POLÍTICA DE PRIVACIDAD

Versión: 1.4 Última actualización: 13 de diciembre de 2025

1. INFORMACIÓN DEL RESPONSABLE

En cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), se informa a los usuarios de la siguiente información:

Responsable del Tratamiento:

Delegado de Protección de Datos:

2. COMPROMISO CON LA PRIVACIDAD

Tempoize CRM se compromete a garantizar la privacidad y protección de los datos personales de todos los usuarios de su plataforma de gestión de tiempo y control horario laboral. La presente Política de Privacidad describe cómo recogemos, utilizamos, almacenamos y protegemos la información personal en cumplimiento con la normativa vigente en materia de protección de datos.

Nuestra plataforma ha sido diseñada implementando los principios de privacidad desde el diseño y privacidad por defecto, garantizando que solo se traten los datos estrictamente necesarios para cada finalidad específica.

3. PRINCIPIOS APLICABLES

El tratamiento de datos personales se rige por los siguientes principios establecidos en el RGPD:

  • Licitud, lealtad y transparencia: Los datos serán tratados de manera lícita, leal y transparente
  • Limitación de la finalidad: Los datos serán recogidos con fines determinados, explícitos y legítimos
  • Minimización de datos: Los datos serán adecuados, pertinentes y limitados a lo necesario
  • Exactitud: Los datos serán exactos y actualizados
  • Limitación del plazo de conservación: Los datos se conservarán el tiempo necesario para los fines del tratamiento
  • Integridad y confidencialidad: Los datos serán tratados de forma que se garantice su seguridad
  • Responsabilidad proactiva: Tempoize CRM es responsable del cumplimiento de estos principios

4. FINALIDADES DEL TRATAMIENTO

Tempoize CRM trata datos personales para las siguientes finalidades:

4.1 Gestión de Usuarios de la Plataforma (Clientes)

Finalidad: Administrar los derechos y obligaciones derivados de la relación contractual, permitiendo el acceso y uso de la plataforma Tempoize CRM.

Categorías de datos:

  • Datos identificativos: Nombre, apellidos, correo electrónico
  • Datos de cuenta: Contraseña encriptada, nombre de usuario
  • Datos de la organización: Nombre de la empresa, datos fiscales
  • Datos de configuración: Preferencias de usuario, zona horaria, idioma

Base legal: Ejecución del contrato y consentimiento del interesado

Plazo de conservación: Durante la vigencia de la relación contractual y 4 años posteriores (conforme al Estatuto de los Trabajadores para datos laborales)

Destinatarios: Los datos no se comunicarán a terceros, salvo obligación legal o requerimiento judicial

Rol de Tempoize CRM: Encargado del tratamiento para los datos de empleados de clientes; Responsable para datos de administradores de cuentas

4.2 Registro de Cuentas y Gestión de Invitaciones

Finalidad: Creación y gestión de cuentas de usuario, tanto para registro directo como para invitaciones a organizaciones existentes.

Categorías de datos:

A) Registro de nueva organización (tenant):

  • Datos personales del administrador:

    • Nombre y apellidos (obligatorios)
    • Correo electrónico (obligatorio)
    • Teléfono (opcional)
    • Contraseña (hasheada con bcrypt, nunca almacenada en texto plano)

  • Datos de la organización:

    • Nombre de la organización (obligatorio)
    • Tipo de organización (INDIVIDUAL, PROFESSIONAL, COMPANY)
    • Teléfono de contacto (opcional)

  • Datos de facturación (opcionales):

    • Nombre y apellidos del titular
    • NIF/CIF (identificación fiscal)
    • Teléfono de contacto
    • Dirección postal completa (dirección, ciudad, provincia, código postal, país)

  • Datos técnicos de registro:

    • Dirección IP del usuario
    • Navegador y sistema operativo
    • Fecha y hora exacta del registro
    • Token de verificación de email (validez 24 horas)
    • Validación anti-bot (reCAPTCHA)

  • Consentimientos registrados:

    • Aceptación de términos y condiciones
    • Aceptación de política de privacidad
    • Tipo de aceptación (REGISTRATION)
    • Versión de términos aceptada (1.0)
    • IP, User Agent y timestamp del consentimiento

B) Sistema de invitaciones:

  • Invitación de usuarios (por administrador):

    • Correo electrónico del usuario a invitar
    • Rol asignado (USER, ADMIN)
    • Token de invitación (criptográfico, validez 7 días)
    • Email del administrador que envía la invitación
    • Fecha y hora de envío de invitación

  • Aceptación de invitación (usuario nuevo):

    • Nombre y apellidos (obligatorios)
    • DNI/NIE/NIF (opcional - identificación fiscal española)
    • Contraseña (obligatoria, cifrada)
    • IP, navegador y fecha/hora de configuración
    • Consentimientos (términos, privacidad - obligatorios)

