Política de Privacidad
Última actualización: 9 de abril de 2026
1. Introducción
La presente Política de Privacidad (en adelante, la “Política”) describe cómo Geozly (en adelante, el “Titular”, “nosotros” o “nuestro”) recoge, utiliza, almacena, protege y, en su caso, comunica los datos personales de los usuarios de la plataforma Geozly (en adelante, la “Plataforma”).
Esta Política se aplica a todos los datos personales tratados a través de la Plataforma, tanto de los representantes y administradores de las Organizaciones clientes como de los empleados de dichas Organizaciones (administradores, supervisores, personal de oficina y trabajadores).
El tratamiento de datos personales se realiza de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016(Reglamento General de Protección de Datos o “RGPD”), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales(“LOPDGDD”) y demás normativa aplicable en materia de protección de datos.
2. Identidad del Responsable del Tratamiento
2.1. Para datos de Organizaciones clientes
Respecto a los datos personales de los representantes y administradores de las Organizaciones que contratan el Servicio, el Responsable del Tratamiento es:
- Titular: Erick Moises Hernández Quiñones (persona física, empresario individual)
- NIF: 06713923Q
- Nombre comercial: Geozly
- Domicilio: Avenida República Argentina 93, puerta 25, 46701 Gandía (Valencia), España
- Correo electrónico de contacto: contact@geozly.com
Información facilitada en cumplimiento del artículo 10 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE).
2.2. Para datos de empleados de las Organizaciones
Respecto a los datos personales de los empleados de las Organizaciones (trabajadores, supervisores, personal de oficina) tratados a través de la Plataforma:
- El Responsable del Tratamiento es la Organización empleadora, quien determina los fines y medios del tratamiento.
- Geozly actúa como Encargado del Tratamiento, tratando los datos por cuenta y según las instrucciones documentadas de la Organización.
3. Datos Personales que Recogemos
3.1. Datos proporcionados directamente por el Usuario
| Categoría | Datos específicos | Finalidad principal |
|---|---|---|
| Datos identificativos | Nombre, apellidos, dirección de correo electrónico | Identificación y gestión de la cuenta |
| Credenciales de acceso | Contraseña (almacenada en formato hash cifrado) | Autenticación y seguridad de la cuenta |
| Datos laborales | Departamento, tipo de contrato (jornada completa, parcial, servicios), tarifa/coste por hora, rol asignado | Gestión de recursos humanos y planificación |
| Solicitudes de permisos | Tipo de permiso (vacaciones, personal, compensación de horas extra), fechas, notas | Gestión de ausencias y permisos |
| Datos de salud (categoría especial art. 9 RGPD) | Indicación del estado de baja por incapacidad temporal o permiso por motivos médicos, fechas y, en su caso, justificantes aportados voluntariamente por el trabajador o su Organización | Gestión de ausencias por motivos de salud en cumplimiento de obligaciones laborales y de seguridad social (art. 9.2.b RGPD) |
| Identificadores de dispositivo móvil | Token de notificaciones push (Firebase Cloud Messaging), modelo de dispositivo y sistema operativo, cuando el Usuario instala la aplicación móvil | Envío de notificaciones operativas relativas a turnos, fichajes y alertas |
| Datos de la Organización | Nombre de la organización, zona horaria, plan de suscripción | Configuración y personalización del Servicio |
3.2. Datos generados por el uso de la Plataforma
| Categoría | Datos específicos | Finalidad principal |
|---|---|---|
| Datos de geolocalización | Coordenadas GPS (latitud, longitud), precisión del GPS en metros, marca temporal del dispositivo | Verificación de presencia en el centro de trabajo |
| Registros de jornada | Hora de entrada, hora de salida, inicio y fin de pausas, minutos totales trabajados, verificación GPS | Control horario y cumplimiento normativo laboral |
| Datos de asignación | Turnos asignados, ubicaciones de trabajo, estado de asistencia (pendiente, aceptado, en progreso, completado, ausente, disputado) | Gestión de turnos y planificación |
