Política de Privacidad y Cookies

Introducción

La presente Política de Privacidad regula el tratamiento de los datos personales recopilados a través del sitio web https://imadsync.com (en adelante, la "Web") y de la plataforma de control horario y gestión laboral ImadSync (en adelante, la "Plataforma"), titularidad de Ramón Jové Díaz, con NIF 47635894L, con domicilio en Calle Josep María Juncadella 67, 43882 Segur de Calafell(en adelante, "el Proveedor" o la "Empresa"). Contacto general: soporte@imadsync.com. Contacto en materia de protección de datos: privacidad@imadsync.com.

El acceso y uso de la Plataforma implica la aceptación plena y sin reservas de la presente Política. Recomendamos su lectura detenida.

Objeto

Esta Política tiene por objeto describir el tratamiento de los datos personales que se lleve a cabo a través de la Plataforma, de conformidad con el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD).

Roles en el tratamiento

El Proveedor desempeña dos roles distintos según la categoría de datos personales tratados. Esta diferenciación, exigida por la doctrina de la AEPD, determina la base jurídica aplicable, las obligaciones de cada parte y el destinatario al que el interesado debe dirigir el ejercicio de sus derechos.

A. Datos de la empresa cliente y de las personas que la representan

Datos del administrador titular del tenant, miembros con acceso al panel y personas de contacto del Cliente (alta en la plataforma, datos fiscales, facturación, soporte, correo comercial).

Para estos datos el Proveedor actúa como Responsable del tratamiento (art. 4.7 RGPD). Bases jurídicas:

• Ejecución del contrato (art. 6.1.b RGPD) para la prestación del servicio SaaS, gestión de la cuenta, soporte y facturación.
• Obligación legal (art. 6.1.c RGPD) para la emisión de facturas, conservación contable (Ley 58/2003 General Tributaria, Código de Comercio) y atención de requerimientos de autoridades competentes.
• Interés legítimo (art. 6.1.f RGPD) para seguridad informática, prevención de fraude y mejora del servicio, previa ponderación documentada.

Los derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad, oposición) sobre estos datos se ejercen ante el Proveedor en privacidad@imadsync.com.

B. Datos de los empleados y colaboradores del Cliente

Datos laborales de los trabajadores que el Cliente da de alta en la Plataforma (identificativos, registros de jornada, ausencias, vacaciones, etc.).

Para estos datos el Cliente es Responsable del tratamiento y el Proveedor actúa como Encargado del tratamiento en modalidad Cloud / SaaS, conforme al art. 28 RGPD y al Contrato de Encargo de Tratamiento (DPA). Como Responsable, le corresponde al Cliente:

• Determinar la finalidad y medios del tratamiento (qué módulos activa, si usa geolocalización, etc.).
• Informar previamente a los trabajadores conforme al art. 13 RGPD y art. 87 LOPDGDD.
• Atender las solicitudes ARSULIPO de sus empleados. El Proveedor asiste como Encargado, pero la respuesta legalmente vinculante la firma el Cliente.
• Mantener su propio Registro de Actividades de Tratamiento (art. 30 RGPD).

El Proveedor pone a disposición del Cliente herramientas para ejercer estas obligaciones (formulario público de solicitud RGPD, generador de cláusula informativa para empleados, RAT base descargable desde el panel) pero NO sustituye la responsabilidad legal del Cliente como Responsable.

Categorías de datos tratados

Dependiendo de las funcionalidades contratadas y del uso efectivo de la Plataforma, podrán tratarse las siguientes categorías:

• Datos identificativos: nombre, apellidos, email, teléfono.
• Datos laborales: centro de trabajo, puesto, horas de jornada.
• Registros de fichaje: hora de inicio, pausa y fin.
• Geolocalización (únicamente en el momento del fichaje y con previo aviso/configuración de la empresa; nunca en segundo plano).
• Datos sobre vacaciones, ausencias, bajas con o sin justificante.
• Datos técnicos: IP, dispositivo, navegador.
• Datos relacionados con soporte técnico.

