Volver TimeTrack

Política de Privacidad

Última actualización: 10 de mayo de 2026 (v3.55.0 — incorpora Reglamento UE 2024/1689 AI Act, Directiva NIS2, Reglamento UE 2023/2854 Data Act, jurisprudencia STC 119/2022 y STS 28/4/2022, derecho a la desconexión digital y AI en RRHH)

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales recogidos a través de esta aplicación es la empresa titular de la instalación de TimeTrack (en adelante, "la Empresa"), cuyos datos identificativos se configuran en la sección Configuración > Datos de la empresa del panel de administración.

Para ejercer sus derechos o realizar consultas sobre protección de datos, el interesado puede dirigirse al Delegado de Protección de Datos (DPD) o al responsable del tratamiento a través de los canales internos establecidos por la Empresa.

2. Finalidad del tratamiento

Los datos personales se tratan con las siguientes finalidades:

  • Registro de jornada laboral: Cumplimiento de la obligación legal de registro diario de jornada conforme al artículo 34.9 del Estatuto de los Trabajadores (modificado por el Real Decreto-ley 8/2019, de 8 de marzo).
  • Gestión de recursos humanos: Administración de empleados, departamentos, horarios, vacaciones, ausencias, permisos y documentación laboral.
  • Control de acceso: Autenticación de usuarios y gestión de permisos en la aplicación.
  • Geolocalización de fichajes (si está activada): Verificación del lugar de fichaje conforme a las políticas internas de la Empresa, previo consentimiento del trabajador o sobre la base del interés legítimo empresarial debidamente ponderado.
  • Comunicados internos: Difusión de comunicaciones corporativas a los empleados.
  • Generación de informes: Elaboración de reportes agregados de horas trabajadas, ausencias y rendimiento laboral.

3. Base legal del tratamiento

TratamientoBase legal (Art. 6 RGPD)Norma específica
Registro de jornadaArt. 6.1.c) — Obligación legalArt. 34.9 Estatuto de los Trabajadores; RD-ley 8/2019
Gestión de RRHHArt. 6.1.b) — Ejecución del contrato de trabajoEstatuto de los Trabajadores
Control de accesoArt. 6.1.f) — Interés legítimoSeguridad de la información
GeolocalizaciónArt. 6.1.a) — Consentimiento / Art. 6.1.f) — Interés legítimoArt. 87 y 90 LOPD-GDD; Art. 20.3 ET
ComunicadosArt. 6.1.b) — Ejecución del contratoRelación laboral

4. Datos personales tratados

CategoríaDatosObligatoriedad
IdentificativosNombre, apellidos, DNI/NIE, email, teléfono, foto/avatarNombre y apellidos obligatorios
LaboralesPuesto, departamento, tipo de contrato, fecha de alta, horas semanales, días de vacacionesObligatorios
Registro de jornadaHora de entrada, salida, pausas, minutos trabajados, notas de jornadaGenerados automáticamente
GeolocalizaciónLatitud y longitud en el momento del fichaje (si está activado)Según configuración
AusenciasTipo, fechas, motivo, estado de aprobaciónSegún solicitud
AccesoNombre de usuario, contraseña (en claro en demo, hasheada en producción), rol, fecha de último accesoObligatorios
DocumentosArchivos subidos por RRHH (contratos, nóminas, certificados)Según asignación

5. Plazo de conservación

Los datos se conservarán durante los siguientes plazos:

  • Registros de jornada: Mínimo 4 años conforme al artículo 34.9 del Estatuto de los Trabajadores. Los registros permanecerán a disposición de los trabajadores, sus representantes legales y la Inspección de Trabajo y Seguridad Social.
  • Datos de empleados: Durante la vigencia de la relación laboral y, tras su extinción, durante los plazos de prescripción legal aplicables (generalmente 4 años para obligaciones laborales).
  • Documentos laborales: Según la normativa específica de cada tipo de documento (nóminas: 4 años; contratos: duración de la relación + prescripción).
  • Datos de geolocalización: Máximo 2 meses, salvo que sea necesaria su conservación para atender reclamaciones o requerimientos legales.

6. Destinatarios de los datos

Los datos personales no se cederán a terceros salvo obligación legal. En particular:

  • Inspección de Trabajo y Seguridad Social: Acceso a los registros de jornada conforme al art. 34.9 ET.
  • Representantes legales de los trabajadores: Acceso a los registros de jornada según la misma disposición.
  • Administración tributaria: En caso de requerimiento conforme a la normativa fiscal.
  • Encargados del tratamiento: Proveedores de hosting y servicios tecnológicos que presten servicios a la Empresa, con los que se suscribirá el correspondiente contrato de encargo de tratamiento (art. 28 RGPD).

Actualmente, en su configuración de demostración, todos los datos se almacenan localmente en el navegador del usuario (localStorage) y no se realizan transferencias a servidores externos.

7. Transferencias internacionales

No se realizan transferencias internacionales de datos. Cuando la aplicación se despliegue en un servidor, se garantizará que el hosting esté ubicado en el Espacio Económico Europeo (EEE) o en un país con nivel de protección adecuado.

8. Derechos del interesado

Conforme al RGPD y la LOPD-GDD, todo trabajador puede ejercer los siguientes derechos:

DerechoDescripciónArtículo RGPD
AccesoObtener confirmación de si se tratan sus datos y acceder a ellos.Art. 15
RectificaciónSolicitar la corrección de datos inexactos o incompletos.Art. 16
SupresiónSolicitar la eliminación de datos cuando ya no sean necesarios, salvo obligación legal de conservación.Art. 17
LimitaciónSolicitar la limitación del tratamiento en determinadas circunstancias.Art. 18
PortabilidadRecibir sus datos en formato estructurado y de uso común (JSON/CSV).Art. 20
OposiciónOponerse al tratamiento basado en interés legítimo.Art. 21

Para ejercer estos derechos, el trabajador deberá dirigirse al responsable del tratamiento por los canales internos habilitados. El plazo de respuesta es de un mes desde la recepción de la solicitud.

