Política de privacidad
Última actualización: 30 de junio de 2026.
1. Responsable del tratamiento
Para los datos estrictamente necesarios del servicio SaaS (cuentas, autenticación, facturación), FicharPro actúa como responsable del tratamiento frente a la persona interesada.
Para los datos del registro de jornada de cada empresa cliente, la empresa clientees la responsable del tratamiento y FicharPro tiene la condición de encargado del tratamiento, conforme al artículo 28 del RGPD. Los detalles completos figuran en el documento de encargo de tratamiento (DPA) accesible desde el panel de administración.
2. Categorías de datos tratados
- Datos identificativos del empresario y la persona trabajadora: nombre, apellidos, email, teléfono.
- Datos de jornada: entrada, salida, pausas, centro de trabajo, hash criptográfico del fichaje.
- Geolocalización: solo durante la jornada activa (entrada, pausas reanudadas) si la empresa la activa; nunca se almacena en salidas ni en pausas (kill-switch).
- Dirección IP, agente de usuario y metadatos de auditoría para seguridad y prevención de fraude.
3. Finalidades y bases jurídicas
- Cumplimiento de la obligación legal de registro diario de jornada (art. 34.9 ET, RD-Ley 8/2019): conservación de los registros durante cuatro años.
- Ejecución del contrato de prestación del servicio SaaS con la empresa cliente.
- Interés legítimo en garantizar la seguridad del servicio y la trazabilidad de los accesos.
- Consentimiento para tratamientos opcionales (geolocalización con fines de control de presencia, desconexión digital opcional, etc.).
4. Conservación de los datos
Los registros de jornada se conservan durante cuatro (4) años desde la fecha del fichaje, conforme al artículo 34.9 del Estatuto de los Trabajadores. Pasado este plazo y verificado el cumplimiento de las obligaciones legales, los datos podrán ser suprimidos previa auditoría interna. La política de retención está documentada en docs/EXPORT_FORMAT.mdy en el código bajo src/lib/export-audit.ts.
5. Comunicación a terceros
No se ceden datos personales a terceros, salvo:
- Encargados de tratamiento con los que se ha firmado el correspondiente contrato (hosting, base de datos, envío de emails transaccionales).
- Autoridades competentes (Inspección de Trabajo y Seguridad Social, Fuerzas y Cuerpos de Seguridad) en cumplimiento de una obligación legal.
6. Transferencias internacionales
FicharPro utiliza proveedores con centros de datos dentro del Espacio Económico Europeo. En caso de realizar transferencias internacionales, se hará bajo cláusulas contractuales tipo de la Comisión Europea o decisión de adecuación vigente.
7. Medidas de seguridad
- Cifrado en tránsito (HTTPS / TLS 1.2+).
- Cifrado en reposo de las bases de datos (PostgreSQL en disco cifrado).
- Auditoría inmutable de cualquier modificación de los registros (trigger
prevent_audit_log_mutation). - Firma criptográfica (SHA-256) por fichaje.
- Firma HMAC-SHA256 de las exportaciones (clave
EXPORT_SIGNING_SECRET). - Aislamiento multi-tenant con base de datos dedicada por empresa.
8. Derechos de las personas interesadas
Las personas trabajadoras y las personas usuarias de la empresa cliente pueden ejercer los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad ante la empresa cliente, que es la responsable del tratamiento de los datos de jornada. Para datos del servicio SaaS propiamente dicho (cuenta, facturación), pueden dirigirse directamente a FicharPro.
9. Reclamaciones ante la autoridad de control
Sin perjuicio de su derecho a dirigirse directamente a FicharPro o a la empresa cliente, las personas interesadas pueden presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD, www.aepd.es) o ante la autoridad de control de su lugar de residencia.