Acuerdo de Tratamiento de Datos (DPA)

1. Partes y definiciones

2. Objeto

El presente DPA regula el tratamiento de datos personales que Skydesk realiza por cuenta del Cliente en el marco del servicio CronoPyme, en cumplimiento del artículo 28 RGPD.

3. Naturaleza, finalidad y duración

4. Categorías de datos personales tratados

El tratamiento incluye las siguientes categorías de datos:

• Datos identificativos: nombre, apellidos, DNI/NIE/pasaporte, email, teléfono.
• Datos laborales: puesto, departamento, fecha de alta, calendario laboral, contrato.
• Datos de fichaje: hora de entrada y salida, pausas, ubicación geográfica del fichaje (solo si el Cliente activa la geolocalización).
• Datos de productividad (módulo Tempo, opcional): objetivos definidos por el Cliente, avances declarados por el empleado, comentarios.
• Datos de gestión: solicitudes de vacaciones, ausencias justificadas, permisos, documentación firmada.

CronoPyme no trata categorías especiales de datos (salud, origen racial, opinión política, etc.) en su funcionamiento ordinario. Si el Cliente decide cargar documentos que contengan tales datos (ej. partes de baja médica), lo hace bajo su exclusiva responsabilidad.

5. Categorías de interesados

• Empleados activos del Cliente.
• Empleados anteriores del Cliente, durante el periodo legal de conservación.
• Personal externo o subcontratado al que el Cliente decida dar acceso al sistema.

6. Obligaciones de Skydesk como Encargado

Skydesk se compromete a:

1. a)Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Cliente, contenidas en este DPA y en la configuración del propio servicio. Cualquier instrucción adicional debe formalizarse por escrito.
2. b)Garantizar que las personas autorizadas para tratar los datos se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad.
3. c)Implementar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al artículo 32 RGPD. Las medidas concretas se detallan en el Anexo I.
4. d)No subcontratar a otro encargado el tratamiento sin la autorización previa, escrita y específica del Cliente, salvo los subencargados ya autorizados en la cláusula 7.
5. e)Asistir al Cliente, mediante medidas técnicas y organizativas apropiadas, en la atención de los derechos de los interesados (artículos 12 a 22 RGPD).
6. f)Asistir al Cliente en el cumplimiento de sus obligaciones de los artículos 32 a 36 RGPD, incluyendo la notificación de violaciones de seguridad y la realización de evaluaciones de impacto cuando procedan.
7. g)Una vez finalizada la prestación del servicio, devolver o suprimir los datos personales conforme a la cláusula 10.
8. h)Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones de este DPA, y permitir auditorías razonables conforme a la cláusula 11.
9. i)La asistencia técnica al Cliente bajo este DPA se prestará siempre que sea técnicamente factible y a coste razonable. El soporte extraordinario que exceda lo razonablemente esperable de un servicio SaaS (por ejemplo, exportaciones masivas no automatizadas, análisis forenses, recreación de datos por error del Cliente) podrá ser facturado a tarifa estándar de consultoría, previa comunicación al Cliente.

7. Subencargados autorizados

El Cliente autoriza expresamente a Skydesk a recurrir a los siguientes subencargados para la prestación del servicio:

Skydesk publica la lista actualizada de subencargados en cronopyme.com/legal/subprocesadores. Cualquier modificación se notificará al Cliente con un mínimo de 30 días naturales de antelación. El Cliente podrá oponerse únicamente por motivos fundados y por escrito.

Si Skydesk no acepta la objeción y la modificación es necesaria para la prestación del servicio, el Cliente podrá rescindir el contrato sin penalización dentro de los 15 días siguientes a la notificación, pero no podrá obligar a Skydesk a no incorporar al subencargado. Las objeciones no motivadas, las objeciones a subencargados que sustituyan a otros con garantías equivalentes, y las objeciones presentadas fuera de plazo, podrán ser desestimadas.

8. Transferencias internacionales

Cuando el tratamiento implique la transferencia de datos personales a países fuera del Espacio Económico Europeo (EEE), la transferencia se ampara en:

1. a)Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914), Módulo 3 (Encargado a Subencargado), firmadas con cada subencargado.
2. b)Medidas técnicas adicionales: cifrado en tránsito (TLS 1.2 o superior) y en reposo (AES-256); control de acceso basado en roles con autenticación multifactor; configuración de regiones EU siempre que el subencargado lo permita.

El Cliente reconoce expresamente y acepta que parte del tratamiento se realizará a través de subencargados con sede en Estados Unidos, y que las Cláusulas Contractuales Tipo (SCC) son el mecanismo legal aprobado por la Comisión Europea para esta transferencia. Mientras las SCC vigentes amparen la transferencia, el Cliente no podrá oponerse a ella ni reclamar por su existencia.

