Cumplimiento del RGPD

WorkTime One cumple completamente con el Reglamento General de Protección de Datos (RGPD) de la UE. Conozca sus derechos y cómo protegemos sus datos personales.

Última actualización: 18 de noviembre de 2025

Cumple con el RGPD desde 2018
Centros de datos en la UE disponibles
Cláusulas contractuales estándar

Tabla de contenidos

1. Descripción general del RGPD

El Reglamento General de Protección de Datos (RGPD) es una ley integral de protección de datos que entró en vigor el 25 de mayo de 2018 en toda la Unión Europea y el Espacio Económico Europeo. Establece requisitos estrictos sobre cómo las organizaciones recopilan, procesan, almacenan y protegen los datos personales de los residentes de la UE.

¿Qué son los datos personales?

Según el RGPD, los datos personales son cualquier información relacionada con una persona física identificada o identificable. Esto incluye:

  • Identidad básica: Nombre, dirección, correo electrónico, número de teléfono
  • Información laboral: ID de empleado, cargo, departamento, salario
  • Datos técnicos: Direcciones IP, IDs de dispositivo, huellas digitales del navegador
  • Datos de ubicación: Ubicación geográfica desde cerraduras inteligentes
  • Datos biométricos: Huellas dactilares utilizadas para autenticación de cerraduras inteligentes
  • Datos de comportamiento: Horas de trabajo, patrones de asistencia, registros de seguimiento de tiempo

Principios clave del RGPD

WorkTime One cumple con los siete principios del RGPD:

1. Legalidad, equidad y transparencia

Datos procesados de manera legal, justa y transparente con avisos de privacidad claros

2. Limitación de la finalidad

Datos recopilados solo para fines específicos y legítimos

3. Minimización de datos

Solo se recopilan datos necesarios para el propósito declarado

4. Exactitud

Mantener los datos personales precisos y actualizados

5. Limitación del almacenamiento

Conservar datos solo el tiempo necesario

6. Integridad y confidencialidad

Proteger datos con medidas de seguridad apropiadas

7. Responsabilidad

Demostrar el cumplimiento mediante documentación y políticas

2. Nuestro Rol Bajo el RGPD

Responsable del Tratamiento vs. Encargado del Tratamiento

WorkTime One actúa en diferentes capacidades según el contexto:

WorkTime One como Responsable del Tratamiento

Para los datos de la cuenta de su organización (nombre de la empresa, información de facturación, usuarios administradores), somos el responsable del tratamiento. Determinamos cómo y por qué se procesan estos datos.

Ejemplos: Registro de cuenta, facturación, atención al cliente, comunicaciones del servicio

WorkTime One como Encargado del Tratamiento

Para los datos de control de tiempo de empleados que usted carga y gestiona, somos el encargado del tratamiento. Usted (el cliente) es el responsable del tratamiento y determina los fines y medios del procesamiento.

Ejemplos: Nombres de empleados, horas de trabajo, registros de asistencia, datos biométricos, datos de ubicación

Sus Responsabilidades como Responsable del Tratamiento

Al usar WorkTime One para controlar el tiempo de los empleados, usted es el responsable del tratamiento y es responsable de:

  • Obtener una base legal para procesar datos de empleados (ej. consentimiento, contrato, interés legítimo)
  • Proporcionar a los empleados avisos de privacidad que expliquen la recopilación y uso de datos
  • Obtener consentimiento explícito para la recopilación de datos biométricos (huellas dactilares)
  • Responder a las solicitudes de derechos de los interesados de los empleados
  • Implementar medidas técnicas y organizativas apropiadas
  • Cumplir con las leyes laborales locales y regulaciones de monitoreo de empleados
  • Realizar Evaluaciones de Impacto en la Protección de Datos (EIPD) cuando sea necesario

3. Base Legal para el Tratamiento

El RGPD requiere una base legal para procesar datos personales. WorkTime One se basa en las siguientes bases legales:

Contrato (Artículo 6(1)(b))

Procesamiento necesario para proporcionar nuestros servicios bajo nuestros Términos de Servicio. Esto aplica a la gestión de cuentas, facturación y funcionalidad central del servicio.

