Política de privacidad

Última actualización: 28 de febrero de 2026

Labora (“Labora” o la “Plataforma”) es una aplicación web SaaS B2B para la gestión de control horario y fichaje de empleados.

Esta Política de Privacidad describe cómo se tratan los datos personales cuando:

• una empresa/usuario se registra y utiliza Labora, y/o
• se gestionan datos de empleados (incluyendo registros de fichaje) dentro de la Plataforma.

Documentos relacionados: consulta también el Aviso Legal / Términos y Condiciones y la Política de Cookies disponibles en el sitio web.

1. Identidad del Responsable del tratamiento

• Titular / Responsable del tratamiento: Juan Antonio Seco Merchán
• NIF: 53345220D
• Domicilio: Calle Caño Ronco 123, Camas, Sevilla, 41900
• Email de contacto: hola@getlabora.com
• URL del sitio: www.getlabora.com

2. Roles RGPD: Responsable vs. Encargado

En Labora existen dos contextos de tratamiento. A efectos del RGPD, se entiende por Responsable del tratamiento quien determina los fines y medios del tratamiento, y por Encargado del tratamiento quien trata datos personales por cuenta del Responsable (RGPD, art. 4.7 y 4.8).

2.1. Labora como Responsable del tratamiento

Labora actúa como Responsable respecto de los datos de la persona usuaria/empresa que contrata y administra el servicio (por ejemplo: datos de cuenta, contacto, facturación si aplica, configuración del servicio, comunicaciones operativas y soporte).

2.2. Labora como Encargado del tratamiento

Cuando la empresa cliente introduce y gestiona datos de sus empleados (incluyendo fichajes, incidencias, ausencias, turnos, etc.), la empresa cliente actúa como Responsable del tratamiento y Labora actúa como Encargado, tratando dichos datos por cuenta de la empresa y siguiendo sus instrucciones documentadas, en los términos exigidos por el RGPD (art. 28).

La relación Responsable–Encargado se regula mediante un Acuerdo de Encargo del Tratamiento (DPA), disponible en: www.getlabora.com/dpa/v1 - DPA v1 - 28 de febrero de 2026.

Referencias normativas y guías:

• Texto oficial RGPD (BOE/DOUE): https://www.boe.es/buscar/doc.php?id=DOUE-L-2016-80807
• RGPD (PDF DOUE en BOE): https://www.boe.es/doue/2016/119/L00001-00088.pdf
• AEPD — Responsable y Encargado del tratamiento (FAQ): https://www.aepd.es/preguntas-frecuentes/2-tus-obligaciones-como-responsable-del-tratamiento/8-responsable-y-encargado-del-tratamiento
• EDPB — Directrices 07/2020 (Responsable y Encargado): https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_es.pdf

3. Datos personales que tratamos

3.1. Datos del propietario/usuario que registra la empresa

• Nombre y apellidos
• NIF/DNI
• Dirección de email

3.2. Datos de la empresa

• CIF
• Nombre comercial y razón social
• Dirección completa (calle, código postal, ciudad, país)
• Email corporativo

3.3. Datos de los empleados gestionados (tratados por Responsable)

• NIF/DNI
• Nombre completo
• Dirección de email
• Teléfono (opcional)
• Tipo de contrato (indefinido, temporal, etc.)
• Fechas de inicio y fin de contrato
• Tipo de jornada (completa/parcial)
• Horas de trabajo (diarias, ordinarias, complementarias)
• Estado activo/inactivo

3.4. Datos de actividad laboral (tratados por Responsable)

• Registros de fichaje (check-in/check-out con marca temporal)
• Resúmenes de turnos con desglose de horas (ordinarias, extras, compensación)
• Asignaciones a turnos de trabajo
• Incidencias laborales (fecha, descripción, resolución)
• Solicitudes de ausencia (vacaciones, baja médica, personal, otras) con estado de aprobación
• Informes generados (p. ej., exportación / generación de PDF de registros)

3.5. Datos técnicos

• Tokens de sesión (JWT)
• Tokens de verificación de email
• Dirección de email almacenada temporalmente en sessionStorage durante el proceso de verificación
• Cookies técnicas estrictamente necesarias (ver Política de Cookies)

Nota: Labora no utiliza cookies de analítica, publicidad o tracking.