| Registros de auditoría | Tipo de acción (crear, modificar, eliminar, exportar, acceder), identificador del usuario, nombre del usuario, dirección IP, marca temporal, detalle de cambios | Trazabilidad, seguridad y cumplimiento normativo |
| Datos técnicos de sesión | Tokens de autenticación (JWT), token de refresco, organización activa | Gestión de la sesión y autenticación |
3.3. Datos recogidos automáticamente
| Categoría | Datos específicos | Finalidad principal |
|---|---|---|
| Datos de navegación | Dirección IP, tipo de navegador, sistema operativo, páginas visitadas, hora de acceso | Seguridad, rendimiento y mejora del Servicio |
| Almacenamiento local | Tokens de sesión, identificador de organización activa (almacenados en localStorage del navegador) | Mantenimiento de la sesión del usuario |
4. Bases Jurídicas del Tratamiento
Los tratamientos de datos personales realizados a través de la Plataforma se fundamentan en las siguientes bases jurídicas, conforme al artículo 6 del RGPD:
| Tratamiento | Base jurídica (Art. 6 RGPD) | Detalle |
|---|---|---|
| Gestión de la cuenta y prestación del Servicio | Art. 6.1.b) Ejecución de un contrato | Necesario para la prestación del Servicio contratado |
| Control horario y registro de jornada | Art. 6.1.c) Cumplimiento de una obligación legal | Cumplimiento del artículo 34.9 del Estatuto de los Trabajadores (España) y normativa laboral equivalente |
| Geolocalización para verificación de presencia | Art. 6.1.b) Ejecución del contrato laboral · Art. 6.1.c) Cumplimiento de obligación legal (art. 34.9 ET) · Art. 88 RGPD · Art. 90 LOPDGDD | El tratamiento se ampara en la ejecución de la relación laboral y en el cumplimiento del registro de jornada del Real Decreto-ley 8/2019. Conforme al criterio reiterado de la Agencia Española de Protección de Datos, el consentimiento del trabajador no constituye base jurídica válida en el ámbito laboral por la asimetría de la relación; la Organización empleadora debe informar previamente de forma expresa, clara e inequívoca a los trabajadores y a sus representantes legales (art. 90.1 LOPDGDD). |
| Tratamiento de datos de salud (bajas por enfermedad) | Art. 9.2.b) RGPD · Art. 9 LOPDGDD | Cumplimiento de obligaciones específicas del responsable en el ámbito del Derecho laboral y de la seguridad social, conforme a lo previsto en el Estatuto de los Trabajadores y normativa de Seguridad Social |
| Notificaciones push y tokens de dispositivo | Art. 6.1.b) Ejecución de un contrato | Necesario para enviar al Usuario alertas operativas relativas a turnos, fichajes e incidencias derivadas de la prestación del Servicio |
| Registro de auditoría | Art. 6.1.f) Interés legítimo | Interés legítimo en garantizar la seguridad, integridad y trazabilidad de los datos |
| Gestión de permisos y ausencias | Art. 6.1.b) Ejecución de un contrato / Art. 6.1.c) Obligación legal | Gestión de la relación laboral y cumplimiento de la normativa de vacaciones y permisos |
| Comunicaciones del Servicio | Art. 6.1.b) Ejecución de un contrato | Notificaciones operativas necesarias para la prestación del Servicio |
| Mejora y seguridad de la Plataforma | Art. 6.1.f) Interés legítimo | Interés legítimo en mantener la seguridad, el rendimiento y la calidad del Servicio |
5. Finalidades del Tratamiento
Los datos personales se tratan para las siguientes finalidades:
- Prestación del Servicio: gestión de cuentas de usuario, autenticación, configuración de la Plataforma y todas las funcionalidades descritas en los Términos y Condiciones de Uso.
- Control horario con geolocalización: registro de entrada y salida de trabajadores, verificación de presencia en el centro de trabajo mediante GPS, gestión de pausas y cálculo de horas trabajadas.
- Gestión de recursos humanos: administración de empleados, departamentos, roles, tipos de contrato, planificación de turnos y gestión de permisos y ausencias.
- Generación de informes: elaboración de reportes de asistencia, horas trabajadas por empleado y ubicación, y estadísticas de cumplimiento.
- Auditoría y cumplimiento: mantenimiento de registros de auditoría para garantizar la trazabilidad, la integridad de los datos y el cumplimiento normativo.
