Política de Privacidad
Última actualización: 21 de marzo de 2026
1. Introducción
La presente Política de Privacidad (en adelante, la “Política”) describe cómo Geozly (en adelante, el “Titular”, “nosotros” o “nuestro”) recoge, utiliza, almacena, protege y, en su caso, comunica los datos personales de los usuarios de la plataforma Geozly (en adelante, la “Plataforma”).
Esta Política se aplica a todos los datos personales tratados a través de la Plataforma, tanto de los representantes y administradores de las Organizaciones clientes como de los empleados de dichas Organizaciones (administradores, supervisores, personal de oficina y trabajadores).
El tratamiento de datos personales se realiza de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (Reglamento General de Protección de Datos o “RGPD”), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (“LOPDGDD”) y demás normativa aplicable en materia de protección de datos.
2. Identidad del Responsable del Tratamiento
2.1. Para datos de Organizaciones clientes
Respecto a los datos personales de los representantes y administradores de las Organizaciones que contratan el Servicio, el Responsable del Tratamiento es:
- Denominación: Geozly
- Correo electrónico de contacto: privacy@geozly.com
2.2. Para datos de empleados de las Organizaciones
Respecto a los datos personales de los empleados de las Organizaciones (trabajadores, supervisores, personal de oficina) tratados a través de la Plataforma:
- El Responsable del Tratamiento es la Organización empleadora, quien determina los fines y medios del tratamiento.
- Geozly actúa como Encargado del Tratamiento, tratando los datos por cuenta y según las instrucciones documentadas de la Organización.
3. Datos Personales que Recogemos
3.1. Datos proporcionados directamente por el Usuario
| Categoría | Datos específicos | Finalidad principal |
|---|---|---|
| Datos identificativos | Nombre, apellidos, dirección de correo electrónico | Identificación y gestión de la cuenta |
| Credenciales de acceso | Contraseña (almacenada en formato hash cifrado) | Autenticación y seguridad de la cuenta |
| Datos laborales | Departamento, tipo de contrato (jornada completa, parcial, servicios), tarifa/coste por hora, rol asignado | Gestión de recursos humanos y planificación |
| Solicitudes de permisos | Tipo de permiso (vacaciones, enfermedad, personal, compensación de horas extra), fechas, notas | Gestión de ausencias y permisos |
| Datos de la Organización | Nombre de la organización, zona horaria, plan de suscripción | Configuración y personalización del Servicio |
3.2. Datos generados por el uso de la Plataforma
| Categoría | Datos específicos | Finalidad principal |
|---|---|---|
| Datos de geolocalización | Coordenadas GPS (latitud, longitud), precisión del GPS en metros, marca temporal del dispositivo | Verificación de presencia en el centro de trabajo |
| Registros de jornada | Hora de entrada, hora de salida, inicio y fin de pausas, minutos totales trabajados, verificación GPS | Control horario y cumplimiento normativo laboral |
| Datos de asignación | Turnos asignados, ubicaciones de trabajo, estado de asistencia (pendiente, aceptado, en progreso, completado, ausente, disputado) | Gestión de turnos y planificación |
| Registros de auditoría | Tipo de acción (crear, modificar, eliminar, exportar, acceder), identificador del usuario, nombre del usuario, dirección IP, marca temporal, detalle de cambios | Trazabilidad, seguridad y cumplimiento normativo |
| Datos técnicos de sesión | Tokens de autenticación (JWT), token de refresco, organización activa | Gestión de la sesión y autenticación |
3.3. Datos recogidos automáticamente
| Categoría | Datos específicos | Finalidad principal |
|---|---|---|
| Datos de navegación | Dirección IP, tipo de navegador, sistema operativo, páginas visitadas, hora de acceso | Seguridad, rendimiento y mejora del Servicio |
| Almacenamiento local | Tokens de sesión, identificador de organización activa (almacenados en localStorage del navegador) | Mantenimiento de la sesión del usuario |
4. Bases Jurídicas del Tratamiento
