Acuerdo de Encargo de Tratamiento de Datos (DPA) – FichMe
Versión: v2
Fecha de actualización: 29 de junio de 2026
Partes
Encargado del Tratamiento
Matías Maquieira (FichMe)
NIE: Z0154148F
Dirección: Calle Tablas de Daimiel 10, 28924, Alcorcón, Madrid
(en adelante, el "Encargado")
Responsable del Tratamiento
La empresa usuaria, cliente o autónomo registrado en la plataforma FichMe, identificada mediante los datos de registro (razón social y CIF/NIF) facilitados en el alta del servicio
(en adelante, el "Responsable")
1. Definiciones
A efectos del presente Acuerdo, los términos "datos personales", "tratamiento", "responsable del tratamiento", "encargado del tratamiento", "categorías especiales de datos", "violación de la seguridad de los datos personales" (brecha) e "interesado" tendrán el significado que les atribuye el Reglamento (UE) 2016/679 (RGPD). Por "Subencargado" se entiende cualquier tercero contratado por el Encargado para tratar datos personales por cuenta del Responsable.
2. Objeto
El presente Acuerdo regula el tratamiento de datos personales recabados, almacenados y gestionados a través del software FichMe por el Encargado, actuando en nombre y por cuenta del Responsable, con el fin de prestar los siguientes servicios:
- Control horario y registro de jornada
- Fichaje mediante web o aplicaciones móviles
- Gestión de horarios, turnos, ausencias y vacaciones
- Solicitudes internas, avisos y notificaciones
- Panel de administración y gestión de empleados
- Gestión documental: carga, almacenamiento, organización, visualización, descarga y eliminación de documentos laborales aportados por el Responsable (nóminas, contratos, certificados, justificantes, comunicaciones y documentación análoga)
- Demás funcionalidades incluidas en la plataforma
3. Naturaleza, finalidad y duración del tratamiento
El Encargado tratará los datos únicamente para la correcta prestación del servicio FichMe y para las siguientes finalidades:
- Registrar fichajes y jornadas laborales
- Gestionar turnos, calendarios, ausencias y vacaciones
- Almacenar y poner a disposición del Responsable y de los empleados los documentos cargados por el Responsable
- Enviar notificaciones push o correos electrónicos automáticos
- Proporcionar acceso seguro a la plataforma
- Prestar soporte técnico y atención al cliente
- Realizar analítica interna para garantizar el funcionamiento del servicio
- Aplicar geolocalización en los fichajes únicamente cuando el Responsable la active
El tratamiento se mantendrá durante toda la vigencia de la relación contractual entre las partes, en los términos de la cláusula 16.
4. Categorías de datos e interesados
4.1. Categorías de datos tratados
- Datos identificativos: nombre, apellidos, DNI/NIE, número de la Seguridad Social
- Datos de contacto: teléfono, email, dirección (si aplica)
- Datos laborales: fichajes, horarios, turnos, ausencias, informes
- Datos técnicos: logs, actividad, dirección IP, dispositivo
- Datos de geolocalización: únicamente cuando sean activados por el Responsable
- Documentos aportados por el Responsable: documentación laboral cargada en la plataforma (nóminas, contratos, certificados, justificantes, comunicaciones y similares)
4.2. Datos de categorías especiales (artículo 9 RGPD)
El Responsable reconoce y acepta que los documentos que cargue en la plataforma, así como la gestión de ausencias por motivos médicos, pueden contener o revelar, por su propia naturaleza, datos de categorías especiales en el sentido del artículo 9 del RGPD. A título ilustrativo, una nómina puede revelar la afiliación sindical (a través de la cuota sindical) y permitir inferir datos de salud (por ejemplo, a partir de retenciones de IRPF asociadas a un grado de discapacidad o de adaptaciones del puesto), así como datos económicos sensibles (cuenta bancaria, embargos); y un justificante de baja revela datos de salud.
