Acuerdo de Encargo de Tratamiento de Datos (DPA) – FichMe

Versión: v2
Fecha de actualización: 29 de junio de 2026

Partes

Encargado del Tratamiento
Matías Maquieira (FichMe)
NIE: Z0154148F
Dirección: Calle Tablas de Daimiel 10, 28924, Alcorcón, Madrid
(en adelante, el "Encargado")

Responsable del Tratamiento
La empresa usuaria, cliente o autónomo registrado en la plataforma FichMe, identificada mediante los datos de registro (razón social y CIF/NIF) facilitados en el alta del servicio
(en adelante, el "Responsable")

1. Definiciones

A efectos del presente Acuerdo, los términos "datos personales", "tratamiento", "responsable del tratamiento", "encargado del tratamiento", "categorías especiales de datos", "violación de la seguridad de los datos personales" (brecha) e "interesado" tendrán el significado que les atribuye el Reglamento (UE) 2016/679 (RGPD). Por "Subencargado" se entiende cualquier tercero contratado por el Encargado para tratar datos personales por cuenta del Responsable.

2. Objeto

El presente Acuerdo regula el tratamiento de datos personales recabados, almacenados y gestionados a través del software FichMe por el Encargado, actuando en nombre y por cuenta del Responsable, con el fin de prestar los siguientes servicios:

3. Naturaleza, finalidad y duración del tratamiento

El Encargado tratará los datos únicamente para la correcta prestación del servicio FichMe y para las siguientes finalidades:

El tratamiento se mantendrá durante toda la vigencia de la relación contractual entre las partes, en los términos de la cláusula 16.

4. Categorías de datos e interesados

4.1. Categorías de datos tratados

4.2. Datos de categorías especiales (artículo 9 RGPD)

El Responsable reconoce y acepta que los documentos que cargue en la plataforma, así como la gestión de ausencias por motivos médicos, pueden contener o revelar, por su propia naturaleza, datos de categorías especiales en el sentido del artículo 9 del RGPD. A título ilustrativo, una nómina puede revelar la afiliación sindical (a través de la cuota sindical) y permitir inferir datos de salud (por ejemplo, a partir de retenciones de IRPF asociadas a un grado de discapacidad o de adaptaciones del puesto), así como datos económicos sensibles (cuenta bancaria, embargos); y un justificante de baja revela datos de salud.

El Responsable es el único responsable de determinar la licitud de dicho tratamiento y declara contar con una base jurídica adecuada, en particular la prevista en el artículo 9.2.b) del RGPD (cumplimiento de obligaciones en materia de Derecho laboral y de la seguridad social) y en la normativa española aplicable. El Encargado se limita a almacenar y poner a disposición dichos datos y documentos conforme a las instrucciones del Responsable, aplicando las medidas de seguridad reforzadas previstas en la cláusula 10.

4.3. Categorías de interesados

Empleados y colaboradores de la empresa usuaria.

5. Obligaciones del Encargado (FichMe)

El Encargado se compromete a:

  1. Tratar los datos personales únicamente siguiendo instrucciones documentadas del Responsable, incluso en lo relativo a las transferencias internacionales, salvo que esté obligado a ello por el Derecho de la Unión o de los Estados miembros.
  2. Informar inmediatamente al Responsable si, en su opinión, una instrucción infringe el RGPD, la LOPDGDD u otras disposiciones aplicables en materia de protección de datos.
  3. No utilizar los datos con fines propios ni cederlos a terceros sin autorización del Responsable o sin habilitación legal.
  4. Garantizar la confidencialidad: asegurar que las personas autorizadas para tratar los datos se han comprometido a respetar la confidencialidad, y realizar la formación y los controles internos oportunos.
  5. Implementar las medidas técnicas y organizativas apropiadas conforme al artículo 32 del RGPD (cláusula 10), garantizando la segregación estricta de los datos por empresa.
  6. Respetar las condiciones para recurrir a subencargados establecidas en la cláusula 8.
  7. Asistir al Responsable, mediante medidas técnicas y organizativas apropiadas y en la medida de lo posible, en la atención de las solicitudes de ejercicio de los derechos de los interesados (artículos 15 a 22 del RGPD: acceso, rectificación, supresión, limitación, portabilidad, oposición y decisiones automatizadas).
  8. Asistir al Responsable en el cumplimiento de las obligaciones de los artículos 32 a 36 del RGPD, en particular en materia de seguridad, notificación de brechas, evaluaciones de impacto (EIPD) y, en su caso, consultas previas a la autoridad de control.
  9. Notificar las violaciones de seguridad en los términos de la cláusula 11.
  10. Facilitar la exportación y portabilidad de los datos y documentos del Responsable.
  11. Suprimir o devolver los datos al finalizar la relación contractual, en los términos de la cláusula 13.
  12. Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento del artículo 28 del RGPD y permitir y contribuir a la realización de auditorías (cláusula 14).

6. Obligaciones del Responsable (Empresa usuaria)

El Responsable declara y garantiza:

El Responsable mantendrá indemne al Encargado por cualquier reclamación derivada del incumplimiento de las obligaciones que le corresponden o de sus propias instrucciones.