Los tratamientos de datos personales realizados a través de la Plataforma se fundamentan en las siguientes bases jurídicas, conforme al artículo 6 del RGPD:
| Tratamiento | Base jurídica (Art. 6 RGPD) | Detalle |
|---|---|---|
| Gestión de la cuenta y prestación del Servicio | Art. 6.1.b) Ejecución de un contrato | Necesario para la prestación del Servicio contratado |
| Control horario y registro de jornada | Art. 6.1.c) Cumplimiento de una obligación legal | Cumplimiento del artículo 34.9 del Estatuto de los Trabajadores (España) y normativa laboral equivalente |
| Geolocalización para verificación de presencia | Art. 6.1.f) Interés legítimo / Art. 6.1.a) Consentimiento | Interés legítimo del empleador en verificar la presencia en el centro de trabajo, previa ponderación de derechos. En determinados supuestos, puede requerir consentimiento explícito del trabajador |
| Registro de auditoría | Art. 6.1.f) Interés legítimo | Interés legítimo en garantizar la seguridad, integridad y trazabilidad de los datos |
| Gestión de permisos y ausencias | Art. 6.1.b) Ejecución de un contrato / Art. 6.1.c) Obligación legal | Gestión de la relación laboral y cumplimiento de la normativa de vacaciones y permisos |
| Comunicaciones del Servicio | Art. 6.1.b) Ejecución de un contrato | Notificaciones operativas necesarias para la prestación del Servicio |
| Mejora y seguridad de la Plataforma | Art. 6.1.f) Interés legítimo | Interés legítimo en mantener la seguridad, el rendimiento y la calidad del Servicio |
5. Finalidades del Tratamiento
Los datos personales se tratan para las siguientes finalidades:
- Prestación del Servicio: gestión de cuentas de usuario, autenticación, configuración de la Plataforma y todas las funcionalidades descritas en los Términos y Condiciones de Uso.
- Control horario con geolocalización: registro de entrada y salida de trabajadores, verificación de presencia en el centro de trabajo mediante GPS, gestión de pausas y cálculo de horas trabajadas.
- Gestión de recursos humanos: administración de empleados, departamentos, roles, tipos de contrato, planificación de turnos y gestión de permisos y ausencias.
- Generación de informes: elaboración de reportes de asistencia, horas trabajadas por empleado y ubicación, y estadísticas de cumplimiento.
- Auditoría y cumplimiento: mantenimiento de registros de auditoría para garantizar la trazabilidad, la integridad de los datos y el cumplimiento normativo.
- Seguridad: protección de la Plataforma frente a accesos no autorizados, fraude y uso indebido, incluyendo el registro de direcciones IP y la gestión de sesiones.
- Comunicaciones operativas: envío de alertas, notificaciones y comunicaciones relacionadas con el funcionamiento del Servicio.
- Mejora del Servicio: análisis del uso de la Plataforma para mejorar su rendimiento, funcionalidad y experiencia de usuario.
6. Tratamiento de Datos de Geolocalización
Dada la especial relevancia de los datos de geolocalización y su impacto en la privacidad de los trabajadores, se detalla a continuación su tratamiento específico:
6.1. Datos recogidos
- Coordenadas GPS (latitud y longitud) en el momento del fichaje (check-in y check-out).
- Precisión del GPS del dispositivo en metros.
- Marca temporal del dispositivo en el momento de la captura.
6.2. Momento de la recogida
Los datos de geolocalización se recogen exclusivamente en el momento en que el trabajador realiza un fichaje (entrada, salida o reanudación tras pausa). No se realiza seguimiento o rastreo continuo de la ubicación del trabajador.
6.3. Carácter opcional
La verificación de presencia por geolocalización es una funcionalidad configurable por la Organización para cada ubicación de trabajo. La Organización puede optar por no requerir verificación GPS, en cuyo caso no se recogerán datos de geolocalización.
6.4. Consentimiento y permisos
El acceso a la geolocalización del dispositivo requiere la concesión expresa de permisos por parte del trabajador a través de su navegador web o aplicación PWA. El trabajador puede revocar este permiso en cualquier momento desde la configuración de su dispositivo.
