Documentos Legales
Acuerdo de Procesamiento de Datos
Versión 1.0 · Vigente desde 30 de abril de 2025
Este Acuerdo de Procesamiento de Datos (“DPA” o “Acuerdo”) es parte integrante de los Términos y Condiciones del servicio Ponchealo y regula el tratamiento de datos personales de empleados y otros interesados cuyos datos el Cliente introduce en la plataforma.
Las partes de este Acuerdo son: Ponchealo en su calidad de Encargado del Tratamiento (“Procesador”), y el Cliente que contrata el servicio en su calidad de Responsable del Tratamiento (“Responsable”).
1. Definiciones
- Datos Personales: cualquier información relativa a una persona física identificada o identificable, incluyendo nombres, identificadores y datos de asistencia de empleados.
- Tratamiento: cualquier operación realizada sobre Datos Personales, incluyendo recopilación, almacenamiento, modificación, consulta, transmisión y supresión.
- Responsable del Tratamiento (Responsable): el Cliente que determina los fines y medios del tratamiento de los Datos Personales de sus empleados.
- Encargado del Tratamiento (Procesador): Ponchealo, que trata los Datos Personales por cuenta del Responsable.
- Subprocesador: tercero contratado por el Procesador que trata Datos Personales en nombre del Responsable.
- Interesado: la persona física (empleado u otro) cuyos Datos Personales son tratados.
- Brecha de Seguridad: violación de la seguridad que provoque la destrucción, pérdida, alteración, divulgación o acceso no autorizado a Datos Personales.
2. Objeto y Duración
Este DPA regula las actividades de tratamiento de Datos Personales llevadas a cabo por Ponchealo en nombre del Cliente al prestar el servicio descrito en los Términos y Condiciones.
Este Acuerdo entrará en vigor en la fecha de aceptación de los Términos y permanecerá vigente mientras el Cliente use el servicio. Se extinguirá automáticamente a la terminación o expiración del contrato principal, sujeto a las obligaciones de confidencialidad y eliminación de datos que sobreviven a la terminación.
3. Naturaleza y Propósito del Procesamiento
3.1 Categorías de datos tratados
- Nombres completos de empleados
- Identificadores internos de empleados
- Registros de entradas y salidas (ponches) con marcas de tiempo
- Horarios y turnos asignados
- Datos de geolocalización del kiosk (dirección IP del dispositivo)
3.2 Propósito del tratamiento
Los Datos Personales se tratan exclusivamente para prestar el servicio Ponchealo al Cliente, incluyendo el registro de asistencia, generación de reportes, cálculo de nómina y notificaciones configuradas por el Responsable.
3.3 Instrucciones del Responsable
El Procesador tratará los Datos Personales únicamente siguiendo las instrucciones documentadas del Responsable, conforme a las configuraciones y funciones disponibles en la plataforma. El Procesador informará al Responsable si considera que alguna instrucción vulnera las leyes aplicables.
4. Obligaciones del Procesador
Ponchealo, como Procesador, se compromete a:
- Tratar los Datos Personales únicamente conforme a las instrucciones documentadas del Responsable y a los fines descritos en este DPA.
- Garantizar que las personas autorizadas a tratar Datos Personales estén sujetas a obligaciones de confidencialidad.
- Implementar medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo.
- Obtener autorización del Responsable antes de contratar nuevos Subprocesadores.
- Asistir al Responsable en el cumplimiento de sus obligaciones legales relativas a los derechos de los Interesados.
- Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del presente Acuerdo.
- Notificar al Responsable sin demora indebida cualquier Brecha de Seguridad que afecte a los Datos Personales tratados.
5. Subprocesadores
El Responsable autoriza a Ponchealo a recurrir a los siguientes Subprocesadores para prestar el servicio. Ponchealo se asegurará de que dichos Subprocesadores estén sujetos a obligaciones de protección de datos equivalentes a las establecidas en este DPA mediante contratos escritos.
| Proveedor | Propósito | Ubicación | Privacidad |
|---|---|---|---|
| Supabase | Base de datos relacional, autenticación y almacenamiento de archivos | EE. UU. | Ver política |
| Stripe | Procesamiento de pagos y gestión de suscripciones | EE. UU. | Ver política |
| Resend | Envío de correos electrónicos transaccionales | EE. UU. | Ver política |
| Vercel | Infraestructura de alojamiento web, CDN y despliegue de aplicaciones | EE. UU. | Ver política |
| Whapi.cloud | Notificaciones y comunicaciones por WhatsApp | EE. UU. | Ver política |
Ponchealo notificará al Responsable con al menos treinta (30) días de antelación cualquier cambio en la lista de Subprocesadores, momento en que el Responsable podrá objetar razonablemente a dicho cambio.
