Cumplimiento normativo

Cumplimiento RGPD

Última actualización: abril de 2026

ASIST·IA ha sido diseñada desde cero con un enfoque de Privacy by Design y Privacy by Default, conforme al Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD-GDD).

🔐

Cifrado TLS en tránsito

Toda la comunicación entre cliente y servidor viaja cifrada con TLS 1.2+. Sin datos en claro.

🔑

Autenticación JWT

Tokens firmados con caducidad. Acceso basado en roles (empleado, RRHH, gerencia). Sin contraseñas genéricas.

🏢

Aislamiento multi-tenant

Cada empresa opera en un espacio lógico completamente aislado. Imposible acceder a datos de otro cliente.

📦

Servidores en la UE

Los datos se almacenan exclusivamente en infraestructura ubicada dentro del Espacio Económico Europeo.

🗑️

Derecho al olvido

Proceso de eliminación completa y verificable de todos los datos de un usuario o empresa a petición.

📋

Registro de actividad

Logs de auditoría de todos los accesos y operaciones sobre datos personales. Trazabilidad completa.

1. Roles en el tratamiento de datos

En el contexto del RGPD, la relación entre ASIST·IA y sus clientes empresariales se estructura de la siguiente forma:

Responsable del tratamiento: la empresa cliente que contrata ASIST·IA y determina los fines y medios del tratamiento de los datos de sus empleados.
Encargado del tratamiento: ASIST·IA (Luis Villegas Cebrián), que trata los datos en nombre y por cuenta de la empresa cliente, conforme a las instrucciones recibidas.
Interesados: los empleados cuyos datos de fichaje y asistencia son registrados en la plataforma.

Se formaliza un Contrato de Encargo del Tratamiento (DPA) con cada cliente empresarial, tal como exige el artículo 28 del RGPD.

2. Datos personales tratados en la plataforma

ASIST·IA trata únicamente los datos estrictamente necesarios para la gestión del control horario:

Nombre completo y número de identificación (DNI/NIE) del empleado
Registros de entrada y salida con marca de tiempo (timestamp)
Coordenadas GPS en el momento del fichaje (solo para validación, no seguimiento continuo)
Solicitudes de vacaciones, permisos y ausencias
Datos de contacto del responsable de RRHH de la empresa cliente

No se tratan categorías especiales de datos (datos de salud, biométricos, sindicales, etc.) salvo las bajas médicas, que se gestionan como documentos adjuntos sin procesamiento automático de su contenido.

3. Base jurídica del tratamiento

Obligación legal (art. 6.1.c RGPD): el registro diario de jornada es obligatorio en España conforme al Real Decreto-ley 8/2019 y el Estatuto de los Trabajadores.
Ejecución de contrato (art. 6.1.b RGPD): el tratamiento es necesario para la prestación del servicio contratado entre la empresa y sus empleados.
Interés legítimo (art. 6.1.f RGPD): para el mantenimiento técnico, la seguridad y la prevención del fraude en el sistema.

4. Medidas técnicas y organizativas

ASIST·IA implementa las siguientes medidas de seguridad conforme al artículo 32 del RGPD:

Cifrado TLS 1.2+ en tránsito Autenticación JWT con expiración Control de acceso por roles (RBAC) Aislamiento multi-tenant por base de datos Copias de seguridad cifradas Logs de auditoría inmutables Infraestructura en la UE Actualizaciones de seguridad periódicas Privacy by Design y by Default Minimización de datos

5. Transferencias internacionales de datos

ASIST·IA no realiza transferencias de datos personales fuera del Espacio Económico Europeo (EEE). Todos los datos se almacenan y procesan en servidores ubicados dentro de la UE. En caso de utilizar proveedores de servicios de infraestructura (hosting, backups), se verifica que operan bajo las garantías adecuadas del RGPD.

La única excepción es el uso de Google Fonts para la tipografía del sitio web de captación (no de la aplicación), lo que puede implicar la transmisión de la IP del visitante a Google LLC. Esto se detalla en la Política de Cookies.

6. Plazos de conservación

Registros de fichaje: mínimo 4 años, conforme a la Ley sobre Infracciones y Sanciones en el Orden Social (LISOS) y la normativa de Inspección de Trabajo.
Documentos de solicitudes (vacaciones, permisos): 5 años desde la extinción de la relación laboral.
Logs de acceso y auditoría: 2 años para fines de seguridad.
Tras la extinción del contrato con la empresa cliente, los datos se conservan 30 días para permitir la exportación y se eliminan definitivamente transcurrido ese plazo, salvo obligación legal en contrario.

7. Derechos de los interesados

Los empleados cuyos datos se tratan en ASIST·IA pueden ejercer sus derechos RGPD directamente ante la empresa para la que trabajan (responsable del tratamiento). ASIST·IA, como encargada del tratamiento, colaborará con el responsable para atender estas solicitudes en los plazos legales.

Para consultas directas sobre privacidad: asistia.web@outlook.com

También puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es

8. Notificación de brechas de seguridad

En caso de detectarse una brecha de seguridad que afecte a datos personales, ASIST·IA se compromete a:

Notificar a la empresa cliente afectada en un plazo máximo de 72 horas desde su detección, conforme al art. 33 del RGPD.
Proporcionar información detallada sobre la naturaleza de la brecha, los datos afectados y las medidas correctoras adoptadas.
Cooperar con la empresa cliente en la notificación a la AEPD si procede.

9. Documentación adicional

Para más información sobre el tratamiento de datos en ASIST·IA, consulta:

Política de Privacidad — tratamiento de datos del sitio web de captación
Política de Cookies — uso de cookies en el sitio web
Aviso Legal — condiciones de uso y datos del titular