Registro de Actividades de Tratamiento (RAT)

Última actualización: 23 de mayo de 2026 (v3.55.8) · Conforme Art. 30 RGPD + Guía AEPD «Cómo cumplir el RGPD» (Art. 30) + WP29 Opinion 1/2010 sobre encargados del tratamiento

Este documento constituye el Registro de Actividades de Tratamiento que Timglas mantiene como Encargado del Tratamiento conforme al artículo 30.2 del Reglamento (UE) 2016/679 (RGPD). Se publica abierto para facilitar la transparencia hacia los Responsables del Tratamiento (clientes) y los interesados (trabajadores).

Para el RAT del Responsable (que recae sobre el cliente conforme al Art. 30.1 RGPD), consulta la cláusula 8 del DPA. Timglas pone a disposición de cada cliente una plantilla descargable en su panel admin: Cumplimiento → Legal RGPD → RoPA.

1. Identificación del Encargado del Tratamiento

Nombre comercial	Timglas (anteriormente «TimeTrack»)
Tipo de organización	Software-as-a-Service (SaaS) multi-tenant para gestión de jornada laboral y RR.HH.
Datos identificativos completos	Disponibles en el Aviso Legal · sección «Datos identificativos del titular».
Domicilio del servicio	Hetzner Online GmbH — Frankfurt (Alemania) · datacenter EEE
Contacto general	legal@timetrack.app
Contacto del DPO	Cuando concurran las circunstancias del Art. 37 RGPD se designará un Delegado de Protección de Datos cuya información se publicará en esta misma sección. Mientras tanto, las consultas se canalizan a través del contacto general.
Representante en la UE	No aplica — la entidad ya está establecida en territorio UE.

2. Categorías de Responsables del Tratamiento atendidos

Timglas atiende como Encargado a empresas y organizaciones que actúan como Responsables del Tratamiento sobre los datos de sus propios trabajadores. No se identifican individualmente por confidencialidad comercial; se agrupan en las categorías siguientes:

• PYMEs (5-50 empleados) — sector servicios, hostelería, retail, ingeniería.
• Medianas empresas (50-250 empleados) — industria, sanidad privada, educación privada, consultoría.
• Grandes empresas (más de 250 empleados) — plan Enterprise con SSO/SAML, DPA firmable bilateralmente y SLA reforzado.
• Administraciones Públicas — plan ENS Media (Esquema Nacional de Seguridad) en proceso.
• Asociaciones, ONG y centros educativos públicos/concertados — con descuento sobre el plan Pro.

3. Actividades de tratamiento realizadas por cuenta del Responsable

Listado de las actividades concretas que Timglas ejecuta por instrucciones documentadas del Responsable conforme al Art. 28.3.a RGPD:

#	Actividad	Finalidad	Base jurídica	Categorías de datos	Plazo de conservación	Categoría
1	Registro diario de jornada laboral	Cumplimiento Art. 34.9 ET + RD-ley 8/2019	Obligación legal (Art. 6.1.c RGPD)	Identificativos, laborales, jornada, geo opcional	4 años (RD-ley 8/2019)	Operativa
2	Gestión de ausencias y vacaciones	Planificación de RR.HH. y cumplimiento del ET	Ejecución del contrato (Art. 6.1.b)	Identificativos, laborales, salud (justificantes)	4 años	Operativa
3	Programación de turnos y horarios	Organización del trabajo del Responsable	Ejecución del contrato + interés legítimo (Art. 6.1.f)	Identificativos, laborales, disponibilidad	Vigencia del contrato + 1 año	Operativa
4	Asignación y seguimiento de proyectos	Imputación de horas a proyectos del Responsable	Ejecución del contrato + interés legítimo	Identificativos, laborales, productividad	5 años (obligación fiscal)	Operativa
5	Comunicaciones internas (anuncios, push)	Coordinación operativa del Responsable	Ejecución del contrato	Identificativos, contacto, contenido del mensaje	2 años	Operativa
6	Archivo documental laboral	Custodia de contratos, nóminas, certificados	Obligación legal	Identificativos, laborales, fiscales, salud	Vigencia + 4 años	Operativa
7	Generación de informes para Inspección de Trabajo	Cumplimiento RD-ley 8/2019	Obligación legal	Jornada agregada (sin datos sensibles)	4 años	Operativa
8	Geolocalización opcional en fichaje (geofence)	Verificar presencia en centro de trabajo	Interés legítimo del Responsable + información al interesado	Coordenadas con precisión ±10 m, sin tracking continuo	4 años (vinculada al registro de jornada)	Sensible
9	Autenticación biométrica device-side opcional	Verificación de identidad para fichar	Consentimiento explícito (Art. 9.2.a)	Solo booleano «verificado/no verificado» en el servidor; la plantilla biométrica nunca sale del dispositivo	Mientras el interesado mantenga el consentimiento	Categoría especial
10	Procesos de selección (módulo ATS, opcional)	Reclutamiento del Responsable	Consentimiento del candidato + interés legítimo	Identificativos, contacto, CV, evaluación	1 año máximo desde la última actividad	Opcional
11	Formación y LMS (módulo opcional)	Gestión de la formación obligatoria PRL/RGPD	Obligación legal + ejecución del contrato	Identificativos, progreso de cursos	4 años	Opcional
12	Encuestas Pulse / clima laboral	Evaluación del clima organizacional	Interés legítimo + información al interesado	Respuestas pseudonimizadas, identificativos solo si el Responsable lo activa	2 años	Opcional
13	Evaluación de desempeño (360, OKRs)	Gestión del rendimiento por el Responsable	Ejecución del contrato + interés legítimo	Identificativos, valoraciones, comentarios	Vigencia del contrato + 1 año	Opcional
14	Recomendaciones IA opcionales (matching, formación)	Asistencia a procesos de RR.HH.	Consentimiento + supervisión humana (Art. 14 AI Act)	Identificativos, perfil profesional, histórico	Vigencia del contrato	Alto riesgo AI Act
15	Audit log / chain anchors	Cumplimiento Art. 32 RGPD + RD-ley 8/2019 (integridad)	Obligación legal + interés legítimo	user_id, IP, acción, timestamp (con anonimización progresiva tras 6 meses)	12 meses con anonimización progresiva	Operativa
16	Notificaciones push y email transaccional	Avisos del sistema al interesado	Ejecución del contrato + interés legítimo	Identificativos, contacto, contenido	30 días para tracking de entregabilidad	Operativa
17	Procesamiento de pagos (Stripe)	Facturación del servicio al Responsable	Ejecución del contrato	Datos del responsable de facturación, NO de los trabajadores	Conforme a Stripe (sub-encargado)	Administrativa
18	Soporte al cliente / asistencia técnica	Atención de incidencias del Responsable	Ejecución del contrato + interés legítimo	Identificativos del solicitante, descripción del incidente	2 años	Administrativa

