Política de Privacidad

1. Introducción

Esta Política de Privacidad explica cómo Kora ("nosotros", "nos" o "nuestro") recopila, utiliza, procesa y protege sus datos personales cuando utiliza nuestra aplicación de seguimiento de tiempo y gestión de personal (el "Servicio").

Estamos comprometidos a proteger su privacidad y cumplir con el Reglamento General de Protección de Datos (GDPR) (UE) 2016/679 y otras leyes de protección de datos aplicables.

2. Controlador de Datos

Para cualquier pregunta sobre esta Política de Privacidad o sus datos personales, contáctenos en la dirección de correo electrónico anterior.

3. Datos Personales que Recopilamos

3.1 Información que Usted Proporciona

• Información de Cuenta: Nombre, dirección de correo electrónico, contraseña (encriptada), cargo, departamento
• Datos de Perfil: Foto de perfil, datos de contacto, ID de empleado
• Datos de Seguimiento de Tiempo: Horarios de entrada/salida, horas de trabajo, tiempos de descanso, horarios de turnos
• Gestión de Ausencias: Solicitudes de vacaciones, bajas por enfermedad, registros de ausencias
• Registros de Trabajo: Descripciones de tareas diarias, calificaciones de productividad, notas de trabajo
• Datos de Comunicación: Mensajes, comentarios, solicitudes de soporte

3.2 Datos Recopilados Automáticamente

• Datos de Uso: Dirección IP, tipo de navegador, información del dispositivo, sistema operativo
• Datos de Ubicación: Ubicación aproximada basada en dirección IP (sin seguimiento GPS)
• Datos de Sesión: Tiempos de inicio de sesión, duración de sesión, uso de funciones
• Datos Técnicos: Cookies, archivos de registro, informes de errores

3.3 Datos de Terceros

• Proveedores de Autenticación: Si inicia sesión a través de Google u otros proveedores OAuth, recibimos información básica del perfil (nombre, correo electrónico, foto de perfil)
• Datos del Empleador: Su empleador puede proporcionar datos organizacionales (estructura de departamentos, jerarquía de informes)

4. Base Legal para el Procesamiento

Procesamos sus datos personales bajo las siguientes bases legales:

4.1 Necesidad Contractual (Artículo 6(1)(b) GDPR)

• Gestionar su relación laboral
• Proporcionar servicios de seguimiento de tiempo y gestión de personal
• Procesar información relacionada con nóminas

4.2 Intereses Legítimos (Artículo 6(1)(f) GDPR)

• Mejorar y optimizar nuestro Servicio
• Prevenir fraudes y garantizar la seguridad
• Analizar patrones de uso para mejorar el servicio
• Comunicar actualizaciones del servicio

4.3 Obligación Legal (Artículo 6(1)(c) GDPR)

• Cumplir con los requisitos de la legislación laboral
• Mantener registros para fines fiscales y contables
• Responder a solicitudes legales de las autoridades

4.4 Consentimiento (Artículo 6(1)(a) GDPR)

• Enviar comunicaciones de marketing (cuando corresponda)
• Usar funciones opcionales que requieren consentimiento explícito
• Procesar categorías especiales de datos (si las hay)

5. Cómo Usamos Sus Datos

5.1 Provisión del Servicio

• Registrar y gestionar horas de trabajo
• Procesar solicitudes y aprobaciones de ausencias
• Generar hojas de tiempo e informes
• Gestionar horarios de turnos
• Facilitar la comunicación supervisor-empleado

5.2 Propósitos Administrativos

• Autenticación de usuarios y gestión de cuentas
• Proporcionar soporte al cliente
• Enviar notificaciones relacionadas con el servicio
• Hacer cumplir nuestros Términos de Servicio

5.3 Análisis y Mejora

• Comprender patrones de uso
• Identificar y corregir problemas técnicos
• Desarrollar nuevas funciones
• Mejorar la experiencia del usuario

5.4 Cumplimiento y Seguridad

• Prevenir accesos no autorizados
• Detectar y prevenir fraudes
• Cumplir con obligaciones legales
• Mantener registros de auditoría

6. Compartición y Divulgación de Datos

6.1 Dentro de Su Organización

Su empleador (la organización que le proporciona acceso al Servicio) puede acceder a: sus registros de seguimiento de tiempo, solicitudes y aprobaciones de ausencias, registros de trabajo y datos de productividad, informes generados a partir de sus datos.