Interés Legítimo (Artículo 6(1)(f))

Procesamiento para seguridad, prevención de fraude y mejora del servicio. Equilibramos nuestros intereses con sus derechos y libertades.

Consentimiento (Artículo 6(1)(a))

Las comunicaciones de marketing y funciones opcionales requieren su consentimiento explícito. Puede retirar el consentimiento en cualquier momento.

Obligación Legal (Artículo 6(1)(c))

Procesamiento requerido por ley, como registros fiscales, cumplimiento financiero y respuesta a solicitudes legales.

Datos de Categoría Especial (Biométricos)

Los datos biométricos (huellas dactilares) se consideran datos de "categoría especial" según el Artículo 9 del RGPD y requieren protección adicional. El procesamiento es legal bajo:

  • Consentimiento Explícito (Artículo 9(2)(a)): Debe obtener el consentimiento explícito e informado de los empleados para la recopilación de huellas dactilares
  • Contexto Laboral (Artículo 9(2)(b)): El procesamiento puede ser necesario para obligaciones laborales bajo la ley nacional
  • Medidas de Seguridad: Los datos biométricos se cifran, encriptan y almacenan por separado de otros datos personales
  • Derecho a Retirar: Los empleados pueden retirar el consentimiento y solicitar la eliminación de datos biométricos en cualquier momento

4. Sus Derechos como Interesado

Bajo el RGPD, tiene derechos integrales con respecto a sus datos personales:

Derecho de Acceso (Artículo 15)

Tiene derecho a obtener confirmación de si procesamos sus datos personales y acceder a esos datos.

Cómo Ejercerlo:

  • Inicie sesión en su cuenta y navegue a Configuración → Exportación de Datos
  • Exporte sus datos en formato CSV, JSON o Excel
  • Envíe un correo a [email protected] para solicitudes completas de acceso a datos
  • Responderemos en 30 días (sin cargo)

Derecho de Rectificación (Artículo 16)

Tiene derecho a que se corrijan o completen los datos personales inexactos.

Cómo Ejercerlo:

  • Actualice la información de su cuenta directamente en Configuración
  • Los administradores pueden actualizar la información de empleados en la sección de Gestión de Empleados
  • Para correcciones que requieran nuestra asistencia, contacte [email protected]
  • Corregiremos las inexactitudes en 30 días

Derecho de Supresión / Derecho al Olvido (Artículo 17)

Tiene derecho a solicitar la eliminación de sus datos personales en ciertas circunstancias.

Cómo Ejercerlo:

  • Cierre su cuenta a través de Configuración → Cuenta → Eliminar Cuenta
  • Los empleados pueden solicitar la eliminación contactando a su empleador (responsable del tratamiento)
  • Envíe un correo a [email protected] para solicitudes de eliminación
  • Los datos se eliminan en 30 días (excluyendo requisitos de retención legal)
  • Las copias de seguridad se purgan en 90 días

Nota: Podemos retener ciertos datos cuando lo requiera la ley (ej. registros fiscales por 7 años)

Derecho a la Limitación del Tratamiento (Artículo 18)

Puede solicitar que limitemos cómo procesamos sus datos en ciertas situaciones.

Cuándo Disponible:

  • Usted impugna la exactitud de los datos (durante la verificación)
  • El procesamiento es ilegal pero no desea la eliminación
  • Ya no necesitamos los datos pero usted los necesita para reclamaciones legales
  • Se ha opuesto al procesamiento (pendiente de verificación de motivos legítimos)

Derecho a la Portabilidad de Datos (Artículo 20)

Tiene derecho a recibir sus datos personales en un formato estructurado y legible por máquina y transmitirlos a otro responsable.

Formatos Soportados:

  • CSV (Valores Separados por Comas)
  • JSON (Notación de Objetos JavaScript)
  • Excel (.xlsx)
  • Transferencia directa por API a otro servicio (contáctenos para asistencia)

Derecho de Oposición (Artículo 21)

Tiene derecho a oponerse al procesamiento basado en intereses legítimos o para marketing directo.

