POLÍTICA DE PRIVACIDAD

Versión: 1.3 Última actualización: 10 de noviembre de 2025

1. INFORMACIÓN DEL RESPONSABLE

En cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), se informa a los usuarios de la siguiente información:

Responsable del Tratamiento:

  • Denominación Social: Reloji
  • CIF: B13774682
  • Domicilio: Parellada 8, 08757 Corbera de Llobregat, Barcelona, España
  • Correo Electrónico: legal@reloji.com
  • Correo Electrónico (Privacidad): privacy@reloji.com
  • Teléfono: +34 624 659 759
  • Sitio Web: https://reloji.com

Delegado de Protección de Datos:

2. COMPROMISO CON LA PRIVACIDAD

Reloji se compromete a garantizar la privacidad y protección de los datos personales de todos los usuarios de su plataforma de gestión de tiempo y control horario laboral. La presente Política de Privacidad describe cómo recogemos, utilizamos, almacenamos y protegemos la información personal en cumplimiento con la normativa vigente en materia de protección de datos.

Nuestra plataforma ha sido diseñada implementando los principios de privacidad desde el diseño y privacidad por defecto, garantizando que solo se traten los datos estrictamente necesarios para cada finalidad específica.

3. PRINCIPIOS APLICABLES

El tratamiento de datos personales se rige por los siguientes principios establecidos en el RGPD:

  • Licitud, lealtad y transparencia: Los datos serán tratados de manera lícita, leal y transparente
  • Limitación de la finalidad: Los datos serán recogidos con fines determinados, explícitos y legítimos
  • Minimización de datos: Los datos serán adecuados, pertinentes y limitados a lo necesario
  • Exactitud: Los datos serán exactos y actualizados
  • Limitación del plazo de conservación: Los datos se conservarán el tiempo necesario para los fines del tratamiento
  • Integridad y confidencialidad: Los datos serán tratados de forma que se garantice su seguridad
  • Responsabilidad proactiva: Reloji es responsable del cumplimiento de estos principios

4. FINALIDADES DEL TRATAMIENTO

Reloji trata datos personales para las siguientes finalidades:

4.1 Gestión de Usuarios de la Plataforma (Clientes)

Finalidad: Administrar los derechos y obligaciones derivados de la relación contractual, permitiendo el acceso y uso de la plataforma Reloji.

Categorías de datos:

  • Datos identificativos: Nombre, apellidos, correo electrónico
  • Datos de cuenta: Contraseña encriptada, nombre de usuario
  • Datos de la organización: Nombre de la empresa, datos fiscales
  • Datos de configuración: Preferencias de usuario, zona horaria, idioma

Base legal: Ejecución del contrato y consentimiento del interesado

Plazo de conservación: Durante la vigencia de la relación contractual y 4 años posteriores (conforme al Estatuto de los Trabajadores para datos laborales)

Destinatarios: Los datos no se comunicarán a terceros, salvo obligación legal o requerimiento judicial

Rol de Reloji: Encargado del tratamiento para los datos de empleados de clientes; Responsable para datos de administradores de cuentas

4.2 Registro de Cuentas y Gestión de Invitaciones

Finalidad: Creación y gestión de cuentas de usuario, tanto para registro directo como para invitaciones a organizaciones existentes.

Categorías de datos:

A) Registro de nueva organización (tenant):

  • Datos personales del administrador:

    • Nombre y apellidos (obligatorios)
    • Correo electrónico (obligatorio)
    • Teléfono (opcional)
    • Contraseña (hasheada con bcrypt, nunca almacenada en texto plano)

  • Datos de la organización:

    • Nombre de la organización (obligatorio)
    • Tipo de organización (INDIVIDUAL, PROFESSIONAL, COMPANY)
    • Teléfono de contacto (opcional)

  • Datos de facturación (opcionales):

    • Nombre y apellidos del titular
    • NIF/CIF (identificación fiscal)
    • Teléfono de contacto
    • Dirección postal completa (dirección, ciudad, provincia, código postal, país)

  • Datos técnicos de registro:

    • Dirección IP del usuario
    • Navegador y sistema operativo
    • Fecha y hora exacta del registro
    • Token de verificación de email (validez 24 horas)
    • Validación anti-bot (reCAPTCHA)

  • Consentimientos registrados:

    • Aceptación de términos y condiciones
    • Aceptación de política de privacidad
    • Tipo de aceptación (REGISTRATION)
    • Versión de términos aceptada (1.0)
    • IP, User Agent y timestamp del consentimiento

B) Sistema de invitaciones:

  • Invitación de usuarios (por administrador):

    • Correo electrónico del usuario a invitar
    • Rol asignado (USER, ADMIN)
    • Token de invitación (criptográfico, validez 7 días)
    • Email del administrador que envía la invitación
    • Fecha y hora de envío de invitación

