Política de privacidad
La presente política de privacidad describe cómo Monto Bleu BV, propietaria y operadora de TimeTic, trata datos personales en el marco del servicio TimeTic de registro de horas. Ha sido redactada de conformidad con el Reglamento General de Protección de Datos (RGPD, Reglamento UE 2016/679) y la Ley belga de 30 de julio de 2018 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales.
1. ¿Quiénes somos?
Monto Bleu BV
Heidebergstraat 14, 3120 Tremelo, Bélgica
Número de registro empresarial (KBO) / IVA: BE 0543.842.970
Contacto de privacidad: privacy@timetic.app
Sitio web: https://timetic.app | Aplicación: https://app.timetic.app
En esta política nos denominamos a nosotros mismos «TimeTic», «nosotros» o «nuestro».
2. ¿A quién y a qué se aplica esta política?
Esta política es aplicable a:
- visitantes de timetic.app (incluido el formulario de contacto);
- clientes y administradores de cuenta de app.timetic.app (empleadores, gerentes, administradores);
- empleados que registran sus horas a través de TimeTic;
- socios que participan en nuestro programa de socios;
- prospectos y personas que se ponen en contacto con nosotros.
3. Nuestro papel en virtud del RGPD – ¿encargado o responsable del tratamiento?
Nuestro rol varía según el flujo de datos:
| Quién / qué | Nuestro papel | Responsable del tratamiento |
|---|---|---|
| Datos de empleados (horas, GPS, datos de cuenta del empleado) | Encargado del tratamiento | El empleador que utiliza TimeTic |
| Cuenta empresarial, administradores, facturación | Responsable del tratamiento | TimeTic |
| Cuentas de socios y pagos de comisiones | Responsable del tratamiento | TimeTic |
| Visitantes de timetic.app + formulario de contacto | Responsable del tratamiento | TimeTic |
Para los datos de empleados, el empleador actúa como responsable del tratamiento y TimeTic es mero encargado del tratamiento conforme al art. 28 RGPD. El empleador determina la finalidad («registrar las horas de conformidad con la obligación legal») y los medios («a través de TimeTic»). Las condiciones en que TimeTic trata dichos datos quedan establecidas en el Acuerdo de Encargo del Tratamiento del Anexo A del presente documento, que forma parte integrante de nuestro contrato de uso con cada cliente empresarial.
4. ¿Qué datos personales tratamos?
4.1 Empleados (TimeTic = encargado del tratamiento)
| Categoría | Datos | Momento de recogida |
|---|---|---|
| Identificación | Nombre, apellidos, sexo, fecha de nacimiento | Al añadir al empleado por parte del empleador |
| Contacto (opcional) | Dirección de correo electrónico | Solo si se desea acceso web |
| Autenticación | PIN personal (almacenado con hash criptográfico) | En la activación |
| Registro de horas | Marcas horarias de inicio, pausa y fin | En cada fichaje |
| Ubicación | Coordenadas GPS (véase §6) | En cada fichaje mediante la aplicación móvil |
| Auditoría | Fecha/hora de acceso, método utilizado (QR + PIN, tableta, web) | De forma continua |
El sexo y la fecha de nacimiento se solicitan para poder distinguir de forma inequívoca a los empleados con nombres idénticos o similares en los informes y exportaciones.
4.2 Titulares de cuenta empresarial y administradores (TimeTic = responsable del tratamiento)
- Nombre, dirección de correo electrónico, título profesional (opcional)
- Datos de la empresa (razón social, número de registro empresarial (KBO)/IVA, dirección)
- Credenciales de acceso (correo electrónico + autenticación con hash criptográfico)
- Datos de facturación y pago (tratados a través de Stripe)
- Comunicaciones con nuestro equipo de soporte
4.3 Socios
- Datos de la empresa (razón social, número de registro empresarial (KBO)/IVA, dirección)
- Persona de contacto (nombre, correo electrónico)
- Datos de pago para comisiones (tratados a través de Stripe Connect)
- Referencias asignadas y comisiones correspondientes
4.4 Visitantes de timetic.app (formulario de contacto)
- Nombre, dirección de correo electrónico, contenido del mensaje
- Posibles campos adicionales que usted cumplimente voluntariamente (teléfono, nombre de la empresa, etc.)