Asimismo, el interesado tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD)www.aepd.es.

9. Medidas de seguridad

De conformidad con el artículo 32 del RGPD y el artículo 28 de la LOPD-GDD, se aplican las siguientes medidas técnicas y organizativas:

  • Control de acceso: Autenticación mediante usuario y contraseña. Acceso basado en roles (administrador/empleado) con separación de privilegios.
  • Gestión de sesiones: Las sesiones se almacenan en sessionStorage (efímera, se elimina al cerrar el navegador) y no en cookies persistentes.
  • Principio de minimización: Solo se recogen los datos estrictamente necesarios para cada finalidad.
  • Cifrado (producción): En el entorno de producción, las comunicaciones se realizarán mediante HTTPS/TLS. Las contraseñas se almacenarán con hash seguro (bcrypt o argon2).
  • Registro de actividad: Los registros de jornada incluyen marcas temporales inmutables (hora de fichaje, IP/geolocalización si procede).
  • Copias de seguridad: El sistema permite la exportación completa de datos en formato JSON para respaldo.
  • Separación de datos: Cada empleado solo puede acceder a sus propios datos. Los administradores acceden a la gestión global conforme a sus funciones.
  • Política de contraseñas: Se recomienda establecer contraseñas robustas. En producción se implementará política de complejidad mínima y caducidad.

10. Geolocalización y derechos digitales

Conforme a los artículos 87 y 90 de la LOPD-GDD y al artículo 20.3 del Estatuto de los Trabajadores:

  • La geolocalización de fichajes solo se activa si la Empresa lo configura explícitamente.
  • Los trabajadores serán informados de forma clara y previa del uso de geolocalización.
  • Los datos de ubicación solo se utilizan para verificar el lugar de fichaje, no para vigilancia continua.
  • Los representantes de los trabajadores serán informados del uso de este sistema.
  • El trabajador podrá consultar en cualquier momento los datos de geolocalización asociados a sus fichajes.

11. Registro de actividades de tratamiento (RoPA · Art. 30)

La Empresa mantendrá actualizado el registro de actividades de tratamiento conforme al artículo 30 del RGPD, accesible desde el panel Cumplimiento > Legal RGPD > RoPA, e incluirá como mínimo:

  • Nombre y datos de contacto del responsable y, en su caso, del DPD.
  • Finalidades del tratamiento y base legal.
  • Categorías de interesados y de datos personales.
  • Categorías de destinatarios (incluidos terceros y organismos públicos).
  • Transferencias internacionales (en su caso).
  • Plazos previstos de conservación.
  • Descripción general de las medidas técnicas y organizativas de seguridad (Art. 32).

El sistema incluye 6 actividades por defecto (registro de jornada, gestión RRHH, control de acceso, geolocalización, comunicaciones internas, ATS) que pueden editarse y exportarse en CSV.

12. Delegado de Protección de Datos (DPD · Art. 37-39 RGPD)

La Empresa designará un Delegado de Protección de Datos cuando concurra alguno de los supuestos del artículo 37 del RGPD (especialmente, tratamientos a gran escala o de categorías especiales). Sus datos de contacto se publicarán en esta sección y en el panel administrativo:

Nombre del DPD(Configurable en Cumplimiento > Legal RGPD > DPD)
Email del DPD(Configurable)
Teléfono(Configurable)
Dirección postal(Configurable)

El DPD podrá ser consultado por cualquier interesado para todas las cuestiones relativas al tratamiento de sus datos y al ejercicio de sus derechos.

13. Notificación de violaciones de seguridad (Art. 33 y 34 RGPD)

En caso de violación de la seguridad de los datos personales, la Empresa procederá conforme al siguiente protocolo:

  1. Detección y registro inmediato en el sistema interno (panel Cumplimiento > Legal RGPD > Brechas).
  2. Notificación a la AEPD en un plazo máximo de 72 horas desde el conocimiento, salvo que la violación no constituya un riesgo para los derechos y libertades.
  3. Comunicación a los interesados sin dilación indebida cuando la violación entrañe un alto riesgo (Art. 34).
  4. Documentación interna de cualquier violación, incluidos hechos, efectos y medidas correctoras (registro inmutable).

El sistema genera automáticamente la plantilla normalizada de notificación a la AEPD, que se presentará en su sede electrónica.

14. Evaluación de impacto (DPIA · Art. 35 RGPD)

Antes de poner en marcha cualquier tratamiento que pueda implicar un alto riesgo para los derechos y libertades de los interesados, la Empresa realizará una Evaluación de Impacto en la Protección de Datos (DPIA). Esto resulta especialmente aplicable a:

  • Geolocalización continuada o sistemas de control biométrico.
  • Toma de decisiones automatizadas con efecto significativo (scoring, evaluación de desempeño basada en algoritmos).
  • Tratamientos a gran escala de categorías especiales (salud, sindical).
  • Combinación o cruce de datos procedentes de varias fuentes.

La DPIA se documenta y custodia en el panel Cumplimiento > Legal RGPD > DPIA, con consulta previa al DPD y, cuando proceda, al órgano de representación legal de los trabajadores.

15. Detección de accesos sospechosos

Conforme al artículo 32 RGPD, la aplicación incorpora medidas automáticas de detección de accesos anómalos:

  • Impossible travel: alerta cuando un mismo usuario inicia sesión desde dos ubicaciones geográficas que requerirían un desplazamiento físico imposible (> 800 km/h).
  • Cambio brusco de navegador o dispositivo en menos de una hora.
  • Bitácora de accesos con IP, fingerprint del dispositivo y resultado de cada autenticación, conservada 12 meses.
  • Notificación inmediata a los administradores cuando se detecta un patrón sospechoso.

16. Bitácora de consentimientos (Art. 7.1 RGPD)

Se mantiene un registro auditado de todas las aceptaciones, configuraciones personalizadas y revocaciones de consentimiento, con fecha exacta, identificador del interesado (cuando esté autenticado) y user-agent. Este registro permite acreditar la base jurídica del tratamiento y se exporta en CSV bajo demanda.