  • Aceptación de invitación (usuario existente):

    • IP, navegador y fecha/hora de aceptación
    • Consentimientos (términos, privacidad - obligatorios)
    • Tipo de aceptación (INVITATION)

Base legal:

  • Ejecución del contrato: Necesario para proporcionar acceso a la plataforma
  • Consentimiento explícito: Para crear la cuenta y aceptar términos y condiciones
  • Obligación legal: Para datos fiscales y de facturación (conforme a normativa tributaria)
  • Interés legítimo: Para prevenir fraudes (reCAPTCHA, verificación email, IP tracking)

Plazo de conservación:

  • Cuentas activas: Durante la vigencia de la relación contractual
  • Cuentas inactivas: 12 meses desde última actividad, salvo obligación legal
  • Tokens de verificación: 24 horas (email) o 7 días (invitación), tras expiración se eliminan automáticamente
  • Registros de consentimientos: 4 años desde la aceptación (prueba legal)
  • Datos de facturación: 4 años desde última factura (obligación fiscal)

Destinatarios:

  • Proveedor de email (AWS SES): Para envío de correos de verificación e invitación
  • Google reCAPTCHA: Para verificación anti-bot (solo durante registro)
  • Administradores de la organización: Acceso a datos de usuarios invitados
  • Autoridades fiscales: Solo datos de facturación, si requerido legalmente

Transferencias internacionales:

  • Google reCAPTCHA: Transferencia a EE.UU. bajo cláusulas contractuales tipo de la UE
  • AWS SES (email): Procesamiento en región EU (Frankfurt), sin transferencia extracomunitaria

Derechos del usuario:

  • Derecho de acceso: Consultar datos personales almacenados
  • Derecho de rectificación: Corregir datos inexactos o incompletos
  • Derecho de supresión: Solicitar eliminación de cuenta (sujeto a obligaciones legales)
  • Derecho de portabilidad: Exportar datos en formato estructurado (JSON/CSV)
  • Derecho de oposición: Oponerse a tratamientos basados en interés legítimo
  • Derecho a retirar consentimiento: En cualquier momento, sin efectos retroactivos

Medidas de seguridad:

  • Contraseñas cifradas con algoritmos de última generación (irreversibles)
  • Tokens criptográficos seguros para verificación e invitación
  • Validación de seguridad en todos los formularios (protección CSRF)
  • Protección contra registros automatizados
  • Verificación obligatoria de email (doble verificación)
  • Registro completo de auditoría de accesos y cambios
  • Conexiones cifradas obligatorias (HTTPS/TLS)
  • Límite de usuarios por organización (configurable)

Proceso de verificación:

  1. Registro: Usuario proporciona datos y acepta términos → Email de verificación enviado → Cuenta creada pero NO activada
  2. Verificación: Usuario hace clic en enlace (24h validez) → Email verificado → Cuenta activada → Acceso completo
  3. Invitación (nuevo): Admin invita → Email con enlace (7 días) → Usuario configura nombre y password → Acepta términos → Cuenta activada
  4. Invitación (existente): Admin invita → Email con enlace (7 días) → Usuario acepta términos → Acceso concedido a nueva organización

4.3 Auditoría y Trazabilidad

Finalidad: Mantener un registro completo de todas las operaciones realizadas en la plataforma para garantizar la seguridad, integridad, cumplimiento normativo y resolución de incidentes.

Categorías de datos:

  • Registro de operaciones:

    • Tipo de acción realizada (crear, modificar, eliminar, consultar)
    • Entidad afectada (usuario, negocio, contacto, oportunidad, tarea, etc.)
    • Fecha y hora exacta de la operación (timestamp con milisegundos)
    • Resultado de la operación (éxito, error, advertencia)
    • Duración de la operación (para análisis de rendimiento)

  • Datos del usuario que realiza la acción:

    • Identificador del usuario
    • Nombre y apellidos
    • Rol en la organización (USER, ADMIN, SUPER_ADMIN)
    • Email del usuario

  • Datos de conexión y dispositivo:

    • Dirección IP desde la que se realiza la operación
    • User Agent (navegador y sistema operativo)
    • Tipo de dispositivo (móvil, escritorio, tablet)
    • Geolocalización aproximada (si está disponible)

  • Cambios realizados:

    • Estado anterior del registro (valores previos)
    • Estado posterior del registro (valores nuevos)
    • Campos modificados específicamente
    • Motivo de la modificación (si se proporciona)

  • Contexto de la operación:

    • Identificador de la organización (tenant)
    • Módulo de la aplicación (CRM, control horario, proyectos, etc.)
    • Ruta o endpoint accedido
    • Parámetros de la solicitud (sanitizados para privacidad)

