Política de privacidad

1. Introducción

Esta Política de privacidad describe cómo ChronoSeal trata los datos personales al prestar su plataforma de registro de jornada y verificación de registros ("Servicio").

ChronoSeal está diseñado para garantizar la integridad, la transparencia y la verificabilidad independiente de los registros de jornada, minimizando la exposición innecesaria de datos personales.

2. Roles bajo el RGPD

Para los datos de los empleados procesados a través del Servicio:

• El Cliente (empleador) es el Responsable del Tratamiento
• ChronoSeal actúa como Encargado del Tratamiento

ChronoSeal trata los datos personales únicamente por cuenta del Cliente, únicamente para la prestación del Servicio y de conformidad con la normativa aplicable en materia de protección de datos (incluido el RGPD). ChronoSeal no determina de forma independiente la base jurídica del tratamiento de datos de los empleados.

3. Categorías de datos tratados

Datos de identificación de empleados

• Nombre
• ID de personal interno / ID de usuario
• Centro de trabajo

Datos de eventos de jornada

• Eventos de fichar entrada / fichar salida / pausas
• Marcas de tiempo (cliente y servidor)
• Fecha de sesión
• Identificador de dispositivo o quiosco

Datos de autenticación

• Correo electrónico de inicio de sesión (para acceso de administradores y empleados)
• PIN (almacenado como hash seguro, nunca en texto plano)
• Registros de autenticación y acceso

Datos de integridad del sistema

• Hashes criptográficos
• Referencias de la cadena de eventos
• Datos de sello y pruebas de sello de tiempo

ChronoSeal no trata por defecto datos de categorías especiales (p. ej. biométricos, de salud u otros datos personales sensibles).

4. Finalidad del tratamiento

Los datos personales se tratan estrictamente para:

• Registrar el tiempo de trabajo de los empleados
• Mantener un registro de auditoría inmutable y a prueba de manipulaciones
• Proporcionar verificación de la jornada registrada
• Facilitar la supervisión, los informes y los flujos de trabajo de cumplimiento del empleador
• Proporcionar a los empleados acceso a sus propios registros
• Garantizar la seguridad del sistema y prevenir el uso indebido

ChronoSeal no utiliza los datos de los empleados con fines publicitarios, de perfilado ni para propósitos comerciales propios.

5. Base jurídica

El Cliente (Responsable del Tratamiento) determina la base jurídica del tratamiento, que habitualmente será:

• Cumplimiento de obligaciones legales (p. ej. requisitos del RD-ley 8/2019)
• Interés legítimo en el mantenimiento de registros de trabajo precisos
• Necesidad contractual

ChronoSeal trata los datos exclusivamente siguiendo las instrucciones del Cliente.

6. Integridad y transparencia de los datos

ChronoSeal está construido en torno a la integridad total y la auditabilidad:

• Todos los eventos se almacenan en una estructura de solo-adición
• Los registros no pueden alterarse ni eliminarse
• Las correcciones se registran como nuevas entradas, preservando el historial completo

Los empleados pueden acceder a sus propios registros a través de un portal seguro de autoservicio, ver el historial completo de eventos y jornadas selladas, exportar sus datos y paquetes de verificación, y verificar de forma independiente la integridad de sus registros.

7. Verificación pública

ChronoSeal ofrece verificación pública opcional de registros sellados mediante una referencia criptográfica (hash). La verificación pública no expone datos de identidad personal. Solo se muestra información mínima no identificativa. El hash actúa como clave de acceso a la verificación.

8. Conservación de datos

ChronoSeal opera con un modelo de datos no destructivo. Los eventos registrados no se eliminan. Los registros forman parte de una cadena de auditoría continua. ChronoSeal respalda los requisitos de conservación establecidos en la normativa laboral aplicable, incluido el período mínimo de conservación de cuatro (4) años para los registros de jornada cuando así lo exija la ley. Los Clientes son responsables de definir las políticas de conservación y garantizar el cumplimiento de la normativa aplicable.

9. Seguridad de los datos

ChronoSeal implementa medidas técnicas y organizativas adecuadas, entre ellas:

• Cifrado en tránsito (TLS)
• Hash seguro de datos sensibles (p. ej. PINs)
• Controles de acceso basados en roles
• Mecanismos de limitación de intentos y bloqueo
• Registro de eventos relevantes para la seguridad

10. Subencargados del tratamiento

ChronoSeal puede utilizar proveedores externos de confianza para prestar el Servicio, entre ellos proveedores de infraestructura en la nube, servicios de autenticación, proveedores de pagos y autoridades de sellado de tiempo. Todos los subencargados tratan los datos únicamente en la medida necesaria y están sujetos a obligaciones contractuales de protección de datos. Se puede facilitar una lista de subencargados a solicitud del Cliente.

11. Ubicación de los datos y transferencias internacionales

ChronoSeal procesa y almacena los datos dentro de la Unión Europea. Toda la infraestructura principal — alojamiento de aplicaciones, bases de datos y funciones en la nube — está ubicada en Europa Occidental (centros de datos de la UE). Cuando los servicios de soporte impliquen tratamiento fuera del EEE, se aplican garantías adecuadas, incluidas Cláusulas Contractuales Tipo (CCT) y transferencias a proveedores con decisiones de adecuación.

12. Derechos de los interesados

Los empleados pueden ejercer sus derechos a través de su empleador (Responsable del Tratamiento), incluidos el acceso a sus datos, la rectificación (implementada mediante entradas de corrección), la limitación del tratamiento y la portabilidad de datos.

Debido a la naturaleza de solo-adición del sistema, los registros no se eliminan ni modifican. Las correcciones se registran como nuevos eventos, garantizando la preservación del rastro de auditoría.

13. Minimización de datos

ChronoSeal está diseñado para almacenar únicamente los datos necesarios, evitar identificadores personales innecesarios y separar la identidad de la verificación siempre que sea posible. Los sistemas de verificación pública no exponen datos personales.

14. Cambios en esta política

ChronoSeal puede actualizar esta Política de privacidad. Los cambios materiales se comunicarán por correo electrónico o mediante notificación en la aplicación. El uso continuado del Servicio implica la aceptación de la política actualizada.