Anexo II — Contrato de encargado del tratamiento

En virtud del artículo 28 del Reglamento (UE) 2016/679 (RGPD). Forma parte integrante de los Términos y Condiciones de uso. Se acepta por el Cliente mediante la marcación de la casilla correspondiente al alta del Servicio, identificando el alta con la dirección IP, fecha y cuenta de usuario.

1. Partes

• Responsable del tratamiento: el Cliente, identificado en su cuenta de Yont.
• Encargado del tratamiento: Yeismil del Rosario Rosado, NIF/CIF 54495517F, domicilio Calle constitución 49, 28100, Alcobendas, Madrid (en adelante, "el Encargado" o "Yont").

2. Objeto y duración

El Encargado tratará los datos personales necesarios para prestar el Servicio al Responsable. La duración coincide con la del contrato principal.

3. Naturaleza, finalidad y categorías

• Naturaleza: registro y conservación de fichajes de jornada laboral, generación de resúmenes mensuales, custodia de firmas digitales, cómputo de horas y exportaciones para la Inspección de Trabajo.
• Finalidad: cumplimiento por el Responsable del Art. 34.9 ET.
• Categorías de interesados: empleados del Responsable y, en su caso, personas vinculadas al centro de trabajo.
• Categorías de datos: nombre y apellidos, email, DNI (cuando lo aporte el Responsable), datos del fichaje (fecha, hora, coordenadas GPS, distancia al centro), firma manuscrita digitalizada, IP, dispositivo.
• No se tratan categorías especiales del Art. 9 RGPD.

4. Obligaciones del Encargado

• Tratar los datos solo siguiendo instrucciones documentadas del Responsable.
• Garantizar que las personas autorizadas para tratar datos se comprometen a respetar la confidencialidad.
• Adoptar las medidas del Art. 32 RGPD: cifrado en tránsito y reposo, control de accesos por roles, registro de auditoría inmutable, copias de seguridad.
• Notificar al Responsable cualquier violación de seguridad sin dilación indebida y, como máximo, en 72 horas desde su detección.
• Asistir al Responsable en el cumplimiento de las solicitudes de derechos de los interesados.
• Asistir al Responsable en evaluaciones de impacto y consultas previas a la AEPD, cuando proceda.
• Una vez finalizado el contrato, suprimir o devolver los datos a elección del Responsable, salvo que la conservación venga impuesta por una norma con rango de Ley (especialmente, los cuatro años del Art. 34.9 ET).
• Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento del Art. 28 y permitir auditorías anuales razonables previa solicitud con 30 días.

5. Subencargados

El Responsable autoriza la subcontratación de los siguientes proveedores:

• Supabase Inc. — alojamiento de base de datos y autenticación. Servidores en la Unión Europea (Frankfurt).
• Vercel Inc. — alojamiento de la aplicación. Servidores en la UE/EEUU bajo el marco Data Privacy Framework.
• Resend Inc. — envío de emails transaccionales. Servidores en EEUU bajo el marco Data Privacy Framework.

El Encargado notificará cualquier alta o baja de subencargados con al menos 30 días de antelación. El Responsable podrá oponerse por motivos justificados; en tal caso buscarán de buena fe una solución alternativa o el Responsable podrá resolver el contrato.

6. Transferencias internacionales

Las transferencias a Vercel y Resend se realizan al amparo del marco Data Privacy Framework y, subsidiariamente, de las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.

7. Responsabilidad

El Encargado responde de los daños causados por el incumplimiento de las obligaciones del RGPD que le sean directamente imputables. La responsabilidad económica del Encargado se limita a lo establecido en la cláusula de limitación de responsabilidad de los Términos generales.

8. Cierre del contrato

El Encargado comunicará la finalización del contrato y la opción elegida por el Responsable (devolución o supresión de datos) en un plazo máximo de 30 días desde la baja.

Última actualización: 2026-05-14