Información legal

Acuerdo de Encargado del Tratamiento

Versión 1.0 · 7 de junio de 2026

¿Qué es este documento?

Este Acuerdo de Encargado del Tratamiento (en adelante, "el Acuerdo" o "DPA") regula el tratamiento de datos personales que GESTIÓN INTEGRAL DE CALIDAD Y TRAZABILIDAD, S.L. (TrazaChef) realiza por cuenta del CLIENTE cuando éste contrata la plataforma TrazaChef y carga en ella datos personales de empleados, proveedores u otras personas físicas. Da cumplimiento al artículo 28 del Reglamento (UE) 2016/679 (RGPD) y al artículo 33 de la Ley Orgánica 3/2018 (LOPDGDD).

Forma parte integrante del Contrato de Prestación de Servicios suscrito entre las partes. En caso de contradicción con el Contrato, prevalece este Acuerdo en materia de protección de datos.

1. Partes

De una parte, el ENCARGADO DEL TRATAMIENTO:

  • Denominación social: GESTIÓN INTEGRAL DE CALIDAD Y TRAZABILIDAD, S.L.
  • Nombre comercial: TrazaChef
  • CIF: B88806336
  • Domicilio: Callejón Luneta 5, 38626 Valle San Lorenzo — Arona, Santa Cruz de Tenerife, España
  • Datos registrales: Registro Mercantil de Santa Cruz de Tenerife, Hoja TF-77409, IRUS 100047443777
  • Correo electrónico: legal@trazachef.es

De otra parte, el RESPONSABLE DEL TRATAMIENTO (CLIENTE):

El cliente identificado en el Contrato de Prestación de Servicios al que se anexa el presente Acuerdo, en adelante "el CLIENTE" o "el Responsable".

2. Objeto

El CLIENTE encarga a TrazaChef el tratamiento de datos personales que sea necesario para la prestación de los servicios contratados en la plataforma TrazaChef (en adelante, "los Servicios"). TrazaChef actuará como Encargado del Tratamiento por cuenta del CLIENTE, exclusivamente conforme a las instrucciones documentadas del CLIENTE y al presente Acuerdo.

3. Detalles del tratamiento

AspectoDescripción
Naturaleza y finalidad Prestación de los servicios SaaS contratados: trazabilidad alimentaria, APPCC, gestión laboral, fichajes, PRL, CAE, gestión de obras, pedidos, etiquetado y gestor documental, según los módulos activados por el CLIENTE.
Duración Mientras esté vigente el Contrato de Prestación de Servicios y durante el plazo adicional necesario para la devolución o supresión de los datos conforme a la cláusula 11.
Categorías de interesados Empleados, candidatos, proveedores, clientes, subcontratistas, visitantes y, en general, cualquier persona física cuyos datos el CLIENTE introduzca en la plataforma.
Categorías de datos Identificativos: nombre, apellidos, NIF/DNI, dirección postal, email, teléfono, fecha de nacimiento.
Laborales: categoría profesional, contrato, jornada, fichajes, ausencias, nóminas, formación, EPIs, reconocimientos médicos.
De salud (cat. especial): partes de accidente laboral, reconocimientos médicos, restricciones laborales — únicamente cuando el CLIENTE active los módulos PRL/CAE.
Económicos: facturación, datos bancarios para nóminas, datos fiscales.
Imágenes: fotografías de empleados o de partes de accidente, en su caso.
Tratamientos a realizar Recogida, registro, conservación, estructuración, modificación, consulta, extracción, comunicación por transmisión (a mutuas, organismos oficiales, asesorías designadas por el CLIENTE), interconexión, limitación, supresión y copia de seguridad.

4. Obligaciones del Encargado (TrazaChef)

De conformidad con el artículo 28.3 del RGPD, TrazaChef se obliga a:

  1. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.
  2. Tratar los datos de acuerdo con las instrucciones documentadas del Responsable, incluyendo las relativas a transferencias internacionales. Si TrazaChef considera que alguna instrucción infringe el RGPD u otra normativa aplicable, informará inmediatamente al Responsable.
  3. Llevar un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del Responsable, conforme al artículo 30.2 del RGPD.
  4. No comunicar los datos a terceros, salvo que cuente con la autorización expresa del Responsable, en los supuestos legalmente admisibles o cuando el destinatario sea un Subencargado autorizado conforme a la cláusula 6.
  5. Garantizar el deber de secreto y confidencialidad respecto de los datos personales, incluso una vez finalice el Acuerdo. Las personas autorizadas a tratar los datos se comprometerán expresamente y por escrito a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes.
  6. Asistir al Responsable en el cumplimiento de su obligación de responder a las solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, oposición, limitación, portabilidad y a no ser objeto de decisiones individualizadas automatizadas).
  7. Asistir al Responsable en la realización de evaluaciones de impacto relativas a la protección de datos (EIPD) y, en su caso, en consultas previas a la autoridad de control, proporcionando la información disponible.
  8. Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como permitir la realización de auditorías o inspecciones por parte del Responsable o de un auditor autorizado por él, conforme a la cláusula 9.

