Anexo: Contrato de Encargado del Tratamiento (DPA)
Conforme al Artículo 28 del Reglamento General de Protección de Datos (RGPD)
Última actualización: 24 de marzo de 2026
Este Contrato de Encargado del Tratamiento (DPA) regula la relación entre usted como Responsable del Tratamiento y Optidat NX S.L. como Encargado del Tratamiento. Al utilizar NXtime, ambas partes acuerdan los términos aquí expuestos para garantizar la máxima protección de los datos personales.
1. Objeto y Duración
El objeto de este contrato es regular el tratamiento que Optidat NX realiza de los datos personales proporcionados por el CLIENTE para la prestación del servicio de control horario y gestión de presencia NXtime.
La duración de este encargo será igual a la vigencia del contrato de prestación de servicios principale entre el CLIENTE y el Encargado del Tratamiento.
2. Naturaleza y Finalidad del Tratamiento
El tratamiento se llevará a cabo con la única finalidad de permitir el registro de jornada laboral, gestión de ausencias, vacaciones e incidencias, en cumplimiento de las obligaciones legales del CLIENTE derivadas del Estatuto de los Trabajadores.
3. Identificación de la Información Afectada
Categorías de Datos Personales:
- Datos identificativos: Nombre, apellidos, documento de identidad (opcional) y correo electrónico.
- Datos de contacto y gestión: Centro de trabajo, puesto y horario asignado.
- Registros de actividad: Marcajes de entrada/salida, pausas, geolocalización (si activada), dirección IP y agente de usuario.
Categorías de Interesados:
Empleados en plantilla, trabajadores temporales, becarios y colaboradores externos del CLIENTE.
4. Obligaciones del Encargado
Optidat NX S.L. se compromete formalmente a:
5. Notificación de Brechas de Seguridad
En caso de producirse cualquier brecha de seguridad que afecte a los datos personales, Optidat NX notificará al CLIENTE sin dilación indebida, y en cualquier caso, antes de 72 horas después de tener constancia del incidente, proporcionando toda la información necesaria para que el CLIENTE pueda cumplir con sus obligaciones ante la AEPD.
6. Auditoría e Inspección
Optidat NX pondrá a disposición del CLIENTE toda la información necesaria para demostrar el cumplimiento de las obligaciones aquí previstas, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del CLIENTE o de otro auditor autorizado por éste.
7. Destino de los Datos
A la finalización del servicio, y a elección del CLIENTE, Optidat NX procederá a la devolución de los datos personales (en formato estructurado y de uso común mediante la función de exportación) o a su supresión, suprimiendo asimismo las copias existentes. Transcurrido un plazo de 15 días tras la baja del servicio sin instrucción en contrario, Optidat NX procederá al borrado seguro de la base de datos asociada, salvo que exista una obligación legal de conservación de los datos.
8. Subencargados del Tratamiento
El CLIENTE autoriza de forma general la subcontratación de los siguientes proveedores, todos ellos vinculados por sus propios DPA al cumplimiento del RGPD y, cuando aplica, al Data Privacy Framework UE-EE.UU. (Decisión 2023/1795):
- DinaHosting (España, UE): Hosting del servidor principal de la aplicación web NXtime.
- Hostinger (UE): Hosting del servidor donde se ejecuta el orquestador de integraciones (n8n), que procesa el contenido de las conversaciones del asistente de soporte y la resolución de identidad de los empleados consultados.
- Supabase (Irlanda, UE): Base de datos PostgreSQL principal de la plataforma y almacenamiento de copias de seguridad y exportaciones. Toda la infraestructura de datos reside en la región europea (eu-west-1).
- Stripe Payments Europe Ltd. (Irlanda, UE): Gestión de suscripciones, pagos y facturación. Stripe nunca expone los datos completos de tarjeta a Optidat NX.
- Resend, Inc. (Estados Unidos, con SCC + DPF): Envío de correo electrónico transaccional (invitaciones, notificaciones, recordatorios). Infraestructura de envío basada en Amazon SES.
- Web Push (VAPID): Notificaciones push del navegador a través de los servidores de Apple, Google y Mozilla. Se transmite el endpoint del navegador y el contenido del aviso.
- Holded (España, UE): Sincronización fiscal de las facturas Stripe con la contabilidad. Solo se transfieren datos fiscales (CIF, importe, IVA), no datos de fichaje.
- OpenAI, L.L.C. (Estados Unidos, con SCC + DPF): Solo cuando el CLIENTE activa el asistente conversacional de soporte (disponible para perfiles administradores). Se transmite el texto de la consulta del administrador y, cuando este realiza consultas nominales sobre la plantilla, los datos identificativos y de jornada de los trabajadores consultados (nombre, puesto, horas registradas, ausencias o incidencias). No se transmiten categorías especiales de datos del art. 9 RGPD.
- Cloudflare (presencia UE): DNS, CDN y protección frente a ataques de denegación de servicio. No procesa contenido sensible de payload.
- Google Maps Platform (Estados Unidos, con SCC + DPF): Conversión puntual de latitud y longitud a dirección legible (geocodificación inversa) para mostrar el centro de trabajo en los formularios de configuración del CLIENTE. Solo se transmiten coordenadas, sin identidad del trabajador asociado.
- Google Analytics (Google Ireland/LLC, con SCC + DPF): Analítica de uso de la web pública y del panel de NXtime, activada únicamente con el consentimiento del usuario (cookies analíticas). Se utiliza con IP anonimizada y modo de consentimiento; no trata datos de fichaje de los trabajadores del CLIENTE.
- Sentry (Functional Software, Inc., Estados Unidos, con SCC + DPF): Telemetría de errores y rendimiento del servidor. Antes del envío se filtran contraseñas, tokens y direcciones de correo. No se asocia identidad de usuario a las trazas (Sentry.setUser desactivado).
Transferencias internacionales: los proveedores en Estados Unidos (Resend, OpenAI, Google Maps, Google Analytics, Sentry) tratan datos amparados en el Data Privacy Framework UE-EE.UU. y, subsidiariamente, en las Cláusulas Contractuales Tipo aprobadas por la Decisión 2021/914 de la Comisión Europea. En caso de invalidación de cualquiera de los marcos, Optidat NX notificará al CLIENTE y evaluará alternativas europeas.
Obligaciones equivalentes (back-to-back): Optidat NX impone a cada subencargado, por contrato, las mismas obligaciones de protección de datos previstas en este DPA, en particular las medidas de seguridad del art. 32 RGPD. Optidat NX responde frente al CLIENTE del cumplimiento por parte de sus subencargados.
Cambios: Optidat NX informará al CLIENTE con quince (15) días de antelación de la incorporación de cualquier nuevo subencargado, dándole opción de oponerse motivadamente.