17. Inteligencia Artificial en RRHH (AI Act · Reglamento UE 2024/1689)

El Reglamento (UE) 2024/1689 sobre Inteligencia Artificial (en vigor desde 1 de agosto de 2024, aplicación plena el 2 de agosto de 2026) clasifica como sistemas de IA de alto riesgo a aquellos utilizados en el ámbito laboral para selección de personal, evaluación de rendimiento, atribución de tareas o monitorización del comportamiento del trabajador (Anexo III, punto 4).

En su configuración por defecto, TimeTrack no incorpora sistemas de IA de alto riesgo. Si la Empresa activa funcionalidades opcionales que utilicen IA (p.ej. detección automatizada de patrones anómalos de fichaje, predicción de absentismo, scoring de candidatos en el módulo ATS), se aplicarán las siguientes obligaciones:

  • Transparencia (Art. 13 AI Act): Información clara al trabajador sobre el uso de IA, su lógica subyacente y consecuencias previsibles.
  • Supervisión humana (Art. 14): Toda decisión automatizada relevante (sanción, no contratación, evaluación) requiere validación humana previa. Se prohíbe la decisión únicamente automatizada conforme al art. 22 RGPD.
  • Sistema de gestión de riesgos (Art. 9): Evaluación periódica de sesgos, exactitud y robustez del sistema, documentada en la DPIA del tratamiento.
  • Registro de eventos (Art. 12): Trazabilidad automática de las decisiones algorítmicas (qué modelo, qué entrada, qué salida, qué versión) durante al menos el plazo del registro horario (4 años).
  • Información a los representantes de los trabajadores conforme al art. 64 ET y al art. 22.4 LOPDGDD respecto al uso de algoritmos en la toma de decisiones.
  • Categoría especial — biometría: Cualquier reconocimiento biométrico (facial, huella) se considera tratamiento de categorías especiales (Art. 9 RGPD). Su uso requiere consentimiento explícito o disposición legal específica y DPIA obligatoria.

El interesado tiene derecho a obtener intervención humana, a expresar su punto de vista y a impugnar la decisión (Art. 22.3 RGPD). Las solicitudes se canalizan por los procedimientos descritos en la Sección 8.

18. Seguridad operativa y resiliencia (Directiva NIS2 · UE 2022/2555)

La Directiva NIS2 sobre medidas de ciberseguridad (transpuesta en España por la Ley 4/2025 sobre coordinación y gobernanza de la ciberseguridad) impone a las "entidades importantes" obligaciones específicas. Cuando la organización titular de TimeTrack quede sujeta a NIS2 por su tamaño y sector, la aplicación apoya el cumplimiento mediante:

  • Política de gestión de riesgos: Auditoría de logs, detección de accesos sospechosos (Sección 15), backups con verificación de integridad y plan de recuperación.
  • Notificación de incidentes: El módulo de brechas (Sección 13) genera la plantilla de notificación al INCIBE-CERT/CCN-CERT dentro del plazo de 24h (alerta temprana) y 72h (informe completo) exigido por NIS2.
  • Controles criptográficos: Cifrado AES-256-GCM at-rest disponible (configurable por el administrador) y TLS 1.3 obligatorio en producción mediante HSTS preload.
  • Cadena de suministro: Inventario de bibliotecas de terceros (Bootstrap, Bootstrap Icons, Inter, Leaflet) con SHA validable, sin CDNs externos críticos.

19. Datos compartidos y portabilidad (Data Act · UE 2023/2854)

El Reglamento (UE) 2023/2854 sobre normas armonizadas para un acceso justo a los datos y su utilización (Data Act, aplicable desde el 12 de septiembre de 2025) refuerza el derecho a la portabilidad. TimeTrack permite al interesado, en cualquier momento:

  • Exportar todos sus datos personales en formato estructurado, de uso común y lectura mecánica (JSON y CSV) desde el panel Mi perfil > Mis datos > Solicitar acceso (SAR).
  • Transferencia directa a otro responsable cuando sea técnicamente posible (Art. 20 RGPD).
  • Acceso a datos generados por dispositivos conectados (kiosko, lectores QR) con la misma equiparación que los datos de fichaje.

20. Derecho a la desconexión digital (Art. 88 LOPDGDD · DA 14ª ET)

Se reconoce y garantiza el derecho del trabajador a la desconexión digital fuera del horario laboral. La aplicación incorpora salvaguardas:

  • Modo "No molestar" (DND) configurable por usuario que silencia notificaciones push y email transaccional fuera del horario establecido.
  • El registro horario no se utilizará para exigir disponibilidad ni respuestas fuera del horario laboral.
  • Las notificaciones programadas a destinatarios fuera de su horario habitual se aplazan automáticamente al inicio de la siguiente jornada.
  • El trabajador podrá deshabilitar individualmente los canales de notificación desde su perfil (email, push, in-app) sin consecuencias para su evaluación.

21. Jurisprudencia relevante (actualización 2026)

El sistema se adecúa a los criterios establecidos por los principales pronunciamientos jurisprudenciales:

  • STS Sala 4ª 246/2019 (sobre el deber de registro horario): el sistema garantiza la accesibilidad e inalterabilidad de los registros.
  • STC 119/2022 (videovigilancia y control empresarial): se aplica el principio de proporcionalidad, mínimo impacto y deber de información previa.
  • STS Sala 4ª 28/04/2022 (geolocalización): la activación requiere causa justificada, información expresa al trabajador y proporcionalidad temporal y geográfica.
  • STS Sala 4ª 1097/2023 (control de horario por IP): la dirección IP utilizada como mecanismo de fichaje no constituye dato personal identificativo aislado pero requiere garantías equivalentes.
  • SAN 25/01/2024 (acceso de la representación a registros): los representantes legales tienen acceso a los registros agregados sin necesidad de solicitud individual.