  • Aceptación de invitación (usuario nuevo):

    • Nombre y apellidos (obligatorios)
    • DNI/NIE/NIF (opcional - identificación fiscal española)
    • Contraseña (obligatoria, cifrada)
    • IP, navegador y fecha/hora de configuración
    • Consentimientos (términos, privacidad - obligatorios)

  • Aceptación de invitación (usuario existente):

    • IP, navegador y fecha/hora de aceptación
    • Consentimientos (términos, privacidad - obligatorios)
    • Tipo de aceptación (INVITATION)

Base legal:

  • Ejecución del contrato: Necesario para proporcionar acceso a la plataforma
  • Consentimiento explícito: Para crear la cuenta y aceptar términos y condiciones
  • Obligación legal: Para datos fiscales y de facturación (conforme a normativa tributaria)
  • Interés legítimo: Para prevenir fraudes (reCAPTCHA, verificación email, IP tracking)

Plazo de conservación:

  • Cuentas activas: Durante la vigencia de la relación contractual
  • Cuentas inactivas: 12 meses desde última actividad, salvo obligación legal
  • Tokens de verificación: 24 horas (email) o 7 días (invitación), tras expiración se eliminan automáticamente
  • Registros de consentimientos: 4 años desde la aceptación (prueba legal)
  • Datos de facturación: 4 años desde última factura (obligación fiscal)

Destinatarios:

  • Proveedor de email (AWS SES): Para envío de correos de verificación e invitación
  • Google reCAPTCHA: Para verificación anti-bot (solo durante registro)
  • Administradores de la organización: Acceso a datos de usuarios invitados
  • Autoridades fiscales: Solo datos de facturación, si requerido legalmente

Transferencias internacionales:

  • Google reCAPTCHA: Transferencia a EE.UU. bajo cláusulas contractuales tipo de la UE
  • AWS SES (email): Procesamiento en región EU (Frankfurt), sin transferencia extracomunitaria

Derechos del usuario:

  • Derecho de acceso: Consultar datos personales almacenados
  • Derecho de rectificación: Corregir datos inexactos o incompletos
  • Derecho de supresión: Solicitar eliminación de cuenta (sujeto a obligaciones legales)
  • Derecho de portabilidad: Exportar datos en formato estructurado (JSON/CSV)
  • Derecho de oposición: Oponerse a tratamientos basados en interés legítimo
  • Derecho a retirar consentimiento: En cualquier momento, sin efectos retroactivos

Medidas de seguridad:

  • Contraseñas cifradas con algoritmos de última generación (irreversibles)
  • Tokens criptográficos seguros para verificación e invitación
  • Validación de seguridad en todos los formularios (protección CSRF)
  • Protección contra registros automatizados
  • Verificación obligatoria de email (doble verificación)
  • Registro completo de auditoría de accesos y cambios
  • Conexiones cifradas obligatorias (HTTPS/TLS)
  • Límite de usuarios por organización (configurable)

Proceso de verificación:

  1. Registro: Usuario proporciona datos y acepta términos → Email de verificación enviado → Cuenta creada pero NO activada
  2. Verificación: Usuario hace clic en enlace (24h validez) → Email verificado → Cuenta activada → Acceso completo
  3. Invitación (nuevo): Admin invita → Email con enlace (7 días) → Usuario configura nombre y password → Acepta términos → Cuenta activada
  4. Invitación (existente): Admin invita → Email con enlace (7 días) → Usuario acepta términos → Acceso concedido a nueva organización

4.3 Control Horario y Registro de Jornada

Finalidad: Registro obligatorio de la jornada laboral de los trabajadores conforme al artículo 34.9 del Estatuto de los Trabajadores y Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo.

Categorías de datos:

  • Datos de fichaje:

    • Fecha y hora exacta de entrada y salida (clock in/clock out)
    • Fecha y hora de inicio y fin de pausas/descansos
    • Duración total de la jornada laboral
    • Duración de pausas y tiempo de trabajo efectivo
    • Estado del fichaje (activo, finalizado, con pausas)

  • Datos de ubicación y trazabilidad:

    • Dirección IP del dispositivo utilizado para el fichaje
    • Tipo de dispositivo (móvil, ordenador, tablet)
    • Navegador o sistema operativo utilizado
    • Timestamp preciso de cada operación

  • Firmas electrónicas:

    • Firma manuscrita digitalizada para entrada/salida
    • Firma manuscrita digitalizada para inicio/fin de pausas
    • Datos técnicos de la firma (coordenadas, presión, velocidad)
    • Timestamp de captura de la firma
    • Hash de verificación de integridad

  • Datos de auditoría:

    • Registro completo de todas las modificaciones
    • Usuario que realiza modificaciones
    • Motivo de modificaciones o solicitudes
    • Historial de estados del registro
    • Firmas electrónicas de aprobaciones