  • Eventos de seguridad:

    • Intentos de acceso fallidos
    • Cambios de contraseña
    • Verificaciones de email
    • Aceptaciones de invitaciones
    • Cambios de permisos o roles
    • Accesos a datos sensibles

Operaciones registradas:

  • Todas las operaciones CRUD (crear, leer, actualizar, eliminar) en entidades principales
  • Inicio y cierre de sesión de usuarios
  • Creación y modificación de usuarios
  • Invitaciones y aceptaciones de usuarios
  • Cambios en configuración de la organización
  • Creación y actualización de registros de CRM (negocios, contactos, oportunidades, tareas)
  • Importaciones masivas de datos desde Google Maps
  • Exportación de datos y reportes
  • Cambios de permisos y roles
  • Operaciones administrativas críticas

Exclusiones automáticas:

  • Consultas de lectura simples de bajo impacto (configurable)
  • Operaciones de sincronización automática del sistema

Base legal:

  • Interés legítimo: Garantizar la seguridad de la plataforma, prevenir fraudes, detectar uso indebido
  • Cumplimiento de obligación legal: Conservación de registros para auditoría legal y cumplimiento normativo
  • Ejecución del contrato: Necesario para proporcionar un servicio seguro y confiable

Plazo de conservación: 2 años desde la fecha de la operación

Destinatarios:

  • Administradores de la organización: Acceso para auditoría interna y resolución de incidencias
  • Super administradores: Acceso para gestión técnica y soporte
  • Juzgados y Tribunales: En caso de requerimiento judicial
  • Autoridades de protección de datos: En caso de investigación o reclamación

Medidas de seguridad específicas:

  • Inmutabilidad de registros de auditoría (no se pueden modificar ni eliminar)
  • Cifrado de logs en almacenamiento
  • Acceso restringido mediante control de roles
  • Backup separado de logs de auditoría
  • Monitorización de accesos a los propios logs de auditoría
  • Retención automática y eliminación tras 2 años

Derechos de los usuarios:

  • Derecho de acceso: Consultar los logs de auditoría relacionados con sus propias operaciones
  • Derecho de rectificación: No aplicable (los logs son inmutables por naturaleza)
  • Derecho de supresión: Limitado (sujeto a obligaciones legales de conservación)
  • Derecho de oposición: Limitado (necesario para seguridad y cumplimiento legal)

Rol de Tempoize CRM: Encargado del tratamiento

4.4 Registro de Usuarios (Creación de Cuenta)

Finalidad: Permitir el registro de nuevas organizaciones y usuarios administradores en la plataforma.

Categorías de datos:

  • Datos de registro: Nombre, apellidos, correo electrónico, contraseña encriptada
  • Datos de la organización: Nombre de la empresa
  • Datos de verificación: Token de verificación de correo electrónico

Base legal: Consentimiento del interesado

Plazo de conservación: Durante la vigencia de la cuenta. Si no se verifica el correo electrónico en 24 horas, los datos se eliminan automáticamente

Destinatarios: No se comunican a terceros

Rol de Tempoize CRM: Responsable del tratamiento

4.5 Autenticación con Google OAuth (Opcional)

Finalidad: Permitir el inicio de sesión mediante cuenta de Google como alternativa al sistema de credenciales propio.

Categorías de datos:

  • Datos proporcionados por Google: Nombre, apellidos, correo electrónico, foto de perfil (si está disponible)
  • ID de Google: Identificador único de Google

Base legal: Consentimiento del interesado

Plazo de conservación: Durante la vigencia de la cuenta

Destinatarios: Google LLC (como proveedor del servicio de autenticación)

Transferencias internacionales: Google LLC (EE.UU.) - Cláusulas Contractuales Tipo aprobadas por la Comisión Europea

Rol de Tempoize CRM: Responsable del tratamiento

4.6 Atención al Cliente y Soporte Técnico

Finalidad: Prestar servicios de asesoramiento, soporte técnico y resolución de incidencias a los clientes.

Categorías de datos:

  • Datos de contacto: Nombre, correo electrónico, teléfono
  • Datos de la consulta: Descripción del problema, capturas de pantalla, logs del sistema
  • Historial de comunicaciones: Correos electrónicos, mensajes del sistema de tickets

Base legal: Ejecución del contrato y consentimiento del interesado

Plazo de conservación: Durante la vigencia del contrato y 6 meses posteriores

Destinatarios: Personal de soporte técnico de Tempoize CRM

Rol de Tempoize CRM: Responsable del tratamiento

4.7 Acciones Comerciales y Newsletter

Finalidad: Envío de comunicaciones comerciales sobre nuevas funcionalidades, actualizaciones de la plataforma, promociones y contenido de interés.