5. Obligaciones del Responsable (CLIENTE)

  1. Entregar a TrazaChef los datos personales necesarios para la prestación del servicio.
  2. Garantizar que dispone de la base jurídica adecuada para el tratamiento de los datos que carga en la plataforma y para su comunicación a TrazaChef (consentimiento, ejecución de contrato laboral, obligación legal, interés legítimo, etc.).
  3. Informar adecuadamente a los interesados (empleados, proveedores, etc.) del tratamiento de sus datos en la plataforma TrazaChef, incluyendo la identidad del Encargado.
  4. Realizar, cuando proceda, una Evaluación de Impacto (EIPD) sobre el tratamiento.
  5. Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del Encargado.
  6. Supervisar el tratamiento e impartir las instrucciones que considere necesarias.

6. Subencargados del tratamiento

El CLIENTE autoriza con carácter general a TrazaChef a recurrir a los Subencargados necesarios para la prestación del servicio. TrazaChef garantiza que todo Subencargado quedará obligado, por contrato escrito, a las mismas obligaciones de protección de datos estipuladas en el presente Acuerdo.

Los Subencargados actualmente autorizados son:

SubencargadoServicio prestadoUbicación
IONOS Cloud, S.L.U. Alojamiento del servidor (VPS) en el que reside la plataforma y las bases de datos España (UE)
Proveedor SMTP del CLIENTE Envío de correo transaccional desde la plataforma (notificaciones, partes de accidente, etc.) cuando el CLIENTE configura su propio servidor SMTP — p. ej. Gmail Workspace, Microsoft 365, IONOS, Brevo. El CLIENTE acepta y autoriza este Subencargado al configurarlo voluntariamente en el panel "Configuración › Correo saliente". Según proveedor elegido por el CLIENTE
Mutuas de accidentes de trabajo y servicios de prevención ajenos Recepción de partes de accidente y comunicaciones de PRL/CAE, cuando el CLIENTE así lo instruye desde la plataforma. Estas entidades pueden actuar como destinatarios necesarios por obligación legal del CLIENTE o como Subencargados, según la naturaleza del flujo. España (UE)
Subencargados futuros Servicios adicionales como pasarela de pagos, almacenamiento de copias de seguridad cifradas, herramientas analíticas o de monitorización, que puedan incorporarse para mejorar el servicio. UE / EEE preferentemente; en otro caso, con garantías RGPD adecuadas

TrazaChef informará al CLIENTE de cualquier cambio previsto en la incorporación o sustitución de Subencargados con al menos 30 días de antelación. El CLIENTE dispondrá de ese plazo para oponerse fundadamente. Si el CLIENTE se opone y TrazaChef no puede prestar el servicio sin el Subencargado en cuestión, cualquiera de las partes podrá resolver el Contrato sin penalización, devolviéndose la parte proporcional de las cuotas anticipadas no consumidas.

7. Medidas de seguridad

TrazaChef implanta y mantiene las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al artículo 32 del RGPD. Entre otras:

  • Cifrado en tránsito: conexiones TLS 1.2 o superior en todas las comunicaciones con la plataforma.
  • Cifrado en reposo: credenciales y datos sensibles cifrados con AES-256-GCM y clave maestra por entorno, almacenada fuera de la base de datos.
  • Control de acceso: autenticación por usuario y contraseña, sistema granular de roles y permisos por módulo y por centro de trabajo.
  • Registro de auditoría: logs de acceso y de acciones sensibles (firma de partes, exportaciones, modificaciones de datos críticos).
  • Aislamiento multitenant: los datos de cada CLIENTE residen en un espacio lógico aislado; el sistema impone un filtro de tenant en cada consulta a la base de datos.
  • Copias de seguridad: backups periódicos cifrados y verificación regular de su recuperabilidad.
  • Actualizaciones: aplicación periódica de parches de seguridad en el sistema operativo, runtime y dependencias.
  • Plan de respuesta a incidentes: procedimiento documentado de detección, contención y notificación.

TrazaChef revisará y, en su caso, actualizará estas medidas para mantener un nivel de seguridad adecuado al estado de la técnica.

8. Notificación de violaciones de seguridad

En caso de violación de la seguridad de los datos personales tratados por cuenta del CLIENTE (en adelante, "Brecha"), TrazaChef notificará al CLIENTE, sin dilación indebida y en cualquier caso en un plazo máximo de 48 horas desde que tenga constancia de la misma, los siguientes extremos:

  1. Descripción de la naturaleza de la Brecha, incluyendo, cuando sea posible, las categorías y el número aproximado de interesados afectados y los registros de datos afectados.
  2. Nombre y datos de contacto del punto de contacto en TrazaChef donde pueda obtenerse más información.
  3. Consecuencias probables de la Brecha.
  4. Medidas adoptadas o propuestas para poner remedio a la Brecha y, en su caso, mitigar los posibles efectos negativos.

