Política de Privacidad
1. Responsable del tratamiento
- Titular: GRANITE DEVELOPMENT & SECURITY SLU (en adelante, "Timple" o "la Empresa")
- CIF: XXXXXXX
- Domicilio social: XXXXXXX
- Correo electrónico de contacto: privacidad@timple.io
- Contacto de privacidad: privacidad@timple.io
2. Qué datos personales tratamos
Timple trata las siguientes categorías de datos personales en función del tipo de usuario:
2.1. Usuarios de la web (visitantes)
- Datos de navegación: dirección IP, tipo de navegador, páginas visitadas, fecha y hora de acceso.
- Datos de cookies: según lo descrito en la Política de Cookies.
2.2. Usuarios registrados (administradores de empresa)
- Datos identificativos: nombre, apellidos, correo electrónico.
- Datos de acceso: credenciales de autenticación (contraseña almacenada de forma cifrada).
- Datos de la empresa: nombre, CIF/NIF, centros de trabajo, código cuenta cotización (CCC).
- Datos de uso: dirección IP, user-agent, registros de actividad en la plataforma.
2.3. Empleados gestionados por la empresa cliente
Estos datos son proporcionados y gestionados por la empresa cliente (responsable del tratamiento). Timple actúa como encargado del tratamiento conforme al art. 28 RGPD.
Procedencia de los datos (art. 14 RGPD): los datos de los empleados no son recogidos directamente por Timple, sino proporcionados por la empresa cliente en su condición de empleadora y responsable del tratamiento. Es responsabilidad de la empresa cliente informar a sus empleados del tratamiento de sus datos en Timple conforme a los artículos 13 y 14 del RGPD.
Categorías de datos tratados:
- Datos identificativos: nombre, apellidos, correo electrónico, número de identificación (DNI/NIE/pasaporte).
- Datos laborales: puesto de trabajo, fecha de alta, centro de trabajo, jornada laboral, días laborables, régimen de jornada (completa/parcial), modalidad de trabajo (presencial/remoto/híbrido).
- Datos de fichaje: hora de entrada, hora de salida, zona horaria, modalidad de trabajo, notas del fichaje.
- Datos de ausencias: tipo de ausencia, fechas, estado de aprobación. El motivo concreto de la ausencia está protegido y no es visible para los compañeros del empleado.
- Datos técnicos: dirección IP y user-agent del dispositivo utilizado para fichar.
3. Finalidades y bases jurídicas del tratamiento
| Finalidad | Base jurídica (Art. 6 RGPD) | Datos tratados |
|---|---|---|
| Prestación del servicio de control horario | Ejecución del contrato (art. 6.1.b) | Todos los datos de usuarios registrados y empleados |
| Gestión de la cuenta y facturación | Ejecución del contrato (art. 6.1.b) | Datos identificativos y de la empresa |
| Cumplimiento de obligaciones legales (registro de jornada art. 34.9 ET, conservación 4 años) | Obligación legal (art. 6.1.c) | Datos de fichaje y laborales |
| Registro de auditoría e integridad de los datos | Interés legítimo (art. 6.1.f) — garantizar la fiabilidad del registro de jornada | Datos de modificaciones, actor, IP, user-agent |
| Envío de notificaciones del servicio (alertas, recordatorios, cierres mensuales) | Ejecución del contrato (art. 6.1.b) | Correo electrónico del usuario |
| Comunicaciones comerciales | Consentimiento (art. 6.1.a) | Correo electrónico |
| Análisis de uso y mejora del servicio | Interés legítimo (art. 6.1.f) | Datos de navegación y uso anonimizados |
| Atención de consultas y soporte | Interés legítimo (art. 6.1.f) | Datos facilitados por el interesado |
4. Plazo de conservación
Los datos personales se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recogieron:
| Tipo de dato | Plazo de conservación |
|---|---|
| Datos de fichaje (registros de jornada) | 4 años desde su registro, conforme al art. 34.9 ET y al plazo de prescripción de infracciones laborales (LISOS) |
| Datos de cuenta y facturación | Duración de la relación contractual + 5 años (obligaciones mercantiles y fiscales) |
| Datos de empleados gestionados | Duración de la relación contractual con la empresa cliente. Tras la baja del empleado, los datos se conservan el plazo legalmente exigido |
| Datos de auditoría | Mismo plazo que los datos de fichaje a los que están asociados |
| Datos de navegación | 13 meses máximo |
| Comunicaciones comerciales | Hasta la retirada del consentimiento |
Transcurridos los plazos de conservación, los datos serán suprimidos o anonimizados de forma irreversible.
5. Destinatarios de los datos
Los datos personales podrán ser comunicados a los siguientes destinatarios:
5.1. Subencargados del tratamiento
Timple utiliza los siguientes proveedores para la prestación del servicio:
| Proveedor | Servicio | Ubicación | Garantías |
|---|---|---|---|
| Hetzner Online GmbH | Alojamiento de servidores (infraestructura) | Alemania (UE) | Sujeto a RGPD. Datos almacenados en la UE |
| Brevo (Sendinblue) | Envío de correos electrónicos transaccionales | Francia (UE) | Sujeto a RGPD. DPA firmado |
| Migadu | Correo electrónico corporativo | Suiza | Decisión de adecuación de la Comisión Europea |
| OVHcloud | Copias de seguridad (Litestream + snapshots diarios) | Francia (UE) | Sujeto a RGPD. Datos almacenados en la UE |
| Sentry GmbH (Functional Software, Inc.) | Monitorización de errores de la aplicación | Frankfurt, Alemania (UE — instancia regional EU) | DPA con SCC. Configuración sin PII (send_default_pii=false y filtrado adicional) |
5.2. Otras comunicaciones
Los datos personales podrán ser comunicados a:
- Administraciones públicas: cuando exista obligación legal (Inspección de Trabajo, Agencia Tributaria, autoridades judiciales).