Categorías de datos:

  • Datos de contacto: Nombre, correo electrónico
  • Datos de interacción: Aperturas de correo, clics en enlaces

Base legal: Consentimiento del interesado (revocable en cualquier momento)

Plazo de conservación: Hasta que el interesado revoque su consentimiento

Destinatarios: Proveedor de servicios de email marketing (si aplica)

Rol de Tempoize CRM: Responsable del tratamiento

4.8 Gestión de Solicitudes de Demostración

Finalidad: Gestionar las solicitudes de demostración de la plataforma por parte de potenciales clientes.

Categorías de datos:

  • Datos de contacto: Nombre, apellidos, correo electrónico, teléfono, empresa
  • Datos de la solicitud: Mensaje, preferencias de fecha/hora para la demo

Base legal: Consentimiento del interesado

Plazo de conservación: Hasta que el interesado revoque su consentimiento o 6 meses desde la última interacción

Destinatarios: Equipo comercial de Tempoize CRM

Rol de Tempoize CRM: Responsable del tratamiento

4.9 Gestión de Formularios de Contacto

Finalidad: Responder a consultas, sugerencias y solicitudes recibidas a través de formularios web.

Categorías de datos:

  • Datos de contacto: Nombre, correo electrónico
  • Contenido del mensaje: Texto de la consulta

Base legal: Consentimiento del interesado

Plazo de conservación: 1 año desde la respuesta a la consulta

Destinatarios: No se comunican a terceros

Rol de Tempoize CRM: Responsable del tratamiento

4.10 Gestión de Relaciones con Clientes (CRM)

Finalidad: Gestionar las relaciones comerciales con clientes potenciales y actuales, incluyendo prospección, seguimiento de oportunidades, gestión de contactos y actividades comerciales.

Categorías de datos:

  • Datos de negocios (businesses):

    • Nombre comercial de la empresa
    • Dirección completa (calle, ciudad, código postal, país)
    • Coordenadas geográficas (latitud, longitud)
    • Teléfono de contacto
    • Sitio web corporativo
    • Puntuación de inteligencia artificial (AI score) - calculada automáticamente
    • Estado del negocio (nuevo, contactado, calificado, cliente, descartado)
    • Datos de importación: fuente (Google Maps), ID externo, calificación
    • Notas internas y observaciones
    • Usuario asignado para seguimiento

  • Datos de contactos:

    • Nombre y apellidos
    • Cargo o posición en la empresa
    • Correo electrónico profesional
    • Teléfono directo
    • LinkedIn u otras redes profesionales
    • Relación con el negocio
    • Preferencias de contacto
    • Notas sobre interacciones

  • Datos de oportunidades comerciales:

    • Título de la oportunidad
    • Descripción y detalles
    • Valor estimado de la operación
    • Estado (prospección, propuesta, negociación, ganada, perdida)
    • Fecha estimada de cierre
    • Probabilidad de éxito
    • Negocio y contacto asociados
    • Usuario responsable

  • Datos de tareas y actividades:

    • Título de la tarea
    • Descripción y contexto
    • Fecha de vencimiento
    • Prioridad (alta, media, baja)
    • Estado (pendiente, en progreso, completada)
    • Usuario asignado
    • Relación con negocio, contacto u oportunidad
    • Fecha de finalización

  • Datos de búsqueda e importación (Google Maps):

    • Términos de búsqueda utilizados
    • Ubicación geográfica de búsqueda
    • Radio de búsqueda
    • Tipo de negocio buscado
    • Resultados obtenidos de Google Places API
    • Fecha y hora de importación
    • Usuario que realiza la importación

  • Datos de comunicaciones:

    • Plantillas de email utilizadas
    • Firmas electrónicas de email
    • Historial de envíos
    • Respuestas recibidas (si se integran)
    • Fecha y hora de comunicaciones

  • Datos técnicos y de auditoría:

    • Fecha de creación de cada registro
    • Fecha de última modificación
    • Usuario que crea/modifica registros
    • Historial de cambios de estado
    • Dirección IP de operaciones críticas

Base legal:

  • Ejecución del contrato: Necesario para proporcionar el servicio de CRM contratado
  • Interés legítimo: Para análisis de tendencias comerciales, optimización de procesos de venta
  • Consentimiento del cliente: Para uso de inteligencia artificial en puntuación de leads
  • Cumplimiento de obligación legal: Para datos fiscales de clientes (si aplica)

Plazo de conservación:

  • Negocios, contactos y oportunidades activos: Durante la vigencia del servicio
  • Negocios descartados: 2 años desde el descarte (para análisis histórico)
  • Tareas completadas: 1 año desde la finalización
  • Datos importados de Google Maps: Durante la vigencia del servicio
  • Plantillas y firmas de email: Hasta que el cliente las elimine
  • Logs de auditoría del CRM: 2 años