- Seguridad: protección de la Plataforma frente a accesos no autorizados, fraude y uso indebido, incluyendo el registro de direcciones IP y la gestión de sesiones.
- Comunicaciones operativas: envío de alertas, notificaciones y comunicaciones relacionadas con el funcionamiento del Servicio.
- Mejora del Servicio: análisis del uso de la Plataforma para mejorar su rendimiento, funcionalidad y experiencia de usuario.
- Importación asistida por inteligencia artificial: en las Organizaciones con plan Professional o Enterprise que activen esta funcionalidad, extracción automatizada de los datos identificativos y laborales de empleados contenidos en documentos (Excel, CSV o PDF) que el Administrador o Propietario de la Organización sube voluntariamente a la Plataforma, con la finalidad de evitar la introducción manual de dichos datos. Este tratamiento se detalla en el apartado 6 ter.
6. Tratamiento de Datos de Geolocalización
Dada la especial relevancia de los datos de geolocalización y su impacto en la privacidad de los trabajadores, se detalla a continuación su tratamiento específico:
6.1. Datos recogidos
- Coordenadas GPS (latitud y longitud) en el momento del fichaje (check-in y check-out).
- Precisión del GPS del dispositivo en metros.
- Marca temporal del dispositivo en el momento de la captura.
6.2. Momento de la recogida
Los datos de geolocalización se recogen exclusivamente en el momento en que el trabajador realiza un fichaje (entrada, salida o reanudación tras pausa). No se realiza seguimiento o rastreo continuo de la ubicación del trabajador.
6.3. Carácter opcional
La verificación de presencia por geolocalización es una funcionalidad configurable por la Organización para cada ubicación de trabajo. La Organización puede optar por no requerir verificación GPS, en cuyo caso no se recogerán datos de geolocalización.
6.4. Consentimiento y permisos
El acceso a la geolocalización del dispositivo requiere la concesión expresa de permisos por parte del trabajador a través de su navegador web o aplicación PWA. El trabajador puede revocar este permiso en cualquier momento desde la configuración de su dispositivo.
6.5. Proporcionalidad
El tratamiento de datos de geolocalización se rige por el principio de minimización de datos: únicamente se recogen las coordenadas necesarias para verificar la presencia dentro de la geovalla configurada, y solo en el momento puntual del fichaje.
6.6. Información a los trabajadores y a sus representantes legales
Conforme al artículo 90 de la LOPDGDD, la Organización empleadora, en su condición de Responsable del Tratamiento, deberá informar previamente y de modo expreso, claro e inequívoco a los trabajadores y, en su caso, a sus representantes legales (RLT), acerca de la existencia y características del sistema de geolocalización, así como del ejercicio de los derechos previstos en los artículos 15 a 22 RGPD. Geozly proporciona la herramienta tecnológica pero no sustituye este deber de información, que recae íntegramente en la Organización.
6 bis. Tratamiento de Categorías Especiales de Datos (Salud)
En el contexto de la gestión de permisos por incapacidad temporal, baja médica u otras ausencias por motivos de salud, la Plataforma puede tratar datos relativos a la salud del trabajador, considerados categoría especial conforme al artículo 9 RGPD.
- Base jurídica: artículo 9.2.b) RGPD — el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable o del interesado en el ámbito del Derecho laboral y de la seguridad social, de conformidad con el Estatuto de los Trabajadores y la Ley General de la Seguridad Social.
- Minimización: únicamente se registra la existencia y las fechas del permiso, sin diagnóstico ni detalles clínicos. Los justificantes médicos que la Organización pueda subir a la Plataforma se almacenan cifrados y con acceso restringido.
- Acceso: únicamente los Usuarios de la Organización con rol Owner, Admin o Supervisor con competencia sobre el trabajador pueden visualizar estos datos.
- Conservación: 4 años desde la finalización del permiso, conforme al apartado 8.