6.5. Proporcionalidad
El tratamiento de datos de geolocalización se rige por el principio de minimización de datos: únicamente se recogen las coordenadas necesarias para verificar la presencia dentro de la geovalla configurada, y solo en el momento puntual del fichaje.
7. Destinatarios y Comunicación de Datos
7.1. Acceso a los datos dentro de la Organización
Los datos personales de los empleados son accesibles, dentro de la Plataforma, por los siguientes perfiles de usuario de la Organización, conforme a un sistema de control de acceso basado en roles:
- Administradores de la Organización (org_admin): acceso completo a todos los datos de empleados, registros de jornada, informes, registros de auditoría y configuración.
- Supervisores: acceso a los datos de los empleados bajo su supervisión, aprobación de permisos y gestión de turnos.
- Personal de oficina (office): acceso limitado conforme a las funciones asignadas.
- Trabajadores (worker): acceso exclusivo a sus propios datos personales, registros de jornada e historial.
7.2. Proveedores de servicios (sub-encargados)
Para la prestación del Servicio, el Titular puede recurrir a los siguientes proveedores de servicios que acceden a datos personales como sub-encargados del tratamiento:
| Proveedor | Servicio | Datos tratados | Ubicación |
|---|---|---|---|
| Google LLC | Google Maps API (visualización de mapas y geovallas) | Coordenadas GPS de ubicaciones de trabajo (no datos personales de trabajadores) | EE.UU. (con cláusulas contractuales tipo y garantías adecuadas) |
| Proveedor de alojamiento | Infraestructura de servidores | Todos los datos almacenados en la Plataforma | Según contrato de alojamiento vigente |
El Titular se compromete a seleccionar únicamente sub-encargados que ofrezcan garantías suficientes de cumplimiento del RGPD y a formalizar los contratos correspondientes.
7.3. Transferencias internacionales de datos
En la medida en que se utilicen servicios de proveedores ubicados fuera del Espacio Económico Europeo (EEE), el Titular garantizará que dichas transferencias se realizan con las garantías adecuadas exigidas por el RGPD, incluyendo:
- Decisiones de adecuación de la Comisión Europea.
- Cláusulas contractuales tipo aprobadas por la Comisión Europea.
- Marco de Privacidad de Datos UE-EE.UU. (EU-US Data Privacy Framework), cuando el proveedor esté certificado.
7.4. Otras comunicaciones
El Titular no cederá datos personales a terceros salvo en los siguientes supuestos:
- Cuando exista una obligación legal de comunicación (requerimiento judicial, administrativo o fiscal).
- Cuando sea necesario para la defensa de los derechos e intereses legítimos del Titular.
- Con el consentimiento previo y expreso del interesado o de la Organización, según corresponda.
8. Plazos de Conservación de los Datos
Los datos personales se conservarán durante los plazos necesarios para cumplir las finalidades para las que fueron recogidos y, posteriormente, durante los plazos legales de prescripción aplicables:
| Categoría de datos | Plazo de conservación | Fundamento |
|---|---|---|
| Datos de cuenta de usuario | Mientras la cuenta permanezca activa + 30 días tras la solicitud de eliminación | Ejecución del contrato |
| Registros de jornada laboral | Mínimo 4 años desde su registro | Art. 34.9 Estatuto de los Trabajadores; plazo de prescripción de infracciones graves en materia laboral (LISOS) |
| Datos de geolocalización | Mínimo 4 años desde su registro | Vinculados al registro de jornada; mismos plazos de conservación legal |
| Registros de auditoría | Mínimo 5 años | Obligaciones de trazabilidad, seguridad y cumplimiento normativo |
| Datos de permisos y ausencias | Mínimo 4 años | Plazo de prescripción de acciones laborales |
| Datos de facturación y contratación | Mínimo 6 años | Obligaciones mercantiles (art. 30 Código de Comercio) |
| Datos tras resolución del contrato | Período de bloqueo durante los plazos de prescripción legales aplicables | Defensa frente a reclamaciones |
Transcurridos los plazos indicados, los datos serán suprimidos o, cuando sea posible y adecuado, anonimizados de forma irreversible para fines estadísticos.