5. Finalidades y bases jurídicas
| Finalidad | Base jurídica | Responsable |
|---|---|---|
| Registro de horas e informes | Obligación legal (código penal social; registro del tiempo de trabajo) | Empleador |
| Control GPS en el fichaje | Interés legítimo del empleador (registro correcto del tiempo, empleados móviles); marco CCT n.° 81 | Empleador |
| Prestación del servicio TimeTic al empleador | Ejecución del contrato | TimeTic |
| Gestión de cuenta empresarial y facturación | Ejecución del contrato + obligación legal (ley de contabilidad) | TimeTic |
| Programa de socios y comisiones | Ejecución del contrato | TimeTic |
| Correo electrónico de marketing (boletín, actualizaciones de producto) | Consentimiento (opt-in en el momento de la suscripción) | TimeTic |
| Gestión del formulario de contacto | Interés legítimo / pasos precontractuales | TimeTic |
| Seguridad, detección de fraude y prevención de abusos | Interés legítimo | TimeTic |
El consentimiento para el marketing puede revocarse en cualquier momento a través del enlace de cancelación de suscripción incluido en cada correo electrónico o mediante privacy@timetic.app.
6. Datos de ubicación GPS – disposiciones especiales
Cuando un empleado ficha (inicio, pausa, fin) a través de la aplicación móvil, en ese momento se lee la ubicación GPS del dispositivo. Estos datos de ubicación:
- se leen únicamente en el momento del fichaje, no de forma continua;
- se almacenan junto con los informes de registro de horas del empleador;
- tienen una precisión de varios metros;
- solo son visibles para el empleador y los administradores designados por este.
Consentimiento a nivel de dispositivo: Los sistemas operativos (iOS / Android) solicitan al empleado permiso explícito para compartir la ubicación con la aplicación TimeTic. Sin dicho permiso, no es posible fichar a través de la aplicación móvil. Como alternativa, se puede fichar mediante un dispositivo compartido (tableta) en el lugar de trabajo con PIN personal, en la medida en que ello encaje en la organización del empleador.
Obligaciones del empleador: El empleador es responsable del cumplimiento de la normativa belga sobre vigilancia de los trabajadores, en particular la CCT n.° 81 y el principio de información previa y transparente a sus empleados. TimeTic únicamente pone a disposición el marco técnico; el empleador debe gestionar por su cuenta sus procedimientos internos, comunicación y posibles obligaciones de consulta.
Comparación con lugares de trabajo predefinidos: El empleador puede configurar en su cuenta uno o varios lugares de trabajo donde se espera que los empleados fichen. En cada fichaje, TimeTic compara las coordenadas GPS transmitidas con dichos lugares de trabajo y presenta el resultado al empleador mediante un código de color en los informes (por ejemplo, verde cuando el fichaje se produce dentro de la zona prevista, naranja o rojo en caso de desviación). TimeTic no bloquea automáticamente los fichajes en función de dicho control; el empleador decide por sí mismo cómo gestionar las desviaciones.
7. Plazos de conservación
| Dato | Plazo de conservación |
|---|---|
| Registros de horas (incluido GPS) | 5 años, obligación legal de conservación |
| Cuenta de empleado (datos básicos) | Mientras la cuenta esté activa en el empleador; posteriormente seudonimizada dentro del período de conservación de 5 años aplicable a los registros de horas |
| Dirección de correo electrónico de acceso web del empleado | Mientras la cuenta esté activa; el empleador decide cuándo la cierra |
| Cuenta empresarial (cliente) | Durante la vigencia del contrato + 7 años para los datos de facturación (ley de contabilidad) |
| Cuenta de socio | Durante la vigencia de la relación de socio + 7 años para los datos de pagos |
| Mensajes del formulario de contacto | Máximo 24 meses, salvo que haya surgido una relación con el cliente |
| Registros de acceso y seguridad | 12 meses |
| Copias de seguridad | Máximo 90 días, sobrescritas automáticamente a partir de ese momento |
| Consentimientos de marketing | Hasta la revocación del consentimiento; eliminados de la lista de correo de forma inmediata tras dicha revocación |
Baja por parte del empleador: Cuando un empleador da de baja su cuenta de TimeTic, entregamos el historial completo de registros de horas (hasta 5 años) de todos los empleados al administrador principal de la cuenta a través de un canal seguro. De este modo, el empleador cumple con su obligación legal de conservación. A continuación, eliminamos los datos activos de nuestro sistema de producción (teniendo en cuenta nuestro ciclo de copias de seguridad). Es responsabilidad del empleador gestionar de forma segura dichos datos tras la transferencia.
