Política de Privacidad
Última actualización: 4 de mayo de 2026
La presente Política de Privacidad regula el tratamiento de los datos personales que se recaban a través de la plataforma StaffControl(en adelante, “la Plataforma”), accesible desde www.staffcontrol.app, tanto en su versión web como en su aplicación web progresiva (PWA).
Esta política se ha redactado conforme al Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, RGPD), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), y la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE).
1. Identidad del Responsable del Tratamiento
- Titular: StaffControl (en adelante, “el Responsable”)
- NIF/CIF: [Pendiente de cumplimentar]
- Domicilio social: [Pendiente de cumplimentar], España
- Correo electrónico: hola@staffcontrol.app
- Sitio web: www.staffcontrol.app
2. Datos Personales que Recopilamos
StaffControl es una plataforma de gestión de equipos y turnos para el sector hostelería y franquicias. Dependiendo de su rol (administrador, encargado o empleado), podemos tratar las siguientes categorías de datos personales:
2.1. Datos identificativos y de contacto
- Nombre y apellidos (primer y segundo apellido)
- Apodo o nombre abreviado (opcional)
- Número de identificación (DNI/NIE/Pasaporte)
- Dirección de correo electrónico
- Número de teléfono (opcional)
2.2. Datos laborales y contractuales
- Tipo de contrato (indefinido, temporal, prácticas, becario, fijo discontinuo, administrador)
- Tipo de jornada (completa o parcial)
- Horas de contrato semanales
- Fechas de inicio y fin de contrato
- Roles y puestos de trabajo asignados
- Centro de trabajo (tienda) asignado
- Nivel de acceso dentro de la plataforma
- Días laborables del contrato
- Motivo de baja o desactivación (en caso de cese)
2.3. Datos de jornada laboral y fichaje
- Registros de entrada y salida (fichaje digital)
- Registros de inicio y fin de descansos/pausas
- Turnos planificados (cuadrantes semanales)
- Horas trabajadas, planificadas y diferencias
- Solicitudes y registros de vacaciones, ausencias y bajas
- Disponibilidad e indisponibilidad horaria
- Intercambios de turnos entre empleados
2.4. Datos de geolocalización
Cuando el administrador del negocio active la verificación por geolocalización para el fichaje, la Plataforma solicitará permiso al navegador del empleado para acceder a sus coordenadas GPS en el momento exacto del fichaje de entrada. Estos datos se utilizan exclusivamente para verificar que el empleado se encuentra dentro del radio configurado para su centro de trabajo. Las coordenadas se registran junto al fichaje y no se utilizan para seguimiento continuado ni en tiempo real.
2.5. Datos económicos y de facturación
- Coste laboral por hora del empleado (solo visible para administradores)
- Datos de facturación de la suscripción del cliente (gestionados por Stripe)
- Historial de facturas y estado de suscripción
Nota: StaffControl no almacena directamente datos de tarjetas de crédito ni cuentas bancarias. Todo el procesamiento de pagos es gestionado por Stripe, Inc., un procesador de pagos certificado conforme al estándar PCI-DSS Nivel 1.
