Aviso de privacidad (RGPD)

Versión 2 · Última actualización: 2026-01-08

Este aviso describe cómo tratamos los datos personales en el sistema de registro de jornada.

Responsable del tratamiento

Empresa: COMACAR, S.L.

C.I.F: B28761039

Dirección: C/ La Torre, 34, Pol. Ind. La Sagra 45230 - Numancia de la Sagra (Toledo)

E-mail: sergio@comacar.es

Delegado de Protección de Datos

Email: dpo@dposa.es

Finalidad y base jurídica

Finalidad: Registrar la jornada laboral de las personas trabajadoras (entradas, salidas y pausas) conforme al art. 34.9 del Estatuto de los Trabajadores.

Base jurídica: cumplimiento de una obligación legal (art. 6.1.c del RGPD).

Adicionalmente, el tratamiento de metadatos técnicos (por ejemplo, dirección IP y agente de usuario) para finalidades de seguridad, integridad del sistema y prevención del fraude se ampara en el interés legítimo del responsable (art. 6.1.f del RGPD), aplicando la minimización de datos y medidas de proporcionalidad.

Datos tratados

Para cumplir la obligación legal de registro horario y garantizar la identificación inequívoca, se tratan los siguientes datos:

• Nombre, primer y segundo apellido.
• DNI/NIE y número de afiliación a la Seguridad Social (NAF).
• Correo corporativo, categoría profesional/puesto y estado laboral (activo, baja, suspensión).
• Datos de jornada: tipo de jornada (completa/parcial), porcentaje de parcialidad, centro de trabajo asignado y minutos/día previstos.
• Identificador de usuario y datos necesarios para autenticación (p. ej. hash de contraseña).
• Eventos de jornada (entrada, salida, inicio/fin de pausa) con fecha y hora del fichaje (almacenada en UTC y presentada en la zona horaria configurada, p. ej. Europe/Madrid), así como correcciones autorizadas.
• Dirección IP, agente de usuario y huellas de integridad (hashes) para seguridad, auditoría y trazabilidad.
• Datos de seguridad: secreto 2FA cifrado (si aplica), códigos de recuperación con hash y tokens temporales de restablecimiento de contraseña.
• Para acreditar el cumplimiento del deber de información, el sistema puede registrar en base de datos la fecha/hora en que el usuario ha leído/recibido determinados avisos (p. ej., geolocalización). Este registro no se almacena en cookies del navegador.
• Datos de geolocalización (cuando proceda): latitud, longitud, precisión aproximada (accuracy), estado de captura (OK/denegado/no disponible/timeout) y marca temporal asociada al fichaje.

Estos datos se almacenan en la ficha del trabajador/a y se utilizan exclusivamente para el control horario, auditoría interna y atención de posibles requerimientos de la Inspección de Trabajo o de la representación legal. No se comunican a terceros, salvo obligación legal. Podrán acceder proveedores que prestan servicios de alojamiento/mantenimiento como encargados del tratamiento.

Conservación

Los registros se conservarán durante 4 años a disposición de las personas trabajadoras, su representación legal y la Inspección de Trabajo. Tras el periodo mínimo, la empresa evaluará su supresión conforme a la normativa aplicable.

Destinatarios

No se cederán datos personales a terceros salvo obligación legal. Interviene como encargado del tratamiento el proveedor de alojamiento Hostinger International Ltd., con contrato conforme al art. 28 del RGPD y su Data Processing Addendum (DPA), incluyendo los subencargados previstos en dicho DPA.

Ubicación de los datos y transferencias

El alojamiento se realiza en un centro de datos dentro de la UE/EEE seleccionado con Hostinger. Si excepcionalmente Hostinger o sus subencargados debieran acceder a datos desde fuera del EEE o se trasladara el alojamiento a un país tercero, se aplicarán las Cláusulas Contractuales Tipo (SCC) u otras garantías adecuadas previstas en el RGPD y en su DPA, informando a las personas trabajadoras cuando corresponda.

Derechos

Las personas trabajadoras pueden ejercer sus derechos de acceso, rectificación, supresión, limitación del tratamiento y oposición enviando un correo a sergio@comacar.es o por escrito a C/ La Torre, 34, Pol. Ind. La Sagra 45230 - Numancia de la Sagra (Toledo).

Podremos solicitarte información mínima para verificar tu identidad.

Plazo de respuesta: responderemos en el plazo máximo de 1 mes desde la recepción; si la solicitud fuera compleja o numerosa, podremos ampliarlo hasta 2 meses adicionales, informándote dentro del primer mes. El ejercicio de derechos es gratuito, salvo solicitudes manifiestamente infundadas o excesivas.

La rectificación de registros de jornada se gestiona mediante un procedimiento de correcciones que preserva la trazabilidad sin eliminar los registros originales.

Asimismo, tienen derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).

Carácter obligatorio: el aporte de datos para registrar la jornada deriva de una obligación legal. La no aportación impediría el adecuado registro y control horario.

Seguridad

El sistema aplica medidas técnicas y organizativas apropiadas para garantizar la confidencialidad, integridad y disponibilidad de los datos. Entre otras, incluye control de acceso, trazabilidad de acciones, comunicaciones cifradas y mecanismos para preservar la integridad del registro. Los enlaces de acceso para consulta se basan en tokens temporales, con caducidad y revocación automática.

Cookies

La aplicación utiliza únicamente cookies técnicas y de preferencias elegidas por el usuario para su funcionamiento; no emplea cookies de analítica, publicidad ni de terceros.

Al emplear solo cookies técnicas y preferencias, no se requiere banner de consentimiento; bastan estos avisos informativos.

Al pulsar “Abrir en mapa”, se abrirá un servicio de terceros (p. ej. Google Maps u OpenStreetMap) que puede aplicar sus propias cookies y políticas de privacidad.

• Al pulsar “Abrir en mapa”, se abrirá un servicio de terceros (p. ej. Google Maps u OpenStreetMap) que puede aplicar sus propias cookies y políticas de privacidad.
• fichajes_session (propia; imprescindible): cookie de sesión que mantiene la autenticación entre peticiones. Duración: sesión del navegador.
• timeout_flag (propia; imprescindible): indica que la sesión ha caducado por inactividad para mostrar un aviso en el acceso siguiente. Duración: ~30 segundos.
• dash_corr_approved_hidden (propia; imprescindible): recuerda las notificaciones de correcciones aprobadas que has ocultado en el panel. Duración: 180 días.
• dash_corr_rejected_hidden (propia; imprescindible): recuerda las notificaciones de correcciones rechazadas que has ocultado en el panel. Duración: 180 días.

Atributos de seguridad de las cookies: SameSite=Lax para mitigar envíos cruzados, Secure cuando la conexión es HTTPS y HttpOnly en la cookie de sesión (no accesible por JavaScript). La cookie timeout_flag no es HttpOnly de forma intencionada para que la interfaz pueda leerla y mostrar el aviso.

Almacenamiento local

Se utiliza almacenamiento local del navegador (localStorage) para preferencias de interfaz; no contiene datos personales identificativos.

Las cookies y el almacenamiento local de ocultar avisos solo se crean cuando el usuario realiza esa acción.

• corr_approved_hidden:<token>: recuerda las notificaciones de correcciones aprobadas que has ocultado en tu panel. El token es un identificador técnico no legible; no se almacena contenido personal en su valor.
• corr_rejected_hidden:<token>: recuerda las notificaciones de correcciones rechazadas que has ocultado en tu panel. El token es un identificador técnico no legible; no se almacena contenido personal en su valor.