No se tratan datos biométricos. La firma digital que ofrece ImadSync vincula IP, navegador y marca temporal, sin recolectar trazos biométricos.

Finalidades del tratamiento

Los datos personales se tratarán con las siguientes finalidades:

• Prestación del servicio de control horario y gestión laboral.
• Generación de informes laborales obligatorios por ley.
• Gestión de solicitudes de soporte.
• Gestión de vacaciones y ausencias.
• Cumplimiento de obligaciones legales en materia laboral.
• Mejora de la Plataforma y seguridad (auditoría).

Base legal

• Ejecución del contrato (art. 6.1.b RGPD): prestación del servicio de la plataforma.
• Cumplimiento de obligaciones legales (art. 6.1.c RGPD): registro horario obligatorio según RD-ley 8/2019.
• Interés legítimo (art. 6.1.f RGPD) en conexión con el art. 20.3 del Estatuto de los Trabajadores: control empresarial proporcional para verificar la presencia del trabajador en el centro asignado mediante geolocalización puntual en el momento del fichaje. Únicamente cuando la empresa Responsable activa expresamente esta función por sede (desactivada por defecto). Su activación implica que el Responsable ha realizado el test de ponderación previo y ha informado a los trabajadores conforme al art. 13 RGPD y art. 87 LOPDGDD. No se basa en el consentimiento del trabajador, dado el desequilibrio inherente a la relación laboral (Dictamen WP249 del Grupo de Trabajo del art. 29 y doctrina AEPD).
• Interés legítimo (art. 6.1.f RGPD): seguridad mediante logs de auditoría y prevención del fraude en fichajes.

Geolocalización

La funcionalidad de geolocalización se encuentra desactivada por defecto en todos los entornos de ImadSync. La base jurídica del tratamiento, cuando el Responsable la activa, es el interés legítimo del empleador (art. 6.1.f RGPD) en conexión con el art. 20.3 del Estatuto de los Trabajadores, que faculta al empresario para adoptar medidas proporcionales de vigilancia y control del cumplimiento de las obligaciones laborales, guardando la consideración debida a la dignidad del trabajador. El consentimiento del trabajador no constituye base válida por el desequilibrio inherente a la relación laboral (Dictamen WP249 del Grupo de Trabajo del art. 29 y doctrina reiterada de la AEPD).

La activación es una decisión exclusiva de la empresa cliente (Responsable del tratamiento), quien deberá valorar previamente y por escrito su necesidad y proporcionalidad atendiendo a:

• Tipo de actividad empresarial: empresas con trabajadores móviles, de obra, repartidores o personal desplazado pueden tener una justificación legítima para el uso de geolocalización en el fichaje.
• Proporcionalidad: para oficinas o centros de trabajo fijos, la geolocalización puede no ser proporcional y el Responsable debería valorar alternativas menos invasivas (fichaje por NFC, dispositivo kiosko en el centro, etc.).
• Deber de información previa: el empleador que active la geolocalización está obligado a informar de forma expresa a sus trabajadores —antes de la activación— de su uso, finalidad, base legal y derechos (art. 13 RGPD y art. 87 LOPDGDD). El Proveedor presenta al Responsable un aviso legal y un checkbox de aceptación de responsabilidad antes de habilitar esta función por sede.

Cuando la geolocalización está activada, se utiliza exclusivamente en el momento exacto en que el usuario pulsa el botón de fichaje (entrada/salida). En ningún caso opera de forma continua ni en segundo plano. Se registra únicamente la coordenada del momento del fichaje para verificar la proximidad a la sede configurada.

Destinatarios y transferencias internacionales

Podrán comunicarse datos a:

• Administraciones públicas (Inspección de Trabajo, Seguridad Social) cuando exista requerimiento legal.
• Proveedores tecnológicos que actúan como sub-encargados necesarios para la prestación del servicio.

