ES EN

Acuerdo de Encargado del Tratamiento — RotaFlux

Términos del DPA de RotaFlux conforme al artículo 28 RGPD.

Última actualización: 1 de mayo de 2026

Este Acuerdo de Encargado del Tratamiento (en adelante, “DPA”) se suscribe entre:

  • El cliente que contrata el servicio RotaFlux (en adelante, el “Responsable”), y
  • de Prados y Bodega Ingenieros S.L. (CIF: B86106705), con domicilio en Ciudalcampo, 28707 San Sebastián de los Reyes, Madrid (España), en su condición de prestador del servicio (en adelante, el “Encargado”).

Y forma parte integrante de la relación contractual que regula el uso de RotaFlux. En caso de conflicto entre este DPA y los términos del servicio, prevalecerá lo establecido en este DPA en lo relativo a la protección de datos personales.

1. Objeto

El Encargado tratará por cuenta del Responsable los datos personales necesarios para prestar el servicio de cálculo de planificaciones de turnos a través de la plataforma RotaFlux (https://rotaflux.enredando.me).

2. Naturaleza, finalidad y duración del tratamiento

  • Naturaleza: tratamiento automatizado para la generación de planificaciones de turnos.
  • Finalidad: prestar al Responsable el servicio contratado, conforme a sus instrucciones documentadas.
  • Duración: mientras dure la relación contractual con RotaFlux. Tras la terminación, conforme a la cláusula 11 (“Devolución y supresión”).

3. Tipo de datos personales y categorías de interesados

CategoríaDescripción
Identificadores de empleadoNombre, identificador interno o equivalente
Información laboralPuesto, jornada contratada, categoría profesional
Preferencias y restriccionesPreferencias de turno, días libres deseados, incompatibilidades, festivos planificados

Categorías de interesados: empleados de la organización Responsable cuyos turnos son planificados a través del servicio.

Categorías especiales (artículo 9 RGPD): ninguna. El servicio no requiere datos de salud, religión, sindicales, orientación sexual ni otras categorías especiales. El Responsable se compromete a no subir datos de tales categorías.

4. Obligaciones del Encargado

El Encargado se obliga a:

a. Tratar los datos personales únicamente conforme a las instrucciones documentadas del Responsable, salvo obligación legal aplicable. b. Garantizar el deber de confidencialidad del personal autorizado para el tratamiento. c. Adoptar las medidas técnicas y organizativas apropiadas descritas en la cláusula 9. d. Asistir al Responsable en la atención de los derechos de los interesados, en la realización de evaluaciones de impacto y en consultas previas a la autoridad de control. e. Notificar sin dilación indebida al Responsable cualquier violación de seguridad de datos personales que afecte al tratamiento. f. Devolver o suprimir los datos personales al término de la prestación, conforme a la cláusula 11. g. Poner a disposición del Responsable la información necesaria para acreditar el cumplimiento.

5. Subencargados

El Responsable autoriza con carácter general la intervención de los subencargados listados públicamente en Subencargados, en los términos allí descritos.

El Encargado:

  • Notificará al Responsable, con al menos 15 días de antelación, cualquier alta o sustitución de subencargado.
  • Impondrá a cada subencargado, mediante contrato, las mismas obligaciones de protección de datos establecidas en este DPA.
  • Responderá ante el Responsable del cumplimiento de las obligaciones por parte de los subencargados.

El Responsable podrá oponerse a un nuevo subencargado por motivos justificados de protección de datos. En tal caso, las partes negociarán de buena fe una solución; si no es posible, el Responsable podrá rescindir el contrato sin penalización.

6. Transferencias internacionales

La infraestructura principal del servicio se ubica en la Unión Europea. Algunas operaciones de soporte (email transaccional, monitorización, pagos) involucran subencargados con sede fuera del Espacio Económico Europeo, principalmente Estados Unidos. Estas transferencias se amparan en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión de Ejecución (UE) 2021/914).

7. Asistencia al Responsable

El Encargado asistirá al Responsable, mediante medidas técnicas y organizativas apropiadas y en la medida de lo posible, en la respuesta a:

  • Solicitudes de derechos de los interesados (acceso, rectificación, supresión, oposición, limitación, portabilidad).
  • Obligaciones del Responsable conforme a los artículos 32 a 36 RGPD (seguridad del tratamiento, notificación de brechas, evaluaciones de impacto, consulta previa).

8. Notificación de brechas

El Encargado notificará al Responsable cualquier violación de seguridad de datos personales que afecte al tratamiento, sin dilación indebida y a más tardar dentro de las 72 horas desde su detección efectiva. La notificación incluirá, en la medida de lo conocido en ese momento:

  • Naturaleza de la violación, categorías y número aproximado de interesados afectados.
  • Posibles consecuencias.
  • Medidas adoptadas o propuestas para mitigar los efectos.
  • Punto de contacto para más información.

9. Medidas técnicas y organizativas

El Encargado mantendrá las siguientes medidas mínimas:

  • Cifrado en tránsito: TLS para todas las comunicaciones.
  • Cifrado en reposo: cifrado de la base de datos a nivel de disco.
  • Control de acceso: autenticación obligatoria, principio de mínimo privilegio para el acceso operativo, registro de accesos administrativos.
  • Seguridad de credenciales: contraseñas almacenadas como hash con función adecuada (no en claro).
  • Copias de seguridad: cifradas, con retención y rotación documentada.
  • Pruebas y auditoría: revisiones periódicas de seguridad y dependencias.
  • Plan de respuesta a incidentes: procedimientos documentados de detección, contención, notificación y resolución.
  • Confidencialidad del personal: acuerdos de confidencialidad y formación periódica.

10. Auditoría

El Responsable podrá auditar el cumplimiento de las obligaciones del Encargado, una vez al año y previa solicitud por escrito con al menos 30 días de antelación. Las auditorías se realizarán de forma que no perjudiquen la operación del servicio. El Responsable asumirá los costes de la auditoría salvo que ésta revele incumplimientos materiales.

Como alternativa, el Encargado podrá facilitar al Responsable certificaciones de terceros o informes de auditoría externos vigentes que cubran el alcance de la auditoría solicitada.

11. Devolución y supresión

A la terminación del contrato, a elección del Responsable expresada por escrito en los 30 días siguientes a la baja:

a. Devolución: el Encargado pondrá a disposición del Responsable los datos personales en formato estructurado y de uso común. Tras la entrega y verificación, los datos se eliminan de los sistemas del Encargado. b. Supresión: el Encargado eliminará los datos personales de sus sistemas activos en un plazo máximo de 30 días, y de las copias de seguridad conforme al ciclo de rotación, salvo obligación legal de conservación.

Transcurrido el plazo sin instrucción expresa, se aplicará la opción (b).

12. Responsabilidad

La responsabilidad del Encargado por incumplimiento de las obligaciones de este DPA queda sujeta a los límites de responsabilidad establecidos en los términos del servicio, salvo cuando la legislación aplicable imponga un régimen distinto.

13. Legislación aplicable

Este DPA se rige por la legislación española y por el Reglamento (UE) 2016/679 (RGPD), así como por la normativa española de desarrollo (LOPDGDD).

14. Aceptación

La aceptación de los términos del servicio en el alta de cuenta implica la aceptación de este DPA, sin necesidad de firma adicional. Para clientes que requieran firma específica del documento como contrato accesorio independiente, escribe a [email protected].