Política de Cookies y Almacenamiento Local

Última actualización: 10 de mayo de 2026 (v3.55.0 — actualización completa del inventario de claves de almacenamiento, ePrivacy y Guía AEPD 2024)

1. ¿Qué son las cookies y el almacenamiento local?

Las cookies son pequeños archivos de texto que los sitios web almacenan en el dispositivo del usuario. El almacenamiento local (localStorage y sessionStorage) es un mecanismo similar del navegador que permite a las aplicaciones web guardar datos de forma local.

Conforme al artículo 22.2 de la LSSI-CE (Ley 34/2002), informamos que esta aplicación utiliza almacenamiento local del navegador. A efectos legales, el almacenamiento local recibe el mismo tratamiento que las cookies.

2. Tipos de almacenamiento utilizado

2.1. Almacenamiento necesario (técnico)

Imprescindible para el funcionamiento básico de la aplicación. No requiere consentimiento conforme al art. 22.2 LSSI-CE (excepción de cookies técnicas).

NombreTipoDuraciónFinalidad
fichaje:sessionsessionStorageSesión del navegadorAutenticación del usuario (id, rol, token de sesión)
fichaje:seededlocalStoragePersistenteIndicador de inicialización de datos demo
fichaje:consentlocalStoragePersistenteAlmacena las preferencias de consentimiento del usuario
fichaje:employeeslocalStoragePersistenteDatos de empleados de la aplicación
fichaje:entrieslocalStoragePersistenteRegistros de jornada laboral
fichaje:absenceslocalStoragePersistenteSolicitudes de ausencias y vacaciones
fichaje:scheduleslocalStoragePersistenteHorarios asignados a empleados
fichaje:holidayslocalStoragePersistenteCalendario de festivos
fichaje:announcementslocalStoragePersistenteComunicados internos
fichaje:documentslocalStoragePersistenteDocumentos asignados a empleados
fichaje:notificationslocalStoragePersistenteNotificaciones internas
fichaje:userslocalStoragePersistenteCredenciales y roles de acceso
fichaje:configlocalStoragePersistenteConfiguración de la empresa
fichaje:departmentslocalStoragePersistenteDepartamentos de la empresa
fichaje:update_dismissedsessionStorageSesiónRecordar si el usuario cerró el banner de actualización

2.2. Almacenamiento funcional

Mejora la experiencia de uso pero no es imprescindible. Requiere consentimiento.

NombreTipoDuraciónFinalidad
fichaje:langlocalStoragePersistentePreferencia de idioma del usuario (es/en)
fichaje:themelocalStoragePersistentePreferencia de modo claro/oscuro
fichaje:colorThemelocalStoragePersistentePaleta de color (Atlántico / Factorial / Nimbus)
fichaje:brandinglocalStoragePersistenteWhite-label personalizado: logo, color y nombre de empresa (sólo admin Pro+)
fichaje:setup:statelocalStoragePersistenteEstado de la lista de configuración inicial (tareas completadas, dismissed)
fichaje:tour:completedlocalStoragePersistenteMarca el tour de producto como visto
fichaje:cmdk:recentslocalStoragePersistenteComandos recientes de la paleta ⌘K (últimos 5)
fichaje:whatsnew:lastSeenlocalStoragePersistenteÚltima versión vista en el panel "Novedades"
fichaje:planlocalStoragePersistentePlan contratado actual (Free / Pro / Enterprise) y trial
fichaje:plans:saleModelocalStoragePersistenteToggle on/off del modelo comercial (uso interno)
fichaje:plan:bannerDismissedlocalStoragePersistenteRecordatorio de cierre del banner de prueba/upgrade
fichaje:custom_reportslocalStoragePersistenteReportes guardados por el constructor de reportes (sólo Pro+)

2.3. Almacenamiento analítico

Actualmente no se utiliza ningún sistema de analítica web ni cookies de terceros. Si en el futuro se incorporara algún servicio de análisis, se actualizará esta política y se solicitará consentimiento previo.

2.4. Cookies de terceros

Esta aplicación no instala cookies de terceros. En caso de que se integren servicios externos (p.ej. Google Maps para previsualización de ubicación), estos pueden instalar sus propias cookies conforme a sus respectivas políticas de privacidad.

3. Consentimiento

Al acceder por primera vez a la aplicación, se muestra un banner de consentimiento con las siguientes opciones:

  • Aceptar todas: Acepta todas las categorías (necesarias + funcionales + analíticas).
  • Solo necesarias: Rechaza las categorías opcionales; solo se activan las cookies técnicas necesarias.
  • Configurar: Permite seleccionar individualmente qué categorías activar o desactivar.

El consentimiento se almacena en fichaje:consent con marca temporal y versión, y puede revocarse en cualquier momento.

4. Revocación y gestión del consentimiento

El usuario puede revocar o modificar su consentimiento en cualquier momento a través de:

  • El enlace "Gestionar cookies" disponible en el pie de todas las páginas de la aplicación.
  • La sección Configuración del panel de administración.
  • Eliminando manualmente los datos del almacenamiento local del navegador (Herramientas de desarrollo > Application > Storage).

Al revocar el consentimiento, se eliminarán las cookies no necesarias y se volverá a mostrar el banner de consentimiento.

5. Base legal

  • LSSI-CE (Ley 34/2002), artículo 22.2 — Regulación del uso de cookies y dispositivos de almacenamiento.
  • RGPD (UE 2016/679), artículos 6 y 7 — Consentimiento como base legal para el tratamiento.
  • LOPD-GDD (LO 3/2018), disposiciones concordantes sobre consentimiento y transparencia.
  • Directiva ePrivacy (2002/58/CE) y Reglamento ePrivacy (en negociación) — Confidencialidad de las comunicaciones electrónicas y dispositivos.
  • Guía sobre el uso de las cookies de la AEPD (versión 2024, actualizada con criterios EDPB).
  • Reglamento (UE) 2024/1689 (AI Act): No aplica a cookies estrictas, pero sí a cualquier uso analítico que implique inferencia algorítmica de comportamiento del usuario.

