Política de tratamiento y uso de datos

1. Objeto

Este documento describe cómo ChronoSeal trata, almacena y protege los datos de los clientes al proporcionar su plataforma de registro de jornada y verificación de registros ("Servicio"). Complementa los Términos de servicio y la Política de privacidad y tiene como objetivo proporcionar transparencia operativa a clientes, socios y auditores.

2. Roles y ámbito de aplicación

Para todos los datos relacionados con empleados tratados a través del Servicio:

• El Cliente (empleador) es el Responsable del Tratamiento
• ChronoSeal actúa como Encargado del Tratamiento

ChronoSeal trata los datos únicamente por cuenta del Cliente, únicamente para la prestación del Servicio y de conformidad con la normativa aplicable en materia de protección de datos, incluido el RGPD.

3. Categorías de datos tratados

Datos operativos esenciales

• Identificadores de personal (staff_id, user_id)
• Nombre del personal
• Identificadores de centro
• Datos de eventos de jornada (fichar entrada, fichar salida, pausas)
• Fechas de sesión y marcas de tiempo

Datos de autenticación

• Correo electrónico de inicio de sesión (para acceso de administradores y empleados)
• Códigos PIN (almacenados únicamente como hashes seguros)
• Registros de autenticación y acceso

Datos del sistema

• Identificadores de dispositivo (quiosco o dispositivo cliente)
• Metadatos de eventos necesarios para el funcionamiento del sistema
• Registros de seguridad y auditoría

Datos de verificación

• Hashes criptográficos de eventos
• Referencias de cadena (previous_hash)
• Registros de sello diario (root_hash)
• Pruebas de sello de tiempo (TSA / eIDAS donde sea aplicable)

4. Finalidad del tratamiento

ChronoSeal trata los datos estrictamente para registrar y gestionar el tiempo de trabajo de los empleados, mantener un libro de registro de eventos de solo-adición a prueba de manipulaciones, generar registros verificables, posibilitar flujos de trabajo de auditoría y cumplimiento, proporcionar acceso de autoservicio a los empleados y garantizar la seguridad del sistema.

ChronoSeal no vende datos, no los utiliza con fines publicitarios ni crea perfiles de empleados para sus propios fines.

5. Almacenamiento de datos y arquitectura

ChronoSeal utiliza un modelo de datos estructurado de solo-adición. Los eventos se escriben como registros inmutables. Cada evento está vinculado criptográficamente al evento anterior. Los sellos diarios proporcionan puntos de control de verificación. No hay eliminación ni mutación de eventos registrados, el historial de auditoría completo se preserva en todo momento, y las correcciones son aditivas, no destructivas. Este modelo es fundamental para la integridad del sistema.

6. Ubicación de los datos

Todos los datos principales se procesan y almacenan dentro de la Unión Europea (centros de datos de Europa Occidental). ChronoSeal está diseñado para mantener los datos de los clientes dentro del EEE siempre que sea posible.

7. Subencargados del tratamiento

ChronoSeal puede contratar a subencargados de confianza, incluidos proveedores de infraestructura en la nube, servicios de autenticación, procesadores de pagos y autoridades de sellado de tiempo. Todos los subencargados son seleccionados con base en estándares de seguridad y cumplimiento, tratan los datos únicamente en la medida necesaria y están vinculados por obligaciones contractuales de protección de datos. Se puede facilitar una lista de subencargados a solicitud del Cliente.

8. Medidas de seguridad

ChronoSeal implementa salvaguardas técnicas y organizativas, entre ellas:

• Cifrado en tránsito (TLS)
• Hash seguro de datos sensibles (p. ej. PINs)
• Control de acceso basado en roles
• Principio de mínimo privilegio (acceso únicamente por necesidad)
• Mecanismos de limitación de intentos y bloqueo
• Registro continuo de eventos relevantes para la seguridad

9. Integridad de datos y verificación

Cada evento tiene un hash criptográfico. Cada registro está vinculado al evento anterior. Los sellos diarios proporcionan puntos de control verificables. Los registros pueden verificarse a través de las interfaces de ChronoSeal o de forma independiente utilizando datos exportados — garantizando que los registros sean a prueba de manipulaciones y que la integridad pueda validarse sin depender de los sistemas de ChronoSeal.

10. Acceso y transparencia de los empleados

Los empleados pueden acceder a sus propios registros a través de un portal seguro, ver el historial completo de eventos y registros sellados, exportar sus datos y paquetes de verificación, y verificar sus registros de forma independiente. Esto respalda tanto los derechos de los interesados bajo el RGPD como la confianza entre empleador y empleado.

11. Conservación de datos

ChronoSeal conserva los datos durante la vigencia de la suscripción del Cliente y de conformidad con sus instrucciones. Los Clientes son responsables de definir las políticas de conservación, garantizar el cumplimiento de la normativa laboral y fiscal aplicable, y conservar los registros exportados cuando así lo exija la ley.

12. Portabilidad de los datos

ChronoSeal proporciona capacidades de exportación que incluyen datos de eventos en bruto, registros de jornada verificados, datos de la cadena criptográfica y paquetes de verificación para validación independiente. Los datos exportados pueden almacenarse de forma independiente y verificarse sin acceder a los sistemas de ChronoSeal.

13. Eliminación y correcciones

Debido al diseño de solo-adición, los eventos registrados no se eliminan ni modifican. Las correcciones se implementan como nuevos eventos que hacen referencia a registros anteriores. Este enfoque garantiza la auditabilidad completa, la preservación de la verdad histórica y la resistencia a manipulaciones.

14. Transferencias internacionales

ChronoSeal está diseñado para minimizar las transferencias fuera del EEE. Cuando se produce tratamiento internacional (p. ej. a través de subencargados), las garantías incluyen Cláusulas Contractuales Tipo (CCT) y el uso de proveedores con marcos de adecuación reconocidos.

15. Respuesta a incidentes

En caso de incidente de seguridad de datos, ChronoSeal investigará y contendrá el problema, notificará a los Clientes afectados cuando sea necesario y proporcionará la información pertinente para apoyar las obligaciones de cumplimiento. Los Clientes siguen siendo responsables de cualquier notificación reglamentaria requerida como Responsables del Tratamiento.

16. Cambios en esta política

ChronoSeal puede actualizar este documento periódicamente. Los cambios materiales se comunicarán por correo electrónico o mediante notificación en la aplicación.