Contrato de Encargado (DPA)

1. Partes y roles

Este acuerdo complementa los Términos del servicio entre el cliente y EUFIA STRATEGIC GROUP S.L.. El cliente actúa como Responsable del Tratamiento y EUFIA como Encargado del Tratamiento.

2. Objeto, duración y plataformas

El encargo tiene por objeto la prestación de EUFIA Control Horario para control horario, gestión de jornada y funciones asociadas. El tratamiento se mantiene durante la vigencia contractual.

Este DPA se aplica a los datos tratados a través de todas las plataformas del servicio: la aplicación web, la aplicación móvil para iOS y la aplicación móvil para Android. Todas las plataformas comparten el mismo backend, sistema de autenticación y flujos de procesamiento de datos, por lo que las obligaciones de este acuerdo cubren de forma uniforme cualquier canal de acceso al servicio.

3. Naturaleza y finalidad del tratamiento

• Registro y consulta de fichajes.
• Gestión de ausencias, equipos, informes y trazabilidad.
• Soporte técnico y seguridad operativa.

4. Categorías de datos y personas

• Interesados: empleados, colaboradores y usuarios autorizados del cliente.
• Datos: identificativos y de contacto profesional, datos de jornada, ausencias y metadatos técnicos necesarios para el servicio.

5. Obligaciones del encargado

• Tratar los datos solo siguiendo instrucciones documentadas del cliente.
• Garantizar confidencialidad y acceso restringido al personal autorizado.
• Aplicar medidas técnicas y organizativas de seguridad adecuadas al riesgo.
• Aplicar cifrado en tránsito mediante protocolos TLS y cifrado en reposo conforme a estándares de mercado y a las capacidades de los proveedores de infraestructura utilizados.
• Asistir al cliente en el ejercicio de derechos y en obligaciones de seguridad cuando proceda.
• Notificar sin dilación indebida incidentes de seguridad con impacto en datos personales.

6. Subencargados autorizados

El cliente autoriza de forma general el uso de subencargados necesarios para operar el servicio:

• Vercel (alojamiento/frontend en región UE).
• Google Workspace / Gmail (correo y comunicaciones de soporte en región UE).
• Supabase (autenticación e infraestructura técnica asociada en región UE).
• Railway (infraestructura backend actual en región UE).
• Hetzner (infraestructura objetivo en región UE cuando se active la migración).
• Stripe (procesamiento de pagos, gestión de suscripciones y facturación; certificación PCI DSS Nivel 1; EEE/EE. UU.).

Cualquier cambio relevante de subencargados se notificará con antelación razonable por medios habituales de comunicación con clientes.

7. Transferencias internacionales

La prestación ordinaria del servicio se realiza principalmente con infraestructura en la Unión Europea. En el caso de Stripe, el procesamiento de pagos puede implicar el tratamiento de datos en servidores ubicados en Estados Unidos, al amparo del Marco de Privacidad de Datos UE-EE. UU. (EU-US Data Privacy Framework) y cláusulas contractuales tipo suscritas por Stripe.

Si en el futuro algún otro proveedor o servicio implicara transferencias internacionales, EUFIA aplicará mecanismos válidos conforme al RGPD (como cláusulas contractuales tipo y/o marcos de adecuación que resulten aplicables).

8. Conservación, devolución y supresión

A la finalización del servicio, y salvo obligación legal, EUFIA devolverá o eliminará los datos conforme a las instrucciones del cliente. El cliente puede solicitar exportación durante 30 días tras baja.

9. Auditoría e información

EUFIA pondrá a disposición del cliente la información necesaria para demostrar cumplimiento de obligaciones como encargado, dentro de límites razonables de seguridad y confidencialidad.

10. Contacto de privacidad

Para cuestiones de protección de datos relacionadas con este DPA: info@eufia.eu.