6 ter. Tratamiento mediante Inteligencia Artificial (Importación de Empleados)
Las Organizaciones con plan Professional o Enterprise pueden, opcionalmente, utilizar la funcionalidad de importación asistida por inteligencia artificial, que permite al Administrador o Propietario subir un documento (Excel, CSV o PDF) con datos de sus empleados para que un modelo de lenguaje extraiga automáticamente la información estructurada (nombre, apellidos, correo electrónico, teléfono, departamento, tipo de contrato y demás campos del perfil de empleado) y la presente para revisión antes de su materialización en la Plataforma.
6 ter.1. Carácter opcional y control del Responsable
La funcionalidad es estrictamente opt-in: solo se activa cuando un Administrador o Propietario de la Organización sube deliberadamente un archivo a través de la pantalla de importación. Geozly no procesa datos mediante IA fuera de este flujo. La Organización, en su condición de Responsable del Tratamiento, debe asegurarse de disponer de base jurídica suficiente para someter los datos de sus empleados a este tratamiento y, cuando proceda, informar a los trabajadores afectados conforme al artículo 13 RGPD.
6 ter.2. Base jurídica
El tratamiento se ampara en el artículo 6.1.b) RGPD (ejecución del contrato suscrito entre la Organización y el Titular para la prestación del Servicio) y, subsidiariamente, en el artículo 6.1.f) RGPD (interés legítimo de la Organización en automatizar la incorporación de los datos de sus empleados a la Plataforma de control horario que ha contratado).
6 ter.3. Ausencia de decisiones automatizadas con efectos jurídicos
El proceso no constituye una decisión individual automatizada en el sentido del artículo 22 RGPD. La extracción por IA es meramente preparatoria: los datos extraídos se muestran al Administrador o Propietario en una pantalla de revisión y solo se materializan en la Plataforma tras su confirmación expresa, pudiendo ser editados o descartados libremente. No se elabora ningún perfil ni se adopta decisión alguna que produzca efectos jurídicos sobre los trabajadores.
6 ter.4. Proveedores de IA utilizados
La extracción puede ser realizada, indistintamente y según disponibilidad, por cualquiera de los proveedores de modelos de lenguaje listados como sub-encargados en el apartado 7.2 (Google LLC – Gemini API, Anthropic PBC – Claude API y OpenAI, L.L.C. – API). El Titular ha contratado los planes comerciales (no gratuitos) de dichos proveedores, en los que está contractualmente excluido el uso de los datos enviados para el entrenamiento o mejora de los modelos.
6 ter.5. Datos enviados al proveedor de IA
Únicamente se transmite al proveedor de IA el contenido del archivo subido por el Administrador o Propietario. No se envían identificadores de la Organización, datos de fichaje, geolocalización ni ningún otro dato de la Plataforma ajeno al documento concreto cargado para esa importación.
6 ter.6. No conservación del archivo
En aplicación del principio de minimización de datos (artículo 5.1.c RGPD), el archivo cargado se procesa estrictamente en memoria y nunca se almacena en los sistemas del Titular. El documento es leído, enviado al proveedor de IA para su extracción y descartado en el mismo ciclo de la petición HTTP, sin que se persista en disco, base de datos, copias de seguridad ni ningún otro soporte de almacenamiento.
Únicamente se conservan los datos resultantes de la extracción (lista estructurada de empleados detectados), un mínimo de metadatos administrativos del trabajo de importación (nombre original del archivo, tipo MIME, tamaño en bytes, estado y marcas temporales) y, una vez confirmada la importación, los registros Employee creados. Estos datos se rigen por los plazos del apartado 8.
Adicionalmente, los proveedores de IA podrán retener temporalmente el contenido del documento en sus propios sistemas conforme a sus políticas estándar para los planes comerciales de API, con la finalidad exclusiva de monitorización de abuso, seguridad y cumplimiento legal, por un periodo máximo de 30 días, transcurridos los cuales son eliminados de forma irreversible. El Titular no tiene actualmente contratada la modalidad de Zero Data Retention con dichos proveedores, por lo que esta retención de hasta 30 días es aplicable en sus sistemas (no en los del Titular). En ningún caso los datos enviados se utilizan para entrenar, reentrenar, mejorar o ajustar los modelos de los proveedores, conforme a las condiciones contractuales de los planes API de pago.