4. Categorías de interesados

• Empleados activos del Responsable (categoría principal).
• Empleados inactivos / ex-empleados durante el plazo de conservación legal.
• Candidatos en procesos de selección (módulo ATS opcional).
• Contactos comerciales del Responsable (módulo CRM ligero, opcional).
• Personas autorizadas por el Responsable (DPO, asesores fiscales, gestoría laboral) con acceso limitado.
• Visitantes del sitio web público (cookies técnicamente necesarias y, si consienten, funcionales).

5. Categorías de destinatarios y sub-encargados

Los datos solo se comunican a:

• El propio Responsable del Tratamiento (acceso a su panel admin).
• Los interesados respecto a sus propios datos (autoservicio en «Mi perfil»).
• Sub-encargados descritos en Sub-processors: Hetzner Online GmbH (hosting), Stripe Payments Europe Ltd. (pagos), proveedores de email transaccional.
• Autoridades competentes cuando exista obligación legal (Inspección de Trabajo, AEPD, Hacienda).

Timglas no comercializa datos personales ni los utiliza para perfilado publicitario propio o de terceros.

6. Transferencias internacionales

Los datos se tratan principalmente en el Espacio Económico Europeo (EEE). La única transferencia internacional habitual es:

• Stripe Inc. (EE.UU.) para procesamiento de pagos del servicio (no datos de trabajadores). Salvaguarda: Cláusulas Contractuales Tipo UE 2021/914 + Transfer Impact Assessment conforme a la sentencia Schrems II (C-311/18).
• Algunos sub-encargados secundarios pueden contar con servidores réplica fuera del EEE. En esos casos, Timglas activa las correspondientes salvaguardas (SCC, BCR o decisiones de adecuación). El listado actualizado se mantiene en Sub-processors.

7. Plazos de supresión y minimización

• Plazos detallados por actividad en la tabla del §3.
• Trabajos cron automáticos purgan los datos al cumplir el plazo legal (php/cron/erasure-deadlines.php + jobs de retención por recurso).
• Anonimización progresiva de audit logs a partir de 6 meses.
• Self-service de eliminación para el interesado (RGPD Art. 17 desde su perfil), con respeto a las obligaciones legales de conservación.
• Certificado de eliminación firmado emitido al Responsable al finalizar el servicio (cláusula 11 del DPA).

8. Descripción general de las medidas técnicas y organizativas (Art. 32 RGPD)

Detalladas en Política de Seguridad. Resumen:

• Cifrado en tránsito TLS 1.3 + HSTS preload.
• Cifrado de campos sensibles en reposo (módulo Pro+ con clave maestra cliente-side).
• Cifrado de filesystem del servidor (LUKS).
• Autenticación JWT HS256 con rotación cada 30 minutos.
• 2FA TOTP obligatorio para admin/super_admin; WebAuthn opcional para usuarios.
• Rate limiting (120 req/min) + DLP (Data Loss Prevention) + alertas.
• Audit log inmutable con chain-hash SHA-256 (chain_anchors, consent_log_server, legal_acceptances, erasure_requests).
• Backups diarios cifrados + replicación geográfica EEE + tests de restauración trimestrales.
• Plan de continuidad de negocio: RTO < 4 h, RPO < 1 h.
• Bug bounty público conforme a RFC 9116 (security.txt).
• Notificación de brechas al Responsable en máximo 24 h (compromiso DPA, más estricto que las 72 h del Art. 33 RGPD).

9. Plan de revisión del RAT

• Revisión anual obligatoria. Próxima revisión: 23 de mayo de 2027.
• Revisiones ad-hoc ante cambios sustanciales: nuevos sub-encargados, nuevas categorías de datos, incidentes graves, nuevas funcionalidades (especialmente IA) o cambios normativos materiales.
• Cada revisión queda registrada con marca temporal en el commit que la actualiza.

10. Disponibilidad ante autoridades

Conforme al Art. 30.4 RGPD, este RAT se pone a disposición de la Autoridad de Control que lo solicite (en España, la Agencia Española de Protección de Datos). Cualquier interesado o Responsable cliente puede solicitar copia firmada en formato PDF a legal@timetrack.app.