Aviso Legal y Condiciones de Uso

Última actualización: 10 de mayo de 2026 (v3.55.0 — incorpora AI Act, NIS2, Data Act y jurisprudencia 2022-2024)

1. Datos identificativos del titular

En cumplimiento del artículo 10 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE), se informa que el titular de esta aplicación web es la empresa que la haya instalado y configurado (en adelante, "la Empresa"), cuyos datos de identificación, domicilio social, CIF y datos de contacto estarán disponibles en la sección Configuración > Datos de la empresa del panel de administración.

2. Objeto

TimeTrack es un sistema de registro de jornada laboral y gestión de recursos humanos diseñado para dar cumplimiento a las obligaciones establecidas en:

  • Artículo 34.9 del Estatuto de los Trabajadores (modificado por el Real Decreto-ley 8/2019, de 8 de marzo): Obligación de la empresa de garantizar el registro diario de jornada de sus trabajadores.
  • Artículo 7 del Real Decreto-ley 8/2019: Registro de jornada obligatorio incluyendo hora de inicio y finalización.

3. Condiciones de acceso y uso

El acceso a la aplicación está restringido a los usuarios autorizados por la Empresa mediante credenciales individuales. Al utilizar la aplicación, el usuario se compromete a:

  • Utilizar la aplicación exclusivamente para los fines laborales previstos.
  • No compartir sus credenciales de acceso con terceros.
  • Fichar de forma veraz y puntual, reflejando fielmente la hora real de inicio y fin de la jornada.
  • No manipular, falsificar o alterar los registros de jornada.
  • Comunicar inmediatamente cualquier incidencia, error o uso no autorizado de su cuenta.
  • Cumplir con las políticas internas de la Empresa relativas al registro de jornada.

4. Obligaciones del empleador

Conforme a la legislación vigente, la Empresa se compromete a:

  • Garantizar un sistema de registro de jornada fiable, inalterable y accesible para todos los trabajadores.
  • Conservar los registros durante un mínimo de 4 años.
  • Poner los registros a disposición de los trabajadores, sus representantes legales y la Inspección de Trabajo.
  • Respetar los derechos fundamentales del trabajador, incluido el derecho a la intimidad y a la protección de datos.
  • Informar a los trabajadores y a sus representantes sobre el sistema de registro utilizado.
  • No utilizar los datos del registro de jornada para finalidades distintas al control horario, salvo las previstas legalmente.

5. Régimen sancionador

El incumplimiento de la obligación de registro de jornada por parte del empleador está tipificado como infracción grave en el artículo 7.5 del Real Decreto Legislativo 5/2000 (LISOS), con sanciones de:

  • Grado mínimo: 751 € a 1.500 €
  • Grado medio: 1.501 € a 3.750 €
  • Grado máximo: 3.751 € a 7.500 €

La falsificación de registros de jornada por parte de un trabajador podrá dar lugar a sanciones disciplinarias conforme al convenio colectivo aplicable y al Estatuto de los Trabajadores.

6. Propiedad intelectual e industrial

El código fuente, diseño, estructura y contenidos de TimeTrack están protegidos por las leyes de propiedad intelectual e industrial vigentes. Queda prohibida la reproducción, distribución, comunicación pública o transformación no autorizada de los mismos.

7. Responsabilidad

  • La Empresa no será responsable de las interrupciones o errores en el funcionamiento de la aplicación derivados de causas de fuerza mayor, fallos del navegador o del dispositivo del usuario.
  • En la versión de demostración, los datos se almacenan en el navegador (localStorage). La Empresa no se responsabiliza de la pérdida de datos almacenados localmente.
  • En el entorno de producción, la Empresa implementará las medidas de seguridad y respaldo adecuadas conforme al artículo 32 del RGPD.

8. Derechos digitales del trabajador

Conforme al Título X de la LOPD-GDD (LO 3/2018), se reconocen los siguientes derechos digitales en el ámbito laboral:

  • Art. 87 — Derecho a la intimidad y uso de dispositivos digitales: Los sistemas de control empresarial deben respetar la dignidad del trabajador.
  • Art. 88 — Derecho a la desconexión digital: El sistema de fichaje no podrá utilizarse para exigir disponibilidad fuera del horario laboral.
  • Art. 89 — Derecho a la intimidad frente al uso de dispositivos de videovigilancia y grabación: No aplica directamente, pero informa el principio de proporcionalidad.
  • Art. 90 — Derecho a la intimidad ante la utilización de sistemas de geolocalización: Si se activa la geolocalización, los trabajadores serán informados de forma expresa, clara e inequívoca.

9. Normativa aplicable

9.1 Protección de datos y derechos digitales

  • Reglamento (UE) 2016/679 (RGPD) — Reglamento General de Protección de Datos.
  • Ley Orgánica 3/2018 (LOPDGDD) — Protección de Datos Personales y Garantía de los Derechos Digitales (especialmente Título X — derechos digitales en el ámbito laboral, arts. 87-91).
  • Reglamento (UE) 2024/1689 — Inteligencia Artificial (AI Act). Aplicable parcialmente desde 2-feb-2025; capítulos III y IV plenamente aplicables el 2-ago-2026.
  • Reglamento (UE) 2023/2854 — Data Act. Aplicable desde 12-sep-2025.
  • Directiva (UE) 2022/2555 (NIS2) — Ciberseguridad de redes y sistemas de información. Transposición española vigente.
  • Ley 34/2002 (LSSI-CE) — Servicios de la Sociedad de la Información y Comercio Electrónico.
  • Directiva (UE) 2002/58 (ePrivacy) — Tratamiento de datos personales en comunicaciones electrónicas.