  • Datos contextuales:

    • Proyecto asignado (si aplica)
    • Observaciones o notas del trabajador
    • Incidencias reportadas durante la jornada

Base legal:

  • Cumplimiento de obligación legal: Art. 34.9 del Estatuto de los Trabajadores (Real Decreto Legislativo 2/2015) y Real Decreto-ley 8/2019
  • Ejecución del contrato de trabajo: Necesario para cumplir obligaciones laborales
  • Consentimiento explícito: Para captura de firmas electrónicas manuscritas (conforme al Reglamento eIDAS)
  • Interés legítimo: Para prevenir fraudes, garantizar la seguridad del sistema y resolver conflictos laborales

Plazo de conservación: 4 años desde la fecha del fichaje (conforme al artículo 34.9 del Estatuto de los Trabajadores)

Destinatarios:

  • Inspección de Trabajo y Seguridad Social: Acceso directo mediante endpoint específico con autenticación reforzada, conforme al RD-ley 8/2019
  • Representantes legales de los trabajadores: Acceso de lectura completo conforme al Art. 34.9 ET mediante dashboard específico
  • Juzgados y Tribunales: En caso de procedimiento judicial o requerimiento legal
  • Trabajador titular de los datos: Acceso completo a sus propios registros de fichaje
  • Departamento de Recursos Humanos: Para gestión de nóminas, control de absentismo y cumplimiento de horarios

Rol de Reloji: Encargado del tratamiento

Garantías de integridad y autenticidad:

  • Firma digital HMAC-SHA256: Todos los reportes exportados incluyen firma digital para verificar que no han sido manipulados
  • Inmutabilidad de registros: Una vez creado un fichaje, no puede ser eliminado, solo puede solicitarse su modificación mediante procedimiento formal
  • Trazabilidad completa: Cualquier modificación queda registrada con usuario, fecha/hora, motivo y firma electrónica del aprobador
  • Backup automático: Copias de seguridad diarias cifradas con retención de 30 días
  • Separación de datos: Aislamiento total entre organizaciones (multi-tenant)

Derechos específicos del trabajador:

  • Derecho de acceso: Consultar en cualquier momento su historial completo de fichajes
  • Derecho de rectificación: Solicitar corrección de errores mediante procedimiento formal con firma electrónica
  • Derecho de oposición limitado: No aplicable cuando el tratamiento es obligatorio por ley (Art. 34.9 ET)
  • Derecho a la portabilidad: Exportar sus datos de fichaje en formato CSV/PDF con firma digital

Medidas de seguridad específicas:

  • Cifrado SSL/TLS (AES-256) en todas las comunicaciones
  • Autenticación mediante JWT con caducidad de sesión (7 días)
  • Registro de todas las operaciones con IP y timestamp
  • Sistema de firmas electrónicas conforme a Reglamento eIDAS
  • Protección contra manipulación mediante HMAC-SHA256
  • Backups automáticos cifrados con retención de 30 días
  • Control de acceso basado en roles (RBAC)

4.3 Gestión de Ausencias, Vacaciones y Eventos

Finalidad: Gestionar las solicitudes de vacaciones, permisos, ausencias y eventos del calendario laboral.

Categorías de datos:

  • Datos de ausencias: Fechas de inicio y fin, tipo de ausencia (vacaciones, permiso, baja médica, etc.)
  • Datos de eventos: Descripción del evento, calendario laboral
  • Datos de aprobación: Usuario que aprueba/rechaza, fecha de decisión

Base legal: Ejecución del contrato de trabajo y cumplimiento de obligaciones laborales

Plazo de conservación: 4 años desde la finalización del evento

Destinatarios: Departamento de Recursos Humanos del cliente

Rol de Reloji: Encargado del tratamiento

4.4 Gestión de Horarios y Turnos

Finalidad: Crear, asignar y gestionar los horarios de trabajo, turnos y rotaciones de los empleados.

Categorías de datos:

  • Horarios asignados: Días laborables, horas de entrada/salida, descansos programados
  • Turnos: Asignación de turnos rotativos
  • Márgenes de tolerancia: Configuración de flexibilidad horaria

Base legal: Ejecución del contrato de trabajo

Plazo de conservación: Durante la vigencia de la relación laboral y 4 años posteriores

Destinatarios: No se comunican a terceros salvo obligación legal

Rol de Reloji: Encargado del tratamiento

4.5 Gestión de Proyectos

Finalidad: Permitir la asignación de tiempo trabajado a proyectos específicos para análisis de dedicación y seguimiento.

