Acuerdo de Encargo de Tratamiento (DPA)
Art. 28 del Reglamento (UE) 2016/679 (RGPD)
Este Acuerdo regula la relación cuando Gesturas Technology Group, S.L. («GTG») actúa como Encargado del Tratamiento respecto de los datos personales que el Cliente introduce en la plataforma GTG RRHH para gestionar a sus empleados (control horario, vacaciones, ausencias y documentación laboral). Forma parte indivisible del Contrato de Servicio firmado al activar la cuenta.
1. Partes
Responsable del Tratamiento: el Cliente identificado en el Contrato de Servicio, en su condición de empleador (empresa, autónomo con personal o entidad asimilada) que utiliza GTG RRHH para gestionar el control horario y la documentación laboral de su plantilla.
Encargado del Tratamiento: Gesturas Technology Group, S.L., NIF B02943447, con domicilio en Calle España, 22 — Faro de Calaburras, 29649 Mijas (Málaga). Contacto: legal@gtg-rrhh.com.
2. Objeto
El Encargado tratará por cuenta del Responsable los datos personales necesarios para prestar el servicio GTG RRHH (en adelante, el «Servicio») conforme al Contrato suscrito y al presente DPA.
3. Naturaleza, finalidad y duración
- Naturaleza: almacenamiento, organización, consulta, modificación, comunicación y supresión de datos en la plataforma SaaS.
- Finalidad: registro electrónico de jornada conforme al art. 34.9 del Estatuto de los Trabajadores (RD-ley 8/2019), gestión de vacaciones y ausencias, custodia de documentación laboral del Responsable (nóminas, contratos, certificados) y exportación de informes a la Inspección de Trabajo y Seguridad Social cuando esta lo requiera al Responsable.
- Duración: mientras esté vigente el Contrato de Servicio, más los plazos de conservación legal posteriores (cláusula 8).
4. Categorías de datos e interesados
- Datos identificativos de los empleados del Responsable: nombre y apellidos, DNI/NIE, dirección, email, teléfono, fotografía si el Responsable la incorpora al perfil.
- Datos laborales: registros de fichaje (entrada, salida, pausas, ubicación si el Responsable activa geolocalización), turnos, horarios, vacaciones y ausencias, categoría profesional, fecha de alta, tipo de contrato.
- Documentación laboral: nóminas, contratos, certificados y otros documentos que el Responsable adjunte al expediente del empleado.
- Categorías de interesados: empleados de la plantilla del Responsable y, en su caso, candidatos a un puesto.
El Encargado no tratará categorías especiales del art. 9 RGPD (datos de salud, afiliación sindical, etc.). Si el Responsable las incorpora al expediente del empleado (por ejemplo, partes médicos de baja), lo hace bajo su exclusiva responsabilidad y debe contar con la base legal habilitante (art. 9.2 b) RGPD u otra aplicable).
5. Obligaciones del Encargado (Art. 28.3 RGPD)
El Encargado se obliga a:
- Tratar los datos únicamente conforme a las instrucciones documentadas del Responsable, incluidas las relativas a transferencias internacionales, salvo obligación legal aplicable a la que esté sujeto el Encargado.
- Garantizar que las personas autorizadas para tratar los datos se hayan comprometido a respetar la confidencialidad.
- Adoptar las medidas técnicas y organizativas apropiadas del art. 32 RGPD (cláusula 11).
- Asistir al Responsable mediante medidas técnicas y organizativas apropiadas para el cumplimiento de su obligación de responder a las solicitudes de ejercicio de derechos del art. 12 a 22 RGPD.
- Asistir al Responsable en el cumplimiento de los arts. 32 a 36 RGPD (seguridad, brechas, evaluaciones de impacto, consultas previas).
- A elección del Responsable, devolver o suprimir todos los datos personales una vez finalizada la prestación del Servicio, salvo conservación legal obligatoria.
- Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del art. 28 RGPD y permitir la realización de auditorías por el Responsable o por un auditor designado, conforme a la cláusula 12.
- Informar inmediatamente al Responsable si considera que una instrucción infringe el RGPD u otras disposiciones de protección de datos.
6. Subencargados (Art. 28.2 y 28.4 RGPD)
El Responsable autoriza con carácter general la subcontratación de los siguientes encargados del tratamiento, todos sujetos a obligaciones equivalentes a las del presente DPA:
- Stripe Payments Europe Ltd. (Irlanda) — pasarela de pago.
- Brevo SAS (Francia) — comunicaciones transaccionales.
- 1&1 IONOS SE (España/Alemania) — alojamiento e infraestructura.