El Responsable es el único responsable de determinar la licitud de dicho tratamiento y declara contar con una base jurídica adecuada, en particular la prevista en el artículo 9.2.b) del RGPD (cumplimiento de obligaciones en materia de Derecho laboral y de la seguridad social) y en la normativa española aplicable. El Encargado se limita a almacenar y poner a disposición dichos datos y documentos conforme a las instrucciones del Responsable, aplicando las medidas de seguridad reforzadas previstas en la cláusula 10.
4.3. Categorías de interesados
Empleados y colaboradores de la empresa usuaria.
5. Obligaciones del Encargado (FichMe)
El Encargado se compromete a:
- Tratar los datos personales únicamente siguiendo instrucciones documentadas del Responsable, incluso en lo relativo a las transferencias internacionales, salvo que esté obligado a ello por el Derecho de la Unión o de los Estados miembros.
- Informar inmediatamente al Responsable si, en su opinión, una instrucción infringe el RGPD, la LOPDGDD u otras disposiciones aplicables en materia de protección de datos.
- No utilizar los datos con fines propios ni cederlos a terceros sin autorización del Responsable o sin habilitación legal.
- Garantizar la confidencialidad: asegurar que las personas autorizadas para tratar los datos se han comprometido a respetar la confidencialidad, y realizar la formación y los controles internos oportunos.
- Implementar las medidas técnicas y organizativas apropiadas conforme al artículo 32 del RGPD (cláusula 10), garantizando la segregación estricta de los datos por empresa.
- Respetar las condiciones para recurrir a subencargados establecidas en la cláusula 8.
- Asistir al Responsable, mediante medidas técnicas y organizativas apropiadas y en la medida de lo posible, en la atención de las solicitudes de ejercicio de los derechos de los interesados (artículos 15 a 22 del RGPD: acceso, rectificación, supresión, limitación, portabilidad, oposición y decisiones automatizadas).
- Asistir al Responsable en el cumplimiento de las obligaciones de los artículos 32 a 36 del RGPD, en particular en materia de seguridad, notificación de brechas, evaluaciones de impacto (EIPD) y, en su caso, consultas previas a la autoridad de control.
- Notificar las violaciones de seguridad en los términos de la cláusula 11.
- Facilitar la exportación y portabilidad de los datos y documentos del Responsable.
- Suprimir o devolver los datos al finalizar la relación contractual, en los términos de la cláusula 13.
- Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento del artículo 28 del RGPD y permitir y contribuir a la realización de auditorías (cláusula 14).
6. Obligaciones del Responsable (Empresa usuaria)
El Responsable declara y garantiza:
- Que tiene legitimación para tratar y registrar los datos de sus empleados.
- Que ha informado adecuadamente a los trabajadores sobre el tratamiento de sus datos, incluida, en su caso, la información reforzada del artículo 90.2 LOPDGDD y del artículo 20.3 del Estatuto de los Trabajadores (geolocalización y control de la actividad laboral).
- Que dispone de base jurídica suficiente, incluida la prevista en el artículo 9.2.b) del RGPD, para cargar y almacenar documentos que puedan contener datos de categorías especiales.
- Que realiza un uso conforme a la normativa laboral y de protección de datos.
- Que configura libremente las funcionalidades del sistema (incluida la geolocalización y la carga de documentos) y determina la base de legitimación aplicable.
- Que es responsable de la veracidad y legitimidad de los datos y documentos introducidos.
- Que conserva los registros de jornada durante al menos 4 años (normativa española aplicable) y que define su propia política de conservación para el resto de datos y documentos.
El Responsable mantendrá indemne al Encargado por cualquier reclamación derivada del incumplimiento de las obligaciones que le corresponden o de sus propias instrucciones.
7. Confidencialidad
El Encargado garantiza que toda persona que actúe bajo su autoridad y tenga acceso a los datos personales se compromete a respetar la confidencialidad, obligación que subsistirá tras la finalización de la relación contractual.