«Eliminación» por parte del administrador: Cuando un administrador elimina a un empleado dentro de la cuenta, la cuenta queda cerrada, pero los registros de horas (y los datos de identificación mínimos asociados a estos) se conservan mientras dure la obligación legal de conservación. La eliminación completa se produce una vez transcurrido dicho plazo.
8. ¿Con quién compartimos datos personales? (subencargados del tratamiento)
Solo compartimos datos personales con subencargados del tratamiento que aplican estándares de seguridad equivalentes o más estrictos que los nuestros, y exclusivamente para las finalidades indicadas a continuación.
| Subencargado del tratamiento | Finalidad | Ubicación |
|---|---|---|
| Supabase (Supabase Inc., a través de la región UE) | Base de datos y autenticación | UE |
| Resend (Resend Inc.) | Envío de correos electrónicos transaccionales (correos de bienvenida, magic links) | UE |
| Stripe Payments Europe Ltd. | Procesamiento de pagos y pagos a socios | Irlanda (UE); puede implicar transferencias internacionales limitadas para la prevención del fraude |
| Vercel Inc. | Alojamiento de app.timetic.app (frontend y API) | Región UE con cláusulas contractuales tipo (CCT) para soporte desde EE. UU. |
| Cloudflare Inc. | DNS, seguridad y protección contra bots (Turnstile) | Red edge global con CCT |
Nunca vendemos datos personales a terceros ni los utilizamos para publicidad o elaboración de perfiles.
9. Transferencias fuera del Espacio Económico Europeo
Nuestra infraestructura principal (base de datos, alojamiento, correo electrónico) está ubicada en la UE. Para algunos subencargados del tratamiento (Stripe, Vercel, Cloudflare), puede producirse en medida limitada un tratamiento de apoyo fuera del EEE. En tal caso, la transferencia se sustenta en las Cláusulas Contractuales Tipo (CCT) de la Comisión Europea, complementadas con medidas técnicas adecuadas (cifrado durante el transporte y en reposo).
10. Seguridad
Adoptamos las medidas técnicas y organizativas adecuadas para proteger los datos personales frente a pérdida, uso indebido o acceso no autorizado. Entre otras:
- Cifrado durante el transporte: todas las comunicaciones se realizan a través de TLS;
- Autenticación cifrada: los PIN y contraseñas se almacenan únicamente como hash criptográfico, nunca en texto legible;
- Control de acceso basado en el principio de «mínimo privilegio», con entornos separados para producción y pruebas;
- Registro de auditoría de las operaciones administrativas;
- Supervisión de actividad sospechosa y protección automática contra bots en los formularios de acceso y registro;
- Evaluación periódica y actualización de nuestras medidas de seguridad.
No se hacen públicos los detalles técnicos específicos para no crear superficie de ataque. ¿Sospecha de una brecha de seguridad o un uso indebido? Comuníquenoslo de inmediato en privacy@timetic.app.
11. Cookies
app.timetic.app utiliza actualmente únicamente cookies estrictamente necesarias y funcionales. En este momento no empleamos cookies de analítica, marketing ni seguimiento en la aplicación. Si en el futuro esto cambia (por ejemplo, para medir conversiones u optimizar nuestro sitio web), actualizaremos esta política y, cuando sea legalmente exigible, estableceremos previamente un mecanismo de consentimiento tal como se describe en el artículo 11.4.