Categorías de datos:

  • Asignación de horas: Tiempo dedicado por proyecto
  • Datos del proyecto: Nombre, descripción, fechas
  • Usuario asignado: Identificación del empleado

Base legal: Ejecución del contrato

Plazo de conservación: 4 años

Destinatarios: No se comunican a terceros salvo obligación legal

Rol de Reloji: Encargado del tratamiento

4.6 Generación de Informes y Reportes

Finalidad: Crear reportes de jornada laboral, exportar datos en formato CSV/PDF con firma digital HMAC para garantizar la integridad de los datos.

Categorías de datos:

  • Datos agregados de jornada: Horas trabajadas, pausas, proyectos
  • Firma digital: HMAC-SHA256 para verificación de integridad
  • Metadatos: Fecha de generación, usuario que genera el reporte

Base legal: Ejecución del contrato y cumplimiento de obligación legal

Plazo de conservación: 4 años

Destinatarios:

  • Cliente (empresa empleadora)
  • Inspección de Trabajo (si es requerido)

Rol de Reloji: Encargado del tratamiento

4.7 Auditoría y Trazabilidad

Finalidad: Mantener un registro completo de todas las operaciones realizadas en la plataforma para garantizar la seguridad, integridad y cumplimiento normativo.

Categorías de datos:

  • Registro de operaciones: Tipo de acción, fecha, hora
  • Datos del usuario: Usuario que realiza la acción
  • Dirección IP: IP desde la que se realiza la operación
  • Cambios realizados: Estado anterior y posterior

Base legal: Interés legítimo en garantizar la seguridad de la plataforma y cumplimiento de obligaciones legales

Plazo de conservación: 2 años

Destinatarios: No se comunican a terceros salvo requerimiento judicial

Rol de Reloji: Encargado del tratamiento

4.8 Registro de Usuarios (Creación de Cuenta)

Finalidad: Permitir el registro de nuevas organizaciones y usuarios administradores en la plataforma.

Categorías de datos:

  • Datos de registro: Nombre, apellidos, correo electrónico, contraseña encriptada
  • Datos de la organización: Nombre de la empresa
  • Datos de verificación: Token de verificación de correo electrónico

Base legal: Consentimiento del interesado

Plazo de conservación: Durante la vigencia de la cuenta. Si no se verifica el correo electrónico en 24 horas, los datos se eliminan automáticamente

Destinatarios: No se comunican a terceros

Rol de Reloji: Responsable del tratamiento

4.9 Autenticación con Google OAuth (Opcional)

Finalidad: Permitir el inicio de sesión mediante cuenta de Google como alternativa al sistema de credenciales propio.

Categorías de datos:

  • Datos proporcionados por Google: Nombre, apellidos, correo electrónico, foto de perfil (si está disponible)
  • ID de Google: Identificador único de Google

Base legal: Consentimiento del interesado

Plazo de conservación: Durante la vigencia de la cuenta

Destinatarios: Google LLC (como proveedor del servicio de autenticación)

Transferencias internacionales: Google LLC (EE.UU.) - Cláusulas Contractuales Tipo aprobadas por la Comisión Europea

Rol de Reloji: Responsable del tratamiento

4.10 Atención al Cliente y Soporte Técnico

Finalidad: Prestar servicios de asesoramiento, soporte técnico y resolución de incidencias a los clientes.

Categorías de datos:

  • Datos de contacto: Nombre, correo electrónico, teléfono
  • Datos de la consulta: Descripción del problema, capturas de pantalla, logs del sistema
  • Historial de comunicaciones: Correos electrónicos, mensajes del sistema de tickets

Base legal: Ejecución del contrato y consentimiento del interesado

Plazo de conservación: Durante la vigencia del contrato y 6 meses posteriores

Destinatarios: Personal de soporte técnico de Reloji

Rol de Reloji: Responsable del tratamiento

4.11 Acciones Comerciales y Newsletter

Finalidad: Envío de comunicaciones comerciales sobre nuevas funcionalidades, actualizaciones de la plataforma, promociones y contenido de interés.

Categorías de datos:

  • Datos de contacto: Nombre, correo electrónico
  • Datos de interacción: Aperturas de correo, clics en enlaces

Base legal: Consentimiento del interesado (revocable en cualquier momento)

Plazo de conservación: Hasta que el interesado revoque su consentimiento

Destinatarios: Proveedor de servicios de email marketing (si aplica)

Rol de Reloji: Responsable del tratamiento

4.12 Gestión de Solicitudes de Demostración

Finalidad: Gestionar las solicitudes de demostración de la plataforma por parte de potenciales clientes.

Categorías de datos:

  • Datos de contacto: Nombre, apellidos, correo electrónico, teléfono, empresa
  • Datos de la solicitud: Mensaje, preferencias de fecha/hora para la demo

Base legal: Consentimiento del interesado

Plazo de conservación: Hasta que el interesado revoque su consentimiento o 6 meses desde la última interacción

Destinatarios: Equipo comercial de Reloji

Rol de Reloji: Responsable del tratamiento

4.13 Gestión de Formularios de Contacto

Finalidad: Responder a consultas, sugerencias y solicitudes recibidas a través de formularios web.