- Empresa cliente: los datos de fichaje y laborales de los empleados son accesibles para los administradores de la empresa cliente, en su condición de responsable del tratamiento.
No se realizan cesiones de datos a terceros con fines comerciales.
6. Transferencias internacionales de datos
Los datos se alojan en servidores ubicados en la Unión Europea (Alemania). Únicamente se producen transferencias internacionales en los siguientes términos:
- Suiza: a través de Migadu, para el servicio de correo electrónico corporativo. Suiza dispone de decisión de adecuación de la Comisión Europea.
- Sentry: aunque la sociedad matriz tiene sede en EE. UU., el servicio se contrata sobre la instancia regional UE (Frankfurt), de modo que los datos residen físicamente en la Unión Europea. Para cubrir cualquier acceso técnico desde la matriz, se aplican las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea (Decisión 2021/914).
Todos los datos personales se almacenan dentro de la Unión Europea y Suiza. No se realizan transferencias de datos a países sin nivel de protección adecuado o sin las garantías apropiadas previstas en el artículo 46 del RGPD.
7. Derechos de los interesados
De acuerdo con el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), el Usuario puede ejercer los siguientes derechos:
- Acceso (art. 15 RGPD): conocer si se están tratando sus datos y obtener una copia de los mismos.
- Rectificación (art. 16 RGPD): solicitar la corrección de datos inexactos o incompletos.
- Supresión (art. 17 RGPD): solicitar la eliminación de sus datos cuando ya no sean necesarios para la finalidad para la que fueron recogidos, entre otros supuestos.
- Limitación del tratamiento (art. 18 RGPD): solicitar la limitación del tratamiento en determinadas circunstancias.
- Portabilidad (art. 20 RGPD): recibir sus datos en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable.
- Oposición (art. 21 RGPD): oponerse al tratamiento de sus datos en determinadas circunstancias, incluido el tratamiento con fines de marketing directo.
- Retirada del consentimiento: retirar el consentimiento prestado en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
Cómo ejercer sus derechos
Puede ejercer sus derechos dirigiéndose a privacidad@timple.io, indicando:
- Nombre y apellidos del solicitante.
- Copia de documento de identidad (DNI/NIE/pasaporte).
- Derecho que desea ejercer.
- Dirección de correo electrónico asociada a su cuenta.
La solicitud será atendida en el plazo máximo de un mes desde su recepción. En caso de solicitudes complejas o numerosas, dicho plazo podrá ampliarse dos meses adicionales, informando al interesado.
Reclamación ante la autoridad de control
Si considera que el tratamiento de sus datos vulnera la normativa de protección de datos, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): https://www.aepd.es.
8. Medidas de seguridad
Timple aplica medidas técnicas y organizativas adecuadas para proteger los datos personales contra el acceso no autorizado, la alteración, la divulgación o la destrucción accidental o ilícita, incluyendo:
- Cifrado de contraseñas mediante algoritmos de hash seguros.
- Comunicaciones cifradas mediante HTTPS/TLS.
- Control de acceso basado en roles (propietario, administrador, empleado).
- Registro de auditoría inmutable de todas las modificaciones sobre datos de fichaje (actor, fecha, IP, cambios realizados).
- Acceso a servidores restringido mediante VPN privada y autenticación por clave pública (sin acceso por contraseña).
- Actualizaciones automáticas de seguridad en el servidor.
- Copias de seguridad periódicas.
- Minimización de datos: cada empleado solo accede a sus propios registros; los motivos de ausencia de compañeros no son visibles.
9. Decisiones automatizadas
Timple no realiza decisiones automatizadas ni elaboración de perfiles que produzcan efectos jurídicos sobre los interesados o les afecten significativamente de modo similar. Los cálculos de horas, balances y horas extraordinarias son orientativos y requieren la supervisión del administrador de la empresa.
10. Datos de menores
La contratación del servicio Timple requiere ser mayor de 18 años o tener capacidad legal para contratar en nombre de una empresa. Los empleados gestionados en la plataforma pueden ser mayores de 16 años, edad mínima legal para trabajar en España (art. 6 ET). No recogemos intencionadamente datos de menores de 16 años. Si tenemos conocimiento de que se han proporcionado datos de un menor de 16 años sin la base jurídica adecuada, procederemos a su supresión inmediata.
11. Modificaciones de la política
La Empresa se reserva el derecho de modificar la presente Política de Privacidad en cualquier momento. Cualquier cambio sustancial será notificado a los usuarios registrados a través de la plataforma o por correo electrónico. La versión vigente estará siempre disponible en https://timple.io/privacidad.
Última actualización: mayo de 2026 (incorporación de Sentry como subencargado)