8. Subencargados del tratamiento
8.1. Autorización general y derecho de oposición
El Responsable otorga al Encargado autorización general para la incorporación de subencargados. El Encargado informará al Responsable de cualquier cambio previsto relativo a la incorporación o sustitución de subencargados con una antelación mínima de quince (15) días, dando al Responsable la oportunidad de oponerse de forma motivada. En caso de oposición fundada que no pueda resolverse de mutuo acuerdo, el Responsable podrá resolver el contrato. El Encargado impondrá a sus subencargados, mediante contrato, las mismas obligaciones de protección de datos que las establecidas en el presente Acuerdo.
8.2. Lista de subencargados
| Subencargado | Finalidad | Ubicación | Garantía de transferencia |
|---|---|---|---|
| Railway | Hosting de la aplicación y base de datos | EE. UU. | DPF / SCC |
| Vercel | Hosting de la interfaz web | EE. UU. | DPF / SCC |
| Cloudflare R2 | Almacenamiento de documentos (nóminas, contratos, justificantes, avatares) | UE / EE. UU. según configuración | DPF / SCC |
| Resend / Amazon SES | Envío de correo electrónico | EE. UU. (Resend) / UE, eu-north-1 (SES) | SCC (Resend); SES en UE sin transferencia |
| Expo | Notificaciones push en la app móvil | EE. UU. | DPF / SCC |
| Google Maps Platform | Geocodificación de coordenadas de fichaje (solo si la geolocalización está activada) | EE. UU. | DPF |
| Meta Platforms / Twilio | Fichaje y avisos por WhatsApp (solo si se utiliza) | EE. UU. | DPF / SCC |
| Slack | Notificaciones a Slack (solo si la empresa lo conecta) | EE. UU. | DPF / SCC |
| Google, Apple, Microsoft | Inicio de sesión social / OAuth (solo si el usuario lo utiliza) | EE. UU. | DPF / SCC |
El procesamiento de los pagos de la suscripción se realiza a través de Stripe (EE. UU.; DPF/SCC). Estos datos corresponden a la persona que contrata el servicio (administrador de la empresa), no a los empleados. La lista actualizada de subencargados podrá consultarse en la documentación oficial del servicio.
9. Transferencias internacionales
Parte de la infraestructura de alojamiento y de los subencargados indicados en la cláusula 8 se encuentra fuera del Espacio Económico Europeo, principalmente en EE. UU. Dichas transferencias se llevan a cabo aplicando un mecanismo de transferencia válido conforme al Capítulo V del RGPD:
- La decisión de adecuación del Marco de Privacidad de Datos UE-EE. UU. (EU-US Data Privacy Framework) para los proveedores adheridos; y/o
- Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea, junto con las medidas adicionales que en cada caso correspondan.
El envío de correo mediante Amazon SES, cuando se utiliza, se realiza desde la región europea (eu-north-1), sin transferencia internacional. No se realizarán transferencias adicionales sin autorización del Responsable o sin garantías jurídicas suficientes.
10. Medidas de seguridad
El Encargado mantiene medidas técnicas y organizativas apropiadas conforme al artículo 32 del RGPD, entre ellas:
- Cifrado de datos en tránsito (TLS) y en reposo a nivel de almacenamiento de los proveedores de infraestructura
- Control de accesos y permisos basado en roles
- Registros de actividad (logs de auditoría)
- Copias de seguridad periódicas y cifradas
- Aislamiento de los datos por empresa (multi-tenant), de modo que cada Responsable accede únicamente a sus propios datos
- Procedimientos de prevención y detección de incidentes de seguridad
Medidas reforzadas para la gestión documental. Respecto de los documentos cargados por el Responsable que puedan contener categorías especiales de datos, el Encargado aplica, adicionalmente:
- Cifrado en reposo de los documentos almacenados (a nivel del proveedor de almacenamiento de objetos)
- Control de acceso con segregación estricta por empresa, de modo que cada administrador accede solo a la documentación de su organización y cada empleado únicamente a la suya
- Registro de auditoría de las operaciones de carga, visualización, descarga y eliminación de documentos (con identificación del actor y dirección IP)
11. Notificación de violaciones de seguridad (brechas)
El Encargado notificará al Responsable sin dilación indebida y, en cualquier caso, en un plazo máximo de cuarenta y ocho (48) horas desde que tenga conocimiento de ella, cualquier violación de la seguridad de los datos personales que afecte a los datos tratados por cuenta del Responsable.