Destinatarios:

  • Usuario asignado al negocio/contacto: Acceso completo para gestión comercial
  • Administradores del tenant: Acceso completo para supervisión
  • Google LLC (Places API): Solo para importación de datos de negocios públicos
  • Proveedor de email (AWS SES): Solo para envío de comunicaciones comerciales
  • Proveedores de AI: Para cálculo de puntuaciones automáticas (datos anonimizados cuando sea posible)

Transferencias internacionales:

  • Google Places API: Transferencia a EE.UU. bajo cláusulas contractuales tipo de la UE para importación de datos públicos de negocios
  • AWS SES (email): Procesamiento en región EU (Frankfurt), sin transferencia extracomunitaria

Medidas de seguridad específicas:

  • Cifrado de comunicaciones (HTTPS/TLS)
  • Control de acceso basado en roles (solo usuarios autorizados)
  • Aislamiento total entre organizaciones (multi-tenant)
  • Backup automático diario
  • Auditoría de todas las operaciones con trazabilidad
  • Protección contra acceso no autorizado
  • Validación de permisos en cada operación

Derechos específicos:

  • Derecho de acceso: Consultar todos los datos de CRM almacenados
  • Derecho de rectificación: Corregir datos inexactos de negocios o contactos
  • Derecho de supresión: Solicitar eliminación de registros de CRM (excepto cuando existan obligaciones legales de conservación)
  • Derecho de portabilidad: Exportar datos en formato estructurado (CSV/JSON)
  • Derecho de oposición: Oponerse al uso de inteligencia artificial para puntuación automática

Uso de inteligencia artificial:

El sistema CRM puede utilizar algoritmos de inteligencia artificial para:

  • Calcular puntuaciones automáticas de leads (AI scoring)
  • Sugerir acciones y tareas recomendadas
  • Analizar patrones de éxito comercial
  • Priorizar oportunidades según probabilidad de cierre

El cliente puede desactivar estas funcionalidades en cualquier momento desde la configuración del CRM.

Origen de los datos:

  • Introducidos manualmente: Por usuarios de la organización
  • Importados desde Google Maps: Datos públicos de negocios disponibles en Google Places API
  • Importados desde archivos: CSV u otros formatos de importación masiva
  • Generados automáticamente: Puntuaciones de AI, fechas de creación/modificación

Rol de Tempoize CRM: Encargado del tratamiento

4.11 Gestión de Proveedores

Finalidad: Administrar la relación comercial con proveedores de servicios.

Categorías de datos:

  • Datos identificativos: Nombre/razón social, CIF/NIF, dirección
  • Datos de contacto: Teléfono, correo electrónico
  • Datos bancarios: Cuenta bancaria para pagos
  • Datos fiscales: Facturas, contratos

Base legal: Ejecución del contrato

Plazo de conservación: Durante la vigencia de la relación contractual y durante el plazo de prescripción de obligaciones fiscales (4-10 años según normativa aplicable)

Destinatarios:

  • Agencia Tributaria (AEAT)
  • Entidades bancarias para gestión de pagos

Rol de Tempoize CRM: Responsable del tratamiento

5. CATEGORÍAS DE DATOS PERSONALES TRATADOS

Tempoize CRM puede tratar las siguientes categorías de datos personales:

5.1 Datos Identificativos

Nombre, apellidos, DNI/NIF, dirección, teléfono, correo electrónico, fotografía (opcional).

5.2 Datos de Características Personales

Fecha de nacimiento, nacionalidad, idioma preferido.

5.3 Datos de Empleo

Puesto de trabajo, departamento, horario laboral, calendario, salario (solo si el cliente lo introduce), antigüedad.

5.4 Datos Económicos y Financieros

Datos bancarios (solo para proveedores y pagos), datos de facturación.

5.5 Datos de Transacciones

Información sobre fichajes, pausas, ausencias, vacaciones, proyectos asignados.

5.6 Datos de Conexión y Geolocalización

Dirección IP, datos de acceso al sistema, timestamps de operaciones.

5.7 Datos de Control de Acceso Físico

Identificadores de dispositivos, horarios de acceso, registros de apertura/cierre, permisos temporales, historial de operaciones en dispositivos de control de acceso.

5.8 Datos de Auditoría y Seguridad

Logs de acceso, registro de operaciones, dirección IP, cambios realizados.