Transferencias internacionales fuera del EEE:

• Cloudflare, Inc. (Estados Unidos): procesa la dirección IP del visitante y los headers HTTP en su rol de CDN, WAF y protección anti-bot (Turnstile). No accede al contenido autenticado de la Plataforma, ya que el cifrado TLS termina en nuestros servidores en la UE.
• Stripe, Inc. (Estados Unidos): procesa el email del comprador, customer_id, importe, datos de tarjeta tokenizados y metadatos de la suscripción, exclusivamente para la gestión del cobro y la facturación de la cuenta del Cliente.
• GitHub, Inc. (Estados Unidos): aloja código fuente e imágenes Docker de la Plataforma. No procesa datos personales de los usuarios finales.

Estas transferencias se amparan en el Marco UE-EE.UU. de Protección de Datos (Decisión de Adecuación 2023/1795 de la Comisión Europea) y, subsidiariamente, en las Cláusulas Contractuales Tipo aprobadas por la Comisión (Decisión 2021/914), conforme al art. 46 RGPD. Cloudflare, Stripe y GitHub están adheridas al Data Privacy Framework.

Los correos electrónicos transaccionales del servicio (verificación de cuenta, recuperación de contraseña, notificaciones del sistema, facturación) se envían a través del servicio SMTP de IONOS España S.L.U. ubicado en España (UE), sin sub-encargado adicional ni transferencia internacional para este flujo.

El resto de datos personales (registros de fichaje, datos de empleados, documentos subidos, configuración del tenant) se almacena exclusivamente en proveedores con infraestructura en la Unión Europea (IONOS España S.L.U. en España (UE) para alojamiento y buzones de correo corporativos).

Las copias de seguridad cifradas se replican adicionalmente a Backblaze B2 en su región europea (centro de datos en à msterdam). Backblaze, Inc. es una entidad matriz estadounidense, por lo que el almacenamiento constituye una transferencia internacional a EE.UU. en los términos del Cap. V RGPD. La transferencia se ampara en (i) Cláusulas Contractuales Tipo firmadas (Decisión 2021/914, Módulo 2) y (ii) cifrado client-side AES-256 con clave gestionada por el Proveedor: el sub-encargado solo accede a blobs cifrados y no puede descifrar el contenido en ningún caso, lo que constituye medida suplementaria conforme a las Recomendaciones EDPB 01/2020 (Schrems II).

Política de retención por categoría de dato

En aplicación del principio de limitación del plazo de conservación (art. 5.1.e RGPD), cada categoría de dato se conserva durante el plazo estrictamente necesario para la finalidad que justifica su tratamiento, atendiendo a las obligaciones legales aplicables y a los plazos de prescripción de eventuales responsabilidades. La tabla siguiente detalla los plazos efectivos:

Transcurridos los plazos anteriores, los datos personales se eliminan o anonimizan automáticamente. La anonimización (cuando aplica) consiste en sustituir los datos identificativos por valores hash o placeholders que impiden re-identificar al interesado, manteniendo únicamente la información agregada relevante para estadísticas internas no personales.

Derechos de los interesados

Los empleados (Interesados) deben dirigir habitualmente el ejercicio de sus derechos a su empleador (Responsable del tratamiento).

En lo que respecta al Proveedor, los usuarios podrán ejercer los siguientes derechos enviando comunicación a privacidad@imadsync.com:

• Acceso (art. 15 RGPD): obtener confirmación de si se tratan sus datos y acceder a los mismos.
• Rectificación (art. 16 RGPD): solicitar la corrección de datos inexactos o incompletos.
• Supresión (art. 17 RGPD): solicitar la eliminación de sus datos personales. Limitación importante: los registros de jornada (fichajes, firmas y cierres mensuales) están sujetos a una obligación legal de conservación de 4 años conforme al Real Decreto-ley 8/2019 (art. 17.3.b RGPD). Durante dicho periodo, estos datos no podrán ser suprimidos. Una vez transcurrido el plazo legal, se procederá a su eliminación previa solicitud del interesado.
• Portabilidad (art. 20 RGPD): recibir sus datos en un formato estructurado, de uso común y lectura mecánica (PDF/JSON o equivalente).
• Limitación del tratamiento (art. 18 RGPD): solicitar la limitación del tratamiento en los supuestos previstos por la normativa.
• Oposición (art. 21 RGPD): oponerse al tratamiento de sus datos en determinadas circunstancias.

El Proveedor responderá a las solicitudes en un plazo máximo de un mes desde su recepción, prorrogable dos meses adicionales en caso de complejidad (art. 12.3 RGPD).

Asimismo, los interesados tienen derecho a presentar reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.

Privacidad desde el diseño y por defecto (art. 25 RGPD)

El Proveedor aplica el principio de privacidad desde el diseño y por defecto (art. 25 RGPD) en la arquitectura de la Plataforma. Las medidas concretas que cumplen este principio están embebidas en el producto y se documentan en el Compromiso de cumplimiento del RD-ley 8/2019 y en el Contrato de Encargo de Tratamiento (DPA). En resumen:

• Aislamiento multi-tenant por defecto: Row-Level Security forzada por tenant_id en base de datos. Una query que olvide el filtro WHERE tenant_id no devuelve filas de otros tenants. Verificado en CI con tests bloqueantes que escanean el schema y obligan a aplicar RLS a toda tabla con columna tenant_id.
• Minimización: la Plataforma recopila únicamente los datos estrictamente necesarios para el control horario y la gestión laboral. NO se recopilan datos biométricos, ni ubicación continua, ni hábitos personales, ni perfiles de comportamiento.
• Geolocalización desactivada por defecto: se activa solo si la empresa Responsable lo decide expresamente por sede, tras un aviso legal con checkbox de aceptación. La captura es puntual en el momento del fichaje, sin tracking continuo ni en segundo plano.
• Cookies estrictamente necesarias: el sitio no carga scripts de terceros, no usa cookies analíticas ni de marketing, no requiere banner de consentimiento por la exención del art. 22.2 LSSI.
• Pseudonimización: hash parcial HMAC-SHA256 del DNI para identificación en terminales kiosko sin exponer el dato completo a la pantalla.
• Cifrado por defecto: TLS 1.3 obligatorio en tránsito; AES-256-GCM en reposo para campos sensibles (DNI, coordenadas GPS de sedes, claves de API, registros de brechas); contraseñas con Argon2id + pepper rotable; backups cifrados con clave gestionada por el Proveedor.
• Configuración conservadora por defecto: al alta de un tenant nuevo, la geolocalización está apagada, los módulos avanzados (turnos, bolsa de horas) están apagados y las notificaciones por email son opt-in.
• Inmutabilidad de los registros legales: la tabla de fichajes es append-only por diseño (triggers PostgreSQL + revocación de UPDATE/DELETE a nivel de base de datos). Las correcciones se materializan como filas nuevas en fichaje_correcciones con auditoría completa, nunca como modificación retroactiva del registro original.
• Auditoría completa: toda operación administrativa (alta/baja de empleados, configuración de sedes, descarga de informes, activación de módulos, descarga del calendario laboral) queda registrada en una tabla de auditoría con tenant_id, user_id, IP, user-agent y timestamp.

Decisiones automatizadas y elaboración de perfiles

ImadSync no realiza decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos sobre los interesados o les afecten significativamente de modo similar (art. 22 RGPD). Los informes y estadísticas generados por la Plataforma son meramente informativos y requieren siempre la intervención y valoración humana del Responsable del tratamiento.