Cómo Ejercerlo:

  • Oposición al marketing: Enlace de cancelación en correos o Configuración → Notificaciones
  • Oposición a la elaboración de perfiles: Contacte [email protected]
  • Oposición al procesamiento por interés legítimo: Cesaremos a menos que demostremos motivos legítimos imperiosos

Derechos Relacionados con la Toma de Decisiones Automatizada (Artículo 22)

Tiene derecho a no ser objeto de decisiones basadas únicamente en procesamiento automatizado que le afecten significativamente.

Posición de WorkTime One: No tomamos decisiones automatizadas que produzcan efectos legales o le afecten de manera similar significativamente. Los cálculos de nómina y evaluaciones de penalizaciones se basan en reglas transparentes definidas por usted (el empleador) y pueden revisarse y ajustarse manualmente.

5. Medidas de Protección de Datos

Implementamos medidas técnicas y organizativas integrales para garantizar la seguridad apropiada:

Medidas Técnicas

  • Cifrado: Cifrado AES-256 para datos en reposo, TLS 1.3 para datos en tránsito
  • Seudonimización: Cuando es posible, seudonimizamos los datos para reducir riesgos de privacidad
  • Controles de Acceso: Control de acceso basado en roles (RBAC) con principio de mínimo privilegio
  • Autenticación de Dos Factores: 2FA obligatoria disponible para todos los usuarios
  • Copias de Seguridad Automáticas: Copias de seguridad cifradas regulares con redundancia geográfica
  • Detección de Intrusiones: Monitoreo 24/7 de amenazas de seguridad
  • Gestión de Vulnerabilidades: Pruebas de seguridad regulares y gestión de parches

Medidas Organizativas

  • Políticas de Protección de Datos: Políticas y procedimientos internos integrales
  • Formación de Empleados: Formación regular en privacidad y seguridad para todo el personal
  • Acuerdos de Confidencialidad: Todos los empleados firman NDA y acuerdos de confidencialidad
  • Revisiones de Acceso: Revisiones trimestrales de permisos de acceso de empleados
  • Plan de Respuesta a Incidentes: Procedimientos documentados para respuesta a violaciones de datos
  • Evaluaciones de Impacto en la Protección de Datos: Se realizan EIPD para procesamiento de alto riesgo
  • Gestión de Proveedores: Diligencia debida en todos los subencargados

Privacidad por Diseño y por Defecto

  • Consideraciones de privacidad integradas en el desarrollo del producto desde el inicio
  • La configuración predeterminada prioriza la protección de la privacidad
  • Minimización de datos incorporada en el diseño del sistema
  • Revisiones de privacidad regulares durante todo el ciclo de vida del producto

6. Transferencias Internacionales de Datos

WorkTime One puede transferir sus datos personales fuera del Espacio Económico Europeo (EEE). Garantizamos que existan salvaguardias apropiadas:

Ubicaciones de Almacenamiento de Datos

  • Almacenamiento Principal: Centros de datos basados en la UE (Alemania, Bélgica, Países Bajos) a través de Google Cloud Platform
  • Copias de Seguridad: Replicadas en múltiples regiones de la UE
  • Opción de Almacenamiento Solo en la UE: Los clientes empresariales pueden solicitar residencia de datos solo en la UE

Mecanismos de Transferencia

Cláusulas Contractuales Tipo (CCT)

Utilizamos las Cláusulas Contractuales Tipo (CCT) aprobadas por la UE para transferencias de datos a países sin decisiones de adecuación. Nuestras CCT incorporan los requisitos de la sentencia Schrems II.

Decisiones de Adecuación

Cuando es posible, transferimos datos a países con decisiones de adecuación de la UE (ej. Reino Unido, Suiza, Canadá bajo ciertas condiciones).

Medidas Complementarias

Implementamos medidas técnicas complementarias (cifrado, seudonimización) para proteger los datos transferidos fuera de la UE.

