Política de Privacidad de Fichio (HCE – Control Horario)
Este documento describe el tratamiento de datos personales llevado a cabo por Saraworld Informatica SLU (en adelante, “Saraworld” o “Fichio”) cuando los empleados de las empresas clientes realizan fichajes mediante credenciales móviles sin contacto (Host Card Emulation – HCE) para control horario/“time & attendance”. No se realizan pagos ni operaciones financieras.
1. Roles y datos de contacto
Modelo B2B: En la prestación habitual, la empresa cliente actúa como Responsable del tratamiento respecto de los datos de sus empleados; Saraworld actúa como Encargado del tratamiento (proveedor del servicio Fichio).
Encargado: Saraworld Informatica SLU (CIF B84503861). Dirección: Direccion Aguacate 41, Edif. A2, Piso 4 Local 6. Correo: info@fichio.com.
2. Ámbito de aplicación
Aplica al uso de Fichio para fichaje de empleados en el Espacio Económico Europeo (EEE), incluyendo el uso de HCE en iOS (con HCE Entitlement) y Android.
3. Finalidades del tratamiento
- Registrar la jornada laboral (altas/bajas, entradas y salidas, incidencias).
- Generar evidencias de presencia asociadas a un terminal lector NFC compatible (PC/SC – ISO 14443-4).
- Auditoría de accesos y seguridad operativa (logs técnicos).
- Soporte y mantenimiento del servicio (diagnóstico de errores).
4. Base jurídica
El registro de jornada se realiza por obligación legal de la empresa empleadora y/o interés legítimo en la organización de recursos. Fichio actúa por cuenta del Responsable (empresa cliente) como Encargado.
5. Categorías de datos tratados
- Identificadores: ID de empleado/usuario, nombre y apellidos, email corporativo (si procede).
- Datos de fichaje: sello de tiempo, identificador del terminal/lector, resultado (permitido/denegado), motivo del denegado, código de centro/ubicación del terminal si aplica.
- Datos técnicos del dispositivo: sistema operativo y versión de la app necesarios para soporte (no se recoge IMEI ni datos de telefonía).
- Logs técnicos: eventos de aplicación/servidor para fines de soporte y seguridad.
6. Plazos de conservación
Registros de jornada: hasta 4 años (España) o el plazo que determine la normativa aplicable del país dentro del EEE.
Logs técnicos: hasta 12 meses, salvo que sea necesario conservarlos por incidencias o requisitos legales.
7. Destinatarios y subencargados
Los datos se comparten con la empresa cliente (Responsable) y con proveedores de infraestructura necesarios para la prestación, ubicados en centros de datos dentro del EEE. En caso de involucrar a terceros adicionales, se firmará contrato de encargo de tratamiento y se limitará su acceso a lo estrictamente necesario.
8. Transferencias internacionales
No se realizan transferencias internacionales de datos fuera del EEE. Si en el futuro fueran necesarias, se aplicarían garantías adecuadas (cláusulas contractuales tipo u otras) y se informaría al Responsable.
9. Derechos de las personas
Los empleados pueden ejercer ante su empresa (Responsable) y/o a través de Saraworld, los derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad, enviando una solicitud a info@fichio.com. El plazo habitual de respuesta es de un mes.
10. Seguridad de la información
- Cifrado en tránsito (TLS 1.2 o superior) y cifrado en reposo cuando aplique.
- Autenticación multifactor (MFA) y control de acceso basado en roles (RBAC) para paneles administrativos.
- Registro y auditoría de accesos; segregación de entornos.
- Backups diarios con retención mínima de 30 días y pruebas de restauración periódicas.
- Proceso documentado de gestión de vulnerabilidades e incidentes; notificación diligente a clientes y, cuando proceda, a Apple.
11. Responsabilidad proactiva y cambios
Saraworld mantiene un registro de actividades de tratamiento y revisa periódicamente esta política. Notificaremos cualquier cambio relevante a las empresas clientes y actualizaremos esta política en el portal correspondiente.