Inicio
de9a5.
B2B · Art. 28 RGPD

Acuerdo de Procesamiento de Datos (DPA)

Última actualización: 24 de abril de 2026

Este DPA forma parte de los Términos cuando una empresa (Responsable) contrata de9a5 para que sus empleados utilicen el Servicio. de9a5 actúa como Encargado del tratamiento en el sentido del art. 28 del RGPD. Para activarlo en tu organización, escríbenos a legal@de9a5.app.

1. Objeto y duración

de9a5 tratará datos personales de los empleados del Responsable únicamente para prestar el Servicio (cálculo de jornada, bienestar, exportación). El tratamiento durará mientras esté en vigor el contrato principal.

2. Naturaleza y finalidad

  • Almacenamiento y procesamiento de horarios introducidos por el empleado.
  • Cálculos de salida, pausas, compensaciones y bienestar.
  • Exportación de informes a petición del usuario o del Responsable autorizado.

3. Categorías de datos e interesados

  • Interesados: empleados y colaboradores del Responsable.
  • Datos: identificación (email, nombre), datos profesionales (cargo, proyecto), horarios y pausas.
  • No tratamos: categorías especiales (salud, ideología, biometría) ni datos de menores.

4. Obligaciones de de9a5 (Encargado)

  • Tratar los datos solo siguiendo instrucciones documentadas del Responsable.
  • Garantizar la confidencialidad del personal autorizado.
  • Implantar medidas técnicas y organizativas (cifrado en tránsito y reposo, RLS, control de accesos, copias de seguridad).
  • Asistir al Responsable en el ejercicio de derechos y en evaluaciones de impacto.
  • Notificar al Responsable cualquier brecha de seguridad sin dilación indebida (máx. 48 h).
  • Devolver o suprimir los datos al finalizar el contrato.

5. Subencargados autorizados

  • Supabase Inc. — base de datos y autenticación (UE/US, cláusulas tipo).
  • Stripe Payments Europe Ltd. — facturación y pagos.
  • Cloudflare Inc. — CDN y entrega del front-end.

Notificaremos cualquier cambio de subencargados con al menos 30 días de antelación. El Responsable podrá oponerse por motivos razonables.

6. Transferencias internacionales

Cualquier transferencia fuera del EEE se ampara en las Cláusulas Contractuales Tipo (SCC) de la Comisión Europea y, cuando aplica, en el Data Privacy Framework EU-US.

7. Auditoría

El Responsable podrá solicitar, una vez al año y previo aviso de 30 días, información razonable que acredite el cumplimiento del presente DPA, incluyendo certificaciones de los subencargados.

8. Devolución y supresión

Al finalizar la relación, de9a5 suprimirá o devolverá los datos en formato JSON en un plazo máximo de 30 días, salvo obligación legal de conservación.

9. Responsabilidad

Cada parte responde frente a los interesados según el art. 82 RGPD. La responsabilidad de de9a5 frente al Responsable se limita a lo estipulado en el contrato principal.

¿Necesitas firma electrónica? Escríbenos a legal@de9a5.app.