9.2 Derecho laboral español

  • Real Decreto Legislativo 2/2015 — Estatuto de los Trabajadores (especialmente art. 20.3 facultades de dirección, art. 34.9 registro de jornada, art. 64 derechos de información de la representación).
  • Real Decreto-ley 8/2019, de 8 de marzo — Medidas urgentes de protección social: introdujo la obligación del registro horario.
  • Disposición Adicional 14ª ET — Derecho a la desconexión digital, en relación con el art. 88 LOPDGDD.
  • Real Decreto Legislativo 5/2000 (LISOS) — Ley sobre Infracciones y Sanciones en el Orden Social (art. 7.5: incumplimiento del registro horario, sanciones de 751 € a 7.500 €).
  • Real Decreto-ley sobre registro horario digital (cuando entre en vigor el desarrollo reglamentario, previsto 2026): formato normalizado de registro y exportación a Inspección de Trabajo.

9.3 Jurisprudencia relevante

  • STS Sala 4ª 246/2019 y posteriores — Interpretación del deber de registro horario.
  • STC 119/2022 — Control empresarial mediante videovigilancia: principio de proporcionalidad y deber de información.
  • STS Sala 4ª 28/04/2022 — Geolocalización en el ámbito laboral.
  • STJUE C-55/18 (CCOO vs Deutsche Bank) — Deber europeo de registro horario diario.
  • SAN 25/01/2024 — Acceso de los representantes de los trabajadores a los registros agregados.

10. Jurisdicción

Para la resolución de cualquier controversia derivada del uso de esta aplicación o de la interpretación de estas condiciones, las partes se someten a los juzgados y tribunales del domicilio social de la Empresa, sin perjuicio de la jurisdicción social competente para las cuestiones laborales.

11. Modificación de las condiciones

La Empresa se reserva el derecho de modificar estas condiciones en cualquier momento. Las modificaciones se comunicarán a los usuarios a través de la aplicación y entrarán en vigor desde su publicación. El uso continuado de la aplicación tras la modificación implica la aceptación de las nuevas condiciones.

Acuerdo de Encargo de Tratamiento (DPA)

Última actualización: 17 de mayo de 2026 (v2.6.53) · Conforme Art. 28 RGPD + Cláusulas Contractuales Tipo UE (Decisión 2021/915 CE)

Este Acuerdo de Encargo de Tratamiento (en adelante DPA) regula la relación entre TimeTrack (el Encargado del Tratamiento) y el Cliente (el Responsable del Tratamiento) en cumplimiento del artículo 28 del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

1. Definiciones

  • Datos personales: toda información sobre una persona física identificada o identificable tratada en el marco del Servicio.
  • Responsable: el Cliente que contrata el Servicio y determina los fines y medios del tratamiento.
  • Encargado: TimeTrack, que trata los datos por cuenta del Responsable.
  • Sub-encargado: tercero contratado por TimeTrack con el consentimiento general del Cliente (lista actualizada en la pestaña «Sub-processors»).
  • Interesado: persona física cuyos datos son tratados (empleados, candidatos, contactos).

2. Objeto y duración del tratamiento

El presente DPA tiene por objeto regular el tratamiento de datos personales que TimeTrack realiza por cuenta del Cliente al prestar el Servicio descrito en las Condiciones de Uso. La duración será la de la suscripción al Servicio, prolongándose hasta la devolución o supresión definitiva de los datos conforme a la cláusula 11.

3. Naturaleza y finalidad del tratamiento

  • Naturaleza: registro de jornada, gestión de empleados, control de ausencias, generación de nóminas, cumplimiento RD 8/2019, comunicación interna, archivo documental.
  • Finalidad: prestar los servicios del Software-as-a-Service (SaaS) TimeTrack al Cliente conforme al contrato suscrito.

4. Tipos de datos personales tratados

  • Datos identificativos: nombre, apellidos, DNI/NIE, fecha de nacimiento, fotografía (opcional).
  • Datos de contacto: email corporativo, teléfono móvil, dirección postal (opcional).
  • Datos laborales: puesto, departamento, categoría profesional, salario, fechas de alta y baja, contratos.
  • Datos de jornada: hora de entrada/salida, pausas, ausencias, vacaciones, ubicación GPS si el geofence está activo (precisión ±10m).
  • Datos técnicos: IP, user-agent, identificadores de sesión, logs de auditoría.
  • Datos biométricos (categoría especial Art. 9): solo si el Cliente activa autenticación biométrica (huella, facial) en el dispositivo del empleado. TimeTrack NO procesa biometría server-side — la verificación ocurre en el dispositivo, solo el resultado booleano viaja al server.

5. Categorías de interesados

  • Empleados activos e inactivos del Cliente.
  • Candidatos en procesos de selección (módulo ATS opcional).
  • Contactos comerciales del Cliente (módulo CRM ligero, opcional).

6. Obligaciones del Encargado (TimeTrack)

  1. Tratar los datos únicamente siguiendo instrucciones documentadas del Responsable, salvo obligación legal aplicable a TimeTrack.
  2. Garantizar la confidencialidad mediante acuerdos firmados por todo el personal con acceso a datos personales.
  3. Implementar medidas técnicas y organizativas apropiadas (Art. 32 RGPD) detalladas en la pestaña «Política de Seguridad».
  4. Asistir al Responsable en el cumplimiento de los derechos de los interesados (Art. 12-22).
  5. Asistir al Responsable en el cumplimiento de las obligaciones de los Art. 32-36 (seguridad, notificación de brechas, evaluaciones de impacto).
  6. Notificar al Responsable las brechas de seguridad en un plazo máximo de 24 horas desde el conocimiento (más estricto que el plazo de 72h del RGPD entre Responsable y AEPD).
  7. Devolver o suprimir los datos personales al finalizar la prestación del servicio (cláusula 11).
  8. Mantener un registro de actividades de tratamiento conforme al Art. 30.2 RGPD a disposición del Responsable.
  9. Permitir auditorías del Responsable o de terceros designados, una vez al año, con preaviso de 30 días, sin coste si TimeTrack ha tenido un incidente de seguridad en los 12 meses anteriores.

