Política de privacidad
Última actualización: [TODO: FERNANDO — fecha de publicación]
1. Responsable del tratamiento
- Responsable: [TODO: FERNANDO — nombre o razón social]
- NIF/CIF: [TODO: FERNANDO — NIF o CIF]
- Domicilio: [TODO: FERNANDO — dirección completa]
- Contacto de privacidad: [TODO: FERNANDO — email dedicado a privacidad/RGPD]
No es obligatorio designar un delegado de protección de datos (DPO) dado el volumen y la naturaleza de los datos tratados. Cualquier consulta sobre privacidad puede dirigirse al contacto anterior.
2. Qué datos tratamos
Según el rol de la persona usuaria:
- Titular de la cuenta (owner): email, nombre de la empresa, CIF, ubicaciones dadas de alta.
- Empleados: nombre, PIN de acceso (almacenado como hash con bcrypt, nunca en texto plano) y, si se vincula una cuenta, email.
- Registros de fichaje: marca de tiempo del servidor, tipo de registro (entrada, salida, corrección), hash de integridad, y metadatos técnicos de auditoría (dirección IP y user-agent del dispositivo usado para fichar).
3. Finalidad y base legal
- Ejecución del contrato: prestar el servicio de registro de jornada contratado (gestión de cuenta, fichaje, exportación de informes).
- Cumplimiento de una obligación legal: el registro de jornada es obligatorio por el art. 34.9 del Estatuto de los Trabajadores; conservamos los fichajes para que el titular pueda cumplir con esa obligación ante una inspección de trabajo.
- Interés legítimo: seguridad del servicio, prevención de fraude y auditoría técnica (por ejemplo, el registro de IP/user-agent en cada fichaje).
- Consentimiento: actualmente no se envían comunicaciones comerciales. Si en el futuro se ofrecen, se pedirá consentimiento expreso y separado, revocable en cualquier momento.
4. Con quién compartimos los datos
No vendemos datos a terceros. Usamos los siguientes encargados de tratamiento, estrictamente para prestar el servicio:
- Supabase — base de datos y autenticación. Los datos se alojan en un centro de datos dentro de la Unión Europea.
- Stripe — procesamiento de pagos de la suscripción. Stripe actúa como encargado de tratamiento para los datos de facturación; puede implicar transferencias fuera de la UE bajo las garantías previstas por el RGPD (cláusulas contractuales tipo).
- Resend — envío de correos transaccionales (enlace de acceso, notificaciones del servicio).
5. Plazo de conservación
- Registros de fichaje: 4 años, conforme al plazo mínimo exigido para el registro de jornada.
- Facturas y datos de facturación: 5 años, conforme a la normativa mercantil y fiscal aplicable.
- Datos de la cuenta (empresa, empleados): mientras la cuenta permanezca activa; al desactivarse un empleado, sus datos personales no se borran para no romper la cadena de hashes de sus fichajes, pero deja de poder acceder al servicio.
6. Tus derechos
Puedes ejercer tus derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad de tus datos (derechos ARCO+) escribiendo al contacto de privacidad indicado arriba. Ten en cuenta que los registros de fichaje ya generados no pueden suprimirse mientras la empresa esté obligada a conservarlos por ley (art. 34.9 ET); en ese caso, se aplicará la limitación del tratamiento en lugar de la supresión. También tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (aepd.es).
7. Seguridad
Aplicamos control de acceso por empresa (aislamiento de datos entre clientes), cifrado en tránsito (HTTPS), PIN de empleado almacenado como hash y una cadena de hashes SHA-256 que hace evidente cualquier alteración de un registro de fichaje.
Consulta también el aviso legal y la política de cookies.