Politica de Privacidad

Ultima actualizacion: 13 de febrero de 2026

            Resumen: Tratamos tus datos para prestarte el servicio de control horario conforme al RD-Ley 8/2019. No vendemos tus datos a terceros. Cumplimos con el Reglamento General de Proteccion de Datos (RGPD) y la Ley Organica 3/2018 de Proteccion de Datos Personales y garantia de los derechos digitales (LOPDGDD). Tienes derecho a acceder, rectificar, suprimir y portar tus datos.
        

1. Responsable del tratamiento

Identidad: NDL Data SL
CIF: B66031717
Domicilio: Carrer de les Moreres 11, 08291 Ripollet (Barcelona)
Email de privacidad: privacidad@fichajin.com
Delegado de Proteccion de Datos (DPO): dpo@fichajin.com

            Nota: NDL Data SL actua como Encargado del Tratamiento (Art. 28 RGPD) cuando presta el servicio a empresas clientes. Cada empresa cliente es el Responsable del Tratamiento de los datos de sus propios empleados.
        

2. Datos personales que recopilamos

2.1. Datos de registro de empresa (administradores)

Nombre de la empresa, CIF y direccion fiscal
Datos del administrador: nombre, apellidos, email, telefono
Datos de facturacion: razon social, IBAN, titular de la cuenta (para cobro del servicio)

2.2. Datos de empleados

Nombre y apellidos
DNI/NIE
Email corporativo
Telefono (opcional)
Fotografia de perfil (opcional, metadatos EXIF eliminados automaticamente)

2.3. Datos de fichaje

Fecha y hora de entrada, salida y pausas (UTC)
Geolocalizacion: latitud, longitud y direccion aproximada (obligatoria para el fichaje, Art. 34.9 ET)
Dispositivo: tipo de dispositivo y navegador utilizado
Direccion IP (cifrada)

2.4. Datos de firma digital

Imagen de firma manuscrita digitalizada
IP, dispositivo y ubicacion en el momento de la firma (cifrados)
Hash de integridad del documento firmado

2.5. Datos tecnicos y de seguridad

Direccion IP de acceso (cifrada en base de datos)
Agente de usuario del navegador
Registros de auditoria de acciones realizadas (datos sensibles redactados)
Registros de acceso del servidor web (IP, URL, agente de usuario) conservados 14 dias

3. Finalidad y base legal del tratamiento

Finalidad	Base legal (Art. 6 RGPD)	Conservacion
Registro de jornada laboral (fichajes, geolocalizacion)	Obligacion legal - Art. 34.9 ET, RD-Ley 8/2019 (Art. 6.1.c)	4 anos
Gestion de usuarios y autenticacion	Ejecucion del contrato (Art. 6.1.b)	Duracion del contrato
Facturacion y cobro del servicio	Ejecucion del contrato + Obligacion fiscal (Art. 6.1.b + 6.1.c)	4 anos (obligacion fiscal)
Generacion de informes para Inspeccion de Trabajo (ITSS)	Obligacion legal - RD-Ley 8/2019 (Art. 6.1.c)	4 anos
Firma digital de documentos RGPD y contratos	Ejecucion del contrato (Art. 6.1.b)	Duracion del contrato + 5 anos
Envio de emails transaccionales (verificacion, facturas, firmas)	Ejecucion del contrato (Art. 6.1.b)	Duracion del contrato
Seguridad: prevencion de fraude, bloqueo de cuenta, auditoria	Interes legitimo (Art. 6.1.f)	4 anos (auditoria), 14 dias (logs servidor)
Registros de acceso del servidor web	Interes legitimo - seguridad (Art. 6.1.f)	14 dias

            Sobre la geolocalizacion: La recogida de la ubicacion al fichar se realiza al amparo del Art. 6.1.c RGPD (obligacion legal), ya que el Art. 34.9 del Estatuto de los Trabajadores exige un registro fiable de jornada. La ubicacion se utiliza exclusivamente para verificar el lugar del fichaje. Las coordenadas se almacenan cifradas y no se utilizan para seguimiento continuo del trabajador.
        

4. Destinatarios de los datos

Tus datos podran ser comunicados a:

Inspeccion de Trabajo y Seguridad Social (ITSS): En caso de requerimiento oficial, conforme al RD-Ley 8/2019.
Representantes legales de los trabajadores: Acceso a los registros de jornada segun el Estatuto de los Trabajadores.
Administracion tributaria: Datos de facturacion cuando exista obligacion legal.

4.1. Encargados del tratamiento (proveedores)

Utilizamos los siguientes proveedores para prestar el servicio, todos ellos con contrato de encargado de tratamiento conforme al Art. 28 RGPD:

Proveedor	Servicio	Datos tratados	Ubicacion
Stripe, Inc.	Procesamiento de pagos con tarjeta	Email, nombre empresa, datos de pago	EE.UU. (con CCT)
Resend, Inc.	Envio de emails transaccionales	Email, nombre del destinatario	EE.UU. (con CCT)
OpenStreetMap/Nominatim	Conversion de coordenadas a direccion legible	Coordenadas geograficas	UE (servidores distribuidos)

No vendemos, alquilamos ni cedemos tus datos personales a terceros con fines comerciales bajo ninguna circunstancia.