6. LEGITIMACIÓN PARA EL TRATAMIENTO

La base legal para el tratamiento de datos personales se fundamenta en:

  • Consentimiento del interesado: Para registro de usuarios, comunicaciones comerciales, uso de firmas electrónicas
  • Ejecución de un contrato: Para gestión de usuarios, horarios, proyectos, soporte técnico
  • Obligación legal: Para registro de jornada laboral, conservación de documentación fiscal y laboral
  • Interés legítimo: Para auditoría, seguridad de la plataforma, prevención de fraudes

7. DESTINATARIOS DE LOS DATOS

Los datos personales podrán ser comunicados a:

7.1 Encargados del Tratamiento

Tempoize CRM puede compartir datos con proveedores de servicios que actúan como encargados del tratamiento:

  • Proveedores de hosting e infraestructura cloud: Para alojamiento de la plataforma y bases de datos
  • Proveedores de servicios de email: Para envío de correos transaccionales y comunicaciones
  • Proveedores de servicios de análisis: Para análisis de uso de la plataforma (anonimizados en la medida de lo posible)
  • Proveedores de servicios de seguridad: Para protección contra ataques y monitorización

Todos los encargados del tratamiento firman acuerdos de confidencialidad y tratamiento de datos conforme al artículo 28 del RGPD.

7.2 Organismos Públicos

Los datos podrán ser comunicados a:

  • Inspección de Trabajo y Seguridad Social: En caso de requerimiento del registro de jornada
  • Agencia Española de Protección de Datos (AEPD): En caso de reclamación o investigación
  • Agencia Tributaria (AEAT): Para cumplimiento de obligaciones fiscales
  • Juzgados y Tribunales: En caso de procedimiento judicial

7.3 Google LLC (OAuth)

Si el usuario opta por utilizar Google OAuth para autenticación, se compartirán datos con Google LLC según su política de privacidad.

8. TRANSFERENCIAS INTERNACIONALES DE DATOS

8.1 Infraestructura en la Unión Europea

Tempoize CRM aloja sus servidores y bases de datos en infraestructura ubicada en la Unión Europea, garantizando así el cumplimiento del RGPD sin necesidad de transferencias internacionales.

8.2 Google OAuth (Opcional)

Si el usuario utiliza autenticación mediante Google OAuth, se realizará una transferencia internacional de datos a Google LLC (Estados Unidos). Esta transferencia se ampara en:

  • Cláusulas Contractuales Tipo aprobadas por la Comisión Europea
  • Decisión de Adecuación del EU-U.S. Data Privacy Framework (si aplicable)

El usuario puede evitar esta transferencia internacional utilizando el sistema de credenciales nativo de Tempoize CRM.

8.3 Otros Proveedores

En caso de que Tempoize CRM contrate servicios con proveedores ubicados fuera del Espacio Económico Europeo (EEE), se garantizará que:

  • Exista una decisión de adecuación de la Comisión Europea sobre el país de destino, o
  • Se suscriban Cláusulas Contractuales Tipo aprobadas por la Comisión Europea, o
  • El proveedor esté adherido a un mecanismo de certificación aprobado (como el EU-U.S. Data Privacy Framework)

9. PLAZO DE CONSERVACIÓN DE LOS DATOS

Los datos personales se conservarán durante los siguientes plazos:

FinalidadPlazo de Conservación
Gestión de usuarios y contratosDurante la relación contractual + 4 años
Registro y verificación de usuariosHasta activación de cuenta (24h) o durante vigencia
Tokens de invitación7 días desde el envío
Consentimientos y aceptación de términos4 años desde la aceptación
Auditoría y logs de seguridad2 años desde la fecha de la operación
CRM - Negocios y contactos activosDurante la vigencia del servicio
CRM - Negocios descartados2 años desde el descarte
CRM - Oportunidades comercialesDurante la vigencia del servicio
CRM - Tareas completadas1 año desde la finalización
CRM - Plantillas y firmas emailHasta que el cliente las elimine
Atención al clienteDurante el contrato + 6 meses
Comunicaciones comercialesHasta revocación del consentimiento
Solicitudes de demo6 meses desde la última interacción
Formularios de contacto1 año desde la respuesta
Datos de proveedoresDurante la relación + plazo de prescripción fiscal (4-10 años)

Transcurridos estos plazos, los datos serán eliminados de forma segura o anonimizados de manera irreversible.

10. DERECHOS DE LOS INTERESADOS

En virtud del RGPD y la LOPDGDD, los usuarios tienen los siguientes derechos:

10.1 Derecho de Acceso (Art. 15 RGPD)

Derecho a obtener confirmación sobre si Tempoize CRM está tratando sus datos personales y, en tal caso, acceder a ellos y a la siguiente información:

  • Finalidades del tratamiento
  • Categorías de datos
  • Destinatarios
  • Plazo de conservación
  • Origen de los datos (si no se obtuvieron directamente)

10.2 Derecho de Rectificación (Art. 16 RGPD)

Derecho a que se rectifiquen los datos inexactos o incompletos.

