Política de privacidad — WorkTracker (RGPD Art. 13)

Versión: 1.1 Fecha efectiva: 2026-01-29 Última actualización: 2026-03-10

Cambios relevantes (v1.1):

  • Se añade información sobre notificaciones push (FCM/Firebase), base jurídica, datos tratados y limitaciones de entrega.
  • Se amplía la sección de geolocalización para reflejar los modos required y disabled en el fichaje.

Documento público general. La información específica del Responsable del tratamiento (tu empresa) se facilita dentro de la app y/o por tu empresa.

1. ¿Quién es el Responsable del tratamiento?

En el uso típico de WorkTracker, el Responsable del tratamiento es la empresa (tu empleador o entidad que te habilita el acceso a WorkTracker).

Contacto del Responsable (tu empresa): Los datos de contacto del Responsable (razón social, CIF, domicilio y email de privacidad/RRHH) se facilitan:

  • dentro de la app (sección “Privacidad”), y/o
  • directamente por tu empresa.

2. ¿Quién es el Proveedor (Encargado)?

WorkTracker es una app operada por Luciano Plaza Grueso (en adelante, el “Proveedor”), que actúa normalmente como Encargado del tratamiento por cuenta de la empresa Responsable.

Contacto del Proveedor:

3. ¿Qué datos se tratan?

Según el uso y configuración, pueden tratarse:

3.1 Datos de cuenta y organización

  • Identificador técnico de usuario (por ejemplo, auth.uid()).
  • Empresa asociada y rol/permisos.
  • Email (si se usa para autenticación o invitación).
  • Nombre y apellidos.

3.2 Datos de registro de jornada

  • Fichajes: fecha/hora de entrada y salida, y eventos asociados.
  • Correcciones/ajustes autorizados por rol.

3.3 Incidencias (incluye texto libre)

  • Tipo de incidencia y, en su caso, descripción.
  • El texto libre debe limitarse a lo imprescindible y no debe incluir datos especialmente sensibles (salud, ideología, etc.) salvo que la empresa lo indique expresamente y exista base legal adecuada.

3.4 Auditoría y trazabilidad

  • Registros de cambios (quién cambió qué y cuándo) para trazabilidad.

3.5 Datos técnicos mínimos

  • Logs de seguridad y operación (por ejemplo, IP, información de sesión y registros de errores), necesarios para mantener el servicio y prevenir abusos.

4. Finalidades del tratamiento

  • Registro de jornada y cumplimiento de obligaciones laborales.
  • Gestión de incidencias asociadas a la jornada.
  • Trazabilidad/auditoría de cambios.
  • Seguridad y mantenimiento del servicio.

5. Base jurídica

Con carácter general, para el registro de jornada no se requiere consentimiento: la base de legitimación corresponde a la empresa Responsable (por ejemplo, obligación legal y/o relación laboral/contractual).

En particular, según el contexto de uso, pueden aplicar:

  • Cumplimiento de obligación legal en materia laboral (art. 6.1.c RGPD).
  • Ejecución de la relación laboral o contractual (art. 6.1.b RGPD).

Además, para seguridad del servicio puede aplicarse interés legítimo (prevención de fraude, continuidad operativa), ponderado con los derechos de las personas usuarias.

6. Destinatarios y acceso

Los datos pueden ser accesibles por:

  • Personal autorizado de tu empresa (según rol).
  • El Proveedor para soporte técnico, mantenimiento y seguridad, siguiendo instrucciones de la empresa Responsable.
  • Proveedores tecnológicos necesarios para prestar el servicio (subencargados), bajo contrato.
  • Google (Firebase Cloud Messaging - FCM) para la entrega de notificaciones push al dispositivo.

Política de privacidad de Google: https://policies.google.com/privacy

7. ¿Dónde se alojan los datos?

La infraestructura principal se presta mediante Supabase.

Región del proyecto: West EU (Paris) — eu-west-3.

8. Transferencias internacionales

Como regla general, WorkTracker prioriza proveedores y configuración en el EEE.

No obstante, para funcionalidades de notificaciones push mediante Firebase Cloud Messaging (Google), puede existir tratamiento internacional de datos técnicos (por ejemplo, token y metadatos de entrega) según la infraestructura global del proveedor.

Cuando aplique, se adoptarán garantías adecuadas conforme al RGPD (por ejemplo, Cláusulas Contractuales Tipo u otras medidas válidas en cada momento).