7. Sub-encargados

El Cliente autoriza con carácter general a TimeTrack a recurrir a los sub-encargados listados en la pestaña «Sub-processors». TimeTrack notificará al Cliente con un mínimo de 30 días de antelación cualquier alta, baja o cambio en la lista, otorgándole derecho de oposición razonada. Si el Cliente se opone fundadamente, TimeTrack ofrecerá una alternativa o, en su defecto, el Cliente podrá rescindir el contrato sin penalización.

Cada sub-encargado debe asumir contractualmente las mismas obligaciones que TimeTrack en este DPA.

8. Transferencias internacionales

Los datos se tratan principalmente en el Espacio Económico Europeo (EEE) — España y Alemania. Cuando algún sub-encargado opere desde fuera del EEE (caso de Stripe Inc. para procesamiento de pagos), TimeTrack garantiza la transferencia mediante:

  • Cláusulas Contractuales Tipo de la Decisión 2021/914/CE de la Comisión Europea.
  • Evaluación de impacto conforme a la sentencia Schrems II (C-311/18) cuando el destino sea EE.UU.
  • Medidas suplementarias técnicas (cifrado end-to-end, pseudonimización) cuando proceda.

9. Derechos de los interesados

TimeTrack pone a disposición del Cliente:

  • Export RGPD: descarga estructurada en JSON+CSV de todos los datos personales de un interesado (Art. 15 + 20).
  • Anonimización Art. 17: eliminación del nombre, DNI, email manteniendo solo los datos agregados necesarios para cumplir las obligaciones legales (RD 8/2019 obliga a conservar el registro de jornada 4 años pero permite anonimizar el ID personal).
  • Rectificación inline: el admin del Cliente puede corregir cualquier dato personal en la app.
  • Portabilidad: export en formato CSV con BOM+UTF-8 compatible con la mayoría de competidores.

10. Notificación de brechas de seguridad

Si TimeTrack detecta una brecha que afecte datos del Cliente, notificará por email al contacto designado en máximo 24 horas con:

  • Naturaleza de la brecha + categorías de datos + número aproximado de interesados.
  • Consecuencias probables.
  • Medidas correctivas adoptadas o propuestas.
  • Persona de contacto técnico para el follow-up.

11. Devolución y supresión de datos al finalizar

Al finalizar la prestación del servicio (cancelación, no renovación, terminación), el Cliente dispone de 30 días naturales para descargar sus datos en formato estructurado. Transcurrido ese plazo:

  • Los datos en producción se eliminan completamente (hard-delete + tombstones).
  • Los datos en backups cifrados se purgan en máximo 90 días adicionales.
  • TimeTrack emite un certificado de eliminación firmado al Cliente.

Excepción: TimeTrack conservará los datos requeridos por obligación legal (registro fiscal, RD 8/2019 4 años) en frío, anonimizando los identificadores cuando legalmente sea posible.

12. Responsabilidad y limitación

Cada parte responde de sus propios incumplimientos. La responsabilidad agregada de TimeTrack frente al Cliente por incumplimientos del DPA queda limitada al importe total facturado en los 12 meses anteriores al incidente, salvo en casos de dolo o culpa grave donde se aplicará la normativa imperativa.

13. Aceptación

El presente DPA se considera aceptado por el Cliente al activar su workspace en el Servicio o al continuar usándolo tras la publicación de actualizaciones. Para clientes Enterprise existe versión firmable bilateralmente — solicitar a legal@timetrack.app.

Sub-processors

Última actualización: 17 de mayo de 2026 (v2.6.53) · Notificación de cambios con 30 días de antelación por email

TimeTrack contrata únicamente los sub-encargados estrictamente necesarios para prestar el Servicio. Todos firman acuerdos contractuales con obligaciones equivalentes a las del DPA principal (Art. 28.4 RGPD).

1. Infraestructura

ProveedorServicioUbicaciónDatos accedidos
Hetzner Online GmbH Hosting servidor primario (BD + app) Falkenstein, Alemania Todos los datos del Servicio (cifrados en reposo)
OVHcloud Hosting secundario (backups offsite) Madrid + Estrasburgo Backups cifrados AES-256
Cloudflare, Inc. CDN + DDoS protection + WAF Tránsito EEE (no almacenamiento) Solo headers HTTP + IP origen (no payloads)

2. Pagos

ProveedorServicioUbicaciónDatos accedidos
Stripe Payments Europe Ltd. Procesamiento tarjetas + facturación Dublín, Irlanda Email facturación, razón social, NIF, importe

3. Email transaccional

ProveedorServicioUbicaciónDatos accedidos
Brevo (ex Sendinblue) — Sendinblue SAS Envío de emails (verificación, reset, invitaciones, notificaciones) París, Francia Email destinatario, contenido del email

4. Mapas y geolocalización

ProveedorServicioUbicaciónDatos accedidos
OpenStreetMap Foundation Tiles de mapas (geofence visual) Reino Unido (UK Adequacy) Solo coordenadas geográficas (no identificadores)
CartoDB UK Ltd. Basemaps alternativos (estilo claro/oscuro) Londres, Reino Unido Solo coordenadas geográficas (no identificadores)

5. Fuentes web

ProveedorServicioUbicaciónDatos accedidos
Bunny.net — BunnyWay d.o.o. Bunny Fonts (alternativa GDPR-safe a Google Fonts) Liubliana, Eslovenia Solo IP del usuario (no cookies ni tracking)

6. Sub-processors opcionales

Los siguientes solo se activan si el Cliente los configura expresamente:

ProveedorServicioUbicaciónActivación
Google LLC Google Sign-In (login con cuenta Google) EE.UU. (CCT firmadas) El Cliente lo activa en Configuración → SSO
Microsoft Ireland Operations Ltd. Microsoft / Azure AD SSO Dublín, Irlanda El Cliente lo activa en Configuración → SSO
Slack Technologies, LLC Webhooks Slack (notificaciones a canales) EE.UU. (CCT firmadas) El Cliente configura webhook URL
Twilio Inc. SMS de 2FA (opcional) EE.UU. (CCT firmadas) Solo para Plan Enterprise que active 2FA por SMS

7. Notificación de cambios

Cualquier alta, baja o cambio de sub-encargado se anuncia con 30 días de antelación mediante:

  • Email a los administradores del Cliente registrados con el rol admin.
  • Banner persistente en el panel admin durante esos 30 días.
  • Actualización de esta página con cambio de fecha en «Última actualización».

