Política de privacidad

1. Identidad del responsable

Prikk.app es un servicio en fase de constitución. Hasta que se complete el registro mercantil, las consultas relativas a privacidad se canalizan a través del email hola@prikk.app. Una vez constituida la entidad jurídica, esta sección se actualizará con la razón social, identificación fiscal, dirección y datos del Delegado de Protección de Datos (DPO), si procede.

Cuando Prikk.app se utiliza por una empresa para el control horario de su personal, la empresa empleadora actúa como responsable del tratamiento respecto a los datos de sus empleados, y Prikk.app actúa como encargado del tratamiento en los términos del art. 28 RGPD. Las decisiones sobre conservación, acceso y supresión de los datos del personal se toman por el empleador.

2. Datos que tratamos

Solo recogemos datos estrictamente necesarios para prestar el servicio.

• Identificación: nombre y apellidos, email, DNI/NIF (opcional), idioma preferido.
• Acceso: contraseña almacenada como hash bcrypt (10 rounds) — nunca en claro. Tokens JWT firmados para mantener la sesión.
• Registro horario: fecha y hora exactas de cada fichaje (entrada, salida, pausa).
• Geolocalización GPS: coordenadas (latitud y longitud) capturadas exclusivamente en el instante del fichaje, si la empresa tiene esta opción activada para el empleado. Resolvemos esas coordenadas a ciudad/provincia/país mediante un proveedor de geocodificación inversa.
• Datos del dispositivo: dirección IP, user-agent del navegador, identificador de dispositivo (cuando se activa el modo "un solo dispositivo por empleado").
• Datos de la empresa: razón social, datos fiscales para facturas, logo y configuración de turnos, zonas, vacaciones y notificaciones.
• Datos de pago: para suscripciones gestionadas con LemonSqueezy: identificador de la transacción y plan adquirido. Los datos de la tarjeta los procesa directamente LemonSqueezy y no se almacenan en nuestros servidores.
• Comunicaciones de soporte: cuando contactas con soporte, conservamos el contenido del mensaje y el archivo adjunto (si lo enviaste) durante el tiempo necesario para resolver la incidencia.

3. Finalidades y base legal

• Cumplimiento legal: registro de la jornada laboral conforme al art. 34.9 del Estatuto de los Trabajadores y normativa equivalente fuera de España. Base: obligación legal.
• Ejecución del contrato: gestión de turnos, ausencias, vacaciones, reportes y comunicaciones operativas. Base: ejecución del contrato laboral entre empleado y empresa.
• Geolocalización del fichaje: verificación de que el fichaje se realiza desde una ubicación autorizada. Base: interés legítimo del empleador (art. 90 LOPDGDD), debidamente informado al empleado.
• Seguridad y prevención de fraude: registro de IP, user-agent y device-id, detección de intentos de acceso anómalos, rate-limiting. Base: interés legítimo.
• Facturación y pagos: gestión de la suscripción al servicio. Base: ejecución del contrato y obligaciones fiscales.
• Comunicaciones de marketing: solo si el usuario ha dado consentimiento explícito (p. ej. inscribiéndose a un webinar marcando la casilla específica). Base: consentimiento, revocable en cualquier momento.

4. Plazos de conservación

• Registros de jornada: 4 años desde su generación (art. 34.9 ET y normativa local equivalente).
• Datos de empleados: durante la vigencia de la relación laboral. Tras su finalización, se conservan bloqueados durante los plazos legales de prescripción de obligaciones laborales y fiscales.
• Logs de acceso y auditoría: 12 meses.
• Datos fiscales y facturación: según la normativa fiscal aplicable a la empresa empleadora (en España, mínimo 4-6 años).
• Listas de inscripción a webinars / contactos: hasta que el suscriptor solicite la baja o ejerza su derecho de supresión.

5. Encargados y subencargados del tratamiento

Para prestar el servicio nos apoyamos en los siguientes proveedores. Todos cuentan con acuerdos de tratamiento de datos (DPA) o cláusulas contractuales tipo (SCC) cuando hay transferencia internacional.

