---
title: "ACUERDO DE TRATAMIENTO DE DATOS"
description: "El presente Acuerdo de tratamiento de datos («Acuerdo») forma parte integrante de los Términos y condiciones generales para la prestación de servicios SaaS («Acuerdo principal») y regula la..."
url: https://clockme.eu/es/acuerdo-de-tratamiento-de-datos/
date: 2026-05-04
modified: 2026-05-04
author: "Alex Sofroniev"
type: page
lang: es
---

# ACUERDO DE TRATAMIENTO DE DATOS

#

ACUERDO DE TRATAMIENTO DE DATOS

**El presente Acuerdo de tratamiento de datos («Acuerdo») forma parte integrante de los Términos y condiciones generales para la prestación de servicios SaaS («Acuerdo principal») y regula la relación entre:**

el CLIENTE, en su calidad de responsable del tratamiento («Responsable»),

y

«BIODIT» AD, en su calidad de encargado del tratamiento («Encargado»),

en lo sucesivo denominados conjuntamente las «Partes» .

Al aceptar el Acuerdo Principal, el presente Acuerdo se considerará celebrado y vinculante.

1. OBJETO Y ÁMBITO DE APLICACIÓN

**1.1.** El presente Acuerdo regula las condiciones en las que el Encargado del tratamiento trata datos personales por cuenta del Responsable del tratamiento en relación con la prestación de un sistema de control de horarios basado en SaaS, incluidos los terminales de registro («Servicios»).

**1.2.** El tratamiento se lleva a cabo de conformidad con: el Reglamento (UE) 2016/679 («RGPD»); la legislación aplicable de la Unión Europea y la legislación nacional;

1. DEFINICIONES

**2.1.** Los términos «Datos personales», «Tratamiento», «Responsable del tratamiento», «Encargado del tratamiento», «Interesado», «Violación de la seguridad» y «Autoridad de control» tienen el significado que se les da en el RGPD.

**2.2.** A los efectos del presente Acuerdo:

-
«Datos personales del Responsable del tratamiento» significa todos los datos personales tratados por el Encargado del tratamiento en nombre del Responsable del tratamiento;
- «Subencargado del tratamiento» significa un tercero contratado por el Encargado del tratamiento;
- «Leyes de protección de datos» significa toda la legislación aplicable en el ámbito de la protección de datos personales.

1. TRATAMIENTO DE DATOS PERSONALES

3.1. El Encargado del tratamiento trata los Datos personales del Responsable del tratamiento únicamente:

-
siguiendo instrucciones documentadas del Responsable del tratamiento;
- con el fin de prestar los Servicios;
- dentro del ámbito acordado en el Acuerdo principal.

3.1.1. Las instrucciones documentadas incluirán también las funcionalidades de los Servicios, las configuraciones seleccionadas por el Responsable del tratamiento, así como los términos del Acuerdo Principal.

3.2. Si la legislación aplicable exige al Encargado del tratamiento que trate datos personales fuera del ámbito de las instrucciones, deberá notificarlo al Responsable del tratamiento con antelación, salvo que la ley lo prohíba.

3.3. Si el Encargado del tratamiento considera que una instrucción determinada infringe las Leyes de Protección de Datos, deberá notificarlo inmediatamente al Responsable del tratamiento.

1. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO

El Responsable del tratamiento garantiza y declara que:

4.1. el tratamiento de datos personales se lleva a cabo sobre una base jurídica válida;

4.2. se han cumplido las obligaciones de transparencia e información hacia los interesados;

4.3. los datos personales facilitados son adecuados, exactos y limitados a lo necesario;

4.4. no se tratan categorías especiales de datos personales, salvo que se acuerde expresamente;

4.5. tiene derecho a facilitar los datos personales al Encargado del tratamiento.

1. CONFIDENCIALIDAD

5.1. El Encargado del tratamiento garantiza que las personas autorizadas para tratar datos personales:

-
están sujetas a obligaciones de confidencialidad;
- tratan los datos únicamente cuando es necesario.

5.2. Cada parte se compromete a mantener la confidencialidad de cualquier información confidencial recibida en relación con el Contrato.

1. SEGURIDAD DEL TRATAMIENTO

6.1. El Encargado del tratamiento aplica las medidas técnicas y organizativas adecuadas de conformidad con el artículo 32 del RGPD.

6.2. A la hora de determinar las medidas, se tendrá en cuenta lo siguiente:

-
el estado de la técnica;
- los costes de implementación;
- la naturaleza, el alcance y los fines del tratamiento;
- los riesgos para los derechos y libertades de las personas físicas.

6.3. Las medidas específicas se describen en el Anexo n.º 2.

1. SUBCONTRATISTAS

7.1. El Encargado del tratamiento tiene derecho a recurrir a subcontratistas.

7.1.1. El Encargado del tratamiento notificará al Responsable del tratamiento cualquier cambio en los subcontratistas con al menos 30 (treinta) días de antelación.