El Cliente puede oponerse fundadamente. Si TimeTrack no puede ofrecer una alternativa razonable, el Cliente podrá rescindir el contrato sin penalización.

8. Suscripción a notificaciones

Para recibir los cambios directamente sin depender del admin panel, suscríbete enviando un email a legal@timetrack.app con asunto «Suscripción a cambios de sub-processors».

Política de Seguridad

Última actualización: 17 de mayo de 2026 (v2.6.53) · Conforme Art. 32 RGPD, NIS2, ENS Media, ISO 27001 (en proceso de certificación)

Esta política describe las medidas técnicas y organizativas que TimeTrack implementa para proteger los datos personales conforme al Art. 32 RGPD, principio de seguridad del tratamiento.

1. Cifrado

  • En tránsito: TLS 1.3 obligatorio. HSTS con preload (2 años + includeSubDomains). Perfect Forward Secrecy. Suites de cifrado seguras únicamente (ECDHE-AES-GCM).
  • En reposo: AES-256 a nivel de disco (filesystem + BD).
  • Backups: AES-256 con clave separada rotada anualmente. Almacenados en proveedor distinto al primario (defense-in-depth).
  • Contraseñas: bcrypt cost 12 (mínimo). Resistente a ataques offline con GPU.
  • Tokens: SHA-256 hash en BD (reset, verify, invitations, PAT). Plaintext jamás persistido — solo viaja en el email.

2. Control de acceso

  • RBAC granular: 4 roles base (admin/manager/payroll/employee) + permisos personalizables.
  • 2FA obligatorio para admins Plan Enterprise (TOTP + códigos de backup).
  • SSO SAML/OAuth2: integración con IdP corporativo (Okta, Azure AD, Google Workspace).
  • JWT con expiración: 1h por defecto + refresh token + revocación instantánea desde el panel de sesiones.
  • Principio de menor privilegio: empleados internos de TimeTrack solo acceden a datos de clientes con justificación y registro.

3. Integridad y trazabilidad

  • Firma criptográfica: cada fichaje HMAC-SHA256 + chain-hash al anterior.
  • Audit log inmutable: todas las acciones críticas + diff de cambios + IP + user_id.
  • TSA anchoring (Plan Enterprise): timestamping authority RFC 3161 contra notario digital.
  • Detección de manipulación: alertas automáticas si el chain-hash se rompe.

4. Disponibilidad y resiliencia

  • SLA: 99.9% mensual (Plan Pro) / 99.95% mensual (Plan Enterprise con créditos por incumplimiento).
  • Backups: cada 4 horas, retención 30 días. RPO ≤ 4h, RTO ≤ 4h.
  • Multi-AZ: replicación síncrona BD primary↔replica en datacenters distintos.
  • DDoS protection: Cloudflare en frente con WAF (Web Application Firewall).
  • Rate-limiting: por IP + por usuario + por API token con cabeceras X-RateLimit-* documentadas.

5. Desarrollo seguro (SDLC)

  • Code review obligatorio antes de merge a main por al menos un revisor distinto.
  • SAST: análisis estático automatizado (Psalm + ESLint security plugins).
  • Dependency scanning: Dependabot + Snyk en cada PR.
  • Secret scanning: GitGuardian impide commits con credenciales accidentales.
  • Pentests anuales por terceros independientes (próximo: Q4 2026).
  • Bug bounty: programa público con recompensas según CVSS (mín. 50€ low, máx. 5.000€ critical).

6. Gestión de incidentes

  • Plan de respuesta documentado con roles, comunicación, contención, erradicación, recuperación, post-mortem.
  • Notificación al Cliente: máximo 24h tras conocimiento de la brecha.
  • Notificación a AEPD: 72h si afecta datos personales (cuando aplique).
  • Status page pública: status.timetrack.app con uptime histórico + incidentes.

7. Personal y formación

  • Acuerdos de confidencialidad firmados por todos los empleados internos al ingresar.
  • Onboarding de seguridad: formación obligatoria en RGPD + secure coding + phishing awareness en los primeros 30 días.
  • Background check para personal con acceso a datos de clientes.
  • Recertificación anual de privilegios de acceso.

8. Cumplimiento y auditorías

  • RGPD: cumplimiento documentado por DPO interno + asesoría legal externa.
  • NIS2: incorporamos las obligaciones aplicables a servicios digitales esenciales.
  • ENS Media: Esquema Nacional de Seguridad (Real Decreto 311/2022), categoría Media — requerimiento para clientes del sector público español.
  • ISO 27001: en proceso de certificación (estimado Q2 2027).
  • SOC 2 Type II: en preparación para Plan Enterprise (Q4 2027).

9. Política de retención

  • Datos en producción: mientras dure la relación contractual + 30 días de gracia tras cancelación.
  • Registros de jornada (RD 8/2019): 4 años obligatorios. Tras ese plazo, anonimización automática manteniendo agregados.
  • Audit log: 4 años (mismo plazo RD 8/2019 para coherencia probatoria).
  • Logs técnicos (acceso, errores): 90 días.
  • Backups cifrados: 30 días en rotación.

10. Reportar una vulnerabilidad

Si has detectado una vulnerabilidad de seguridad, sigue el procedimiento de disclosure responsable descrito en /.well-known/security.txt (RFC 9116). Envía el reporte cifrado con PGP a security@timetrack.app. Respondemos en 24h con acknowledgment + plan de remediación.

No uses redes sociales, el formulario de contacto público ni issue trackers de GitHub para reportes de seguridad — comprometería la confidencialidad del fix antes del parche.