Acuerdo de Encargo de Tratamiento de Datos

Última actualización: 23 de mayo de 2026

Conforme al artículo 28 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD)

1. Partes

Responsable del tratamiento: La empresa o profesional que contrata el servicio Stellar HR (en adelante, el «Responsable»), cuyos datos identificativos constan en su cuenta de usuario.

Encargado del tratamiento:
Lettus Salads S.L. (operando como Stellar Technology)
CIF: B93366813
Domicilio: Avd. Juan Gómez Juanito 16, 29640 Fuengirola, Málaga
Email: hello@stellartech.app
Web: stellartech.app

2. Objeto y duración

El presente acuerdo tiene por objeto regular las condiciones en que el Encargado tratará los datos personales por cuenta del Responsable en el marco de la prestación del servicio Stellar HR.

La duración de este acuerdo coincide con la vigencia de la suscripción del Responsable al servicio. A la finalización del servicio, se aplicará lo dispuesto en la sección 8 (Devolución y supresión de datos).

3. Naturaleza y finalidad del tratamiento

El Encargado tratará los datos personales exclusivamente para la prestación del servicio Stellar HR, que comprende:

• Gestión y planificación de turnos y horarios de trabajo
• Registro de jornada laboral (fichaje digital de entrada, salida y pausas)
• Cálculo automático de horas extras, complementarias y déficit
• Gestión de vacaciones y descansos
• Portal del empleado con acceso individual
• Generación de informes y exportación de datos para inspección de trabajo
• Verificación de ubicación en el fichaje móvil (cuando está activado por el Responsable)

4. Tipo de datos personales

El Encargado podrá tratar las siguientes categorías de datos personales por cuenta del Responsable:

• Nombre completo
• Dirección de correo electrónico
• Número de teléfono
• PIN de acceso (almacenado mediante hash criptográfico)
• Fotografía de perfil y fotografía de verificación en el fichaje
• Registros de jornada (hora de entrada, salida y pausas)
• Datos de geolocalización (latitud y longitud), cuando el fichaje desde dispositivo móvil esté activado por el Responsable
• Categoría profesional
• Horas de contrato
• Horarios planificados y realizados
• Vacaciones y descansos

No se tratan categorías especiales de datos (art. 9 RGPD).

5. Categorías de interesados

Los interesados cuyos datos son objeto de tratamiento son:

• Empleados y trabajadores del Responsable dados de alta en la plataforma Stellar HR
• Responsables y administradores de la cuenta del Responsable

6. Obligaciones del encargado del tratamiento

El Encargado se compromete a:

6.1. Instrucciones del Responsable

Tratar los datos personales únicamente conforme a las instrucciones documentadas del Responsable, incluyendo las transferencias de datos a terceros países. Si el Encargado considera que alguna instrucción infringe el RGPD u otra normativa, informará inmediatamente al Responsable.

6.2. Confidencialidad

Garantizar que las personas autorizadas para tratar los datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación de confidencialidad de naturaleza legal.

6.3. Medidas de seguridad (art. 32 RGPD)

Aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:

• Cifrado en tránsito: todas las comunicaciones se realizan mediante SSL/TLS (HTTPS)
• Hasheo de credenciales: las contraseñas y PINs de acceso se almacenan mediante hash criptográfico (nunca en texto plano)
• Aislamiento de datos: Row Level Security (RLS) en PostgreSQL, que garantiza que cada tenant solo puede acceder a sus propios datos
• Copias de seguridad: backups cifrados diarios de la base de datos
• Acceso restringido: acceso al servidor VPS limitado exclusivamente al personal técnico autorizado mediante clave SSH
• Control de acceso por roles: sistema de permisos (owner, admin, manager) que limita las acciones disponibles según el rol
• Sesiones seguras: cookies de sesión con atributos HttpOnly y Secure
• Protección CSRF: tokens de protección contra falsificación de peticiones

6.4. Notificación de brechas de seguridad

Notificar al Responsable sin dilación indebida, y en cualquier caso en un plazo máximo de 72 horas, cualquier violación de la seguridad de los datos personales de la que tenga conocimiento. La notificación incluirá, como mínimo:

• Descripción de la naturaleza de la violación
• Categorías y número aproximado de interesados afectados
• Posibles consecuencias de la violación
• Medidas adoptadas o propuestas para remediar la violación

6.5. Asistencia al Responsable

Asistir al Responsable, teniendo en cuenta la naturaleza del tratamiento, en la medida de lo posible, para:

• Atender las solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, portabilidad, limitación y oposición)
• Garantizar el cumplimiento de las obligaciones relativas a la seguridad del tratamiento, la notificación de violaciones y las evaluaciones de impacto

6.6. No transferencia fuera del EEE

No transferir datos personales a terceros países u organizaciones internacionales fuera del Espacio Económico Europeo (EEE), salvo lo previsto en la sección 7 respecto a subencargados autorizados y únicamente cuando existan garantías adecuadas conforme al RGPD.

7. Subencargados autorizados

El Responsable autoriza de forma general al Encargado a recurrir a los siguientes subencargados del tratamiento:

El Encargado informará al Responsable de cualquier cambio en la lista de subencargados con una antelación mínima de 30 días, ofreciendo al Responsable la posibilidad de oponerse. Si el Responsable se opone de forma justificada y no se alcanza un acuerdo, cualquiera de las partes podrá resolver el contrato.

Respecto a Stripe y Anthropic, ambos se acogen al EU-U.S. Data Privacy Framework, lo que constituye una garantía adecuada conforme al artículo 45 del RGPD.

8. Devolución y supresión de datos

A la finalización de la relación contractual:

• El Responsable dispondrá de un plazo de 30 días para exportar sus datos desde la plataforma
• Transcurrido dicho plazo, el Encargado procederá a la supresión de todos los datos personales y eliminará las copias existentes, salvo que la legislación aplicable exija su conservación

Excepción legal: Los registros de jornada (fichajes de entrada y salida) se conservarán durante un período mínimo de 4 años conforme al artículo 34.9 del Estatuto de los Trabajadores y al Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo.

9. Auditoría

El Encargado pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del Responsable o de otro auditor autorizado por este.

Las solicitudes de auditoría deberán comunicarse por escrito con una antelación mínima de 30 días y realizarse en horario laborable, de forma que no interfieran con el normal funcionamiento del servicio.

10. Legislación aplicable y jurisdicción

El presente acuerdo se rige por la legislación española, en particular por el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

Para cualquier controversia derivada de la interpretación o ejecución de este acuerdo, las partes se someten a los juzgados y tribunales de la ciudad de Málaga (España).