7.1.2. El Responsable del tratamiento tiene derecho a oponerse en un plazo de 30 (treinta) días a partir de la notificación.

7.2.

 

El Encargado del tratamiento:

-
se asegura de que los subencargados del tratamiento estén sujetos a obligaciones equivalentes a las del presente Acuerdo;
- sigue siendo responsable de su cumplimiento.

7.3. Se mantiene una lista actualizada de los subencargados del tratamiento en el sitio web del Encargado del tratamiento o en el Anexo n.º 3.

1. DERECHOS DE LOS INTERESADOS

8.1. El Encargado del tratamiento asiste al Responsable del tratamiento en el cumplimiento de sus obligaciones relativas a los derechos de los interesados.

8.2. El Encargado del tratamiento:

-
notificará sin demora indebida tras recibir una solicitud;
- no responderá de forma independiente, salvo que lo exija la ley.

1. VIOLACIONES DE SEGURIDAD

9.1. El Encargado del tratamiento notificará al Responsable del tratamiento en un plazo máximo de 72 horas desde que tenga conocimiento de la violación y, cuando sea posible, en un plazo de 24 a 48 horas.

9.2. La notificación incluirá la información necesaria para el cumplimiento de las obligaciones del RGPD.

9.3. El Encargado prestará asistencia en un plazo razonable para limitar y subsanar las consecuencias.

1. EVALUACIÓN DE IMPACTO

El Encargado prestará asistencia razonable en:

-
las evaluaciones de impacto relativas a la protección de datos;
- las consultas con las autoridades de control.

1. ALMACENAMIENTO, DEVOLUCIÓN Y SUPRESIÓN

11.1. Tras la finalización de los Servicios, el Encargado:

-
suprimirá o devolverá los datos personales;
- salvo que la ley exija su conservación.

11.2. Previa solicitud, se proporcionará confirmación de la supresión.

1. AUDITORÍA Y DEMOSTRACIÓN DEL CUMPLIMIENTO

12.1. El Encargado del tratamiento proporcionará información para demostrar el cumplimiento.

12.2. Las auditorías se llevarán a cabo:

-
Previo aviso razonable de no menos de 30 (treinta) días;
- No más de una vez al año;
- Solo en caso de sospecha justificada;
- A cargo del Cliente;
- Siempre que no se vean afectados los secretos comerciales ni la seguridad de otros clientes.

1. TRANSFERENCIAS DE DATOS

13.1. Los datos personales se almacenan y tratan dentro de la Unión Europea y/o del Espacio Económico Europeo, salvo que se acuerde expresamente lo contrario. En caso de transferencia fuera de la UE/EEE, el Encargado del tratamiento garantiza las salvaguardias adecuadas de conformidad con la legislación aplicable.

13.2. Las transferencias fuera de la UE/EEE solo se permiten si se han establecido las garantías adecuadas.

13.3. Cuando sea necesario, se aplicarán cláusulas contractuales tipo.

1. RESPONSABILIDAD

14.1. Cada parte es responsable de los daños causados por el incumplimiento del presente Acuerdo o de la legislación aplicable.

14.2. El Encargado del tratamiento solo es responsable de los daños causados por:

-
el tratamiento que incumpla las instrucciones documentadas; o
- el incumplimiento de sus obligaciones en virtud del RGPD.

14.3. En la medida en que lo permita la legislación aplicable, la responsabilidad total del Encargado del tratamiento en virtud del presente Acuerdo, independientemente de la base jurídica de la reclamación, se limita al importe total de los honorarios pagados por el Responsable del tratamiento en virtud del Acuerdo Principal durante los últimos 12 (doce) meses anteriores al hecho que da lugar a la responsabilidad.

14.4. Esta limitación no se aplica en casos de dolo o negligencia grave por parte del Encargado del tratamiento, ni en otros casos en los que la limitación no esté permitida por la legislación aplicable, incluido el RGPD.

1. JERARQUÍA DE DOCUMENTOS

En caso de conflicto entre el presente Acuerdo y el Acuerdo Principal, prevalecerá el presente Acuerdo en lo que respecta a la protección de datos personales.