2.6. Documentos del empleado
- Contratos de trabajo
- Nóminas mensuales
- Copias de DNI/NIE
- Certificados y documentación de onboarding
- Otros documentos laborales subidos por el administrador
2.7. Datos de comunicaciones
- Notificaciones internas (comunicados, tareas asignadas)
- Suscripciones a notificaciones push del navegador
- Mensajes del formulario de contacto (nombre, email, mensaje)
2.8. Datos técnicos y de navegación
- Dirección IP
- Tipo de navegador y sistema operativo
- Cookies de sesión y autenticación (véase el apartado 9)
3. Finalidades del Tratamiento
| Finalidad | Base jurídica (art. RGPD) |
|---|---|
| Gestión de la relación laboral: turnos, fichaje, vacaciones, ausencias, tareas y documentos | Art. 6.1.b) — Ejecución de un contrato |
| Cumplimiento del registro de jornada obligatorio (art. 34.9 del Estatuto de los Trabajadores) | Art. 6.1.c) — Obligación legal |
| Verificación por geolocalización del fichaje | Art. 6.1.f) — Interés legítimo del empleador, previa información al empleado |
| Gestión de la cuenta de usuario y autenticación | Art. 6.1.b) — Ejecución de un contrato |
| Gestión de facturación y cobro de la suscripción | Art. 6.1.b) — Ejecución de un contrato |
| Envío de notificaciones operativas (turnos, tareas, incidencias) | Art. 6.1.b) — Ejecución de un contrato |
| Análisis de rentabilidad laboral del negocio | Art. 6.1.f) — Interés legítimo del responsable |
| Atención de solicitudes de contacto y soporte | Art. 6.1.b) — Medidas precontractuales o contractuales |
| Gestión de producción y pedidos del negocio | Art. 6.1.b) — Ejecución de un contrato |
| Conservación de datos tras el cese de la relación laboral para el cumplimiento de obligaciones legales y fiscales | Art. 6.1.c) — Obligación legal |
4. Destinatarios de los Datos
Los datos personales podrán ser comunicados a los siguientes encargados del tratamiento, con quienes se han suscrito los correspondientes acuerdos de procesamiento de datos (DPA) conforme al artículo 28 del RGPD:
| Encargado | Función | Ubicación | Garantías |
|---|---|---|---|
| Supabase, Inc. | Alojamiento de base de datos, autenticación y almacenamiento de archivos | Región UE (eu-central-1, Alemania) / EE. UU. (sede) | DPA con Cláusulas Contractuales Tipo (SCCs) y EU-US Data Privacy Framework |
| Stripe, Inc. | Procesamiento de pagos y facturación de suscripciones | EE. UU. / UE | DPA, certificación PCI-DSS, EU-US Data Privacy Framework y SCCs |
| Resend, Inc. | Envío de correos electrónicos transaccionales (invitaciones, notificaciones) | EE. UU. | DPA con Cláusulas Contractuales Tipo (SCCs) |
No se realizarán cesiones de datos a terceros salvo obligación legal. Los encargados del tratamiento listados solo acceden a los datos estrictamente necesarios para la prestación de sus servicios y no los utilizan para fines propios.
5. Transferencias Internacionales de Datos
Algunos de los proveedores indicados en el apartado anterior tienen su sede en Estados Unidos. Estas transferencias internacionales se encuentran amparadas por:
- El Marco de Privacidad de Datos UE-EE. UU. (EU-US Data Privacy Framework), según la Decisión de Adecuación de la Comisión Europea de 10 de julio de 2023.
- Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea, incorporadas en los acuerdos de procesamiento de datos (DPA) con cada proveedor.
La base de datos principal del proyecto se encuentra alojada en la región eu-central-1 (Frankfurt, Alemania) de AWS, dentro del Espacio Económico Europeo.
6. Plazos de Conservación de los Datos
| Categoría de datos | Plazo de conservación |
|---|---|
| Registros de jornada (fichajes) | 4 años (art. 34.9 ET y obligaciones de la Inspección de Trabajo) |
| Datos contractuales y laborales | Duración de la relación laboral + 4 años para prescripción de acciones laborales |
| Documentos (nóminas, contratos) | Duración de la relación laboral + periodo de retención configurado por el administrador |
| Datos de facturación | 5 años (obligaciones fiscales y tributarias) |
| Datos de geolocalización | Mismo plazo que los registros de jornada (4 años) |
| Datos del formulario de contacto | 12 meses desde la consulta o hasta la resolución de la misma |
| Notificaciones leídas | 30 días tras su lectura (purgado automático) |
| Cuenta de usuario tras desactivación | Periodo de retención configurado (retention_expires_at), tras el cual se anonimiza |
7. Derechos del Interesado
De conformidad con el RGPD y la LOPDGDD, cualquier persona cuyos datos sean tratados por StaffControl puede ejercer los siguientes derechos:
- Derecho de acceso (art. 15 RGPD): obtener confirmación de si se están tratando sus datos y acceder a los mismos.
- Derecho de rectificación (art. 16 RGPD): solicitar la corrección de datos inexactos o incompletos.
