Acuerdo de Encargo de Tratamiento (DPA)

Última actualización: 2 de mayo de 2026

El presente Acuerdo de Encargo de Tratamiento (en adelante, "DPA") regula las condiciones bajo las cuales Neurothread AI Lab, S.L. (en adelante, "Encargado") trata datos personales por cuenta del Cliente que contrata el servicio TurnoZen (en adelante, "Responsable"), conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD) y a la LOPDGDD.

Este DPA forma parte integrante del contrato principal del Servicio y se considera aceptado por el Responsable al contratar el Servicio o aceptar los términos.

1. Objeto y duración

El Encargado tratará datos personales en nombre del Responsable durante la prestación del Servicio TurnoZen, mientras dure la relación contractual.

2. Naturaleza, finalidad y operaciones

  • Naturaleza: almacenamiento, organización, consulta, modificación, comunicación y supresión de datos personales.
  • Finalidad: prestar el servicio de control horario, registro de jornada, generación de informes y soporte.

3. Tipos de datos personales

  • Identificativos: nombre, apellidos, DNI/NIE, email, teléfono.
  • Profesionales: puesto, horario, jornada, ausencias, descansos, fichajes, ubicación si el Responsable activa funciones de geolocalización.

El Encargado no trata categorías especiales de datos (salud, biometría con fines identificativos, etc.) salvo que el Responsable las introduzca por su cuenta.

4. Categorías de interesados

Empleados, colaboradores y, en su caso, candidatos del Responsable.

5. Obligaciones del Encargado

  • Tratar los datos únicamente conforme a las instrucciones documentadas del Responsable, incluidos los términos del contrato.
  • Garantizar que las personas autorizadas para tratar los datos se han comprometido a respetar la confidencialidad.
  • Aplicar las medidas técnicas y organizativas descritas en el Anexo II.
  • No subcontratar el tratamiento sin autorización previa, conforme al apartado 6.
  • Asistir al Responsable en la atención de derechos ARSULIPO de los interesados.
  • Asistir al Responsable en el cumplimiento de los artículos 32 a 36 RGPD (seguridad, brechas, evaluaciones de impacto).
  • Notificar al Responsable cualquier brecha de seguridad sin dilación indebida y, a más tardar, en 48 horas desde su conocimiento.
  • A elección del Responsable, devolver o suprimir los datos al fin del contrato, salvo conservación obligatoria por ley.
  • Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento del art. 28 y permitir auditorías razonables.

6. Subencargados autorizados

El Responsable autoriza al Encargado a recurrir a los proveedores listados en /subencargados como subencargados de tratamiento. El Encargado celebra con cada uno contratos con obligaciones equivalentes a las de este DPA.

El Encargado notificará al Responsable, con al menos 30 días de antelación, cualquier cambio relevante en la lista de subencargados. El Responsable podrá oponerse por escrito a privacidad@turnozen.com; en ese caso, las partes negociarán de buena fe; si no se alcanza solución, el Responsable podrá resolver el contrato.

7. Transferencias internacionales

Algunos subencargados pueden tratar datos fuera del EEE. En tales casos se aplican Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (decisión 2021/914) y, cuando proceda, medidas suplementarias.

8. Devolución y supresión

Al fin del contrato, el Responsable podrá exportar sus datos durante un periodo razonable. Transcurrido ese plazo, el Encargado suprimirá los datos de los entornos productivos y, dentro de los plazos técnicos habituales, también de las copias de seguridad.

Anexo I — Descripción del tratamiento

Resumido en los apartados 2 a 4 de este DPA.

Anexo II — Medidas de seguridad

  • Cifrado en tránsito mediante TLS 1.2+.
  • Hashing de contraseñas con bcrypt y políticas de complejidad mínima.
  • Control de accesos basado en roles dentro de la aplicación.
  • Separación lógica de datos por cliente (multi-tenant).
  • Copias de seguridad periódicas de la base de datos.
  • Acceso al servidor restringido por clave SSH y autenticación de dos factores en cuentas administrativas.
  • Registros de actividad y monitorización de errores.
  • Procedimiento documentado de respuesta a incidentes y notificación de brechas.

Anexo III — Subencargados

Lista pública y actualizada en /subencargados.