Tratamiento de datos personales

1. Roles y alcance

El Cliente es el Responsable del tratamiento de los datos personales de su personal y de los demás titulares cuyos datos incorpore en la plataforma. El Cliente determina las finalidades y los medios esenciales del tratamiento, y garantiza que cuenta con base legitimadora para incorporar la información en la plataforma.

ITERIA actúa exclusivamente como Encargado del tratamiento por cuenta y bajo instrucciones documentadas del Cliente. ITERIA no determina las finalidades del tratamiento ni dispone de los datos para fines propios distintos a los aquí pactados.

2. Objeto, naturaleza y duración

El tratamiento por encargo tiene por objeto la prestación del servicio ficha.pe, que comprende: registro de jornada por WhatsApp con verificación de ubicación, generación de reportes en formato compatible con la normativa peruana de control de asistencia, gestión de incidencias y soporte. La naturaleza del tratamiento es automatizada y por medios electrónicos.

El Acuerdo se mantiene vigente mientras lo esté el contrato principal. Tras la terminación se aplica lo dispuesto en la cláusula 11.

3. Categorías de datos y de titulares

• Categorías de titulares: personal del Cliente con relación laboral o de servicios, administradores designados por el Cliente y, eventualmente, terceros autorizados (auditores, gestorías).
• Categorías de datos: identificación (nombre, documento, fecha de nacimiento si aplica), contacto profesional (teléfono móvil registrado, correo cuando aplique), información laboral (cargo, centro de trabajo, horarios, fecha de ingreso), registros de jornada (entradas, salidas, descansos, ubicación verificada en el momento del fichaje) y observaciones de incidencias registradas por el administrador.
• ITERIA no solicita ni gestiona, por defecto, datos sensibles (salud, biométricos identificativos, ideología, etc.). El Cliente se abstiene de cargar datos sensibles en la plataforma salvo acuerdo expreso y previo con ITERIA.

4. Obligaciones del Encargado (ITERIA)

• Tratar los datos exclusivamente conforme a las instrucciones documentadas del Responsable, salvo obligación legal aplicable que exija otra cosa.
• Garantizar que el personal autorizado a acceder a los datos esté sujeto a deber de confidencialidad.
• Aplicar medidas de seguridad técnicas y organizativas razonables y proporcionales al riesgo (cláusula 8).
• Asistir razonablemente al Responsable en la atención de derechos de los titulares y en obligaciones de seguridad, evaluación de impacto y consultas previas.
• Notificar al Responsable, sin dilación indebida, cualquier incidente de seguridad relevante del que tenga constancia, con la información disponible para que el Responsable cumpla sus deberes de notificación.
• Permitir y contribuir a auditorías documentales sobre el cumplimiento del Acuerdo, una vez al año o cuando exista una causa razonable, con preaviso de al menos quince (15) días, sin afectar la confidencialidad de otros clientes ni la operación del servicio.

5. Obligaciones del Responsable (Cliente)

• Determinar la finalidad y la base legitimadora del tratamiento e introducir en la plataforma únicamente datos para los que cuenta con título legítimo.
• Cumplir el deber de información a los titulares (empleados y terceros) sobre el uso de la plataforma para control de jornada, finalidades, conservación y derechos.
• Obtener, cuando proceda, los consentimientos exigidos y conservar evidencia.
• Atender, en primera instancia, las solicitudes de ejercicio de derechos de los titulares.
• Configurar correctamente locales, horarios, perímetros, administradores y permisos. Validar y aprobar oportunamente los registros antes de utilizarlos como prueba o documento oficial.
• Mantener indemne a ITERIA frente a reclamos derivados del incumplimiento del Cliente respecto a sus obligaciones como Responsable.

6. Subencargados

El Cliente autoriza a ITERIA a contratar subencargados para la prestación del servicio (proveedores de infraestructura cloud, mensajería, monitoreo, analítica, asesoría técnica). ITERIA exigirá a estos subencargados, mediante contrato u otro instrumento, obligaciones de protección de datos al menos equivalentes a las contenidas en este Acuerdo.

ITERIA mantendrá disponible, a solicitud razonable del Cliente, la lista actualizada de subencargados utilizados para el servicio. Las actualizaciones se considerarán aprobadas salvo objeción fundada del Cliente comunicada dentro de los quince (15) días posteriores a la notificación.

7. Transferencias internacionales

Los datos pueden ser tratados en servidores ubicados fuera del Perú, principalmente en países de Latinoamérica con nivel adecuado de protección. ITERIA realizará dichas transferencias con proveedores que se obligan contractualmente a aplicar las garantías exigidas por la Ley 29733 y, cuando aplique, las cláusulas o estándares equivalentes del RGPD.

8. Medidas de seguridad

• Cifrado en tránsito mediante TLS y cifrado en reposo del almacenamiento principal.
• Control de accesos por roles, autenticación de administradores y separación lógica de los datos de cada cliente.
• Registro de actividad relevante y monitoreo razonable de la plataforma.
• Copias de seguridad periódicas y planes razonables de continuidad operativa.
• Procedimientos internos de respuesta ante incidentes y revisión periódica de proveedores críticos.

9. Brechas de seguridad

En caso de incidente que afecte de forma relevante la confidencialidad, integridad o disponibilidad de los datos personales tratados por encargo, ITERIA notificará al Cliente sin dilación indebida desde su conocimiento, con la información disponible necesaria para que el Cliente, como Responsable, decida sobre las comunicaciones a la autoridad y a los titulares.

ITERIA prestará la cooperación razonable durante la gestión del incidente. La notificación de incidentes a la Autoridad Nacional de Protección de Datos Personales y a los titulares es responsabilidad del Cliente.

10. Asistencia en derechos de los titulares

Cuando un titular se dirija directamente a ITERIA para ejercer derechos sobre datos cuya responsabilidad corresponde al Cliente, ITERIA derivará la solicitud al Cliente sin demora y prestará la colaboración razonable que esté a su alcance dentro de las funcionalidades de la plataforma.

11. Devolución y supresión

A la terminación del contrato principal, el Cliente podrá solicitar la entrega de los datos en formato estándar dentro de un plazo razonable. Vencido dicho plazo, ITERIA procederá a la eliminación o anonimización de los datos personales tratados por encargo, salvo cuando una norma legal aplicable exija su conservación.

12. Limitación de responsabilidad

La responsabilidad de ITERIA en el marco de este Acuerdo se rige por las limitaciones establecidas en la cláusula de Limitación de Responsabilidad de los Términos y Condiciones, en la máxima medida permitida por la legislación peruana imperativa.

El Cliente reconoce que es el único responsable frente a la autoridad de protección de datos por el cumplimiento de sus obligaciones como Responsable, sin perjuicio de las obligaciones que ITERIA asume como Encargado en este Acuerdo.

13. Contacto

Las comunicaciones formales relativas a protección de datos se dirigirán a privacidad@ficha.pe (con copia a info@iteriastudio.com cuando se requiera trazabilidad administrativa). El Cliente designa, a efectos del Acuerdo, el correo registrado por su administrador en la cuenta.