10.3 Derecho de Supresión ("Derecho al Olvido") (Art. 17 RGPD)

Derecho a solicitar la supresión de los datos cuando:

  • Ya no sean necesarios para los fines para los que fueron recogidos
  • Se retire el consentimiento y no exista otra base legal
  • Se opongan al tratamiento y no prevalezcan motivos legítimos
  • Los datos hayan sido tratados ilícitamente
  • Deban suprimirse por obligación legal

Excepciones: No se podrá ejercer este derecho cuando el tratamiento sea necesario para:

  • Cumplimiento de una obligación legal (ej. registro de jornada)
  • Formulación, ejercicio o defensa de reclamaciones

10.4 Derecho a la Limitación del Tratamiento (Art. 18 RGPD)

Derecho a solicitar la limitación del tratamiento en los siguientes casos:

  • Se impugne la exactitud de los datos
  • El tratamiento sea ilícito, pero no se desee la supresión
  • Tempoize CRM ya no necesite los datos, pero el interesado los necesite para reclamaciones
  • Se haya ejercido el derecho de oposición mientras se verifica si prevalecen motivos legítimos

10.5 Derecho a la Portabilidad (Art. 20 RGPD)

Derecho a recibir los datos personales en un formato estructurado, de uso común y lectura mecánica (CSV, JSON) y a transmitirlos a otro responsable cuando:

  • El tratamiento se base en el consentimiento o en un contrato
  • El tratamiento se efectúe por medios automatizados

10.6 Derecho de Oposición (Art. 21 RGPD)

Derecho a oponerse al tratamiento de datos cuando:

  • El tratamiento se base en el interés legítimo del responsable
  • Los datos se utilicen para comunicaciones comerciales

Excepción: Tempoize CRM podrá seguir tratando los datos si acredita motivos legítimos imperiosos que prevalezcan sobre los intereses del interesado.

10.7 Derecho a No Ser Objeto de Decisiones Automatizadas (Art. 22 RGPD)

Derecho a no ser objeto de decisiones basadas únicamente en tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos o afecten significativamente.

Nota: Tempoize CRM no toma decisiones automatizadas que produzcan efectos legales o afecten significativamente a los usuarios.

10.8 Derecho a Retirar el Consentimiento (Art. 7.3 RGPD)

Cuando el tratamiento se base en el consentimiento, el interesado tiene derecho a retirarlo en cualquier momento, sin que ello afecte a la licitud del tratamiento previo.

10.9 Cómo Ejercer los Derechos

Los derechos pueden ejercerse mediante solicitud dirigida a:

Correo electrónico: privacy@crm.tempoize.com Correo postal: Parellada 8, 08757 Corbera de Llobregat, Barcelona, España

La solicitud debe incluir:

  • Nombre y apellidos del interesado
  • Fotocopia del DNI/NIE o documento identificativo válido
  • Especificación del derecho que se desea ejercer
  • Dirección para notificaciones
  • Fecha y firma

Plazo de respuesta: Tempoize CRM responderá a la solicitud en el plazo máximo de 1 mes desde la recepción. Este plazo podrá prorrogarse 2 meses más en caso de complejidad o gran número de solicitudes.

10.10 Derecho a Presentar Reclamación

Si el interesado considera que el tratamiento de sus datos personales no se ajusta a la normativa, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD):

Sitio web: www.aepd.es Dirección: C/ Jorge Juan, 6, 28001 Madrid Teléfono: 901 100 099 / 912 663 517

11. MEDIDAS DE SEGURIDAD

Tempoize CRM ha implementado medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:

11.1 Medidas Técnicas

  • Cifrado de comunicaciones: Todas las conexiones utilizan SSL/TLS (HTTPS) con certificados de 256 bits (AES-256)
  • Cifrado de contraseñas: Las contraseñas se almacenan mediante algoritmo bcrypt con salt único
  • Autenticación segura: Sistema de tokens JWT con caducidad de sesión (7 días)
  • Firmas digitales: HMAC-SHA256 para garantizar la integridad de reportes y exportaciones
  • Firmas electrónicas: Captura y almacenamiento seguro de firmas manuscritas digitalizadas
  • Protección contra ataques: Sistemas de prevención de inyección SQL, XSS, CSRF
  • Backups automáticos: Copias de seguridad diarias con cifrado AES-256 y retención de 30 días
  • Registro de auditoría: Todas las operaciones quedan registradas con timestamp, usuario e IP
  • Gestión de vulnerabilidades: Actualizaciones regulares de todos los componentes del sistema
  • Aislamiento multi-tenant: Separación completa de datos entre diferentes organizaciones