Deber de informar del cliente (empleador)

Es responsabilidad exclusiva de la empresa cliente informar a sus empleados sobre la implementación de ImadSync como sistema de registro de jornada, de acuerdo con el artículo 13 del RGPD y el artículo 12 de la LOPDGDD. Esto incluye informar sobre la finalidad del tratamiento, la base legal (obligación legal RD-ley 8/2019) y la posible utilización de geolocalización si así se ha configurado.

Política de cookies y almacenamiento local

Resumen. ImadSync sólo utiliza cookies estrictamente necesarias para autenticar al usuario y proteger los formularios contra ataques CSRF. Estas cookies están exentas del deber de consentimiento previo (art. 22.2 Ley 34/2002 LSSI, transposición de la Directiva 2009/136/CE), por lo que no mostramos banner de cookies. NO usamos cookies de terceros, analítica, marketing ni píxeles de seguimiento.

1. Cookies técnicas (estrictamente necesarias)

2. Cookies de terceros

No utilizamos. No cargamos scripts ni recursos de terceros desde ImadSync. Si en el futuro se introdujera algún servicio externo que pudiera instalar cookies, publicaríamos un banner de consentimiento previo y actualizaríamos esta política.

Excepción: cuando el administrador de la cuenta gestiona la facturación, le redirigimos al portal de Stripe en billing.stripe.com. En ese sitio Stripe actúa como responsable independiente y aplica su propia política de cookies. En ImadSync no embebemos JavaScript de Stripe ni nada similar; los pagos se gestionan exclusivamente en su dominio.

3. Almacenamiento local (localStorage / sessionStorage)

Al ser una aplicación web progresiva (PWA), ImadSync utiliza almacenamiento local del navegador para reducir la latencia y permitir cierto funcionamiento sin conexión. Este almacenamiento no abandona tu dispositivo y no se transmite a terceros:

• Preferencia de tema: claro / oscuro / sistema.
• Service worker (cache): archivos básicos de la web para tiempos de carga rápidos.
• Estados temporales de UI: notificaciones puntuales que ya viste para no repetirlas.

4. ¿Cómo desactivar o eliminar las cookies?

Puedes permitir, bloquear o eliminar las cookies y los datos de almacenamiento local desde la configuración de tu navegador. Aquí tienes enlaces oficiales:

• Google Chrome
• Mozilla Firefox
• Safari
• Microsoft Edge

Aviso: si desactivas las cookies técnicas o el almacenamiento local, la plataforma no podrá mantener tu sesión iniciada y no podrás registrar fichajes ni acceder al panel.

Ejercicio de derechos del titular

Como titular de los datos puedes ejercer en cualquier momento tus derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición previstos en los art. 15 a 22 del RGPD. La forma más rápida es nuestro formulario público de solicitud RGPD: recibirás un email de verificación, y a partir de tu confirmación el responsable del tratamiento dispone de un mes para resolverla (art. 12.3 RGPD). Si la respuesta no atiende correctamente tu derecho, puedes presentar una reclamación ante la Agencia Española de Protección de Datos.

Medidas de seguridad

El Proveedor adopta medidas técnicas y organizativas rigurosas:

• Cifrado en reposo (AES-256-GCM) de campos sensibles: DNI, IBAN, coordenadas GPS de sedes, claves de API y registros de brechas.
• Cifrado de contraseñas mediante Argon2id con pepper rotable.
• Aislamiento por tenant a nivel de base de datos vía Row-Level Security (RLS) — imposible acceso cruzado entre clientes.
• Triple capa de auditoría (logs a nivel aplicación, historial de cambios de usuario, y triggers a nivel base de datos inmutables).
• Hash-chain SHA-256 sobre los cierres mensuales: cualquier modificación posterior se detecta al recomputar.
• Protección contra ataques CSRF, SQLi y fuerza bruta.
• Copias de seguridad cifradas regulares.

Modificaciones

El Proveedor podrá modificar esta Política para adaptarla a novedades legislativas o corporativas, publicando siempre la versión vigente en esta Web.