Categorías de datos:

  • Datos de contacto: Nombre, correo electrónico
  • Contenido del mensaje: Texto de la consulta

Base legal: Consentimiento del interesado

Plazo de conservación: 1 año desde la respuesta a la consulta

Destinatarios: No se comunican a terceros

Rol de Reloji: Responsable del tratamiento

4.14 Gestión de Dispositivos de Control de Acceso

Finalidad: Gestionar y registrar el control de acceso físico a instalaciones mediante dispositivos inteligentes (cerraduras electrónicas, sistemas de apertura remota, etc.).

Categorías de datos:

  • Datos de dispositivos: Identificador del dispositivo, nombre, tipo, ubicación, estado
  • Datos de acceso: Fecha y hora de apertura/cierre, usuario que realiza la acción
  • Datos de autorización: Horarios permitidos, usuarios autorizados, solicitudes de acceso temporal
  • Datos de conexión: Dirección IP, dispositivo utilizado para el control remoto
  • Logs de dispositivo: Historial completo de operaciones (aperturas, cierres, sincronizaciones)
  • Datos de configuración: Horarios de acceso, permisos temporales, políticas de seguridad
  • Firmas electrónicas: Registro de aprobaciones de solicitudes de acceso

Base legal:

  • Ejecución del contrato de trabajo
  • Interés legítimo en garantizar la seguridad de las instalaciones
  • Cumplimiento de normativa de prevención de riesgos laborales
  • Consentimiento para firmas electrónicas en solicitudes de acceso

Plazo de conservación:

  • Logs de acceso: 2 años (conforme a normativa de seguridad)
  • Configuración de usuarios y permisos: Durante la vigencia de la relación laboral + 4 años
  • Solicitudes de acceso: 4 años desde su resolución

Destinatarios:

  • Responsable de seguridad de la instalación
  • Departamento de Recursos Humanos del cliente
  • Juzgados y Tribunales (en caso de procedimiento judicial)
  • Fuerzas y Cuerpos de Seguridad del Estado (en caso de requerimiento)

Rol de Reloji: Encargado del tratamiento

Transferencias internacionales:

Si se utilizan dispositivos de terceros (ej: Nuki Smart Locks), los datos pueden ser transferidos a:

  • Nuki Home Solutions GmbH (Austria): Para gestión de dispositivos inteligentes. Ubicado en la Unión Europea, no requiere garantías adicionales.

Medidas de seguridad específicas:

  • Cifrado de comunicaciones end-to-end con dispositivos
  • Autenticación multi-factor para operaciones críticas
  • Registro exhaustivo de todas las operaciones con IP y timestamp
  • Alertas automáticas de accesos anómalos
  • Separación de permisos según roles (administrador, usuario, representante de trabajadores)

4.15 Gestión de Proveedores

Finalidad: Administrar la relación comercial con proveedores de servicios.

Categorías de datos:

  • Datos identificativos: Nombre/razón social, CIF/NIF, dirección
  • Datos de contacto: Teléfono, correo electrónico
  • Datos bancarios: Cuenta bancaria para pagos
  • Datos fiscales: Facturas, contratos

Base legal: Ejecución del contrato

Plazo de conservación: Durante la vigencia de la relación contractual y durante el plazo de prescripción de obligaciones fiscales (4-10 años según normativa aplicable)

Destinatarios:

  • Agencia Tributaria (AEAT)
  • Entidades bancarias para gestión de pagos

Rol de Reloji: Responsable del tratamiento

5. CATEGORÍAS DE DATOS PERSONALES TRATADOS

Reloji puede tratar las siguientes categorías de datos personales:

5.1 Datos Identificativos

Nombre, apellidos, DNI/NIF, dirección, teléfono, correo electrónico, fotografía (opcional).

5.2 Datos de Características Personales

Fecha de nacimiento, nacionalidad, idioma preferido.

5.3 Datos de Empleo

Puesto de trabajo, departamento, horario laboral, calendario, salario (solo si el cliente lo introduce), antigüedad.

5.4 Datos Económicos y Financieros

Datos bancarios (solo para proveedores y pagos), datos de facturación.

5.5 Datos de Transacciones

Información sobre fichajes, pausas, ausencias, vacaciones, proyectos asignados.

5.6 Datos de Conexión y Geolocalización

Dirección IP, datos de acceso al sistema, timestamps de operaciones.

5.7 Datos de Control de Acceso Físico

Identificadores de dispositivos, horarios de acceso, registros de apertura/cierre, permisos temporales, historial de operaciones en dispositivos de control de acceso.

