Legal
Política de Privacidad
Última actualización: mayo de 2026
En cumplimiento del Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD), LOOM S.L. te informa sobre el tratamiento de tus datos personales a través de la plataforma ChronoWork.
1Responsable del tratamiento
| Identidad | LOOM S.L. |
| NIF | 07271572F |
| Dirección | SigloXX, 36 a — Extremadura |
| Correo electrónico | hugoestudiospm1@gmail.com |
2Datos personales que tratamos y finalidades
ChronoWork es una plataforma de control de registro de jornada laboral. Los datos que tratamos son estrictamente los necesarios para prestar el servicio:
- Datos identificativos: nombre completo, DNI/NIE, correo electrónico corporativo y teléfono. Finalidad: identificación del empleado, gestión de accesos y comunicaciones relacionadas con el servicio.
- Datos de geolocalización: coordenadas GPS en el momento del fichaje de entrada y salida. Finalidad: verificar que el registro de jornada se realiza desde la ubicación laboral autorizada (geovalla). Los datos de ubicación se registran únicamente durante el acto del fichaje y no se recoge localización continua.
- Datos de jornada laboral: hora de entrada, hora de salida, pausas y horas totales. Finalidad: cumplimiento de la obligación legal de registro horario establecida en el artículo 34.9 del Estatuto de los Trabajadores (Real Decreto-ley 8/2019).
- Datos biométricos de autenticación (opcional): cuando el empleado activa el acceso por Face ID, Touch ID o Windows Hello, la verificación biométrica se procesa íntegramente en el dispositivo del usuario. ChronoWork no almacena datos biométricos en sus servidores.
- Datos de navegación: dirección IP y metadatos técnicos de las solicitudes. Finalidad: seguridad del sistema, detección de accesos no autorizados y análisis estadístico anónimo de rendimiento.
3Base legal para el tratamiento
- Ejecución del contrato laboral (art. 6.1.b RGPD): el tratamiento es necesario para la gestión de la relación laboral y la prestación del servicio contratado por la empresa empleadora.
- Obligación legal (art. 6.1.c RGPD): el registro de jornada es obligatorio conforme al artículo 34.9 del Estatuto de los Trabajadores, modificado por el Real Decreto-ley 8/2019. Los registros deben conservarse durante cuatro años y estar disponibles para la Inspección de Trabajo.
- Interés legítimo (art. 6.1.f RGPD): para el tratamiento de datos de geolocalización durante el fichaje, con el fin de garantizar la integridad y autenticidad del registro horario.
4¿Cuánto tiempo conservamos tus datos?
- Registros de jornada: mínimo 4 años desde cada registro, en cumplimiento del artículo 34.9 ET y las obligaciones de la Inspección de Trabajo.
- Datos de cuenta: durante la vigencia de la relación laboral. Tras la baja del empleado, los datos se anonomizan o se conservan únicamente durante los plazos legalmente exigidos.
- Logs de auditoría: 4 años, por obligación legal de trazabilidad.
5¿Compartimos tus datos con terceros?
No cedemos datos a terceros con fines comerciales. Los encargados de tratamiento que intervienen en la prestación del servicio son:
| Encargado | Función | Ubicación | Garantía |
|---|---|---|---|
| Supabase Inc. | Alojamiento de base de datos y autenticación | AWS Frankfurt (UE) | DPA + Cláusulas Contractuales Tipo |
| Vercel Inc. | Hosting y edge functions de la aplicación web | AWS / edge global | DPA + SCCs |
| MiniMax (Asistente IA Premium) | Procesamiento de lenguaje natural — solo admins con acceso Premium. Datos anonimizados antes del envío. Opt-out de entrenamiento activado. | API global (opt-out entrenamiento) | ToS + X-Training-Opt-Out |
En todos los casos se han firmado los acuerdos de encargo de tratamiento (DPA) y se aplican las garantías adecuadas conforme al artículo 46 RGPD.
6Tus derechos
Como interesado, puedes ejercer en cualquier momento los siguientes derechos enviando una solicitud escrita a hugoestudiospm1@gmail.com adjuntando copia de tu DNI:
- Acceso: saber qué datos tuyos tratamos.
- Rectificación: corregir datos inexactos o incompletos.
- Supresión: solicitar el borrado cuando ya no sean necesarios, salvo que exista obligación legal de conservación.
- Limitación del tratamiento: suspender el tratamiento en casos previstos en el RGPD.
- Oposición: oponerte al tratamiento basado en interés legítimo.
- Portabilidad: recibir tus datos en formato estructurado y legible por máquina.
Si consideras que el tratamiento no se ajusta a la normativa, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).
7Seguridad
ChronoWork implementa medidas técnicas y organizativas adecuadas al nivel de riesgo: cifrado en tránsito (TLS 1.3) y en reposo (AES-256), control de acceso por roles (RLS), autenticación multifactor, registros de auditoría inmutables y backups periódicos. Todos los fichajes son registros inmutables que no pueden modificarse sin dejar traza auditable, en línea con los requisitos de la normativa laboral española.
8Asistente IA Premium — tratamiento con inteligencia artificial
Los administradores con acceso al Asistente IA Premium pueden realizar consultas sobre fichajes, anomalías, normativa laboral y generación de borradores. Esta funcionalidad implica el envío de datos a un proveedor externo de IA. A continuación se detalla cómo protegemos tu información:
- Datos enviados al modelo de IA: fragmentos de registros de jornada y anomalías relevantes para la consulta. Nunca se envía el histórico completo de la empresa ni datos no relacionados con la pregunta del administrador.
- Anonimización previa: antes de enviar cualquier dato al modelo, el sistema sustituye automáticamente la información identificativa (DNI/NIE, correo electrónico, teléfono, IBAN) por identificadores tokenizados (p.ej.
[DNI:a3f1…]). El modelo de IA procesa datos seudonimizados, no personales directamente identificables. - Opt-out de entrenamiento: todas las llamadas al proveedor de IA incluyen la cabecera
X-Training-Opt-Out: 1, solicitando explícitamente que los datos no se usen para entrenar o mejorar los modelos del proveedor, conforme a sus Condiciones de Servicio. - Sin caché en proxies intermedios: las respuestas de IA se sirven con cabecera
Cache-Control: no-storepara impedir que proxies o CDN almacenen contenido sensible. - Cero escrituras automáticas: el asistente nunca modifica datos de la base de datos de forma autónoma. Cualquier acción propuesta (borrador de solicitud, mensaje a empleados, etc.) queda en estado pendiente de aprobación y solo se ejecuta tras confirmación explícita del administrador.
- Registro de auditoría: todas las interacciones con el asistente quedan registradas en el log de auditoría interno con marca temporal, coste estimado y hash SHA-256 del prompt (no el contenido íntegro). Los registros de conversación se eliminan automáticamente a los 90 días mediante una tarea programada.
- Derecho de supresión IA: los administradores pueden borrar su historial de conversaciones con el asistente en cualquier momento desde la sección Asistente IA → Configuración → Borrar historial, en ejercicio del derecho de supresión del artículo 17 RGPD.
El proveedor de IA actualmente utilizado es MiniMax (ver tabla de encargados en la sección 5). Si este proveedor cambia, se actualizará esta política y se notificará a los usuarios afectados.
9Cambios en esta política
Esta política puede actualizarse para reflejar cambios normativos o en el servicio. La versión vigente siempre estará disponible en esta página. Los cambios sustanciales se comunicarán mediante aviso en la plataforma o por correo electrónico.
¿Tienes dudas? Contacta con el responsable de tratamiento en hugoestudiospm1@gmail.com