9. Plazos de conservación

  • Registros de jornada: la empresa debe conservarlos durante 4 años y mantenerlos disponibles según la normativa aplicable.
  • Incidencias y auditoría: normalmente alineadas con los plazos anteriores o los que determine la empresa conforme a sus obligaciones.
  • Datos de cuenta: mientras exista relación con la empresa y el tiempo necesario para atender responsabilidades legales.

10. Derechos de las personas

Puedes ejercer tus derechos (acceso, rectificación, supresión, oposición, limitación, portabilidad cuando proceda) ante tu empresa (Responsable).

Si no conoces el canal correcto, puedes pedirlo a tu Administrador/Encargado en la empresa o escribir a legal@worktracker.es para que te indiquemos el contacto adecuado de tu empresa.

También puedes reclamar ante la AEPD.

11. Biometría (desbloqueo local)

WorkTracker puede ofrecer desbloqueo local mediante biometría del dispositivo (Face ID/huella) solo para comodidad del usuario, sin que el Proveedor ni la empresa reciban datos biométricos.

La verificación se realiza por el sistema operativo y la app recibe un resultado de autenticación (sí/no).

12. Notificaciones push (FCM/Firebase)

12.1 Finalidad

WorkTracker puede enviar notificaciones push como apoyo operativo:

  • A usuarios trabajadores: recordatorios de jornada (por ejemplo, umbrales de duración de jornada continua, en línea con el marco laboral aplicable, incluido el art. 34.4 del Estatuto de los Trabajadores).
  • A usuarios administradores: aviso de nueva incidencia registrada en su empresa.

Las notificaciones push no constituyen registro oficial de jornada ni prueba laboral por sí mismas.

12.2 Datos tratados para notificaciones

  • Identificador técnico del usuario y estado operativo de jornada para decidir si procede un aviso.
  • Token push del dispositivo (FCM token), generado por Firebase y asociado al usuario/dispositivo.
  • Contenido visible de la notificación (título y cuerpo) para su entrega.

La decisión de cuándo enviar una notificación se realiza en servidores de WorkTracker (procesamiento server-side).

12.3 Terceros y base jurídica

Para la entrega de notificaciones se utiliza Firebase Cloud Messaging (Google):

  • Google procesa el token FCM y el contenido visible de la notificación para enrutarla al dispositivo.
  • WorkTracker no utiliza FCM para registrar fichajes ni para modificar registros laborales.

Base jurídica aplicable (según contexto):

  • Ejecución de la relación contractual y prestación del servicio (art. 6.1.b RGPD).
  • Interés legítimo operativo para comunicaciones funcionales de la plataforma (art. 6.1.f RGPD).

12.4 Retención de tokens

El token push se conserva mientras sea necesario para prestar el servicio de notificaciones. Se elimina al cerrar sesión y/o en procesos periódicos de limpieza de tokens inválidos.

12.5 Configuración y limitaciones

  • El usuario puede desactivar las notificaciones desde los ajustes del dispositivo.
  • Desactivar notificaciones no altera el registro de jornada.
  • La entrega depende de conectividad, permisos, batería y políticas del sistema operativo. WorkTracker no puede garantizar la recepción en todos los casos.

12.6 Separación con el registro oficial

Abrir, ignorar o descartar una notificación no crea, modifica ni elimina fichajes.

13. Geolocalización en fichaje

WorkTracker solo contempla geolocalización en el contexto del fichaje y según la política configurada por la empresa:

  • required: se solicita ubicación en el momento de fichar para validar el evento de jornada.
  • disabled: no se solicita permiso de ubicación y no se recoge ni almacena geolocalización.

No se realiza rastreo continuo en segundo plano. Cuando aplica geolocalización, se limita al momento del fichaje y bajo principio de minimización.

Finalidad: control operativo del fichaje conforme a la configuración empresarial y al marco laboral aplicable.

Proporcionalidad: la empresa Responsable debe justificar la necesidad de esta medida para su contexto organizativo, aplicar la opción menos intrusiva viable y mantener información previa clara para las personas usuarias.

Conservación: los datos de geolocalización, cuando se recojan, siguen los plazos de conservación del registro de jornada y auditoría definidos en esta política y por la empresa Responsable.

14. Cambios en esta política

Podrá actualizarse. Si el cambio es relevante, se notificará. Si procede, la app podrá requerir relectura o nueva aceptación de la versión vigente.

15. Contacto

  • Tu empresa (Responsable): consulta el contacto dentro de la app y/o con tu empresa.
  • Proveedor (privacidad y soporte): legal@worktracker.es