9. Medidas de Seguridad
El Titular ha implementado las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, conforme al artículo 32 del RGPD, incluyendo entre otras:
9.1. Medidas técnicas
- Cifrado de contraseñas: las contraseñas se almacenan utilizando algoritmos de hash seguros, nunca en texto plano.
- Autenticación basada en tokens: sistema de autenticación JWT (JSON Web Token) con tokens de acceso de corta duración y tokens de refresco, con renovación automática.
- Comunicaciones cifradas: todas las comunicaciones entre el cliente y el servidor se realizan a través de protocolos seguros (HTTPS/TLS).
- Control de acceso basado en roles (RBAC): sistema de permisos granular que limita el acceso a los datos según el rol del usuario (administrador, supervisor, oficina, trabajador).
- Aislamiento de datos por organización: cada Organización accede exclusivamente a sus propios datos, garantizado mediante identificadores de organización en cada solicitud.
- Renovación automática de sesiones: mecanismo de interceptores HTTP que gestionan la renovación de tokens de forma transparente y segura.
- Cierre de sesión seguro: la desconexión elimina todos los tokens de autenticación y datos de sesión del almacenamiento local del navegador.
9.2. Medidas organizativas
- Registro completo de auditoría: toda acción realizada en la Plataforma queda registrada con identificación del usuario, dirección IP, fecha/hora y detalle de los cambios, garantizando la trazabilidad completa.
- Principio de mínimo privilegio: los usuarios acceden exclusivamente a las funcionalidades y datos que corresponden a su rol.
- Procedimiento de restablecimiento de contraseña seguro: proceso de recuperación mediante enlace con token único de un solo uso, con verificación de identidad.
- Invitaciones verificadas: el alta de nuevos usuarios se realiza exclusivamente mediante sistema de invitación con token único, impidiendo el registro no autorizado.
10. Derechos de los Interesados
10.1. Derechos reconocidos
De conformidad con el RGPD y la LOPDGDD, los interesados tienen reconocidos los siguientes derechos en relación con sus datos personales:
| Derecho | Contenido | Artículo RGPD |
|---|---|---|
| Acceso | Obtener confirmación de si se están tratando sus datos y, en tal caso, acceder a los mismos y a información sobre el tratamiento | Art. 15 |
| Rectificación | Solicitar la corrección de datos inexactos o completar datos incompletos | Art. 16 |
| Supresión | Solicitar la eliminación de sus datos cuando concurra alguna de las causas previstas legalmente | Art. 17 |
| Limitación | Solicitar la limitación del tratamiento en determinadas circunstancias | Art. 18 |
| Portabilidad | Recibir los datos en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable | Art. 20 |
| Oposición | Oponerse al tratamiento de sus datos, incluida la elaboración de perfiles | Art. 21 |
| No ser objeto de decisiones automatizadas | No ser objeto de decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos o le afecten significativamente | Art. 22 |
| Retirada del consentimiento | Retirar el consentimiento prestado en cualquier momento, sin que ello afecte a la licitud del tratamiento anterior | Art. 7.3 |
10.2. Ejercicio de derechos para empleados de Organizaciones
Los empleados de las Organizaciones que deseen ejercer sus derechos deberán dirigirse en primer lugar a su Organización empleadora, que es el Responsable del Tratamiento de sus datos personales. La Organización canalizará la solicitud y, en su caso, instruirá a Geozly para que ejecute las medidas técnicas necesarias.
No obstante, si el empleado no obtiene respuesta satisfactoria de su Organización en el plazo legalmente previsto, podrá dirigirse directamente a Geozly.
10.3. Ejercicio de derechos para representantes de Organizaciones
Los representantes y administradores de Organizaciones podrán ejercer sus derechos directamente ante Geozly a través de los canales de contacto indicados en el apartado 15.
10.4. Plazo de respuesta
Las solicitudes de ejercicio de derechos serán atendidas en el plazo máximo de un (1) mes desde su recepción. Este plazo podrá prorrogarse otros dos (2) meses en caso de solicitudes especialmente complejas o numerosas, informando al interesado dentro del primer mes.