7. Confidencialidad

El Encargado garantiza que toda persona que actúe bajo su autoridad y tenga acceso a los datos personales se compromete a respetar la confidencialidad, obligación que subsistirá tras la finalización de la relación contractual.

8. Subencargados del tratamiento

8.1. Autorización general y derecho de oposición

El Responsable otorga al Encargado autorización general para la incorporación de subencargados. El Encargado informará al Responsable de cualquier cambio previsto relativo a la incorporación o sustitución de subencargados con una antelación mínima de quince (15) días, dando al Responsable la oportunidad de oponerse de forma motivada. En caso de oposición fundada que no pueda resolverse de mutuo acuerdo, el Responsable podrá resolver el contrato. El Encargado impondrá a sus subencargados, mediante contrato, las mismas obligaciones de protección de datos que las establecidas en el presente Acuerdo.

8.2. Lista de subencargados

SubencargadoFinalidadUbicaciónGarantía de transferencia
RailwayHosting de la aplicación y base de datosEE. UU.DPF / SCC
VercelHosting de la interfaz webEE. UU.DPF / SCC
Cloudflare R2Almacenamiento de documentos (nóminas, contratos, justificantes, avatares)UE / EE. UU. según configuraciónDPF / SCC
Resend / Amazon SESEnvío de correo electrónicoEE. UU. (Resend) / UE, eu-north-1 (SES)SCC (Resend); SES en UE sin transferencia
ExpoNotificaciones push en la app móvilEE. UU.DPF / SCC
Google Maps PlatformGeocodificación de coordenadas de fichaje (solo si la geolocalización está activada)EE. UU.DPF
Meta Platforms / TwilioFichaje y avisos por WhatsApp (solo si se utiliza)EE. UU.DPF / SCC
SlackNotificaciones a Slack (solo si la empresa lo conecta)EE. UU.DPF / SCC
Google, Apple, MicrosoftInicio de sesión social / OAuth (solo si el usuario lo utiliza)EE. UU.DPF / SCC

El procesamiento de los pagos de la suscripción se realiza a través de Stripe (EE. UU.; DPF/SCC). Estos datos corresponden a la persona que contrata el servicio (administrador de la empresa), no a los empleados. La lista actualizada de subencargados podrá consultarse en la documentación oficial del servicio.

9. Transferencias internacionales

Parte de la infraestructura de alojamiento y de los subencargados indicados en la cláusula 8 se encuentra fuera del Espacio Económico Europeo, principalmente en EE. UU. Dichas transferencias se llevan a cabo aplicando un mecanismo de transferencia válido conforme al Capítulo V del RGPD:

El envío de correo mediante Amazon SES, cuando se utiliza, se realiza desde la región europea (eu-north-1), sin transferencia internacional. No se realizarán transferencias adicionales sin autorización del Responsable o sin garantías jurídicas suficientes.

10. Medidas de seguridad

El Encargado mantiene medidas técnicas y organizativas apropiadas conforme al artículo 32 del RGPD, entre ellas:

Medidas reforzadas para la gestión documental. Respecto de los documentos cargados por el Responsable que puedan contener categorías especiales de datos, el Encargado aplica, adicionalmente:

11. Notificación de violaciones de seguridad (brechas)

El Encargado notificará al Responsable sin dilación indebida y, en cualquier caso, en un plazo máximo de cuarenta y ocho (48) horas desde que tenga conocimiento de ella, cualquier violación de la seguridad de los datos personales que afecte a los datos tratados por cuenta del Responsable.

La notificación incluirá, en la medida de lo posible, la información prevista en el artículo 33.3 del RGPD (naturaleza de la violación, categorías y número aproximado de interesados y registros afectados, consecuencias probables y medidas adoptadas o propuestas), de modo que el Responsable pueda cumplir, en su caso, con su obligación de notificación a la autoridad de control en el plazo de 72 horas, así como, si procede, con la comunicación a los interesados.

12. Asistencia en derechos de los interesados y evaluaciones de impacto

El Encargado asistirá al Responsable, teniendo en cuenta la naturaleza del tratamiento y la información disponible, en:

13. Conservación, devolución y supresión

El Responsable define su propia política de conservación. Sin perjuicio de ello, el Encargado:

14. Auditorías

El Encargado pondrá a disposición del Responsable la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 del RGPD. El Responsable podrá solicitar auditorías, incluidas inspecciones, realizadas por él mismo o por un auditor autorizado por él, bajo acuerdo previo, con preaviso razonable y asumiendo los costes razonables que ello implique, sin perturbar de forma desproporcionada la actividad del Encargado.

15. Limitación de responsabilidad

El Encargado no será responsable por:

El Encargado responderá únicamente por el incumplimiento de las obligaciones que el RGPD le atribuye específicamente como encargado del tratamiento. Lo anterior se entiende sin perjuicio del régimen de responsabilidad frente a los interesados y a la autoridad de control previsto en el artículo 82 del RGPD.

16. Duración

Este Acuerdo entra en vigor en el momento en que la empresa se registra en FichMe y permanecerá vigente mientras exista relación contractual o uso del servicio. La terminación del Acuerdo no exime a las partes de las obligaciones que, por su naturaleza, deban subsistir (confidencialidad, devolución o supresión de datos y responsabilidad).

17. Legislación aplicable y jurisdicción