6 ter.7. Transferencias internacionales
Los proveedores de IA están establecidos en EE.UU. y la transferencia se ampara en las garantías descritas en el apartado 7.3 (Marco UE-EE.UU. de Privacidad de Datos y/o Cláusulas Contractuales Tipo, según el proveedor).
7. Destinatarios y Comunicación de Datos
7.1. Acceso a los datos dentro de la Organización
Los datos personales de los empleados son accesibles, dentro de la Plataforma, por los siguientes perfiles de usuario de la Organización, conforme a un sistema de control de acceso basado en roles:
- Administradores de la Organización (org_admin): acceso completo a todos los datos de empleados, registros de jornada, informes, registros de auditoría y configuración.
- Supervisores: acceso a los datos de los empleados bajo su supervisión, aprobación de permisos y gestión de turnos.
- Personal de oficina (office): acceso limitado conforme a las funciones asignadas.
- Trabajadores (worker): acceso exclusivo a sus propios datos personales, registros de jornada e historial.
7.2. Proveedores de servicios (sub-encargados)
Para la prestación del Servicio, el Titular puede recurrir a los siguientes proveedores de servicios que acceden a datos personales como sub-encargados del tratamiento:
| Proveedor | Servicio | Datos tratados | Ubicación |
|---|---|---|---|
| Contabo GmbH | Infraestructura de servidores virtuales (VPS) donde se aloja la Plataforma, incluyendo base de datos, caché y servicios de aplicación | Todos los datos almacenados en la Plataforma | Alemania (Espacio Económico Europeo) |
| Google LLC | Google Maps Platform (visualización de mapas, geovallas y cálculo de tiempos de viaje entre ubicaciones) | Coordenadas GPS de ubicaciones de trabajo configuradas por la Organización (no se transmiten coordenadas individuales de fichaje de trabajadores) | EE.UU. (Marco UE-EE.UU. de Privacidad de Datos · Cláusulas Contractuales Tipo) |
| Google LLC (Firebase Cloud Messaging) | Envío de notificaciones push a dispositivos móviles | Token de dispositivo, identificador del Usuario destinatario y contenido de la notificación operativa | EE.UU. (Marco UE-EE.UU. de Privacidad de Datos · Cláusulas Contractuales Tipo) |
| Stripe Payments Europe, Ltd. | Procesamiento de pagos de las suscripciones (planes Professional y Enterprise) | Datos identificativos y de facturación de la Organización, datos de la suscripción, identificadores de cliente y de método de pago. El Titular no almacena ni accede a datos completos de tarjeta; Stripe actúa como responsable del tratamiento independiente respecto a los datos de pago, conforme a su propia política | Irlanda (Espacio Económico Europeo) y EE.UU. con garantías adecuadas |
| Google LLC (Gemini API) | Modelo de lenguaje utilizado para la extracción estructurada de datos de empleados desde documentos cargados por el Administrador o Propietario en la funcionalidad de importación asistida por IA (planes Professional y Enterprise). Plan comercial de pago, sin uso de los datos para entrenamiento de modelos | Contenido del documento cargado (datos identificativos y laborales de los empleados que la Organización decide importar) | EE.UU. (Marco UE-EE.UU. de Privacidad de Datos · Cláusulas Contractuales Tipo) |
| Anthropic, PBC (Claude API) | Modelo de lenguaje alternativo utilizado, según disponibilidad y mediante una cadena de respaldo, para la misma finalidad de extracción de datos de empleados en la importación asistida por IA. Plan comercial de pago, sin uso de los datos para entrenamiento de modelos | Contenido del documento cargado por el Administrador o Propietario | EE.UU. (Cláusulas Contractuales Tipo) |
| OpenAI, L.L.C. | Modelo de lenguaje alternativo utilizado, según disponibilidad y mediante una cadena de respaldo, para la misma finalidad de extracción de datos de empleados en la importación asistida por IA. Plan comercial de pago (API), sin uso de los datos para entrenamiento de modelos | Contenido del documento cargado por el Administrador o Propietario | EE.UU. (Marco UE-EE.UU. de Privacidad de Datos · Cláusulas Contractuales Tipo) |
| Piensa Solutions (Piensa en Soluciones, S.L.) | Servicio de correo transaccional (SMTP) para el envío de correos electrónicos de verificación de cuenta, recuperación de contraseña, invitaciones y notificaciones operativas | Dirección de correo electrónico, nombre del destinatario y contenido del mensaje | España (Espacio Económico Europeo) |
El Titular se compromete a seleccionar únicamente sub-encargados que ofrezcan garantías suficientes de cumplimiento del RGPD y a formalizar los contratos correspondientes con las cláusulas exigidas por el artículo 28 RGPD.
