente conforme a las instrucciones documentadas del Cliente. Las funcionalidades activas de la cuenta constituyen instrucciones documentadas.
  • Garantizar la confidencialidad del personal autorizado para acceder a los datos.
  • Aplicar las medidas técnicas y organizativas del art. 32 RGPD (ver cláusula 11).
  • No subcontratar nuevas funciones sin notificarlo al Cliente con 30 días de antelación, dándole posibilidad de oponerse.
  • Asistir al Cliente para responder a peticiones de derechos de los interesados (acceso, rectificación, supresión, etc.).
  • Notificar al Cliente cualquier brecha de seguridad en menos de 72 horas desde que la conozca.
  • Suprimir o devolver los datos personales al finalizar el contrato (cláusula 9).
  • Poner a disposición del Cliente la información necesaria para demostrar el cumplimiento.

7. Subcontratistas autorizados

El Cliente autoriza expresamente la subcontratación con los siguientes proveedores:

  • Supabase Inc. (AWS Frankfurt, eu-west-1) — base de datos y autenticación.
  • Hostinger International Ltd. — hosting web y SMTP.
  • Stripe Payments Europe Ltd. — pasarela de pago.
  • Anthropic PBC (EE.UU., Cláusulas Tipo) — matching IA de nóminas (opcional).
  • Twilio Inc. (EE.UU., Cláusulas Tipo) — WhatsApp Bot (opcional).

Talavora ha firmado contratos de encargo (DPA) con cada uno de ellos.

8. Transferencias internacionales

Las transferencias a EE.UU. (Stripe, Anthropic, Twilio) se amparan en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914), con medidas suplementarias técnicas (cifrado en tránsito y reposo).

9. Devolución y supresión al finalizar

Tras la terminación del contrato, Talavora pondrá a disposición del Cliente 30 días naturales para exportar los datos en formato CSV/JSON. Transcurrido ese plazo procederá a la eliminación certificada, salvo los registros que deba conservar por obligación legal (registros horarios — 4 años; facturación — 5 años).

10. Auditorías

El Cliente puede solicitar una auditoría una vez al año, dando preaviso de 30 días. Talavora podrá optar por aportar certificaciones (ISO 27001, SOC 2) o informes de auditoría externos en lugar de admitir auditoría in-situ. El coste de la auditoría in-situ corre a cuenta del Cliente salvo que se detecten incumplimientos graves.

11. Medidas de seguridad (art. 32 RGPD)

  • Cifrado en tránsito (TLS 1.3) y en reposo (AES-256).
  • Control de acceso por roles (RBAC) y autenticación obligatoria.
  • Audit log inmutable de cambios sensibles.
  • Backups diarios cifrados con retención mínima de 30 días.
  • Aislamiento por empresa: filas y filtros de seguridad a nivel de base de datos (RLS).
  • Penetration testing anual.
  • Plan de continuidad y recuperación ante desastres.

12. Modelo de cláusula informativa al trabajador

El Cliente debe incorporar la siguiente cláusula al contrato laboral o información complementaria:

"De conformidad con el RGPD, le informamos que [empresa] tratará sus datos de fichaje (entrada, salida, geolocalización en el momento del fichaje) con la finalidad de cumplir el deber de registro horario (art. 34.9 ET) y gestionar la jornada laboral. Los datos se conservarán durante 4 años. Talavora SL actúa como Encargado del Tratamiento. Puede ejercer sus derechos RGPD ante [empresa] o, subsidiariamente, ante rgpd@talavora.com."

Última actualización: mayo 2026 · Versión 2.0 · descargar PDF