El Cliente puede solicitar copia de las SCC firmadas escribiendo a claudio@skydeskinternational.com.

9. Asistencia en el ejercicio de derechos

Skydesk asistirá al Cliente en la atención de las solicitudes de los interesados relativas a:

• Acceso (art. 15 RGPD)
• Rectificación (art. 16)
• Supresión / “derecho al olvido” (art. 17)
• Limitación del tratamiento (art. 18)
• Portabilidad (art. 20)
• Oposición (art. 21)
• Decisiones automatizadas y elaboración de perfiles (art. 22)

10. Devolución y supresión al finalizar el contrato

1. a)Pondrá a disposición del Cliente, durante un periodo de 30 días naturales desde la finalización, la posibilidad de descargar la totalidad de los datos personales en un formato estructurado (CSV/JSON).
2. b)Transcurrido ese plazo, eliminará todos los datos personales del Cliente de los sistemas activos en un máximo de 7 días.
3. c)Conservará los datos durante un máximo de 90 días adicionales en copias de seguridad cifradas. Transcurrido ese plazo, los backups se eliminan según ciclo de rotación.
4. d)Emitirá, a petición del Cliente, un certificado de supresión.

Responsabilidad del Cliente: es responsabilidad exclusiva del Cliente descargar y conservar sus datos durante el plazo de 30 días naturales posteriores a la finalización del contrato. Skydesk no será responsable de la pérdida de datos personales ni de la imposibilidad de cumplir con obligaciones legales del Cliente derivadas de no haber descargado los datos en ese plazo.

En caso de impago de cuotas vencidas durante más de 30 días naturales, Skydesk podrá restringir el acceso del Cliente al servicio. Tras 90 días de impago acumulado, Skydesk podrá iniciar el proceso de borrado conforme a este DPA, sin perjuicio del derecho del Cliente a regularizar el pago durante ese plazo.

Excepción: cuando una norma legal exija la conservación de los datos por un periodo determinado (ej. registros de jornada laboral del RD-Ley 8/2019, conservación 4 años), Skydesk los conservará por el tiempo legal estrictamente necesario y con limitación de acceso.

11. Auditoría

El Cliente, o un auditor independiente designado, podrá auditar el cumplimiento de este DPA:

1. a)Con un preaviso mínimo de 30 días naturales y previa firma de un acuerdo de confidencialidad reforzado.
2. b)En horario laboral, en las oficinas del Cliente o por videoconferencia. Bajo ningún concepto el auditor tendrá acceso directo a los sistemas de producción de Skydesk, a otros clientes o a información ajena al objeto de la auditoría.
3. c)Con una duración máxima de un día laboral por auditoría.
4. d)Con un máximo de una auditoría al año, salvo sospecha fundada de incumplimiento o tras una violación de seguridad documentada.

Como alternativa preferente a la auditoría in situ, Skydesk pone a disposición del Cliente informes de auditoría externa, documentación técnica del sistema y panel de transparencia con métricas de uso y eventos de seguridad.

El Cliente asume íntegramente el coste de la auditoría, incluida la facturación del personal de Skydesk dedicado a soportarla a tarifa estándar de consultoría (150 €/hora, IVA no incluido), salvo que se constate un incumplimiento sustancial por parte de Skydesk.

12. Notificación de violaciones de seguridad

Skydesk realizará todos los esfuerzos razonables para notificar al Cliente, sin dilación indebida y, considerando la naturaleza y gravedad de la violación, en un plazo objetivo de 48 horas desde la confirmación de los hechos relevantes, cualquier violación de seguridad que afecte a los datos personales tratados por cuenta del Cliente. La notificación incluirá, en la medida en que la información esté disponible y sin perjuicio de actualizaciones posteriores, la naturaleza de la violación, categorías y número aproximado de interesados afectados, medidas adoptadas para mitigar los efectos, y los datos del punto de contacto.

El Cliente es responsable de comunicar la violación a la AEPD y a los interesados afectados conforme a los artículos 33 y 34 RGPD; Skydesk asistirá técnicamente con la información necesaria.

13. Confidencialidad

Skydesk garantiza que todo el personal con acceso a los datos del Cliente está sujeto a obligaciones contractuales de confidencialidad equivalentes a las del presente DPA. La confidencialidad subsiste tras la extinción del contrato.

14. Responsabilidad y limitación

Cada parte responde frente a la otra y frente a los interesados por los daños que cause como consecuencia del incumplimiento de sus obligaciones bajo el RGPD y este DPA, conforme al artículo 82 RGPD.

La responsabilidad económica total y agregada de Skydesk frente al Cliente, derivada de este DPA y del contrato principal, queda limitada en cualquier caso a los importes efectivamente pagados por el Cliente a Skydesk durante los 12 meses anteriores al hecho generador del daño. Esta limitación es esencial y constitutiva del equilibrio económico del acuerdo.

