Política de privacidad

En Signa nos tomamos en serio la protección de datos. Esta política explica qué información tratamos, con qué finalidad, durante cuánto tiempo, a quién la comunicamos y qué derechos puedes ejercer. Está redactada conforme al Reglamento (UE) 2016/679, General de Protección de Datos (RGPD), la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD) y la guía de la Agencia Española de Protección de Datos (AEPD).

1. Identidad del responsable

Responsable

[Nombre y apellidos pendientes] — Persona física en régimen de autónomo (NIF [DNI pendiente]). Marca comercial: Signa. Datos completos en el aviso legal.

Correo de privacidad

privacidad@fichajepro.com

Delegado de Protección de Datos (DPO)

Signa no está obligada a designar DPO conforme al artículo 37 RGPD, ya que su actividad principal no consiste en operaciones de tratamiento que requieran observación sistemática a gran escala ni en tratamientos a gran escala de categorías especiales de datos. Para cualquier cuestión sobre protección de datos, utiliza el correo indicado arriba.

2. La doble figura: Responsable y Encargado

Signa actúa en dos roles diferentes según los datos de que se trate:

2.1. Como Responsable del Tratamiento

Cuando una persona se registra para crear una cuenta de empresa, solicita información, contacta con nosotros o navega por el sitio, Signa es el responsable del tratamiento de esos datos personales.

2.2. Como Encargado del Tratamiento

Cuando la empresa cliente carga datos de sus empleados en la plataforma (fichajes, ausencias, nóminas, contratos y otros documentos laborales), la empresa cliente es la responsable del tratamiento y Signa es Encargada del Tratamiento: trata esos datos exclusivamente conforme a las instrucciones del cliente. Las condiciones completas están en la cláusula de Encargado del Tratamiento.

3. Datos que tratamos

3.1. Datos de los responsables de cuenta y solicitantes

• Identificativos y de contacto: nombre, apellidos, correo electrónico, móvil, cargo, empresa.
• Datos económicos (cuando se contrata el servicio): forma de pago, razón social, NIF, dirección fiscal. Los datos de tarjeta los gestiona directamente el proveedor de pago (Stripe) y Signa no los almacena.
• Datos técnicos y de uso: dirección IP, identificador de dispositivo, datos de navegación y, si das consentimiento, métricas analíticas y de marketing.

3.2. Datos de los empleados (tratados como Encargada)

• Identificativos: nombre, apellidos, móvil.
• Laborales: categoría, horario contratado, fichajes, ausencias, vacaciones.
• Documentales: nóminas, contratos, anexos y recibos de EPI subidos por la empresa y entregados al empleado a través del Servicio.

Origen de los datos de empleados: estos datos no se obtienen del propio interesado; los aporta la empresa cliente al alta y al modificar su plantilla. La empresa cliente, como Responsable, es quien debe informar a los empleados del tratamiento conforme al artículo 14 RGPD.

3.3. Categorías especiales

Signa no recoge categorías especiales de datos (origen étnico, opiniones políticas, religión, salud, datos genéticos o biométricos, vida sexual). Si un cliente intenta cargar datos de esta naturaleza, no se garantiza el tratamiento.

4. Finalidad y base legal

• Prestación del servicio contratado y atención a la relación contractual — ejecución de un contrato (art. 6.1.b RGPD).
• Cumplimiento de obligaciones legales en materia laboral, fiscal, contable y de protección de datos — cumplimiento de una obligación legal (art. 6.1.c RGPD).
• Atención de solicitudes de información, prueba o demos — consentimiento del interesado (art. 6.1.a RGPD).
• Envío de comunicaciones comerciales sobre productos o servicios similares a los contratados — interés legítimo del responsable (art. 6.1.f RGPD), con derecho a oposición en todo momento; o consentimiento (art. 6.1.a) cuando no haya relación contractual previa.
• Mejora del servicio y analítica agregada (cookies opcionales) — consentimiento (art. 6.1.a RGPD).

4 bis. Geolocalización al fichar (cuando proceda)

Si la empresa empleadora activa la captura de ubicación al fichar (modo "GPS" en sus ajustes), la aplicación recoge las coordenadas (latitud y longitud) del dispositivo del empleado solo en el momento exacto de pulsar "Fichar entrada", nunca entre fichajes ni fuera del horario de trabajo.