5. Transferencias internacionales de datos

Nuestros servidores estan ubicados en Espana (CPD propio). Sin embargo, utilizamos proveedores con sede en Estados Unidos (Stripe y Resend) para el procesamiento de pagos y el envio de emails. Estas transferencias estan amparadas por:

Clausulas Contractuales Tipo (CCT) aprobadas por la Comision Europea (Decision 2021/914).
Medidas complementarias: Cifrado de datos antes del envio y minimizacion de los datos transferidos.

Los datos transferidos se limitan al minimo necesario: email y nombre para comunicaciones, datos de pago para facturacion. Datos especialmente sensibles (DNI, geolocalizacion, fichajes) nunca se transfieren fuera de la UE.

6. Derechos del interesado

Conforme al RGPD y la LOPDGDD, tienes derecho a:

Derecho	Descripcion	Como ejercerlo
Acceso (Art. 15)	Obtener una copia de todos tus datos personales	Mi Perfil > Exportar mis datos (formato JSON)
Rectificacion (Art. 16)	Corregir datos inexactos o incompletos	Mi Perfil > Editar datos personales
Supresion (Art. 17)	Eliminar tus datos personales (los fichajes se conservan anonimizados por obligacion legal)	Mi Perfil > Eliminar mi cuenta (requiere contrasena)
Portabilidad (Art. 20)	Recibir tus datos en formato estructurado y legible por maquina	Mi Perfil > Exportar mis datos (JSON)
Limitacion (Art. 18)	Restringir el tratamiento en determinadas circunstancias	Solicitud a privacidad@fichajin.com
Oposicion (Art. 21)	Oponerte al tratamiento basado en interes legitimo	Solicitud a privacidad@fichajin.com

Para ejercer cualquier derecho, puedes utilizar las funciones del panel de usuario o contactar con privacidad@fichajin.com. Responderemos en un plazo maximo de 30 dias.

Si consideras que no hemos atendido correctamente tus derechos, puedes presentar una reclamacion ante la Agencia Espanola de Proteccion de Datos (AEPD), C/ Jorge Juan 6, 28001 Madrid.

7. Medidas de seguridad

Aplicamos medidas tecnicas y organizativas conforme al Art. 32 RGPD:

7.1. Cifrado y seudonimizacion

Cifrado AES de datos sensibles en reposo (email, DNI, telefono, CIF, IBAN, coordenadas, IP)
Cifrado HTTPS/TLS en todas las comunicaciones
Hashing irreversible de contrasenas (bcrypt con salt automatico)
Hash HMAC-SHA256 para busquedas indexadas sin exponer datos originales

7.2. Control de acceso

Autenticacion mediante tokens JWT con expiracion corta (15 minutos)
Tokens almacenados en cookies httpOnly (no accesibles por JavaScript)
Invalidacion inmediata de tokens al cerrar sesion (blacklist)
Bloqueo temporal de cuenta tras 5 intentos de acceso fallidos
Sistema de roles (superadmin, admin, representante, usuario)
Aislamiento de datos por empresa (cada empresa solo accede a sus datos)

7.3. Integridad y disponibilidad

Registros de fichaje inmutables (proteccion por trigger en base de datos)
Logs de auditoria inmutables con trazabilidad completa
Eliminacion automatica de metadatos EXIF de fotografias
Proteccion CSRF (Cross-Site Request Forgery) en todas las operaciones
Limitacion de tasa de peticiones (rate limiting) contra ataques de fuerza bruta
Sistema de deteccion de intrusiones (CrowdSec)

8. Conservacion de datos

Tipo de dato	Plazo	Justificacion
Registros de fichaje	4 anos	Art. 34 ET, RD-Ley 8/2019
Datos de usuario (tras baja)	Anonimizacion inmediata	RGPD Art. 17 (con retencion legal de fichajes)
Facturas y datos fiscales	4 anos	Ley General Tributaria
Logs de auditoria	4 anos	Trazabilidad y cumplimiento legal
Registros de acceso (servidor web)	14 dias	Seguridad y deteccion de incidentes
Cookies de sesion	15 minutos - 30 dias	Autenticacion y seguridad

Transcurridos los plazos indicados, los datos se eliminan de forma segura o se anonimizan de forma irreversible.

9. Datos de menores

Fichajin esta destinado exclusivamente a empresas y sus empleados mayores de edad con relacion laboral vigente. No tratamos conscientemente datos de menores de 16 anos. Si detectamos datos de un menor, procederemos a su eliminacion inmediata.

10. Decisiones automatizadas

No realizamos decisiones basadas unicamente en el tratamiento automatizado que produzcan efectos juridicos o afecten significativamente a los interesados (Art. 22 RGPD). El calculo de horas trabajadas es una operacion aritmetica sobre los registros de fichaje, sin valoracion o perfilado del trabajador.

11. Modificaciones de esta politica

Podemos actualizar esta politica de privacidad para reflejar cambios en nuestras practicas de tratamiento o en la legislacion aplicable. Notificaremos cualquier cambio significativo por email al administrador de la cuenta con al menos 30 dias de antelacion. La version actualizada se publicara siempre en esta pagina con su fecha de revision.

12. Contacto

Consultas de privacidad: privacidad@fichajin.com
Delegado de Proteccion de Datos: dpo@fichajin.com
Direccion postal: NDL Data SL, Carrer de les Moreres 11, 08291 Ripollet (Barcelona)
AEPD: www.aepd.es - C/ Jorge Juan 6, 28001 Madrid