1. LEY APLICABLE Y JURISDICCIÓN

16.1. Se aplica la legislación de la República de Bulgaria.

16.2. Todas las controversias serán resueltas por el tribunal competente de Sofía.

**ANEXO N.º 1**

**Detalles del tratamiento**

**Objeto: **Sistema SaaS de seguimiento del tiempo

**Finalidad:** gestión del tiempo de trabajo y de la asistencia

**Categorías de datos:**

datos de identificación (nombre, DNI)

datos de contacto (correo electrónico, teléfono – si está disponible)

datos de asistencia y horas de trabajo

datos técnicos (direcciones IP, registros)

**Interesados: **empleados y contratistas

**Duración:** durante la vigencia del Contrato Principal

**Lugar del tratamiento:** UE/EEE

**ANEXO N.º 2**

**Medidas técnicas y organizativas**

El Encargado del tratamiento aplica las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo, cuando proceda:

1. Control de acceso

Implementación de un control de acceso basado en roles (RBAC);

Restricción del acceso a los datos personales únicamente a las personas autorizadas y en función de la necesidad de conocerlos;

Uso de autenticación fuerte (incluida la autenticación multifactorial cuando proceda);

Gestión de los derechos de usuario (creación, modificación y desactivación de cuentas);

Revisión periódica de los derechos de acceso.

1. Cifrado y protección de datos

Cifrado de los datos en tránsito mediante protocolos seguros (por ejemplo, TLS 1.2 o superior);

Cifrado de los datos en reposo cuando proceda;

Seudonimización y/o minimización de datos siempre que sea posible;

Protección de claves y certificados mediante mecanismos de gestión adecuados.

1. Registro y supervisión

Mantenimiento de registros de acceso y de actividades del sistema;

Supervisión de accesos no autorizados y actividades sospechosas;

Acceso restringido a los registros;

Conservación de los registros durante un período razonable con fines de seguridad y auditoría.

1. Seguridad e infraestructura

Uso de entornos de servidor seguros (incluidos servicios en la nube de alta seguridad);

Protección de la red (cortafuegos, segmentación, protección contra el acceso no autorizado);

Actualizaciones periódicas de software y sistemas (gestión de parches);

Protección contra malware y vulnerabilidades.

1. Copias de seguridad y recuperación

Copias de seguridad diarias;

Almacenamiento de las copias de seguridad en un entorno seguro;

Pruebas de los procedimientos de recuperación ante desastres;

Capacidad para restablecer la disponibilidad y el acceso en un plazo razonable.

1. Seguridad física

Acceso físico controlado a las instalaciones donde se procesan los datos;

Uso de centros de datos seguros;

Protección contra incidentes físicos (incendios, inundaciones, etc.).

1. Gestión de incidentes

Procedimientos para identificar y gestionar incidentes de seguridad;

Procesos internos de notificación y escalado;

Limitación y minimización de las consecuencias;

Documentación de los incidentes y de las medidas adoptadas.

1. Pruebas y evaluación

Pruebas y evaluación periódicas de la eficacia;

Evaluaciones de vulnerabilidad y, cuando sea necesario, pruebas de penetración;

Mejora continua de las medidas de seguridad.

1. Medidas organizativas

Formación del personal en materia de protección y seguridad de los datos;

Obligaciones de confidencialidad para empleados y subcontratistas;

Políticas y procedimientos internos;

Restricción del acceso del personal a los datos personales.

1. Subencargados del tratamiento

Evaluación preliminar de seguridad;

Obligaciones contractuales equivalentes a las del presente Acuerdo;

Revisiones periódicas del cumplimiento.

1. Principios de protección de datos

Aplicación de los principios de «privacidad desde el diseño» y «privacidad por defecto», incluyendo:

-
minimización de datos;
- limitación del acceso;
- tratamiento únicamente para fines específicos;
- período de almacenamiento limitado.

1. Disposiciones adicionales

El Encargado del tratamiento podrá actualizar estas medidas siempre que no se reduzca el nivel de seguridad.

**ANEXO N.º 3**

**Subencargados del tratamiento**

El Encargado del tratamiento otorga su autorización general para contratar a subencargados del tratamiento de datos personales, siempre que se cumplan los requisitos del artículo 28, apartados 2 y 4, del RGPD.

A la fecha del presente Acuerdo, el Encargado del tratamiento utiliza los siguientes subencargados del tratamiento:

**Subencargado del tratamientoPaísFunción/FinalidadCategoría de datos**

Hetzner Online GmbH Alemania (UE) Alojamiento de aplicaciones web y bases de datos; copias de seguridad de datos Todos los datos personales tratados a través de la plataforma

Cloudflare, Inc. EE. UU. (con las garantías adecuadas) Red de distribución de contenidos (CDN); protección contra ciberataques (DDoS, WAF) Metadatos de tráfico; direcciones IP; solicitudes HTTP

Stripe, Inc. EE. UU. (con las garantías adecuadas) Procesamiento de pagos Datos de pago; datos de identificación del pagador

Hetzner está establecida en la UE, por lo que la transferencia de datos se lleva a cabo sin mecanismos de transferencia adicionales.

Cloudflare y Stripe están establecidas en EE. UU. Las transferencias se basan en las Cláusulas Contractuales Típicas (SCC) adoptadas por la Comisión Europea y/o en el Marco de Protección de Datos UE-EE. UU., en el que la empresa respectiva está certificada.