La Organización autoriza expresamente la subcontratación de los sub-encargados aquí enumerados (autorización general previa, art. 28.2 RGPD). Toda incorporación o sustitución de un sub-encargado se notificará a la Organización con una antelación mínima de treinta (30) días naturales, durante los cuales la Organización podrá oponerse motivadamente. En caso de oposición, las partes negociarán de buena fe una solución alternativa y, si no se alcanza acuerdo, la Organización podrá resolver el contrato sin penalización.
7.3. Transferencias internacionales de datos
En la medida en que se utilicen servicios de proveedores ubicados fuera del Espacio Económico Europeo (EEE), el Titular garantizará que dichas transferencias se realizan con las garantías adecuadas exigidas por el RGPD, incluyendo:
- Decisiones de adecuación de la Comisión Europea.
- Cláusulas contractuales tipo aprobadas por la Comisión Europea.
- Marco de Privacidad de Datos UE-EE.UU. (EU-US Data Privacy Framework), cuando el proveedor esté certificado.
7.4. Otras comunicaciones
El Titular no cederá datos personales a terceros salvo en los siguientes supuestos:
- Cuando exista una obligación legal de comunicación (requerimiento judicial, administrativo o fiscal).
- Cuando sea necesario para la defensa de los derechos e intereses legítimos del Titular.
- Con el consentimiento previo y expreso del interesado o de la Organización, según corresponda.
8. Plazos de Conservación de los Datos
Los datos personales se conservarán durante los plazos necesarios para cumplir las finalidades para las que fueron recogidos y, posteriormente, durante los plazos legales de prescripción aplicables:
| Categoría de datos | Plazo de conservación | Fundamento |
|---|---|---|
| Datos de cuenta de usuario | Mientras la cuenta permanezca activa + 30 días tras la solicitud de eliminación | Ejecución del contrato |
| Registros de jornada laboral | 4 años, prorrogables hasta el plazo de prescripción de las acciones derivadas (5 años, art. 1964 CC) | Art. 34.9 Estatuto de los Trabajadores; plazo de prescripción de infracciones graves en materia laboral (LISOS) |
| Datos de geolocalización | 4 años desde su registro, vinculado al registro de jornada | Vinculados al registro de jornada; mismos plazos de conservación legal |
| Registros de auditoría | 5 años desde su generación | Obligaciones de trazabilidad, seguridad y cumplimiento normativo |
| Datos de permisos y ausencias (incluidos datos de salud) | 4 años desde la finalización del permiso | Plazo de prescripción de acciones laborales y obligaciones de Seguridad Social |
| Trabajos de importación asistida por IA | El archivo cargado no se conserva en ningún momento (procesado en memoria). Datos extraídos y metadatos del trabajo (nombre del archivo, tipo, tamaño, estado, recuento de empleados creados): 12 meses desde la finalización del trabajo, mediante un proceso programado diario | Minimización (art. 5.1.c RGPD) y trazabilidad de las altas de empleados |
| Datos de facturación y contratación | 6 años desde la emisión | Obligaciones mercantiles (art. 30 Código de Comercio) y fiscales |
| Datos tras resolución del contrato | Período de bloqueo durante los plazos de prescripción legales aplicables | Defensa frente a reclamaciones |
Transcurridos los plazos indicados, los datos serán suprimidos o, cuando sea posible y adecuado, anonimizados de forma irreversible para fines estadísticos.
9. Medidas de Seguridad
El Titular ha implementado las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, conforme al artículo 32 del RGPD, incluyendo entre otras:
9.1. Medidas técnicas
- Cifrado de contraseñas: las contraseñas se almacenan utilizando algoritmos de hash seguros, nunca en texto plano.