11.1 Cookies estrictamente necesarias
| Nombre | Finalidad | Duración |
|---|---|---|
sb-…-auth-token |
Mantiene su sesión de Supabase para que permanezca conectado | 30 días |
sb-…-auth-token-code-verifier |
Verificador criptográfico para el inicio de sesión mediante magic link | Sesión (máx. 1 h) |
cf_* |
Protección de Cloudflare Turnstile contra bots en el inicio de sesión y el registro | Breve duración |
11.2 Cookies funcionales
| Nombre | Finalidad | Duración |
|---|---|---|
referral_code |
Recuerda a través de qué socio descubrió TimeTic, para la atribución de comisiones | 90 días |
referral_sig |
Firma criptográfica para proteger referral_code frente a manipulaciones |
90 días |
Las cookies propias son, en la medida de lo posible, Secure, HttpOnly y SameSite=Lax.
11.3 ¿Por qué no hay banner de consentimiento de cookies?
En virtud del art. 5(3) de la Directiva de privacidad electrónica (en Bélgica: art. 129 §2 de la Ley de Comunicaciones Electrónicas), el consentimiento no es necesario para las cookies estrictamente necesarias para el servicio expresamente solicitado por el usuario. Todas las cookies mencionadas anteriormente se acogen a dicha excepción.
11.4 Cookies futuras
Si en el futuro instaláramos cookies que sí requirieran consentimiento (por ejemplo, de analítica o medición de conversiones), implantaríamos previamente un banner de consentimiento de cookies y actualizaríamos esta política.
11.5 Gestión
Puede eliminar las cookies en cualquier momento desde la configuración de su navegador. Sin la cookie de sesión de Supabase, no podrá permanecer conectado y deberá iniciar sesión de nuevo.
12. Sus derechos
En virtud del RGPD, usted dispone de los siguientes derechos:
- Derecho de acceso a sus datos personales
- Derecho de rectificación de datos incorrectos
- Derecho de supresión («derecho al olvido»), salvo las obligaciones legales de conservación (véase §7)
- Derecho a la limitación del tratamiento
- Derecho a la portabilidad de sus datos
- Derecho de oposición al tratamiento basado en interés legítimo
- Derecho a retirar el consentimiento (para los tratamientos basados en el consentimiento)
- Derecho a no ser objeto de una decisión automatizada con efectos jurídicos: nosotros no tomamos ninguna de ese tipo
¿Cómo ejercer estos derechos?
- ¿Es usted empleado y desea ejercer sus derechos sobre datos de registro de horas o GPS? Diríjase en primer lugar a su empleador, que como responsable del tratamiento es el interlocutor principal. Nosotros asistimos a los empleadores en toda solicitud fundada.
- ¿Es usted cliente, socio o visitante? Escríbanos a privacy@timetic.app. Respondemos en un plazo de 30 días, conforme al art. 12 RGPD.
Reclamaciones
¿No está satisfecho con la manera en que gestionamos sus datos? Puede presentar una reclamación ante la Autoridad de Protección de Datos belga (APD):
Drukpersstraat 35, 1000 Bruselas, contact@apd-gba.be, www.gegevensbeschermingsautoriteit.be
13. Modificaciones de esta política
Podemos actualizar esta política, por ejemplo, ante cambios legislativos, nuevas funcionalidades o nuevos subencargados del tratamiento. La versión vigente estará siempre disponible en timetic.app (en cada versión lingüística disponible del sitio), con número de versión y fecha. Los cambios importantes se comunicarán proactivamente a nuestros clientes.
14. Contacto
Para cualquier consulta relacionada con la privacidad, el ejercicio de derechos, reclamaciones o notificación de brechas de seguridad: privacy@timetic.app. El correo electrónico es nuestro único canal para este fin; de este modo todo queda documentado y es rastreable.
15. Derecho aplicable y tribunal competente
La presente política de privacidad se rige por el derecho belga. En caso de litigio, serán exclusivamente competentes los tribunales del distrito de Lovaina, sin perjuicio del derecho de los consumidores a presentar una reclamación ante la autoridad supervisora competente o ante el tribunal de su lugar de domicilio cuando la ley así lo imponga de forma imperativa.