Corresponde al CLIENTE, como Responsable, notificar la Brecha a la Agencia Española de Protección de Datos en el plazo de 72 horas previsto en el artículo 33 del RGPD y, cuando proceda, comunicarla a los interesados conforme al artículo 34 del RGPD. TrazaChef prestará asistencia razonable al CLIENTE en ambas tareas.

9. Auditoría

El CLIENTE podrá auditar el cumplimiento del presente Acuerdo, por sí mismo o a través de un auditor independiente sujeto a deber de confidencialidad, con un preaviso mínimo de 30 días, en horario laboral, sin perjudicar la actividad normal de TrazaChef y como máximo una vez al año, salvo causa justificada (p. ej. tras una Brecha de seguridad).

TrazaChef podrá satisfacer este derecho de auditoría aportando certificaciones vigentes (ISO 27001, ENS, SOC 2 u otras equivalentes), informes de pentest recientes o documentación equivalente que demuestre el cumplimiento del Acuerdo.

Los costes de la auditoría serán a cargo del CLIENTE, salvo que la auditoría revele un incumplimiento sustancial por parte de TrazaChef, en cuyo caso los asumirá TrazaChef.

10. Transferencias internacionales

TrazaChef tratará los datos personales del CLIENTE dentro del Espacio Económico Europeo (EEE). En el supuesto excepcional de que algún Subencargado autorizado tratase datos fuera del EEE, TrazaChef garantizará la existencia de mecanismos de transferencia válidos conforme al Capítulo V del RGPD (decisión de adecuación, cláusulas contractuales tipo de la Comisión Europea u otras garantías reconocidas) e informará al CLIENTE.

11. Devolución y supresión de datos

A la finalización del Contrato, por cualquier causa, TrazaChef:

  1. Pondrá a disposición del CLIENTE, durante un plazo de 30 días naturales, una exportación completa de los datos en formato estructurado y de uso común (CSV/JSON/PDF según el dato), para que el CLIENTE pueda recuperarlos.
  2. Transcurrido ese plazo sin que el CLIENTE haya solicitado expresamente la conservación, procederá a la supresión segura de los datos personales de la plataforma y de las copias activas. Las copias de seguridad cifradas se eliminarán según el ciclo normal de rotación, en un plazo máximo adicional de 90 días.
  3. No obstante lo anterior, podrá conservar los datos durante los plazos de prescripción de las posibles responsabilidades derivadas del tratamiento, debidamente bloqueados, conforme al artículo 32 LOPDGDD.
  4. A solicitud del CLIENTE, emitirá un certificado de supresión documentando la fecha y alcance de la eliminación.

12. Responsabilidad

Cada parte responderá de los daños y perjuicios que cause a la otra parte o a los interesados como consecuencia del incumplimiento de sus obligaciones en virtud del RGPD, de la LOPDGDD o del presente Acuerdo, en los términos del artículo 82 del RGPD.

La responsabilidad de TrazaChef frente al CLIENTE derivada del presente Acuerdo se regirá por los límites de responsabilidad establecidos en el Contrato de Prestación de Servicios, salvo en los supuestos en que dicha limitación esté prohibida por la legislación aplicable (dolo, negligencia grave o vulneración de derechos fundamentales de los interesados).

13. Duración, modificación y resolución

El presente Acuerdo entrará en vigor en la fecha de firma del Contrato de Prestación de Servicios y mantendrá su vigencia mientras éste lo esté, así como durante el plazo posterior necesario para el cumplimiento de las obligaciones de devolución, supresión y conservación bloqueada previstas en la cláusula 11.

TrazaChef podrá modificar el presente Acuerdo para adaptarlo a cambios legislativos, jurisprudenciales o de la propia plataforma, notificando al CLIENTE con al menos 30 días de antelación. Si el CLIENTE no está de acuerdo con la modificación, podrá resolver el Contrato sin penalización dentro de ese plazo.

14. Legislación aplicable y jurisdicción

El presente Acuerdo se rige por la legislación española y por el Reglamento (UE) 2016/679 (RGPD). Para cualquier controversia derivada del mismo, las partes se someten, con renuncia a cualquier otro fuero, a los Juzgados y Tribunales del domicilio del CLIENTE consumidor; y a los Juzgados y Tribunales de Santa Cruz de Tenerife en relación con clientes profesionales o empresarios.

15. Firma

El presente Acuerdo se entenderá aceptado por el CLIENTE en el momento de la firma del Contrato de Prestación de Servicios, del que forma parte integrante como Anexo de Protección de Datos. Adicionalmente, el CLIENTE puede solicitar la firma manuscrita o electrónica del PDF descargable de este documento.

Por el ENCARGADO
GESTIÓN INTEGRAL DE CALIDAD Y TRAZABILIDAD, S.L.
CIF B88806336
Nombre, cargo y fecha
Por el RESPONSABLE (CLIENTE)
_______________________________
CIF _______________
Nombre, cargo y fecha

Descarga

Puedes descargar este Acuerdo en formato PDF para imprimir, firmar y archivar:

📄 Descargar DPA en PDF