Legal
Política de privacidad
Última actualización: 01/07/2026
1. Responsable del tratamiento
El responsable del tratamiento de los datos personales recogidos a través de Ficharix (en adelante, el "Servicio") es:
- Razón social: MDC 21 Agency SL
- NIF: B70918503
- Domicilio: C/ Mar de Noruega 2, 04770 Adra, Almería, España
- Email de contacto / DPO: ficharix@mdc21.agency
- Sitio web: https://ficharix.com
2. Datos que tratamos
- Identificación: nombre, email corporativo, DNI (opcional), código de empleado
- Fichajes: hora exacta, dirección IP, coordenadas GPS (solo cuando se ficha desde la app móvil con consentimiento), agente de usuario
- Solicitudes: vacaciones, correcciones de fichaje, bajas médicas con documentos adjuntos (PDF o imagen) almacenados de forma privada
- Sesiones: tokens de autenticación y dispositivos conectados
- Notificaciones push: token FCM, solo si activas las notificaciones
3. Finalidad
Tratamos tus datos para:
- Cumplir con el RD-ley 8/2019 (registro de jornada laboral obligatorio en España).
- Gestionar vacaciones, ausencias y bajas médicas.
- Generar informes legales para tu empleador y para la Inspección de Trabajo.
- Mantener la seguridad y la integridad del Servicio.
4. Base legal
- Obligación legal (RD-ley 8/2019, art. 34.9 del Estatuto de los Trabajadores).
- Ejecución de un contrato entre tu empresa y MDC 21 Agency SL.
- Consentimiento explícito para la geolocalización y las notificaciones push, que puedes revocar en cualquier momento.
5. Plazo de conservación
- Registros de jornada (fichajes): 4 años, conforme al RD-ley 8/2019.
- Bajas médicas: hasta la finalización de la baja más los plazos legales aplicables.
- Datos de cuenta: hasta la cancelación del Servicio + 2 años por obligaciones contables y fiscales.
6. Destinatarios
No comunicamos tus datos a terceros salvo en los siguientes casos:
- Encargados del tratamiento con contrato firmado: alojamiento (AWS, servidores en la UE — Irlanda), envío de emails transaccionales (Amazon SES), procesamiento de pagos (Stripe) y notificaciones push opcionales (Google Firebase).
- Autoridades públicas cuando exista obligación legal (Inspección de Trabajo, AEPD, órganos judiciales).
7. Transferencias internacionales
Stripe y Google Firebase pueden tratar datos fuera del EEE. En esos casos se aplican las Cláusulas Contractuales Tipo de la Comisión Europea como garantía adecuada. AWS y Amazon SES tratan los datos exclusivamente en regiones de la UE.
8. Tus derechos
Como titular de los datos, puedes ejercer en cualquier momento los derechos de:
- Acceso a tus datos
- Rectificación si son inexactos
- Supresión (con las limitaciones que impone la obligación legal de conservar los registros de jornada)
- Oposición y limitación del tratamiento
- Portabilidad — puedes descargar una copia de tus datos en JSON desde tu cuenta
- Revocar el consentimiento dado para geolocalización y notificaciones
Para ejercerlos escribe a ficharix@mdc21.agency indicando "Ejercicio de derechos RGPD" y adjuntando copia de un documento identificativo.
Si consideras que el tratamiento de tus datos vulnera la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).
9. Seguridad
- Cifrado HTTPS / TLS 1.2+ en todas las comunicaciones.
- Contraseñas hasheadas con bcrypt.
- Tokens almacenados en Keychain (iOS) o EncryptedSharedPreferences (Android).
- Cadena hash SHA-256 + firma RSA-2048 sobre cada fichaje (inalterabilidad criptográfica).
- Documentos médicos en almacenamiento privado, no accesibles públicamente.
- Autenticación en dos factores (2FA) disponible mediante TOTP.
10. Permisos de la app móvil
- Ubicación: solo "mientras se usa la app". Se captura de forma puntual, únicamente en el instante de pulsar Entrada / Salida — nunca en segundo plano ni de forma continua. Si tu modalidad de trabajo es remota no se solicita ubicación, y siempre puedes fichar desde la versión web sin GPS (proporcionalidad conforme a la guía de la AEPD sobre geolocalización).
- Cámara / Fotos: solo si subes documentos de baja médica.
- Notificaciones: opcionales (recordatorios y aprobaciones).
- Face ID / Huella (biometría): se utiliza exclusivamente como bloqueo de acceso a la app y lo gestiona el sistema operativo del dispositivo. Ficharix no recoge, no almacena y no trata datos biométricos (categoría especial del art. 9 RGPD): nunca salen del dispositivo y no se usan para identificarte en el registro de jornada. El fichaje se realiza pulsando un botón, no con biometría. Siempre dispones de un PIN como alternativa, conforme a la guía de la AEPD de noviembre de 2023.
11. Cookies
Usamos exclusivamente cookies técnicas esenciales para mantener la sesión y proteger contra CSRF. No utilizamos cookies analíticas ni publicitarias. Más detalles en la política de cookies.
12. Cambios en esta política
Si modificamos esta política de forma sustancial, lo notificaremos por email a los administradores de cada empresa con al menos 30 días de antelación.