11.2 Medidas Organizativas

  • Control de acceso: Acceso restringido a datos personales según roles y necesidad de conocimiento
  • Formación del personal: Capacitación regular en protección de datos y seguridad
  • Política de confidencialidad: Todo el personal firma acuerdos de confidencialidad
  • Análisis de riesgos: Evaluación periódica de riesgos para la privacidad
  • Evaluaciones de impacto: Cuando el tratamiento pueda suponer alto riesgo para los derechos
  • Protocolos de respuesta: Procedimientos para gestión de brechas de seguridad
  • Revisión de encargados: Auditoría de terceros proveedores que acceden a datos

11.3 Notificación de Brechas de Seguridad

En caso de violación de la seguridad de los datos personales, Tempoize CRM:

  • Notificará a la AEPD en un plazo máximo de 72 horas
  • Comunicará a los interesados afectados si existe alto riesgo para sus derechos y libertades
  • Documentará la brecha, sus efectos y medidas correctivas adoptadas

12. COOKIES Y TECNOLOGÍAS SIMILARES

Tempoize CRM utiliza cookies y tecnologías similares para el funcionamiento de la plataforma. Para información detallada, consulte nuestra Política de Cookies en https://crm.tempoize.com/cookies.

12.1 Tipos de Cookies Utilizadas

  • Cookies técnicas y funcionales: Estrictamente necesarias para el funcionamiento de la plataforma (sesión, autenticación, preferencias)
  • Cookies analíticas: Para análisis de uso y mejora de la experiencia (anonimizadas en la medida de lo posible)

12.2 Gestión de Cookies

El usuario puede configurar su navegador para:

  • Aceptar o rechazar cookies
  • Recibir avisos de recepción de cookies
  • Eliminar cookies almacenadas

Nota: El rechazo de cookies técnicas puede impedir el correcto funcionamiento de la plataforma.

13. REDES SOCIALES

Tempoize CRM puede estar presente en redes sociales (LinkedIn, Twitter/X, Facebook, Instagram). El tratamiento de datos en estas plataformas se rige por:

  • Las políticas de privacidad de cada red social
  • La presente Política de Privacidad para interacciones directas con Tempoize CRM

Datos tratados: Solo información pública del perfil del usuario Finalidad: Gestión de comunidad, atención al cliente, comunicaciones corporativas Base legal: Consentimiento implícito al interactuar con nuestros perfiles

Los usuarios pueden ejercer sus derechos de protección de datos directamente en cada red social o contactando con Tempoize CRM en privacy@crm.tempoize.com.

14. ENLACES A TERCEROS

El sitio web de Tempoize CRM puede contener enlaces a sitios de terceros. Tempoize CRM no se hace responsable de las políticas de privacidad de estos sitios externos. Recomendamos leer sus políticas antes de proporcionar datos personales.

15. MENORES DE EDAD

La plataforma Tempoize CRM está dirigida a mayores de 18 años (edad mínima para trabajar con contrato laboral en España). No recopilamos intencionadamente datos de menores de edad. Si detectamos datos de menores, procederemos a su eliminación inmediata.

16. MODIFICACIONES DE LA POLÍTICA

Tempoize CRM se reserva el derecho de modificar la presente Política de Privacidad en cualquier momento. Los cambios sustanciales serán notificados a los usuarios a través de:

  • Correo electrónico a la dirección registrada
  • Aviso destacado en la plataforma
  • Actualización de la fecha de "Última actualización"

Revisión recomendada: Se recomienda a los usuarios revisar periódicamente esta política.

17. ACUERDO DE TRATAMIENTO DE DATOS (CLIENTE-TEMPOIZE)

Cuando Tempoize CRM actúa como Encargado del Tratamiento para los datos de empleados de sus clientes (empresas), las obligaciones y responsabilidades específicas se detallan en el Acuerdo de Tratamiento de Datos que forma parte del contrato de servicios.

Este acuerdo incluye:

  • Objeto y duración del tratamiento
  • Obligaciones del encargado (Tempoize CRM)
  • Obligaciones del responsable (Cliente)
  • Medidas de seguridad implementadas
  • Subencargados del tratamiento
  • Derechos de auditoría
  • Devolución/eliminación de datos al finalizar el servicio

18. DATOS DE CONTACTO PARA CUESTIONES DE PRIVACIDAD

Para cualquier consulta, duda o ejercicio de derechos relacionados con la privacidad y protección de datos, puede contactarnos en:

Correo Electrónico (Privacidad): privacy@crm.tempoize.com Correo Electrónico (General): info@crm.tempoize.com Correo Electrónico (Legal): legal@crm.tempoize.com Teléfono: +34 624 659 759 Dirección Postal: Parellada 8, 08757 Corbera de Llobregat, Barcelona, España

Horario de Atención: Lunes a Viernes: 9:00 - 18:00 (CET/CEST)

Fecha de última actualización: 13 de diciembre de 2025 Versión: 1.4

© 2025 Tempoize CRM. Todos los derechos reservados.