- Google LLC (Estados Unidos) — correo corporativo y colaboración interna.
- Backblaze Inc. (Estados Unidos) — copias de seguridad cifradas.
- Otros encargados publicados en gtg-rrhh.com/encargados.
El Encargado notificará la incorporación de nuevos subencargados con un preaviso mínimo de quince (15) días al email registrado del Responsable, pudiendo este oponerse mediante resolución del Contrato de Servicio sin reembolso de cuotas consumidas.
7. Transferencias internacionales
Cuando algún subencargado realice transferencias fuera del Espacio Económico Europeo, GTG garantiza la existencia de garantías adecuadas conforme al Capítulo V del RGPD: decisiones de adecuación, Cláusulas Contractuales Tipo (Decisión UE 2021/914) o adhesión al EU-U.S. Data Privacy Framework. La información detallada por proveedor está disponible en gtg-rrhh.com/encargados.
8. Plazos de conservación
- Registros de jornada: cuatro (4) años desde su generación, conforme al art. 34.9 del Estatuto de los Trabajadores y a la disposición adicional séptima del RD-ley 8/2019.
- Documentación laboral relevante a efectos de inspección: cuatro (4) años conforme al art. 21 de la LISOS (RD Legislativo 5/2000), sin perjuicio de plazos superiores aplicables a determinados documentos por la normativa de Seguridad Social.
- Datos no sujetos a conservación legal tras la baja del Cliente: seis (6) meses en modo solo-lectura para facilitar la exportación, transcurridos los cuales serán suprimidos.
Los plazos legales prevalecen sobre la instrucción de supresión del Responsable.
9. Devolución y supresión al fin de la prestación
A elección del Responsable, al finalizar el Contrato de Servicio el Encargado: (a) devolverá los datos en formato estándar (CSV/JSON/XML/PDF); o (b) procederá a su supresión segura. En ambos casos, los datos sujetos a obligación legal de conservación se mantendrán en modo solo-lectura por los plazos indicados en la cláusula 8.
10. Asistencia en el ejercicio de derechos
Si un empleado del Responsable se dirige al Encargado para ejercer sus derechos del art. 15 a 22 RGPD, el Encargado lo trasladará al Responsable sin dilación y prestará la asistencia técnica necesaria para que este pueda atender la solicitud.
11. Medidas de seguridad (Art. 32 RGPD)
- Cifrado en tránsito mediante TLS 1.2+.
- Cifrado en reposo de bases de datos sensibles.
- Control de accesos por roles y autenticación reforzada para administradores.
- Copias de seguridad cifradas con retención de 30 días en proveedor externo independiente.
- Registro de eventos y auditoría de accesos.
- Procedimientos de respuesta ante incidentes documentados.
- Firmas HMAC-SHA256 para comunicaciones entre módulos.
- Monitorización 24/7 de infraestructura y alertas automáticas.
12. Auditorías
El Responsable podrá auditar el cumplimiento del presente DPA con un preaviso mínimo de treinta (30) días, en horario laboral, sin entorpecer la actividad del Encargado y sujeto a deber de confidencialidad. El Encargado podrá ofrecer informes de auditoría externa o certificaciones equivalentes en lugar de auditorías presenciales. Los costes de auditoría correrán por cuenta del Responsable salvo que se constaten incumplimientos relevantes.
13. Brechas de seguridad
En caso de brecha de seguridad que afecte a datos personales tratados como Encargado, GTG notificará al Responsable sin dilación indebida y, en cualquier caso, en un plazo máximo de cuarenta y ocho (48) horas desde su conocimiento, facilitando la información necesaria para que el Responsable pueda cumplir sus propias obligaciones de notificación a la AEPD (art. 33 RGPD) y, en su caso, a los interesados (art. 34 RGPD).
14. Confidencialidad
El Encargado garantiza que el personal autorizado al tratamiento está sujeto a deber de confidencialidad expreso, que se mantendrá indefinidamente tras la finalización de la relación.
15. Responsabilidad
Cada parte responderá frente a la otra por los daños y perjuicios derivados de su incumplimiento del presente DPA y del RGPD. La responsabilidad del Encargado se rige adicionalmente por la cláusula 16 del Contrato de Servicio.
16. Vigencia
El presente DPA entra en vigor con la aceptación del Contrato de Servicio y permanece vigente mientras GTG trate datos personales por cuenta del Responsable.
17. Ley aplicable y jurisdicción
Conforme a las cláusulas 23 y siguientes del Contrato de Servicio.
Última actualización: 25 de junio de 2026
Para cualquier consulta sobre este Acuerdo: legal@gtg-rrhh.com