- Derecho de supresión (art. 17 RGPD): solicitar la eliminación de sus datos cuando ya no sean necesarios para los fines recogidos, sin perjuicio del deber de conservación por obligación legal.
- Derecho a la limitación del tratamiento (art. 18 RGPD): solicitar la suspensión del tratamiento en determinadas circunstancias.
- Derecho a la portabilidad (art. 20 RGPD): recibir los datos en un formato estructurado, de uso común y lectura mecánica.
- Derecho de oposición (art. 21 RGPD): oponerse al tratamiento basado en interés legítimo.
- Derecho a no ser objeto de decisiones automatizadas (art. 22 RGPD): la Plataforma no realiza decisiones automatizadas ni elaboración de perfiles con efectos jurídicos.
Para ejercer cualquiera de estos derechos, puede dirigirse a hola@staffcontrol.app, indicando en el asunto “Ejercicio de derechos RGPD”, acompañando copia de su documento de identidad. Le responderemos en el plazo máximo de un mes desde la recepción de la solicitud.
Asimismo, si considera que el tratamiento de sus datos no se ajusta a la normativa, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), www.aepd.es, C/ Jorge Juan 6, 28001 Madrid.
8. Medidas de Seguridad
StaffControl aplica las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al artículo 32 del RGPD. Entre otras:
- Cifrado de datos en tránsito (HTTPS/TLS) y en reposo
- Autenticación segura mediante tokens JWT y cookies HttpOnly
- Políticas de control de acceso basadas en roles (Row-Level Security en base de datos)
- Aislamiento por cliente (tenant isolation): cada organización solo accede a sus propios datos
- Copias de seguridad automatizadas de la base de datos
- Monitorización y auditoría de accesos administrativos
- Procesamiento de pagos delegado a proveedores certificados PCI-DSS
9. Política de Cookies
StaffControl utiliza exclusivamente cookies técnicas y estrictamente necesarias para el correcto funcionamiento de la Plataforma. Estas cookies no requieren el consentimiento previo del usuario según la normativa vigente.
| Cookie | Finalidad | Duración | Tipo |
|---|---|---|---|
| sb-*-auth-token | Autenticación y mantenimiento de la sesión del usuario (Supabase Auth) | Sesión / 7 días | Técnica, estrictamente necesaria |
La Plataforma no utiliza cookies de analítica, publicidad ni seguimiento de terceros. No se emplean herramientas como Google Analytics, Facebook Pixel ni servicios similares. Por tanto, no es necesario un banner de consentimiento de cookies.
10. Tratamiento de Datos de Menores
StaffControl está destinada exclusivamente a la gestión laboral de trabajadores. No se recaban conscientemente datos de menores de 16 años. Si se detectara el tratamiento de datos de un menor, se procederá a su eliminación inmediata.
11. Responsabilidad del Cliente (Empresa Usuaria)
La empresa u organización que contrata StaffControl para gestionar a sus empleados actúa como Responsable del Tratamiento respecto a los datos de sus empleados, siendo StaffControl el Encargado del Tratamiento conforme al artículo 28 del RGPD.
La empresa cliente es responsable de:
- Informar a sus empleados sobre el uso de StaffControl y el tratamiento de sus datos
- Obtener el consentimiento necesario cuando sea aplicable (por ejemplo, para la geolocalización)
- Garantizar la exactitud de los datos introducidos
- Respetar los periodos de retención y ejercicio de derechos de sus empleados
12. Modificaciones de esta Política
StaffControl se reserva el derecho a modificar la presente Política de Privacidad para adaptarla a novedades legislativas o jurisprudenciales. Los cambios sustanciales se comunicarán a los usuarios a través de la Plataforma. La versión vigente estará siempre disponible en www.staffcontrol.app/privacy.
13. Legislación Aplicable
La presente Política de Privacidad se rige por la legislación española y europea, en particular:
- Reglamento (UE) 2016/679 (RGPD)
- Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD)
- Ley 34/2002, de 11 de julio (LSSI-CE)
- Real Decreto-ley 8/2019 (registro de jornada)
- Real Decreto Legislativo 2/2015 (Estatuto de los Trabajadores)