- Autenticación basada en tokens: sistema de autenticación JWT (JSON Web Token) con tokens de acceso de corta duración y tokens de refresco, con renovación automática.
- Comunicaciones cifradas: todas las comunicaciones entre el cliente y el servidor se realizan a través de protocolos seguros (HTTPS/TLS).
- Control de acceso basado en roles (RBAC): sistema de permisos granular que limita el acceso a los datos según el rol del usuario (administrador, supervisor, oficina, trabajador).
- Aislamiento de datos por organización: cada Organización accede exclusivamente a sus propios datos, garantizado mediante identificadores de organización en cada solicitud.
- Renovación automática de sesiones: mecanismo de interceptores HTTP que gestionan la renovación de tokens de forma transparente y segura.
- Cierre de sesión seguro: la desconexión elimina todos los tokens de autenticación y datos de sesión del almacenamiento local del navegador.
9.2. Medidas organizativas
- Registro completo de auditoría: toda acción realizada en la Plataforma queda registrada con identificación del usuario, dirección IP, fecha/hora y detalle de los cambios, garantizando la trazabilidad completa.
- Principio de mínimo privilegio: los usuarios acceden exclusivamente a las funcionalidades y datos que corresponden a su rol.
- Procedimiento de restablecimiento de contraseña seguro: proceso de recuperación mediante enlace con token único de un solo uso, con verificación de identidad.
- Invitaciones verificadas: el alta de nuevos usuarios se realiza exclusivamente mediante sistema de invitación con token único, impidiendo el registro no autorizado.
10. Derechos de los Interesados
10.1. Derechos reconocidos
De conformidad con el RGPD y la LOPDGDD, los interesados tienen reconocidos los siguientes derechos en relación con sus datos personales:
| Derecho | Contenido | Artículo RGPD |
|---|---|---|
| Acceso | Obtener confirmación de si se están tratando sus datos y, en tal caso, acceder a los mismos y a información sobre el tratamiento | Art. 15 |
| Rectificación | Solicitar la corrección de datos inexactos o completar datos incompletos | Art. 16 |
| Supresión | Solicitar la eliminación de sus datos cuando concurra alguna de las causas previstas legalmente | Art. 17 |
| Limitación | Solicitar la limitación del tratamiento en determinadas circunstancias | Art. 18 |
| Portabilidad | Recibir los datos en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable | Art. 20 |
| Oposición | Oponerse al tratamiento de sus datos, incluida la elaboración de perfiles | Art. 21 |
| No ser objeto de decisiones automatizadas | No ser objeto de decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos o le afecten significativamente | Art. 22 |
| Retirada del consentimiento | Retirar el consentimiento prestado en cualquier momento, sin que ello afecte a la licitud del tratamiento anterior | Art. 7.3 |
10.2. Ejercicio de derechos para empleados de Organizaciones
Los empleados de las Organizaciones que deseen ejercer sus derechos deberán dirigirse en primer lugar a su Organización empleadora, que es el Responsable del Tratamiento de sus datos personales. La Organización canalizará la solicitud y, en su caso, instruirá a Geozly para que ejecute las medidas técnicas necesarias.
No obstante, si el empleado no obtiene respuesta satisfactoria de su Organización en el plazo legalmente previsto, podrá dirigirse directamente a Geozly.
10.3. Ejercicio de derechos para representantes de Organizaciones
Los representantes y administradores de Organizaciones podrán ejercer sus derechos directamente ante Geozly a través de los canales de contacto indicados en el apartado 15.
10.4. Plazo de respuesta
Las solicitudes de ejercicio de derechos serán atendidas en el plazo máximo de un (1) mes desde su recepción. Este plazo podrá prorrogarse otros dos (2) meses en caso de solicitudes especialmente complejas o numerosas, informando al interesado dentro del primer mes.
10.5. Reclamación ante la autoridad de control
Sin perjuicio de cualquier otro recurso administrativo o judicial, el interesado tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) (www.aepd.es) o ante la autoridad de control competente en su Estado miembro de residencia habitual, lugar de trabajo o lugar de la presunta infracción.
