Anexo de protección de datos — WorkTracker

Versión: 1.0 Fecha efectiva: 2026-03-25 Última actualización: 2026-03-25

Este Anexo de protección de datos (el “Anexo”) regula el tratamiento de datos personales realizado por el Proveedor por cuenta de la Empresa en el marco de la prestación del servicio WorkTracker, y forma parte complementaria de las Condiciones de beta privada para empresas aplicables durante la fase actual.

A efectos de este Anexo:

  • La Empresa actúa como responsable del tratamiento.
  • El Proveedor de WorkTracker actúa como encargado del tratamiento.

1. Identificación de las partes

Responsable del tratamiento (Empresa): La persona física o jurídica que contrata WorkTracker para la gestión del registro de jornada, incidencias y funciones asociadas para su propia organización.

Encargado del tratamiento (Proveedor): Luciano Plaza Grueso, con NIF 70591107-J y domicilio en Av. Antonio Huertas, 77. Correo de contacto: legal@worktracker.es.

2. Objeto

Mediante el presente Anexo, el Proveedor queda habilitado para tratar por cuenta de la Empresa los datos personales necesarios para prestar el servicio WorkTracker, incluyendo el acceso a la plataforma, el registro de jornada, la gestión de incidencias, la administración de usuarios, el almacenamiento asociado, la trazabilidad operativa y las funcionalidades complementarias contratadas o habilitadas.

3. Duración

Este Anexo permanecerá vigente mientras el Proveedor preste servicios a la Empresa que impliquen tratamiento de datos personales por cuenta de esta.

La finalización del servicio determinará la aplicación de lo previsto en la cláusula de devolución o supresión de datos.

4. Naturaleza y finalidad del tratamiento

El tratamiento tendrá naturaleza principalmente automatizada y consistirá, según corresponda, en la recogida, registro, organización, conservación, consulta, estructuración, uso, comunicación técnica necesaria, limitación, supresión y, en su caso, devolución de datos.

La finalidad del tratamiento es exclusivamente la prestación del servicio WorkTracker a la Empresa para la gestión del registro de jornada, incidencias, acceso a la app, control de roles y permisos, soporte técnico y demás funcionalidades asociadas.

5. Tipos de datos personales y categorías de interesados

5.1 Categorías de interesados

  • Trabajadores y colaboradores habilitados por la Empresa.
  • Administradores, encargados o responsables designados por la Empresa.
  • Personas de contacto de la Empresa.

5.2 Tipos de datos tratados

En función de la configuración realizada por la Empresa y del uso efectivo del servicio, los datos tratados podrán incluir:

  • Datos identificativos: nombre, apellidos, identificador interno, username, email profesional, teléfono profesional si aplica.
  • Datos de empleo u organización: empresa, centro de trabajo, rol, permisos, estado de la cuenta.
  • Datos de jornada: fecha, hora de inicio, hora de fin, pausas, incidencias, observaciones asociadas y metadatos operativos del registro.
  • Datos técnicos de acceso y uso: identificadores de sesión, logs técnicos, dirección IP, identificadores de dispositivo, eventos de seguridad y auditoría.
  • Cualesquiera otros datos que la Empresa incorpore al servicio siguiendo sus propias instrucciones.

La Empresa se compromete a no utilizar el servicio para incorporar categorías especiales de datos personales salvo que resulte estrictamente necesario, disponga de base jurídica suficiente y lo haya comunicado previamente al Proveedor cuando ello pueda afectar a las medidas aplicables.

6. Instrucciones documentadas de la Empresa

El Proveedor tratará los datos personales únicamente siguiendo instrucciones documentadas de la Empresa, incluidas las derivadas de la configuración del servicio, del panel de administración, de las Condiciones del servicio para empresas y de este Anexo, salvo que deba actuar en virtud de una obligación legal aplicable. En tal caso, el Proveedor informará a la Empresa de esa exigencia legal, salvo que la ley lo prohíba por razones importantes de interés público.

7. Confidencialidad

El Proveedor garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada.

El acceso a los datos personales por parte del personal del Proveedor quedará limitado a lo estrictamente necesario para la prestación del servicio, el mantenimiento, la seguridad y el soporte.

8. Medidas de seguridad

El Proveedor aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo, cuando proceda:

  • Control de acceso lógico y autenticación.
  • Gestión de permisos y segregación por empresa y rol.
  • Cifrado en tránsito.
  • Registro de eventos técnicos y de seguridad.
  • Medidas razonables de disponibilidad, resiliencia, backup y recuperación.
  • Procedimientos de gestión de incidencias de seguridad.
  • Políticas internas de acceso restringido y minimización.