10.5. Reclamación ante la autoridad de control
Sin perjuicio de cualquier otro recurso administrativo o judicial, el interesado tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) (www.aepd.es) o ante la autoridad de control competente en su Estado miembro de residencia habitual, lugar de trabajo o lugar de la presunta infracción.
11. Almacenamiento Local y Tecnologías Similares
11.1. localStorage
La Plataforma utiliza el mecanismo de almacenamiento local del navegador (localStorage) para almacenar los siguientes datos estrictamente necesarios para el funcionamiento del Servicio:
| Clave | Finalidad | Datos almacenados |
|---|---|---|
geozly_access_token | Autenticación del usuario | Token JWT de acceso |
geozly_refresh_token | Renovación de la sesión | Token de refresco |
geozly_active_org | Identificación de la organización activa | Identificador UUID de la organización |
Estos datos se almacenan exclusivamente en el dispositivo del usuario y se eliminan al cerrar sesión. No se utilizan cookies de rastreo, analíticas de terceros ni tecnologías de seguimiento con fines publicitarios.
11.2. Service Worker (PWA)
La Plataforma puede utilizar un Service Worker para habilitar funcionalidades de aplicación web progresiva (PWA), como el almacenamiento en caché de recursos estáticos para mejorar el rendimiento. El Service Worker no recoge ni transmite datos personales adicionales.
12. Tratamiento de Datos de Menores
La Plataforma no está dirigida a menores de dieciséis (16) años y no recoge conscientemente datos personales de menores. Si el Titular tuviera conocimiento de que se han recogido datos de un menor sin el consentimiento de su representante legal, procederá a su eliminación inmediata.
La Organización garantiza que todos los empleados registrados en la Plataforma tienen la edad legal para trabajar conforme a la legislación laboral aplicable en su jurisdicción.
13. Evaluación de Impacto en la Protección de Datos (EIPD)
Dado que el tratamiento de datos de geolocalización de trabajadores puede suponer un alto riesgo para sus derechos y libertades, el Titular ha realizado una Evaluación de Impacto en la Protección de Datos (EIPD) conforme al artículo 35 del RGPD, identificando los riesgos asociados e implementando las medidas de mitigación correspondientes.
Las Organizaciones que utilicen la funcionalidad de geolocalización deben valorar, conforme a su normativa local, si precisan realizar su propia EIPD como Responsables del Tratamiento.
14. Notificación de Brechas de Seguridad
En caso de producirse una violación de la seguridad de los datos personales que pueda entrañar un riesgo para los derechos y libertades de los interesados, el Titular:
- Notificará a la Organización afectada (como Responsable del Tratamiento) sin dilación indebida y, en cualquier caso, en un plazo máximo de 48 horas desde que tenga conocimiento de la brecha.
- Proporcionará toda la información necesaria para que la Organización pueda cumplir con su obligación de notificación a la autoridad de control (en un plazo de 72 horas) y, en su caso, a los interesados afectados.
- Colaborará con la Organización en la investigación, mitigación y documentación de la brecha de seguridad.
15. Contacto y Delegado de Protección de Datos
Para cualquier consulta, solicitud de ejercicio de derechos o comunicación relacionada con la protección de datos personales, puede ponerse en contacto con nosotros a través de:
- Correo electrónico de privacidad: privacy@geozly.com
- Correo electrónico general: legal@geozly.com
En caso de que el Titular designe un Delegado de Protección de Datos (DPO), sus datos de contacto se publicarán en esta Política y se comunicarán a la autoridad de control competente.
16. Modificaciones de la Política de Privacidad
El Titular se reserva el derecho de modificar la presente Política de Privacidad para adaptarla a novedades legislativas, jurisprudenciales o de práctica empresarial. Las modificaciones sustanciales se comunicarán a los Usuarios con un preaviso mínimo de treinta (30) días naturales a través del correo electrónico registrado o mediante notificación en la Plataforma.
Se recomienda a los Usuarios revisar periódicamente esta Política para estar informados sobre cómo se protegen sus datos personales. La fecha de la última actualización se indica al inicio de este documento.
17. Legislación Aplicable
La presente Política de Privacidad se rige por lo dispuesto en el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y demás normativa española y europea aplicable en materia de protección de datos personales.