Quedan excluidos en todo caso, salvo dolo o culpa grave, los daños indirectos, consecuenciales, lucro cesante, daños reputacionales, pérdida de oportunidades de negocio, y las sanciones impuestas a la otra parte por sus propias autoridades de control.

Cada parte indemnizará a la otra por cualquier sanción, multa, daño o coste razonable de defensa legal derivado de un incumplimiento imputable a la primera. El Cliente, en particular, indemnizará a Skydesk frente a cualquier reclamación de empleados o terceros derivada de configuraciones del servicio realizadas por el Cliente, contenidos cargados por el Cliente, o instrucciones inadecuadas dadas al Encargado.

15. Obligaciones específicas del Cliente como Responsable

El Cliente, como Responsable del Tratamiento, se compromete expresamente a:

1. a)Disponer de una base legal válida (consentimiento, ejecución de contrato, interés legítimo, obligación legal) para tratar los datos personales que carga en CronoPyme.
2. b)Informar adecuadamente a sus empleados sobre el uso de CronoPyme, sobre las funciones activas y sobre sus derechos como interesados, conforme a los artículos 13 y 14 RGPD.
3. c)Configurar las funciones del servicio de forma proporcional al fin perseguido. En particular, activar la geolocalización de fichaje únicamente cuando exista base legal y proporcionalidad demostrable; activar la monitorización de productividad informando previamente y respetando los principios del Estatuto de los Trabajadores.
4. d)Atender directamente, en plazo y forma, las solicitudes de derechos de sus empleados utilizando las herramientas que CronoPyme proporciona.
5. e)No cargar en CronoPyme datos personales fuera de las categorías previstas en la cláusula 4, en particular categorías especiales del artículo 9 RGPD (salud, origen racial, opiniones políticas, etc.) salvo en los casos taxativos en que la ley lo permita y bajo su exclusiva responsabilidad.
6. f)Mantener actualizada la información de contacto, fiscal y de facturación en su cuenta.
7. g)Comunicar a Skydesk con la mayor brevedad cualquier solicitud de la autoridad de control (AEPD u otra) que afecte al servicio.

Exoneración: el incumplimiento de estas obligaciones por parte del Cliente exonera a Skydesk de cualquier responsabilidad derivada de las consecuencias de dicho incumplimiento, incluidas sanciones de la AEPD u otras autoridades, sin perjuicio de las acciones de regreso que correspondan.

16. Modificaciones del DPA

Skydesk podrá modificar el presente DPA exclusivamente para adaptarlo a:

• Cambios normativos (RGPD, LOPDGDD, AI Act, otras leyes aplicables).
• Recomendaciones, guías o resoluciones de la AEPD, EDPB u otras autoridades de control.
• Evolución técnica del servicio o cambios en los subencargados.

Las modificaciones se notificarán al Cliente con un mínimo de 30 días naturales de antelación, mediante comunicación al email de contacto y publicación en la web. Si el Cliente no objeta motivadamente y por escrito dentro de ese plazo, las modificaciones se entenderán aceptadas y vinculantes.

Si el Cliente objeta y la objeción no puede resolverse de forma razonable, podrá rescindir el contrato sin penalización dentro de los 15 días siguientes a la notificación. La continuación en el uso del servicio tras la fecha de entrada en vigor de las modificaciones equivale a aceptación expresa de las mismas.

17. Fuerza mayor

Ninguna de las partes responderá por incumplimientos derivados de causas de fuerza mayor o caso fortuito, incluyendo (sin carácter limitativo): caídas masivas o prolongadas de servicios de internet o de subencargados, ataques cibernéticos a subencargados que aprovechen vulnerabilidades no conocidas en el momento del ataque, decisiones gubernamentales o de autoridades judiciales que impidan la prestación, conflictos armados, pandemias o desastres naturales.

La parte afectada notificará a la otra a la mayor brevedad y procurará minimizar el impacto del incumplimiento, reanudándose las obligaciones tan pronto como cesen las causas.

18. Conflicto entre documentos

En caso de conflicto entre el presente DPA y los Términos del Servicio o cualquier otro documento contractual, prevalecerá el presente DPA en todo lo relativo al tratamiento de datos personales. En el resto de materias prevalecerán los Términos del Servicio.

19. Ley aplicable y fuero

El presente DPA se rige por la legislación española y de la Unión Europea. Para cualquier controversia, las partes se someten a los Juzgados y Tribunales de Pontevedra (España), con renuncia expresa a cualquier otro fuero que pudiera corresponderles.

Anexo I — Medidas técnicas y organizativas (art. 32 RGPD)