5.8 Datos de Auditoría y Seguridad

Logs de acceso, registro de operaciones, dirección IP, cambios realizados.

6. LEGITIMACIÓN PARA EL TRATAMIENTO

La base legal para el tratamiento de datos personales se fundamenta en:

  • Consentimiento del interesado: Para registro de usuarios, comunicaciones comerciales, uso de firmas electrónicas
  • Ejecución de un contrato: Para gestión de usuarios, horarios, proyectos, soporte técnico
  • Obligación legal: Para registro de jornada laboral, conservación de documentación fiscal y laboral
  • Interés legítimo: Para auditoría, seguridad de la plataforma, prevención de fraudes

7. DESTINATARIOS DE LOS DATOS

Los datos personales podrán ser comunicados a:

7.1 Encargados del Tratamiento

Reloji puede compartir datos con proveedores de servicios que actúan como encargados del tratamiento:

  • Proveedores de hosting e infraestructura cloud: Para alojamiento de la plataforma y bases de datos
  • Proveedores de servicios de email: Para envío de correos transaccionales y comunicaciones
  • Proveedores de servicios de análisis: Para análisis de uso de la plataforma (anonimizados en la medida de lo posible)
  • Proveedores de servicios de seguridad: Para protección contra ataques y monitorización

Todos los encargados del tratamiento firman acuerdos de confidencialidad y tratamiento de datos conforme al artículo 28 del RGPD.

7.2 Organismos Públicos

Los datos podrán ser comunicados a:

  • Inspección de Trabajo y Seguridad Social: En caso de requerimiento del registro de jornada
  • Agencia Española de Protección de Datos (AEPD): En caso de reclamación o investigación
  • Agencia Tributaria (AEAT): Para cumplimiento de obligaciones fiscales
  • Juzgados y Tribunales: En caso de procedimiento judicial

7.3 Google LLC (OAuth)

Si el usuario opta por utilizar Google OAuth para autenticación, se compartirán datos con Google LLC según su política de privacidad.

8. TRANSFERENCIAS INTERNACIONALES DE DATOS

8.1 Infraestructura en la Unión Europea

Reloji aloja sus servidores y bases de datos en infraestructura ubicada en la Unión Europea, garantizando así el cumplimiento del RGPD sin necesidad de transferencias internacionales.

8.2 Google OAuth (Opcional)

Si el usuario utiliza autenticación mediante Google OAuth, se realizará una transferencia internacional de datos a Google LLC (Estados Unidos). Esta transferencia se ampara en:

  • Cláusulas Contractuales Tipo aprobadas por la Comisión Europea
  • Decisión de Adecuación del EU-U.S. Data Privacy Framework (si aplicable)

El usuario puede evitar esta transferencia internacional utilizando el sistema de credenciales nativo de Reloji.

8.3 Otros Proveedores

En caso de que Reloji contrate servicios con proveedores ubicados fuera del Espacio Económico Europeo (EEE), se garantizará que:

  • Exista una decisión de adecuación de la Comisión Europea sobre el país de destino, o
  • Se suscriban Cláusulas Contractuales Tipo aprobadas por la Comisión Europea, o
  • El proveedor esté adherido a un mecanismo de certificación aprobado (como el EU-U.S. Data Privacy Framework)

9. PLAZO DE CONSERVACIÓN DE LOS DATOS

Los datos personales se conservarán durante los siguientes plazos:

FinalidadPlazo de Conservación
Registro de jornada y fichajes4 años (Estatuto de los Trabajadores)
Gestión de usuarios y contratosDurante la relación contractual + 4 años
Ausencias y vacaciones4 años desde la finalización del evento
Informes y reportes4 años
Auditoría y logs de seguridad2 años
Atención al clienteDurante el contrato + 6 meses
Comunicaciones comercialesHasta revocación del consentimiento
Solicitudes de demo6 meses desde la última interacción
Formularios de contacto1 año desde la respuesta
Datos de proveedoresDurante la relación + plazo de prescripción fiscal (4-10 años)
Firmas electrónicas4 años (vinculadas a fichajes)
Control de acceso a dispositivos2 años (logs) / Durante relación + 4 años (permisos)
Solicitudes de acceso temporal4 años desde su resolución

Transcurridos estos plazos, los datos serán eliminados de forma segura o anonimizados de manera irreversible.

10. DERECHOS DE LOS INTERESADOS

En virtud del RGPD y la LOPDGDD, los usuarios tienen los siguientes derechos:

10.1 Derecho de Acceso (Art. 15 RGPD)

Derecho a obtener confirmación sobre si Reloji está tratando sus datos personales y, en tal caso, acceder a ellos y a la siguiente información:

  • Finalidades del tratamiento
  • Categorías de datos
  • Destinatarios
  • Plazo de conservación
  • Origen de los datos (si no se obtuvieron directamente)

10.2 Derecho de Rectificación (Art. 16 RGPD)

Derecho a que se rectifiquen los datos inexactos o incompletos.

