Política de privacidad

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales es Eurobest-Holding (NIF 32991314E), con domicilio en C/ Sierra de las Nieves, nº 1, 1ºB, 41440 - Lora del Río, España.

Puede contactar con nosotros en: [contacto@jornadapp.es].

Para cuestiones relativas a la protección de datos puede dirigirse a nuestro delegado de protección de datos (DPO) en: [contacto@jornadapp.es].

2. Finalidad y base legal

En Jornadapp tratamos datos personales para:

• Gestión de la plataforma y de la relación contractual: registro de empresas y usuarios; autenticación (incluido inicio de sesión con Google o Microsoft (OAuth) y, en su caso, con certificado digital); gestión de empleados (altas, edición, envío de credenciales por email, asignación de horarios y geo-valla, foto del empleado); registro de fichajes con geolocalización (entrada, salida, pausas); gestión de ausencias y vacaciones (solicitudes, aprobaciones, saldos y políticas); generación de informes (CSV, PDF, nómina, SAGE); facturación y suscripciones (Stripe, PayPal) y, en su caso, integración con sistemas de facturación externos; recordatorios de fichaje por email; configuración de descansos, proyectos y autenticación en dos factores (2FA). Base legal: ejecución del contrato (art. 6.1.b RGPD).
• Rastreo en vivo (si el cliente ha contratado este extra): visualización en mapa de la ubicación de los trabajadores mientras están fichados. Base legal: ejecución del contrato (art. 6.1.b RGPD).
• Comunicaciones push y notificaciones: envío de recordatorios y notificaciones en la app móvil (mediante Firebase Cloud Messaging u otros medios técnicos). Base legal: ejecución del contrato o interés legítimo (art. 6.1.b o 6.1.f RGPD).
• Cumplimiento normativo: conservación de registros de control horario y datos necesarios para la normativa laboral aplicable. Base legal: obligación legal (art. 6.1.c RGPD).
• Comunicaciones comerciales y mejora del servicio: envío de información sobre el servicio, actualizaciones o encuestas, si nos ha dado su consentimiento o existe interés legítimo. Base legal: consentimiento o interés legítimo (art. 6.1.a o 6.1.f RGPD).
• Fichaje por código QR o NFC (cuando la empresa lo habilita): validación del terminal o de la etiqueta y registro del fichaje; en web puede usarse la cámara solo para leer el QR. Base legal: ejecución del contrato (art. 6.1.b RGPD).
• Documentos laborales: custodia de archivos que sube la empresa, asignación a empleados y, en su caso, captura de firma (manuscrita o similar) y registro de fecha de firma. Base legal: ejecución del contrato u obligación legal (art. 6.1.b o 6.1.c RGPD).
• Calendario externo (opcional): sincronización o visualización de ausencias/eventos mediante OAuth con Google o Microsoft y/o enlace de suscripción tipo iCal, con tratamiento de los tokens necesarios. Base legal: ejecución del contrato (art. 6.1.b RGPD).
• Webhooks e integraciones HTTP (configurados por la empresa cliente): envío automático de eventos (p. ej. creación de fichajes) a las URL que indique el responsable del tratamiento cliente. Base legal: ejecución del contrato (art. 6.1.b RGPD).
• Señales técnicas anti-fraude: registro de puntuaciones o marcadores derivados del dispositivo o del contexto del fichaje (p. ej. precisión de ubicación, coherencia entre registros, desfase de reloj) para apoyar la auditoría; son indicadores técnicos y no constituyen por sí solos acreditación de fraude. Base legal: interés legítimo o ejecución del contrato (art. 6.1.f o 6.1.b RGPD).
• Bienestar / pulso emocional (si la empresa lo activa): recogida de una valoración de estado de ánimo; en el panel empresarial se muestran estadísticas agregadas; a nivel técnico puede asociarse al empleado para evitar respuestas duplicadas el mismo día. Base legal: ejecución del contrato o interés legítimo, según el caso (art. 6.1.b o 6.1.f RGPD).
• Funcionamiento sin conexión (PWA): almacenamiento temporal en el dispositivo de fichajes pendientes de envío hasta restablecer la conectividad. Base legal: ejecución del contrato (art. 6.1.b RGPD).

3. Datos que recogemos

• Cuentas de gestores/empresas: nombre, email, contraseña (encriptada), nombre de la empresa, CIF, dirección; datos de pago si aplica (gestionados por proveedores como Stripe/PayPal).
• Empleados: nombre, apellidos, email, contraseña (encriptada), DNI/NIF, número de la Seguridad Social, empresa a la que pertenecen; en su caso foto del empleado, datos de geo-valla (centro y radio de la zona permitida) y horarios; preferencias de tema (claro/oscuro).
• Fichajes: fecha y hora de entrada, salida y pausas; ubicación (latitud, longitud y dirección) en el momento del fichaje.
• Solicitudes de ausencias y vacaciones: fechas, tipo de ausencia, estado (pendiente, aprobada, rechazada) y datos asociados a las políticas de la empresa.
• Informes y exportaciones: los informes generados (CSV, PDF) pueden contener datos de empleados y fichajes; si se utiliza firma digital en PDF, se almacenan los datos de configuración del certificado en el servidor del Proveedor según lo configurado por el administrador.
• Uso técnico y seguridad: direcciones IP, tipo de navegador, sesiones y cookies necesarias para el funcionamiento y la seguridad (sesión, preferencias de idioma y tema); en la app móvil, identificadores de dispositivo para notificaciones push y, cuando está habilitado, tokens o resultados de validación de integridad del dispositivo (Play Integrity API) para combatir el fraude. No utilizamos cookies de publicidad de terceros en las áreas de acceso restringido.
• QR, NFC y terminales: tokens o códigos de terminal QR, identificadores de etiquetas NFC y datos técnicos asociados al modo de fichaje elegido por la empresa.
• Documentos: metadatos (título, tipo, destinatarios), archivos subidos, imagen o datos de firma cuando proceda, y marcas de tiempo de firma o consulta.
• Calendario: tokens OAuth o de refresco para Google/Microsoft y, si se utiliza, token de suscripción a feed iCal por empleado.
• Webhooks: URL de destino, secreto para firma HMAC, tipo de eventos suscritos e información técnica de entregas (intentos, códigos de respuesta, mensajes de error) para operación y soporte.
• Anti-fraude: puntuación (score), etiquetas (flags) técnicas y referencia al fichaje relacionado.
• Bienestar: puntuación de estado de ánimo, fecha y vínculo con empresa (y técnicamente con el empleado para el límite diario).
• Cola offline (navegador / PWA): fichajes u operaciones pendientes guardadas localmente hasta su sincronización con el servidor.

