Política de Privacidad

Conforme al Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD).

1. Responsable del tratamiento

  • Razón social: Talavora SL (en adelante "Talavora")
  • NIF: [B-XXXXXXXX]
  • Domicilio fiscal: [Dirección completa]
  • Email DPO / RGPD: rgpd@talavora.com
  • Email contacto: admin@talavora.com

2. Datos que recogemos

Recogemos los siguientes datos cuando interactúas con el servicio:

  • Alta de cuenta: nombre, apellidos, email, empresa, NIF, teléfono opcional, DNI.
  • Uso de la app: registros de fichaje (entrada, salida, pausas), geolocalización en el momento exacto del fichaje, IP, tipo de dispositivo, navegador.
  • Pagos: datos de facturación. Los datos de tarjeta los procesa Stripe; Talavora no almacena números completos de tarjeta.
  • Comunicaciones: mensajes que nos envías por formulario o email de soporte.

3. Bases legales del tratamiento

  • Ejecución del contrato (art. 6.1.b RGPD): prestación del servicio (fichaje, gestión de horarios, ausencias, nóminas, informes).
  • Obligación legal (art. 6.1.c RGPD): conservación de registros horarios 4 años (art. 34.9 ET y RD-ley 8/2019); facturación 5 años (Ley General Tributaria).
  • Interés legítimo (art. 6.1.f RGPD): seguridad de la plataforma, prevención de fraude y mejora del servicio.
  • Consentimiento (art. 6.1.a RGPD): comunicaciones comerciales y cookies no esenciales. Revocable en cualquier momento.

4. Finalidades

  • Prestar el servicio de control horario y gestión de equipos.
  • Cumplir las obligaciones legales de registro horario.
  • Gestionar pagos y facturación.
  • Atención al cliente y soporte técnico.
  • Mejora del servicio mediante analítica agregada.
  • Envío de comunicaciones técnicas y, con tu consentimiento, comerciales.

5. Destinatarios y encargados del tratamiento

Tus datos pueden compartirse con los siguientes encargados, con los que Talavora ha firmado contrato (DPA):

ProveedorFinalidadUbicación
Supabase (AWS Frankfurt)Base de datos + authUE (eu-west-1)
HostingerHosting web + SMTPUE
StripePasarela de pagoEE.UU. (Cláusulas Tipo)
Anthropic ClaudeIA matching nóminasEE.UU. (Cláusulas Tipo)
Twilio (opcional)WhatsApp BotEE.UU. (Cláusulas Tipo)

Las transferencias a EE.UU. se amparan en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.

6. Plazos de conservación

  • Datos de cuenta: mientras dure la relación contractual + 1 año.
  • Registros horarios y fichajes: 4 años (obligación legal — art. 34.9 ET).
  • Datos de facturación: 5 años (obligación fiscal).
  • Logs de seguridad: 12 meses.
  • Datos de marketing: hasta retirada del consentimiento.

7. Tus derechos (art. 15-22 RGPD)

  • Acceso, rectificación y supresión ("derecho al olvido").
  • Portabilidad (formato legible por máquina).
  • Oposición y limitación del tratamiento.
  • Retirada del consentimiento en cualquier momento.
  • No ser objeto de decisiones automatizadas.

Para ejercerlos, escríbenos a rgpd@talavora.com. Responderemos en máximo 30 días.

Si consideras que no hemos atendido correctamente tu petición, puedes reclamar ante la Agencia Española de Protección de Datos (AEPD).

8. Medidas de seguridad

  • Cifrado en tránsito (TLS 1.3) y en reposo (AES-256).
  • Control de acceso por roles (MASTER / ADMIN / SUBADMIN / EMPLEADO).
  • Audit log inmutable de cambios sensibles.
  • Backups diarios cifrados, retención 30 días.
  • Monitorización 24/7 de incidentes.

8 bis. Cómo ejerces tus derechos en la app

  • Acceso y portabilidad: en /perfil tienes el botón "Descargar mis datos (JSON)" que genera al instante un fichero con todos tus fichajes, ausencias, nóminas, gastos, documentos y avisos.
  • Rectificación: el admin de tu empresa puede corregir tus datos personales desde el panel de equipo. También puedes solicitar correcciones de fichajes incorrectos en /fichaje-manual.
  • Supresión: los registros horarios deben conservarse 4 años por ley. Pasado ese plazo se eliminan o anonimizan automáticamente. Para datos no sujetos a obligación legal escribe a rgpd@talavora.com.
  • Notificaciones: puedes activar/desactivar las push notifications en tu perfil en cualquier momento.

9. Geolocalización de trabajadores

La geolocalización del trabajador solo se registra en el momento exacto del fichaje, nunca de forma continua.

  • Base legal: art. 34.9 ET y Directrices AEPD 2019 sobre control horario.
  • Talavora actúa como Encargado del Tratamiento; la empresa cliente es la Responsable.
  • La empresa cliente debe informar por escrito a sus trabajadores antes de activar el geofence (cláusula tipo disponible en /dpa).
  • El trabajador puede ver en su perfil cada fichaje geolocalizado y reclamar si detecta error.

9 bis. Foto opcional al fichar (anti-fraude)

Si la empresa cliente activa la opción foto_fichaje, al pulsar Entrada/Salida la app captura una foto del trabajador.

  • NO es biometría: Talavora no extrae rasgos faciales ni los compara automáticamente. La foto sirve solo como prueba ante una posible reclamación de fraude.
  • Almacenamiento: bucket privado fichajes-fotos, accesible solo por admins de la empresa con URL firmada (60s).
  • Conservación: 4 años (mismo plazo que el registro horario al que pertenece).
  • Consentimiento: la empresa debe informar previamente por escrito al trabajador. Se puede desactivar en cualquier momento desde el panel master.
  • Acceso del trabajador: puede ver sus propias fotos desde "Descargar mis datos" en su perfil.

10. Rol de Talavora como Encargado del Tratamiento

Cuando una empresa contrata Talavora para gestionar sus trabajadores, la empresa cliente es la Responsable del tratamiento y Talavora actúa como Encargado. Talavora trata los datos personales únicamente bajo las instrucciones del Responsable. Las condiciones completas figuran en el Contrato de Encargo de Tratamiento (DPA).

11. Cambios en esta política

Te notificaremos por email cualquier cambio sustancial con 30 días de antelación. Versiones anteriores disponibles bajo petición.

Última actualización: mayo 2026 · Versión 2.0