6. Medidas de Seguridad
Ponchealo implementa y mantiene las siguientes medidas de seguridad técnicas y organizativas para proteger los Datos Personales:
- Cifrado en tránsito: todas las comunicaciones se cifran mediante TLS 1.2 o superior.
- Cifrado en reposo: los datos almacenados en base de datos se cifran con AES-256.
- Control de acceso: acceso basado en roles (RBAC); mínimo privilegio necesario.
- Autenticación: autenticación multifactor disponible para cuentas de administrador.
- Copias de seguridad: copias de seguridad automatizadas con cifrado y pruebas periódicas de restauración.
- Monitoreo: monitoreo continuo de la infraestructura y registro de eventos de seguridad.
- Gestión de incidentes: procedimientos documentados de respuesta a incidentes de seguridad.
7. Derechos de los Interesados
Cuando el Responsable reciba una solicitud de un Interesado para ejercer sus derechos (acceso, rectificación, supresión, portabilidad, oposición o limitación), Ponchealo asistirá al Responsable en dar respuesta a dichas solicitudes en la medida posible, teniendo en cuenta la naturaleza del tratamiento.
Si un Interesado contacta directamente a Ponchealo, lo redirigiremos al Responsable sin demora, a menos que Ponchealo esté legalmente obligado a responder directamente.
8. Notificación de Brechas de Seguridad
En caso de una Brecha de Seguridad que afecte a Datos Personales, Ponchealo notificará al Responsable dentro de las 72 horas siguientes al conocimiento de la misma. La notificación incluirá:
- Descripción de la naturaleza de la brecha
- Categorías y número aproximado de interesados afectados
- Categorías y número aproximado de registros de datos afectados
- Posibles consecuencias de la brecha
- Medidas adoptadas o propuestas para remediar la brecha
El Responsable es responsable de notificar a las autoridades competentes y a los Interesados afectados según lo exijan las leyes aplicables.
9. Transferencias Internacionales de Datos
Los Datos Personales son procesados principalmente en los Estados Unidos de América, donde opera Ponchealo y la mayoría de nuestros Subprocesadores. Dado que Puerto Rico es territorio de los EE. UU., las transferencias de datos dentro de este territorio no constituyen transferencias internacionales en el sentido del Reglamento General de Protección de Datos (RGPD) europeo.
Para clientes cuyas operaciones impliquen datos de personas en el Espacio Económico Europeo (EEE) o el Reino Unido, Ponchealo garantizará que dichas transferencias se realicen con las salvaguardias adecuadas, incluyendo Cláusulas Contractuales Tipo (CCT) donde sea aplicable. Contacte a info@ponchealo.com para más información.
10. Auditorías y Cumplimiento
Ponchealo pondrá a disposición del Responsable, previa solicitud escrita, toda la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones establecidas en este DPA.
El Responsable podrá realizar auditorías de cumplimiento, por sí mismo o a través de un auditor externo acordado mutuamente, con un preaviso de al menos treinta (30) días. Las auditorías se realizarán durante el horario laboral habitual, de manera que no interrumpan indebidamente las operaciones de Ponchealo. Los costos de la auditoría correrán por cuenta del Responsable.
11. Terminación y Devolución de Datos
Tras la terminación del contrato principal, Ponchealo, a elección del Responsable:
- Devolverá todos los Datos Personales al Responsable en un formato exportable (CSV/JSON) dentro de los treinta (30) días siguientes a la solicitud, o
- Eliminará de forma segura todos los Datos Personales de sus sistemas, incluyendo los sistemas de sus Subprocesadores, dentro del mismo plazo.
Ponchealo podrá conservar datos durante el tiempo que lo exija la ley aplicable, únicamente para ese fin, e informará al Responsable al respecto. Toda la información conservada seguirá sujeta a las obligaciones de confidencialidad de este DPA.
Para cualquier consulta sobre este Acuerdo, contáctenos:
Ponchealo (nombre comercial de Abdiel Román)
Hormigueros, Puerto Rico
Email: info@ponchealo.com