10.3 Derecho de Supresión ("Derecho al Olvido") (Art. 17 RGPD)

Derecho a solicitar la supresión de los datos cuando:

  • Ya no sean necesarios para los fines para los que fueron recogidos
  • Se retire el consentimiento y no exista otra base legal
  • Se opongan al tratamiento y no prevalezcan motivos legítimos
  • Los datos hayan sido tratados ilícitamente
  • Deban suprimirse por obligación legal

Excepciones: No se podrá ejercer este derecho cuando el tratamiento sea necesario para:

  • Cumplimiento de una obligación legal (ej. registro de jornada)
  • Formulación, ejercicio o defensa de reclamaciones

10.4 Derecho a la Limitación del Tratamiento (Art. 18 RGPD)

Derecho a solicitar la limitación del tratamiento en los siguientes casos:

  • Se impugne la exactitud de los datos
  • El tratamiento sea ilícito, pero no se desee la supresión
  • Reloji ya no necesite los datos, pero el interesado los necesite para reclamaciones
  • Se haya ejercido el derecho de oposición mientras se verifica si prevalecen motivos legítimos

10.5 Derecho a la Portabilidad (Art. 20 RGPD)

Derecho a recibir los datos personales en un formato estructurado, de uso común y lectura mecánica (CSV, JSON) y a transmitirlos a otro responsable cuando:

  • El tratamiento se base en el consentimiento o en un contrato
  • El tratamiento se efectúe por medios automatizados

10.6 Derecho de Oposición (Art. 21 RGPD)

Derecho a oponerse al tratamiento de datos cuando:

  • El tratamiento se base en el interés legítimo del responsable
  • Los datos se utilicen para comunicaciones comerciales

Excepción: Reloji podrá seguir tratando los datos si acredita motivos legítimos imperiosos que prevalezcan sobre los intereses del interesado.

10.7 Derecho a No Ser Objeto de Decisiones Automatizadas (Art. 22 RGPD)

Derecho a no ser objeto de decisiones basadas únicamente en tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos o afecten significativamente.

Nota: Reloji no toma decisiones automatizadas que produzcan efectos legales o afecten significativamente a los usuarios.

10.8 Derecho a Retirar el Consentimiento (Art. 7.3 RGPD)

Cuando el tratamiento se base en el consentimiento, el interesado tiene derecho a retirarlo en cualquier momento, sin que ello afecte a la licitud del tratamiento previo.

10.9 Cómo Ejercer los Derechos

Los derechos pueden ejercerse mediante solicitud dirigida a:

Correo electrónico: privacy@reloji.com Correo postal: Parellada 8, 08757 Corbera de Llobregat, Barcelona, España

La solicitud debe incluir:

  • Nombre y apellidos del interesado
  • Fotocopia del DNI/NIE o documento identificativo válido
  • Especificación del derecho que se desea ejercer
  • Dirección para notificaciones
  • Fecha y firma

Plazo de respuesta: Reloji responderá a la solicitud en el plazo máximo de 1 mes desde la recepción. Este plazo podrá prorrogarse 2 meses más en caso de complejidad o gran número de solicitudes.

10.10 Derecho a Presentar Reclamación

Si el interesado considera que el tratamiento de sus datos personales no se ajusta a la normativa, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD):

Sitio web: www.aepd.es Dirección: C/ Jorge Juan, 6, 28001 Madrid Teléfono: 901 100 099 / 912 663 517

11. MEDIDAS DE SEGURIDAD

Reloji ha implementado medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:

11.1 Medidas Técnicas

  • Cifrado de comunicaciones: Todas las conexiones utilizan SSL/TLS (HTTPS) con certificados de 256 bits (AES-256)
  • Cifrado de contraseñas: Las contraseñas se almacenan mediante algoritmo bcrypt con salt único
  • Autenticación segura: Sistema de tokens JWT con caducidad de sesión (7 días)
  • Firmas digitales: HMAC-SHA256 para garantizar la integridad de reportes y exportaciones
  • Firmas electrónicas: Captura y almacenamiento seguro de firmas manuscritas digitalizadas
  • Protección contra ataques: Sistemas de prevención de inyección SQL, XSS, CSRF
  • Backups automáticos: Copias de seguridad diarias con cifrado AES-256 y retención de 30 días
  • Registro de auditoría: Todas las operaciones quedan registradas con timestamp, usuario e IP
  • Gestión de vulnerabilidades: Actualizaciones regulares de todos los componentes del sistema
  • Aislamiento multi-tenant: Separación completa de datos entre diferentes organizaciones