Anexo A – Acuerdo de Encargo del Tratamiento (DPA)
El presente Acuerdo de Encargo del Tratamiento (en adelante, «DPA») forma parte integrante del contrato entre Monto Bleu BV («Encargado del tratamiento») y el usuario empresarial de TimeTic («Responsable del tratamiento»), denominados conjuntamente las «Partes».
A.1 Objeto
El Responsable del tratamiento encomienda al Encargado del tratamiento el tratamiento de datos personales en el marco de la prestación del servicio TimeTic de registro de horas de los empleados.
A.2 Naturaleza, duración y finalidad del tratamiento
- Naturaleza: almacenamiento, consulta, estructuración, exportación y supresión de los datos de registro de horas y de los datos de empleados correspondientes.
- Finalidad: el cumplimiento por parte del Responsable del tratamiento de las obligaciones legales relativas al registro del tiempo de trabajo y la gestión del tiempo de su personal.
- Duración: durante la vigencia del contrato entre las Partes, ampliada por las obligaciones legales de conservación que se deriven de él.
A.3 Categorías de interesados y datos
- Interesados: empleados, trabajadores autónomos y otras personas empleadas por el Responsable del tratamiento.
- Datos: tal como se describe en §4.1 de la política de privacidad (identificación, autenticación, registro de horas, GPS, registros de auditoría).
A.4 Obligaciones del Encargado del tratamiento
El Encargado del tratamiento:
- tratará los datos personales únicamente sobre la base de las instrucciones por escrito del Responsable del tratamiento, salvo obligación legal en contrario;
- garantizará que las personas con acceso a los datos personales estén sujetas a obligaciones de confidencialidad;
- adoptará las medidas técnicas y organizativas adecuadas conforme al art. 32 RGPD (véase §10 de la política de privacidad);
- recurrirá a subencargados del tratamiento únicamente con consentimiento general previo (véase §8 de la política de privacidad); el Responsable del tratamiento podrá oponerse a la incorporación de un nuevo subencargado en un plazo de 14 días desde la notificación;
- asistirá al Responsable del tratamiento en la atención de solicitudes de los interesados, brechas de seguridad de los datos (art. 33 RGPD) y evaluaciones de impacto relativas a la protección de datos (art. 35 RGPD);
- notificará una brecha de seguridad al Responsable del tratamiento en un plazo de 48 horas desde su conocimiento, con la información necesaria para que este pueda cumplir con su obligación de notificación a la APD;
- suprimirá o devolverá, a la finalización del contrato, todos los datos personales, salvo las obligaciones legales de conservación;
- pondrá a disposición del Responsable del tratamiento toda la información necesaria para demostrar el cumplimiento del art. 28 RGPD, y facilitará las auditorías con preaviso razonable y a cargo del Responsable del tratamiento.
A.5 Obligaciones del Responsable del tratamiento
El Responsable del tratamiento:
- se encargará por sí mismo de disponer de una base jurídica válida para el tratamiento;
- informará a sus empleados sobre el tratamiento conforme al art. 13 RGPD y la CCT n.° 81, en la medida en que sea aplicable;
- respetará los procedimientos de consulta con el comité de empresa o la representación sindical cuando la ley lo exija;
- utilizará TimeTic de conformidad con las condiciones de uso;
- será responsable del almacenamiento seguro de los datos exportados tras la finalización.
A.6 Subencargados del tratamiento
Se otorga consentimiento general para los subencargados del tratamiento indicados en §8 de la política de privacidad. El Encargado del tratamiento podrá modificar dicha lista con una notificación previa de al menos 14 días por correo electrónico o mediante notificación en la aplicación.
A.7 Transferencias fuera del EEE
Las transferencias fuera del EEE solo tienen lugar en las condiciones descritas en §9 de la política de privacidad (CCT y medidas técnicas complementarias).
A.8 Responsabilidad
La responsabilidad de las Partes en el marco de este DPA está sujeta a las limitaciones de responsabilidad del contrato principal, salvo las excepciones legales previstas en el art. 82 RGPD.
A.9 Derecho aplicable
El presente DPA se rige por el derecho belga. Los litigios son de competencia exclusiva de los tribunales de Lovaina.
Versión 1.0 – 6 de mayo de 2026 – Monto Bleu BV