• Google Cloud Platform: alojamiento de la aplicación y la base de datos (servidor situado en la UE). Empresa: Google Cloud EMEA Limited.
• Resend: envío de emails transaccionales (verificaciones, notificaciones, informes). Datos transferidos: nombre, email y contenido del mensaje. Empresa: Resend, Inc. (EE. UU.) — SCC firmadas.
• Zoho Mail (EU): buzón de correo entrante hola@prikk.app. Servidores en la UE. Empresa: Zoho Corporation B.V.
• LemonSqueezy: procesamiento de pagos y gestión de suscripciones. Datos transferidos: nombre, email, datos de facturación. Empresa: LemonSqueezy LLC (EE. UU.) — PCI-DSS y SCC.
• ip-api.com: detección del país de origen por IP en el momento del registro y del checkout, para mostrar la divisa correcta. Datos: IP en el momento de la petición. Empresa: linux.net Inc.
• OpenStreetMap / Nominatim: geocodificación inversa de coordenadas a ciudad/provincia/país, sin almacenamiento por su parte. Servidores en la UE.
• Google Fonts: tipografías web. Al cargar la fuente, el navegador del usuario contacta con servidores de Google y le transfiere su IP. Empresa: Google Ireland Limited.

6. Transferencias internacionales

Algunos de los proveedores anteriores están localizados fuera del Espacio Económico Europeo (EE. UU.). En esos casos las transferencias se amparan en las cláusulas contractuales tipo aprobadas por la Comisión Europea o, cuando aplica, en el marco UE-EE. UU. de Privacidad de los Datos. La lista completa de proveedores y mecanismos de transferencia se mantiene actualizada en este documento.

7. Tus derechos

Como titular de los datos puedes ejercer los siguientes derechos en cualquier momento:

• Acceso: a saber qué datos tuyos tratamos.
• Rectificación: a corregir datos inexactos o incompletos.
• Supresión: a que se borren tus datos cuando ya no sean necesarios o hayas retirado el consentimiento.
• Limitación: a restringir el tratamiento mientras se verifica una reclamación.
• Portabilidad: a recibir tus datos en formato estructurado y legible (te lo entregamos en CSV/JSON).
• Oposición: al tratamiento basado en interés legítimo o marketing directo.
• Retirada del consentimiento: cuando el tratamiento se base en él, sin efectos retroactivos.

8. Cómo ejercer tus derechos

Si trabajas como empleado en una empresa que utiliza Prikk.app, dirige tu solicitud primero a tu empresa empleadora (responsable del tratamiento). Si es esta quien no responde o si tu solicitud se refiere a la propia plataforma Prikk.app, escríbenos a hola@prikk.app con asunto "Derechos RGPD" y, en la medida de lo posible, identificándote con un dato verificable (email registrado, etc.).

Responderemos tu solicitud en el plazo máximo de un mes. Si consideras que el tratamiento no es conforme al RGPD, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es) o ante la autoridad de control de tu país de residencia.

9. Geolocalización y dispositivo

La geolocalización GPS se captura exclusivamente en el instante del fichaje: la app no realiza seguimiento de ubicación en segundo plano ni fuera del horario laboral. La activación es decisión de la empresa empleadora; un empleado puede tener este requisito desactivado individualmente.

El "device-lock" (vincular un único dispositivo a la cuenta del empleado) es opcional. Cuando está activo, el empleado solo puede fichar desde el dispositivo registrado al primer login; si quiere cambiar de dispositivo debe contactar con su admin para desbloquearlo. Esto previene que un empleado pueda compartir credenciales y fichar a distancia.

10. Decisiones automatizadas

Prikk.app no toma decisiones automatizadas con efectos jurídicos significativos sobre los empleados. Los cálculos de horas, retrasos, faltas y vacaciones son herramientas de información para el empleador, que es quien interpreta y decide las consecuencias laborales aplicables.

11. Seguridad

• Cifrado en tránsito: todo el tráfico es HTTPS con certificados Let's Encrypt y HSTS activado.
• Contraseñas: almacenadas como hash bcrypt con factor de coste 10. Nunca se guardan en claro y no son recuperables; solo se pueden resetear.
• Sesiones: tokens JWT firmados con secreto rotable, expiración configurable y revocación inmediata al editar al empleado.
• Aislamiento: cada empresa solo accede a sus propios datos. Los superadmin solo intervienen para soporte técnico y dejan rastro en el log de auditoría.
• Copias de seguridad: backups periódicos de la base de datos en almacenamiento cifrado.

12. Menores

El servicio está dirigido a empresas y personas en edad laboral. No tratamos conscientemente datos de menores de 14 años. Si detectamos un alta indebida, procedemos a su supresión.

13. Modificaciones de esta política

Podemos actualizar esta política cuando cambien nuestros tratamientos o la normativa aplicable. La fecha de "última actualización" en la cabecera refleja la versión vigente. Si los cambios son sustanciales, lo comunicaremos por email a las cuentas administradoras antes de que entren en vigor.

14. Contacto

Para cualquier consulta sobre privacidad o el ejercicio de tus derechos, escríbenos a hola@prikk.app.