Subencargados

Utilizamos los siguientes subencargados que pueden procesar datos personales de la UE:

Subencargado Propósito Ubicación Salvaguardias
Google Cloud Platform Alojamiento, Base de Datos UE (principal) CCT, ISO 27001
Firebase (Google) Autenticación, Base de Datos UE (principal) CCT, ISO 27001
SendGrid Entrega de Correo Electrónico EE.UU. CCT, PCI DSS
TTLock API Integración de Cerraduras Inteligentes China CCT, Cifrado

7. Acuerdo de Tratamiento de Datos (ATD)

Como lo requiere el Artículo 28 del RGPD, proporcionamos un Acuerdo de Tratamiento de Datos a todos los clientes que usan WorkTime One para procesar datos de empleados.

¿Qué es un ATD?

Un Acuerdo de Tratamiento de Datos (ATD) es un contrato legalmente vinculante entre un responsable del tratamiento (usted) y un encargado del tratamiento (nosotros) que regula cómo se procesan los datos personales. Garantiza que cumplimos con el RGPD al procesar sus datos.

Nuestro ATD Incluye

  • Objeto y Duración: Control de tiempo y gestión de asistencia durante la duración de su suscripción
  • Naturaleza y Propósito: Procesamiento de datos de control de tiempo de empleados para proporcionar nuestros servicios
  • Tipos de Datos Personales: Nombres, IDs de empleados, horas de trabajo, datos biométricos, datos de ubicación
  • Categorías de Interesados: Sus empleados y contratistas
  • Sus Obligaciones: Sus responsabilidades como responsable del tratamiento
  • Nuestras Obligaciones: Nuestras responsabilidades como encargado del tratamiento
  • Medidas de Seguridad: Medidas técnicas y organizativas que implementamos
  • Subcontratación: Lista de subencargados autorizados
  • Derechos de los Interesados: Nuestra asistencia con solicitudes de interesados
  • Auditorías e Inspecciones: Su derecho a auditar nuestro cumplimiento
  • Notificación de Violación de Datos: Nuestra obligación de notificarle sobre violaciones
  • Transferencias Internacionales: CCT y mecanismos de transferencia
  • Eliminación y Devolución: Manejo de datos al finalizar el contrato

Cómo Acceder: Nuestro ATD estándar está incorporado en nuestros Términos de Servicio. Los clientes empresariales pueden solicitar un ATD personalizado contactando [email protected]

8. Notificación de Violación de Datos

Bajo los Artículos 33 y 34 del RGPD, tenemos obligaciones estrictas con respecto a la notificación de violaciones de datos:

Nuestras Obligaciones

  • Notificación a la Autoridad de Supervisión: Notificamos a la autoridad de supervisión relevante dentro de las 72 horas de conocer una violación que afecte a residentes de la UE
  • Notificación al Cliente: Notificamos a los clientes afectados (responsables del tratamiento) sin demora indebida, típicamente dentro de 24-48 horas
  • Notificación al Interesado: Si la violación presenta alto riesgo para individuos, le asistimos en notificar a personas afectadas
  • Documentación de Violaciones: Mantenemos registros de todas las violaciones, incluyendo hechos, efectos y acciones correctivas

Lo Que Le Diremos

  • Naturaleza de la violación (qué sucedió)
  • Categorías y número aproximado de individuos y registros afectados
  • Posibles consecuencias de la violación
  • Medidas que hemos tomado o proponemos tomar para abordar la violación
  • Medidas para mitigar posibles efectos adversos
  • Información de contacto para consultas adicionales

Sus Obligaciones como Responsable del Tratamiento

Si le notificamos sobre una violación que afecta los datos de sus empleados, puede necesitar:

  • Evaluar si la violación presenta alto riesgo para sus empleados
  • Notificar a su autoridad de supervisión nacional (si es requerido)
  • Notificar a empleados afectados (si la violación presenta alto riesgo para sus derechos y libertades)
  • Documentar su respuesta a la violación y decisiones

9. Delegado de Protección de Datos (DPD)

Bajo el Artículo 37 del RGPD, hemos designado un Delegado de Protección de Datos para supervisar nuestra estrategia de protección de datos y garantizar el cumplimiento.