4. Origen de los datos

• Datos de cuenta y empresa: facilitados por el usuario/empresa al registrarse y configurar Labora.
• Datos de empleados y actividad laboral: facilitados y gestionados por la empresa cliente (Responsable del tratamiento) al utilizar Labora.
• Datos técnicos: generados por el funcionamiento de la Plataforma (autenticación, seguridad, persistencia de sesión).

5. Finalidades del tratamiento

5.1. Prestación del servicio (operativa SaaS)

• Crear y administrar cuentas de empresa.
• Autenticar usuarios mediante magic link (sin contraseñas).
• Permitir la gestión de empleados, turnos, ausencias, incidencias y registros de fichaje.
• Generar informes y documentos (p. ej. PDF de registros horarios).

5.2. Cumplimiento de obligaciones legales (ámbito laboral)

• Facilitar el registro horario y la conservación de la información conforme a la normativa aplicable.

5.3. Seguridad de la Plataforma

• Prevención del fraude, accesos no autorizados y uso indebido.
• Medidas de protección (CSRF, sesión, control de acceso por roles, aislamiento multi-tenant).

5.4. Comunicaciones operativas

• Envío de emails transaccionales: enlaces de acceso (magic link), verificación de email, emails de bienvenida, avisos de servicio estrictamente necesarios.

5.5. Comunicaciones comerciales (solo si se habilitan)

• En caso de habilitarse comunicaciones comerciales, se informará y recabará el consentimiento cuando corresponda.
  Actualmente: no hay marketing.

6. Bases jurídicas (art. 6 RGPD)

Según el tipo de tratamiento:

6.1. Ejecución de un contrato (art. 6.1.b RGPD)

• Registro y gestión de la cuenta, autenticación, prestación del servicio y soporte.

6.2. Cumplimiento de una obligación legal (art. 6.1.c RGPD)

• Tratamientos necesarios para cumplir obligaciones legales aplicables al registro horario y conservación asociada (para la empresa cliente como Responsable; Labora como Encargado ejecuta el tratamiento por su cuenta).

6.3. Interés legítimo (art. 6.1.f RGPD)

• Seguridad de la Plataforma, prevención de fraude, mantenimiento de la integridad y disponibilidad del servicio.

6.4. Consentimiento (art. 6.1.a RGPD)

• Únicamente si se implementan tratamientos que lo requieran (por ejemplo, comunicaciones comerciales no solicitadas expresamente).

7. Destinatarios, encargados y subencargados

7.1. Accesos dentro de Labora

El acceso a los datos dentro de cada empresa se controla por roles:

• ADMIN: acceso total a la empresa y empleados.
• MANAGER: gestión de empleados, aprobación de ausencias, resolución de incidencias.
• USER: acceso únicamente a sus propios datos (fichaje, incidencias, ausencias).

7.2. Proveedores (Encargados / Subencargados)

Labora utiliza proveedores para prestar el servicio:

1. Resend (emails transaccionales)

   • Datos: dirección de email del destinatario y contenido del email.
   • Finalidad: envío de magic links y emails operativos.

2. Base de datos PostgreSQL

   • Proveedor/hosting de la base de datos: Neon, LLC
   • Ubicación: Frankfurt, Alemania

3. Hosting de la aplicación

   • Proveedor: Vercel Inc.
   • Ubicación de servidores: París, Francia

4. Google Fonts (fuente “Zain”)

   • Configuración: se sirve en remoto

Labora mantiene acuerdos con sus proveedores para asegurar garantías adecuadas en protección de datos.