• Finalidad: verificar que el empleado se encuentra en el centro de trabajo correspondiente, con fines de control horario.
• Base legal: interés legítimo del empleador (art. 6.1.f RGPD) y cumplimiento de la obligación legal de registro horario (art. 6.1.c RGPD + RD-Ley 8/2019). No se recaba como consentimiento del trabajador, ya que en una relación laboral el consentimiento no se considera libre (art. 7 RGPD).
• Información previa: antes de activar su cuenta, y de nuevo antes del primer fichaje, se informa al empleado por escrito en la propia aplicación de qué se recoge, cuándo, para qué, cuánto se conserva y qué derechos tiene (RGPD art. 13, LOPDGDD art. 90, ET art. 20bis).
• Derecho de oposición:el empleado puede rechazar la captura de ubicación y seguir fichando con normalidad. La decisión queda guardada por empleado y es reversible en cualquier momento desde "Mi cuenta" en el portal del empleado.
• Conservación: las coordenadas se guardan junto con el fichaje correspondiente durante los cuatro años legales del registro horario (Disposición adicional cuarta del Estatuto de los Trabajadores).

5. Conservación

Tus datos se conservan durante el tiempo necesario para la finalidad para la que se recabaron y mientras dure la relación contractual. Tras la finalización, se conservarán bloqueados para atender posibles responsabilidades legales durante los plazos de prescripción aplicables.

• Registros horarios: cuatro años desde su generación, conforme a la Disposición adicional cuarta del Estatuto de los Trabajadores y la normativa laboral aplicable.
• Datos contables y fiscales: seis años (Código de Comercio art. 30 y normativa fiscal).
• Datos de marketing: hasta que retires el consentimiento o ejercitar la oposición.

6. Decisiones automatizadas

Signa no toma decisiones individuales automatizadas, incluida la elaboración de perfiles, que produzcan efectos jurídicos o afecten significativamente a los interesados en el sentido del artículo 22 RGPD. El asistente de IA integrado en la plataforma actúa como apoyo a la persona administradora y no sustituye sus decisiones.

7. Destinatarios y transferencias

Tus datos pueden comunicarse a los siguientes destinatarios, todos ellos sometidos a contratos de Encargado del Tratamiento que garantizan el cumplimiento del RGPD:

• Proveedor de hosting: Supabase Inc. (datos alojados en la región UE de Frankfurt) y Vercel Inc. (alojamiento estático del sitio web, región UE).
• Proveedor de pago: Stripe Payments Europe Ltd. (Irlanda).
• Proveedor de mensajería transaccional: por definir (se publicará en cuanto se contrate).
• Administraciones públicas cuando exista obligación legal (Inspección de Trabajo, Agencia Tributaria, Fuerzas y Cuerpos de Seguridad).

Transferencias internacionales: los datos se alojan en centros de datos ubicados en el Espacio Económico Europeo. Algunos proveedores son entidades matrices con sede en EEUU; en ese caso las garantías se basan en cláusulas contractuales tipo (Decisión 2021/914 de la Comisión) o en el marco EU-US Data Privacy Framework.

8. Derechos

Puedes ejercer en cualquier momento los siguientes derechos enviando un correo a privacidad@fichajepro.com, acreditando tu identidad cuando sea necesario:

• Acceso, rectificación, supresión y portabilidad.
• Limitación y oposición al tratamiento.
• No ser objeto de decisiones automatizadas (no aplicable, ver apartado 6).
• Retirada del consentimiento, sin efecto retroactivo.

Responderemos a tu solicitud en el plazo de un mes desde su recepción, ampliable a dos meses adicionales cuando la complejidad o el número de solicitudes lo justifique, en cuyo caso te lo comunicaremos en el primer mes (art. 12.3 RGPD).

Si consideras que el tratamiento no se ajusta a la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (aepd.es), aunque te agradeceremos que contactes antes con nosotros para tratar de resolver la cuestión.

9. Seguridad

Aplicamos medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (art. 32 RGPD), entre ellas:

• Cifrado de las comunicaciones (TLS 1.3).
• Cifrado de la base de datos en reposo (AES-256).
• Control de acceso por rol y aislamiento de datos por organización (Row Level Security).
• Registro de accesos y auditoría de modificaciones de fichajes.
• Copias de seguridad diarias con retención y prueba periódica de restauración.
• Procedimiento documentado de notificación de brechas de seguridad en 72 horas a la AEPD y a los interesados cuando corresponda.

10. Cambios en esta política

Podemos actualizar esta política para reflejar cambios legales o operativos. Publicaremos la versión vigente en esta misma URL y, si los cambios son sustanciales (afectan a finalidades, base legal o destinatarios), te avisaremos por correo electrónico con antelación razonable.

Estado de este documento: texto preparado conforme al RGPD, la LOPDGDD y la guía de la AEPD. Algunos datos identificativos del responsable, listado completo de subencargados y proveedor concreto de mensajería están marcados como pendientes hasta cerrar la constitución societaria y la cadena de proveedores. Recomendamos validación por abogado colegiado especializado en protección de datos antes del lanzamiento comercial.