Responsabilidades del DPD

  • Monitorear el cumplimiento del RGPD y otras leyes de protección de datos
  • Asesorar sobre Evaluaciones de Impacto en la Protección de Datos (EIPD)
  • Cooperar con autoridades de supervisión
  • Actuar como punto de contacto para interesados y autoridades de supervisión
  • Capacitar al personal sobre obligaciones de protección de datos
  • Realizar auditorías y evaluaciones internas

Contacte a Nuestro DPD

Puede contactar directamente a nuestro Delegado de Protección de Datos para cualquier pregunta o inquietud relacionada con el RGPD:

Correo: [email protected]

Correo Postal: Data Protection Officer, WorkTime One, Inc.

Tiempo de Respuesta: Responderemos a consultas del DPD dentro de 5 días hábiles

10. Derechos de Privacidad de los Empleados

Se aplican consideraciones especiales al procesar datos de empleados a través de WorkTime One:

Obligaciones del Empleador

Importante: Como empleador (responsable del tratamiento), tiene obligaciones legales hacia sus empleados respecto a su privacidad.

  • Transparencia: Informe a los empleados sobre el control de tiempo, datos recopilados y cómo se utilizarán
  • Base Legal: Asegúrese de tener una base legal (usualmente contrato o interés legítimo) para el control de tiempo
  • Consentimiento Biométrico: Obtenga consentimiento explícito antes de recopilar huellas dactilares u otros datos biométricos
  • Minimización de Datos: Solo rastree datos necesarios para propósitos comerciales legítimos
  • Derechos de Empleados: Facilite las solicitudes de derechos de interesados de empleados (acceso, eliminación, etc.)
  • Consulta al Comité de Empresa: En algunos países de la UE, consulte con comités de empresa antes de implementar monitoreo de empleados
  • Leyes Nacionales: Cumpla con las leyes laborales nacionales y regulaciones de monitoreo de empleados

Plantilla de Aviso de Privacidad para Empleados

Proporcionamos una plantilla de aviso de privacidad para empleados que puede personalizar para su organización. Esto le ayuda a cumplir con los requisitos de transparencia del RGPD.

Descarga: Solicite nuestra plantilla de Aviso de Privacidad para Empleados en [email protected]

11. Quejas ante la Autoridad de Supervisión

Bajo el Artículo 77 del RGPD, tiene derecho a presentar una queja ante una autoridad de supervisión si cree que hemos violado sus derechos de protección de datos.

Cómo Presentar una Queja

Puede presentar una queja ante la autoridad de supervisión en:

  • El estado miembro de la UE de su residencia habitual
  • El estado miembro de la UE de su lugar de trabajo
  • El estado miembro de la UE donde ocurrió la presunta infracción

Autoridades de Supervisión de la UE

Encuentre su autoridad local de protección de datos:

Lista de toda la UE: Comité Europeo de Protección de Datos

Irlanda (nuestro establecimiento en la UE): Comisión de Protección de Datos (DPC)

Correo: [email protected]

Sitio Web: www.dataprotection.ie

Contáctenos Primero

Le animamos a contactarnos primero si tiene inquietudes sobre nuestro procesamiento de datos. Estamos comprometidos a resolver problemas directamente y trabajaremos con usted para abordar sus inquietudes.

12. Información de Contacto

Para preguntas relacionadas con el RGPD, solicitudes de derechos de interesados u otras inquietudes de privacidad:

Consultas RGPD: [email protected]

Delegado de Protección de Datos: [email protected]

Equipo de Privacidad: [email protected]

Soporte General: [email protected]

Representante UE: [email protected]

Tiempo de Respuesta: Respondemos a solicitudes del RGPD dentro de 30 días (como lo requiere la ley)

Nuestro Establecimiento en la UE

Para asuntos específicos de la UE, puede contactar a nuestro representante en la UE:

Representante UE: WorkTime One Europe Ltd.

Correo: [email protected]

Jurisdicción: Irlanda (Autoridad de Supervisión Principal: DPC Irlandés)

Recursos del RGPD

Obtenga más información sobre sus derechos de protección de datos y nuestro cumplimiento

Política de privacidad

Prácticas completas de privacidad

Medidas de seguridad

Salvaguardas técnicas que implementamos

Términos de servicio

Acuerdo de servicio y DPA