8. Transferencias internacionales

Algunos proveedores pueden estar ubicados fuera del Espacio Económico Europeo (EEE) o realizar accesos desde terceros países. En tal caso:

• se aplicarán mecanismos válidos (p. ej., Cláusulas Contractuales Tipo u otros instrumentos reconocidos), y
• se adoptarán medidas complementarias cuando proceda.

9. Plazos de conservación

9.1. Registros de fichaje (control horario)

• Conservación mínima: 4 años (obligación legal aplicable al registro horario).

9.2. Datos de empresa y empleados

• Mientras la relación contractual esté activa y, posteriormente, durante los plazos necesarios para:
  • atender responsabilidades legales,
  • gestionar reclamaciones,
  • cumplir obligaciones de conservación aplicables.

9.3. Tokens y datos técnicos

• Tokens de sesión (JWT): durante la sesión activa y/o conforme a la configuración de expiración.
• Tokens de verificación de email: durante el tiempo estrictamente necesario para completar la verificación.
• sessionStorage: almacenamiento local temporal en el navegador hasta cierre de sesión, finalización del flujo o limpieza por el usuario/navegador.

10. Derechos de las personas interesadas

Cuando Labora actúe como Responsable, puedes ejercer:

• Acceso
• Rectificación
• Supresión
• Oposición
• Limitación del tratamiento
• Portabilidad
• A no ser objeto de decisiones automatizadas (cuando aplique)

Cómo ejercerlos: envía una solicitud a hola@getlabora.com indicando:

• derecho que deseas ejercitar,
• tus datos identificativos,
• y, si procede, información que ayude a localizar los datos.

10.1. Datos de empleados (empresa cliente como Responsable)

Si eres empleado y tus datos se tratan en Labora por cuenta de tu empresa, debes ejercer tus derechos principalmente ante tu empresa (Responsable). Labora, como Encargado, asistirá a la empresa para atender las solicitudes conforme al DPA.

11. Derecho a reclamar ante la AEPD

Si consideras que el tratamiento no se ajusta a la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): https://www.aepd.es

12. Medidas de seguridad

Labora aplica medidas técnicas y organizativas razonables para proteger los datos, tales como:

• control de acceso por roles (ADMIN/MANAGER/USER),
• aislamiento de datos por empresa (multi-tenancy) evitando cruces entre tenants,
• cifrado en tránsito (HTTPS/TLS),
• cookies de sesión httpOnly y mecanismos anti-CSRF en el flujo de autenticación,
• minimización de datos y restricciones de acceso interno,
• copias de seguridad y medidas de disponibilidad (según configuración del proveedor).

Ninguna medida es infalible; por ello Labora mantiene un enfoque de mejora continua.

13. Modo Kiosk (fichaje presencial)

Labora incluye un modo kiosko para fichaje presencial mediante:

• NIF del empleado + PIN de la empresa.

Consideraciones:

• La empresa cliente es responsable de definir las reglas de uso (ubicación del dispositivo, control de accesos físicos, políticas internas).
• Labora registra las marcas temporales de check-in/check-out asociadas al empleado correspondiente.
• Se recomienda que el dispositivo kiosko esté bajo supervisión y con medidas para evitar accesos indebidos.

14. Tratamiento de datos de menores

Labora es un servicio B2B orientado a empresas y no está diseñado para el uso por menores como usuarios de administración.
Si el tratamiento se basara en consentimiento en contextos con menores, la empresa cliente deberá aplicar las reglas de edad aplicables y recabar las autorizaciones correspondientes cuando proceda.

15. Cambios en esta Política

Labora puede actualizar esta Política para reflejar cambios legales, técnicos o de funcionamiento. La fecha de última actualización se indica al inicio. Si los cambios fueran relevantes, se comunicarán por medios razonables.

16. Contacto

Para cualquier duda sobre privacidad y protección de datos:

• Email: hola@getlabora.com