4. Destinatarios y transferencias

Los datos se almacenan en servidores ubicados en la Unión Europea (o en territorios con decisión de adecuación o garantías apropiadas). No vendemos datos personales. Podemos compartir datos con:

• Proveedores de hosting y servicios técnicos que actúan como encargados del tratamiento (con contrato art. 28 RGPD).
• Proveedores de pago (Stripe, PayPal) para procesar suscripciones, según sus propias políticas.
• Google y Microsoft, solo en el caso de que utilice el inicio de sesión con Gmail o Microsoft (OAuth), según sus políticas de privacidad.
• Firebase (Google) para el envío de notificaciones push en la app móvil, según su política de privacidad.
• Google Play Integrity API, cuando la app Android envía validación de integridad del dispositivo, según los términos de Google.
• Sistemas de terceros cuya URL o endpoint configure la empresa cliente como destino de webhooks: el envío se realiza por instrucción del responsable cliente, que debe asegurar la licitud del tratamiento en destino (contrato de encargo, bases legales, medidas de seguridad).
• Google y Microsoft en relación con las APIs de calendario cuando el empleado o la empresa conecten esas cuentas.

5. Conservación

Conservamos los datos mientras sea necesario para las finalidades indicadas y para el cumplimiento de obligaciones legales (por ejemplo, normativa de control horario y laboral). Los datos de fichajes y ausencias se mantienen conforme a la legislación aplicable. Al cancelar la cuenta, procederemos a la supresión o anonimización en los plazos legalmente permitidos.

6. Derechos

Puede ejercer sus derechos ante Eurobest-Holding:

• Acceso: obtener información sobre si tratamos sus datos y una copia de los mismos.
• Rectificación: corregir datos inexactos o incompletos.
• Supresión: solicitar la eliminación cuando ya no sean necesarios, retire el consentimiento o se oponga al tratamiento, salvo que debamos conservarlos por obligación legal.
• Limitación: solicitar que el tratamiento se limite en los casos previstos en la normativa.
• Portabilidad: recibir sus datos en formato estructurado y de uso común cuando el tratamiento se base en contrato o consentimiento.
• Oposición: oponerse al tratamiento basado en interés legítimo.

Puede enviar su solicitud a [contacto@jornadapp.es]. Tiene derecho a presentar una reclamación ante la autoridad de control competente (en España, AEPD).

7. Cookies y tecnologías similares

Utilizamos cookies y almacenamiento local necesarios para el funcionamiento de la plataforma (sesión, preferencias de idioma y tema). No utilizamos cookies de publicidad de terceros en las áreas de acceso restringido. En la landing puede utilizarse análisis básico; puede gestionar las preferencias desde su navegador.

La aplicación web instalable (PWA) puede emplear un service worker, caché del navegador y almacenamiento persistente (p. ej. IndexedDB, localStorage) para rendimiento, preferencias y cola de fichajes sin conexión. Puede borrar estos datos desde la configuración del navegador (datos del sitio).

8. Permisos del navegador y del dispositivo (web y app)

Según las funciones que use su empresa y usted mismo, la Plataforma puede solicitar o utilizar capacidades del sistema. La denegación puede impedir o limitar el fichaje por GPS, QR, NFC o las notificaciones.

• Ubicación / GPS: precisa posición en el momento del fichaje, geo-vallas y, si está contratado, el rastreo en vivo durante la jornada fichada.
• Cámara (sobre todo en navegador): captura en vivo para leer códigos QR de terminal; no se almacenan fotografías del entorno como tal, salvo lo imprescindible para la lectura del código en el dispositivo.
• NFC (Android u compatible): lectura de etiquetas asociadas al fichaje en terminales habilitados.
• Notificaciones: avisos push (FCM en Android) y, en navegadores compatibles, notificaciones web para recordatorios o mensajes de la empresa.
• Red e Internet: envío y recepción de fichajes, documentos, webhooks y sincronización de la cola offline.
• Almacenamiento local: ver apartado 7; uso para sesión, preferencias y cola offline en PWA.
• Integridad del dispositivo (Android): cuando esté activada, comunicación con Google Play Integrity para comprobar el entorno de la app.

Los permisos se gestionan desde los ajustes del sistema operativo (Android, iOS, etc.) o del navegador (sitio, cámara, ubicación, notificaciones).

9. Seguridad

Aplicamos medidas técnicas y organizativas adecuadas para proteger sus datos (acceso restringido, cifrado, contraseñas hasheadas, 2FA disponible).

10. Cambios

Podemos actualizar esta política. Los cambios relevantes se comunicarán mediante aviso en la plataforma o por email. La fecha de la última actualización se indica al final de la página.