11. Almacenamiento Local y Tecnologías Similares
Para una descripción completa y granular del almacenamiento local utilizado, las categorías existentes y la posibilidad de gestionar tus preferencias, consulta nuestra Política de Cookies.
11.1. localStorage
La Plataforma utiliza el mecanismo de almacenamiento local del navegador (localStorage) para almacenar los siguientes datos estrictamente necesarios para el funcionamiento del Servicio:
| Clave | Finalidad | Datos almacenados |
|---|---|---|
geozly_access_token | Autenticación del usuario | Token JWT de acceso |
geozly_refresh_token | Renovación de la sesión | Token de refresco |
geozly_active_org | Identificación de la organización activa | Identificador UUID de la organización |
Estos datos se almacenan exclusivamente en el dispositivo del usuario y se eliminan al cerrar sesión. No se utilizan cookies de rastreo, analíticas de terceros ni tecnologías de seguimiento con fines publicitarios.
11.2. Service Worker (PWA)
La Plataforma puede utilizar un Service Worker para habilitar funcionalidades de aplicación web progresiva (PWA), como el almacenamiento en caché de recursos estáticos para mejorar el rendimiento. El Service Worker no recoge ni transmite datos personales adicionales.
12. Tratamiento de Datos de Menores
La Plataforma no está dirigida a menores de dieciséis (16) años y no recoge conscientemente datos personales de menores. Si el Titular tuviera conocimiento de que se han recogido datos de un menor sin el consentimiento de su representante legal, procederá a su eliminación inmediata.
La Organización garantiza que todos los empleados registrados en la Plataforma tienen la edad legal para trabajar conforme a la legislación laboral aplicable en su jurisdicción.
13. Evaluación de Impacto en la Protección de Datos (EIPD)
Dado que el tratamiento de datos de geolocalización de trabajadores puede suponer un alto riesgo para sus derechos y libertades, el Titular ha valorado la procedencia de realizar una Evaluación de Impacto en la Protección de Datos (EIPD) conforme al artículo 35 del RGPD y, en su caso, mantiene documentadas las medidas técnicas y organizativas adoptadas para mitigar los riesgos identificados.
Las Organizaciones que utilicen la funcionalidad de geolocalización deben valorar, conforme a su normativa local, si precisan realizar su propia EIPD como Responsables del Tratamiento.
14. Notificación de Brechas de Seguridad
En caso de producirse una violación de la seguridad de los datos personales que pueda entrañar un riesgo para los derechos y libertades de los interesados, el Titular:
- Notificará a la Organización afectada (como Responsable del Tratamiento) sin dilación indebida y, en cualquier caso, en un plazo máximo de 48 horas desde que tenga conocimiento de la brecha.
- Proporcionará toda la información necesaria para que la Organización pueda cumplir con su obligación de notificación a la autoridad de control (en un plazo de 72 horas) y, en su caso, a los interesados afectados.
- Colaborará con la Organización en la investigación, mitigación y documentación de la brecha de seguridad.
15. Contacto y Delegado de Protección de Datos
Para cualquier consulta, solicitud de ejercicio de derechos o comunicación relacionada con la protección de datos personales, puede ponerse en contacto con nosotros a través de:
- Titular: Erick Moises Hernández Quiñones
- NIF: 06713923Q
- Correo electrónico: contact@geozly.com
En caso de que el Titular designe un Delegado de Protección de Datos (DPO), sus datos de contacto se publicarán en esta Política y se comunicarán a la autoridad de control competente.
16. Modificaciones de la Política de Privacidad
El Titular se reserva el derecho de modificar la presente Política de Privacidad para adaptarla a novedades legislativas, jurisprudenciales o de práctica empresarial. Las modificaciones sustanciales se comunicarán a los Usuarios con un preaviso mínimo de treinta (30) días naturales a través del correo electrónico registrado o mediante notificación en la Plataforma.
Se recomienda a los Usuarios revisar periódicamente esta Política para estar informados sobre cómo se protegen sus datos personales. La fecha de la última actualización se indica al inicio de este documento.
17. Legislación Aplicable
La presente Política de Privacidad se rige por lo dispuesto en el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y demás normativa española y europea aplicable en materia de protección de datos personales.