La Empresa reconoce que la seguridad absoluta no existe, pero el Proveedor se compromete a mantener medidas apropiadas y actualizadas conforme al estado de la técnica, los costes de aplicación, la naturaleza del servicio y los riesgos razonablemente previsibles.

9. Subencargados

La Empresa autoriza de forma general al Proveedor a recurrir a subencargados que resulten razonablemente necesarios para la prestación del servicio, siempre que dichos subencargados queden sujetos a obligaciones de protección de datos sustancialmente equivalentes a las establecidas en este Anexo.

El Proveedor mantendrá información actualizada sobre las categorías o identidad de los subencargados relevantes utilizados para la prestación del servicio y, cuando proceda, informará de cambios sustanciales para que la Empresa pueda formular objeciones razonadas.

10. Transferencias internacionales

El Proveedor no realizará transferencias internacionales de datos fuera del Espacio Económico Europeo salvo que resulten necesarias para la prestación del servicio y exista un mecanismo válido conforme a la normativa aplicable, como una decisión de adecuación, cláusulas contractuales tipo u otra garantía admitida.

Cuando existan tales transferencias, el Proveedor pondrá a disposición de la Empresa información general sobre la garantía utilizada, en la medida legalmente posible.

11. Asistencia a la Empresa

Teniendo en cuenta la naturaleza del tratamiento y la información disponible para el Proveedor, este asistirá razonablemente a la Empresa para:

  • Atender solicitudes de ejercicio de derechos de las personas interesadas.
  • Cumplir sus obligaciones en materia de seguridad del tratamiento.
  • Notificar violaciones de seguridad cuando proceda.
  • Realizar evaluaciones de impacto y consultas previas, cuando resulten exigibles y el servicio afectado lo requiera.

Si una persona interesada dirige directamente al Proveedor una solicitud relativa a sus datos, el Proveedor la remitirá a la Empresa, salvo que esté legalmente obligado a atenderla por sí mismo.

12. Violaciones de seguridad

El Proveedor notificará a la Empresa, sin dilación indebida, cualquier violación de seguridad de los datos personales de la que tenga conocimiento y que afecte a datos tratados por cuenta de la Empresa.

La notificación incluirá, en la medida disponible en ese momento, información relevante para que la Empresa pueda valorar el incidente y cumplir sus obligaciones legales.

13. Destino de los datos al terminar el servicio

Una vez finalice la prestación del servicio, el Proveedor suprimirá o devolverá a la Empresa, a elección de esta cuando proceda y sea técnicamente viable, los datos personales tratados por cuenta de la Empresa, así como cualquier copia existente, salvo que una norma aplicable exija su conservación.

No obstante, determinados datos podrán mantenerse bloqueados durante los plazos necesarios para atender obligaciones legales, responsabilidades contractuales o requerimientos de seguridad y auditoría.

14. Acreditación y auditoría

El Proveedor pondrá a disposición de la Empresa la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones establecidas en este Anexo.

Cuando existan indicios razonables de incumplimiento o una necesidad legalmente justificada, la Empresa podrá solicitar comprobaciones adicionales proporcionadas, siempre que no comprometan la seguridad de otros clientes, secretos empresariales ni la confidencialidad del servicio, y asumiendo sus propios costes salvo incumplimiento imputable al Proveedor.

15. Responsabilidad de la Empresa

La Empresa declara y garantiza que:

  • Tiene base jurídica suficiente para el tratamiento de los datos personales incorporados a WorkTracker.
  • Ha informado adecuadamente a las personas afectadas de conformidad con la normativa aplicable.
  • Utilizará el servicio de forma acorde con la normativa laboral, de protección de datos y con sus propias políticas internas.
  • No dará instrucciones al Proveedor que sean contrarias a la ley.

16. Orden de prevalencia

En caso de contradicción entre este Anexo y otras condiciones contractuales entre la Empresa y el Proveedor en materia de protección de datos personales, prevalecerá este Anexo en lo relativo al tratamiento por cuenta de la Empresa.

17. Legislación aplicable

Este Anexo se interpretará conforme al Reglamento (UE) 2016/679, a la Ley Orgánica 3/2018 y a la restante normativa española y europea que resulte aplicable en materia de protección de datos personales.

18. Contacto

Para cuestiones relacionadas con este Anexo: legal@worktracker.es