11.2 Medidas Organizativas

  • Control de acceso: Acceso restringido a datos personales según roles y necesidad de conocimiento
  • Formación del personal: Capacitación regular en protección de datos y seguridad
  • Política de confidencialidad: Todo el personal firma acuerdos de confidencialidad
  • Análisis de riesgos: Evaluación periódica de riesgos para la privacidad
  • Evaluaciones de impacto: Cuando el tratamiento pueda suponer alto riesgo para los derechos
  • Protocolos de respuesta: Procedimientos para gestión de brechas de seguridad
  • Revisión de encargados: Auditoría de terceros proveedores que acceden a datos

11.3 Notificación de Brechas de Seguridad

En caso de violación de la seguridad de los datos personales, Reloji:

  • Notificará a la AEPD en un plazo máximo de 72 horas
  • Comunicará a los interesados afectados si existe alto riesgo para sus derechos y libertades
  • Documentará la brecha, sus efectos y medidas correctivas adoptadas

12. COOKIES Y TECNOLOGÍAS SIMILARES

Reloji utiliza cookies y tecnologías similares para el funcionamiento de la plataforma. Para información detallada, consulte nuestra Política de Cookies en https://reloji.com/cookies.

12.1 Tipos de Cookies Utilizadas

  • Cookies técnicas y funcionales: Estrictamente necesarias para el funcionamiento de la plataforma (sesión, autenticación, preferencias)
  • Cookies analíticas: Para análisis de uso y mejora de la experiencia (anonimizadas en la medida de lo posible)

12.2 Gestión de Cookies

El usuario puede configurar su navegador para:

  • Aceptar o rechazar cookies
  • Recibir avisos de recepción de cookies
  • Eliminar cookies almacenadas

Nota: El rechazo de cookies técnicas puede impedir el correcto funcionamiento de la plataforma.

13. REDES SOCIALES

Reloji puede estar presente en redes sociales (LinkedIn, Twitter/X, Facebook, Instagram). El tratamiento de datos en estas plataformas se rige por:

  • Las políticas de privacidad de cada red social
  • La presente Política de Privacidad para interacciones directas con Reloji

Datos tratados: Solo información pública del perfil del usuario Finalidad: Gestión de comunidad, atención al cliente, comunicaciones corporativas Base legal: Consentimiento implícito al interactuar con nuestros perfiles

Los usuarios pueden ejercer sus derechos de protección de datos directamente en cada red social o contactando con Reloji en privacy@reloji.com.

14. ENLACES A TERCEROS

El sitio web de Reloji puede contener enlaces a sitios de terceros. Reloji no se hace responsable de las políticas de privacidad de estos sitios externos. Recomendamos leer sus políticas antes de proporcionar datos personales.

15. MENORES DE EDAD

La plataforma Reloji está dirigida a mayores de 18 años (edad mínima para trabajar con contrato laboral en España). No recopilamos intencionadamente datos de menores de edad. Si detectamos datos de menores, procederemos a su eliminación inmediata.

16. MODIFICACIONES DE LA POLÍTICA

Reloji se reserva el derecho de modificar la presente Política de Privacidad en cualquier momento. Los cambios sustanciales serán notificados a los usuarios a través de:

  • Correo electrónico a la dirección registrada
  • Aviso destacado en la plataforma
  • Actualización de la fecha de "Última actualización"

Revisión recomendada: Se recomienda a los usuarios revisar periódicamente esta política.

17. ACUERDO DE TRATAMIENTO DE DATOS (CLIENTE-TEMPOIZE)

Cuando Reloji actúa como Encargado del Tratamiento para los datos de empleados de sus clientes (empresas), las obligaciones y responsabilidades específicas se detallan en el Acuerdo de Tratamiento de Datos que forma parte del contrato de servicios.

Este acuerdo incluye:

  • Objeto y duración del tratamiento
  • Obligaciones del encargado (Reloji)
  • Obligaciones del responsable (Cliente)
  • Medidas de seguridad implementadas
  • Subencargados del tratamiento
  • Derechos de auditoría
  • Devolución/eliminación de datos al finalizar el servicio

18. DATOS DE CONTACTO PARA CUESTIONES DE PRIVACIDAD

Para cualquier consulta, duda o ejercicio de derechos relacionados con la privacidad y protección de datos, puede contactarnos en:

Correo Electrónico (Privacidad): privacy@reloji.com Correo Electrónico (General): info@reloji.com Correo Electrónico (Legal): legal@reloji.com Teléfono: +34 624 659 759 Dirección Postal: Parellada 8, 08757 Corbera de Llobregat, Barcelona, España

Horario de Atención: Lunes a Viernes: 9:00 - 18:00 (CET/CEST)

Fecha de última actualización: 10 de noviembre de 2025 Versión: 1.2

© 2025 Reloji. Todos los derechos reservados.