La notificación incluirá, en la medida de lo posible, la información prevista en el artículo 33.3 del RGPD (naturaleza de la violación, categorías y número aproximado de interesados y registros afectados, consecuencias probables y medidas adoptadas o propuestas), de modo que el Responsable pueda cumplir, en su caso, con su obligación de notificación a la autoridad de control en el plazo de 72 horas, así como, si procede, con la comunicación a los interesados.
12. Asistencia en derechos de los interesados y evaluaciones de impacto
El Encargado asistirá al Responsable, teniendo en cuenta la naturaleza del tratamiento y la información disponible, en:
- La atención de las solicitudes de ejercicio de derechos de los interesados (artículos 15 a 22 RGPD).
- La realización de evaluaciones de impacto relativas a la protección de datos (EIPD) cuando el tratamiento, en particular el de documentación con categorías especiales o el de geolocalización, así lo requiera (artículo 35 RGPD).
- Las consultas previas a la autoridad de control que, en su caso, resulten necesarias (artículo 36 RGPD).
13. Conservación, devolución y supresión
El Responsable define su propia política de conservación. Sin perjuicio de ello, el Encargado:
- Garantiza el acceso y la exportación de los datos y documentos mientras exista la relación contractual.
- Mantendrá los registros accesibles durante el periodo legal exigido para el servicio.
- A la finalización de la relación contractual, y a elección del Responsable, devolverá o suprimirá todos los datos personales y documentos cargados, así como las copias existentes, en un plazo máximo de treinta (30) días, salvo que el Derecho de la Unión o de los Estados miembros exija su conservación. Durante dicho plazo, el Responsable podrá exportar sus datos y documentos.
14. Auditorías
El Encargado pondrá a disposición del Responsable la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 del RGPD. El Responsable podrá solicitar auditorías, incluidas inspecciones, realizadas por él mismo o por un auditor autorizado por él, bajo acuerdo previo, con preaviso razonable y asumiendo los costes razonables que ello implique, sin perturbar de forma desproporcionada la actividad del Encargado.
15. Limitación de responsabilidad
El Encargado no será responsable por:
- La veracidad o legitimidad de los datos y documentos introducidos por el Responsable.
- La falta de información o de base jurídica respecto de los empleados.
- Las instrucciones ilegales o incorrectas del Responsable.
- El uso indebido de la plataforma por el Responsable o sus trabajadores.
El Encargado responderá únicamente por el incumplimiento de las obligaciones que el RGPD le atribuye específicamente como encargado del tratamiento. Lo anterior se entiende sin perjuicio del régimen de responsabilidad frente a los interesados y a la autoridad de control previsto en el artículo 82 del RGPD.
16. Duración
Este Acuerdo entra en vigor en el momento en que la empresa se registra en FichMe y permanecerá vigente mientras exista relación contractual o uso del servicio. La terminación del Acuerdo no exime a las partes de las obligaciones que, por su naturaleza, deban subsistir (confidencialidad, devolución o supresión de datos y responsabilidad).
17. Legislación aplicable y jurisdicción
- Reglamento (UE) 2016/679 (RGPD)
- Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD)
- Las partes se someten a los Juzgados y Tribunales de Madrid.