6.2 Proveedores de Servicios

Compartimos datos con proveedores de servicios externos de confianza:

• Supabase (Alojamiento de Base de Datos): Almacena datos de la aplicación en centros de datos de la UE
• Vercel (Alojamiento de Aplicación): Aloja la infraestructura de la aplicación
• Servicios de Autenticación: Google OAuth (si se usa)

Todos los proveedores de servicios están contractualmente obligados al cumplimiento del GDPR y los estándares de protección de datos.

6.3 Requisitos Legales

Podemos divulgar sus datos cuando lo exija la ley: en respuesta a solicitudes legales válidas de las autoridades, para proteger nuestros derechos, propiedad o seguridad, para hacer cumplir nuestros Términos de Servicio, en relación con procedimientos legales.

6.4 Transferencias Comerciales

En caso de fusión, adquisición o venta de activos, sus datos pueden ser transferidos a la entidad adquirente, sujeto a las mismas protecciones de privacidad.

7. Transferencias Internacionales de Datos

Sus datos se almacenan y procesan principalmente dentro del Espacio Económico Europeo (EEE). Si los datos se transfieren fuera del EEE, garantizamos salvaguardas adecuadas a través de:

• Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea
• Decisiones de Adecuación para países reconocidos como proveedores de protección adecuada
• Normas Corporativas Vinculantes cuando corresponda

8. Retención de Datos

Conservamos sus datos personales solo el tiempo necesario:

8.1 Empleo Activo

• Datos de seguimiento de tiempo: Duración del empleo + 3 años (para cumplimiento legal)
• Registros de ausencias: Duración del empleo + 5 años
• Registros de trabajo: Duración del empleo + 1 año

8.2 Después de la Terminación del Empleo

• Registros esenciales de empleo: 10 años (para fines legales y fiscales)
• Datos no esenciales: Eliminados dentro de los 30 días posteriores al cierre de la cuenta

8.3 Retenciones Legales

Los datos sujetos a retenciones legales o investigaciones en curso se conservarán hasta que el asunto se resuelva.

9. Sus Derechos Bajo el GDPR

Usted tiene los siguientes derechos respecto a sus datos personales:

Para ejercer sus derechos, contáctenos en: hello@koratrack.com

10. Seguridad de Datos

Implementamos medidas técnicas y organizativas apropiadas para proteger sus datos:

10.1 Medidas Técnicas

• Encriptación: Datos encriptados en tránsito (TLS/SSL) y en reposo (AES-256)
• Controles de Acceso: Acceso basado en roles con autenticación multifactor
• Infraestructura Segura: Auditorías de seguridad regulares y pruebas de penetración
• Sistemas de Respaldo: Copias de seguridad encriptadas con procedimientos de recuperación ante desastres

10.2 Medidas Organizativas

• Políticas de Protección de Datos: Políticas y procedimientos internos integrales
• Formación de Empleados: Formación regular en privacidad y seguridad para el personal
• Respuesta a Incidentes: Procedimientos documentados de notificación de brechas
• Gestión de Proveedores: Diligencia debida en todos los procesadores externos

10.3 Notificación de Brechas de Datos

En caso de una brecha de datos que afecte sus derechos y libertades, nosotros: notificaremos a la autoridad supervisora relevante dentro de las 72 horas, informaremos a las personas afectadas sin demora indebida, proporcionaremos información sobre la brecha y las medidas de mitigación.

11. Cookies y Tecnologías de Seguimiento

11.1 Cookies Esenciales

Requeridas para autenticación, seguridad y funcionalidad básica.

11.2 Cookies de Análisis

Utilizadas para comprender patrones de uso y mejorar el Servicio (requiere consentimiento).

11.3 Sus Opciones de Cookies

Puede gestionar las preferencias de cookies a través de la configuración de su navegador. Tenga en cuenta que deshabilitar las cookies esenciales puede afectar la funcionalidad del Servicio.

12. Privacidad de Menores

Nuestro Servicio no está destinado a personas menores de 16 años. No recopilamos datos de menores a sabiendas. Si tenemos conocimiento de dicha recopilación, eliminaremos los datos inmediatamente.

13. Toma de Decisiones Automatizada

No utilizamos toma de decisiones automatizada ni elaboración de perfiles que produzcan efectos legales o que le afecten significativamente de manera similar sin intervención humana.

14. Cambios a Esta Política de Privacidad

Podemos actualizar esta Política de Privacidad periódicamente. Los cambios serán: publicados en esta página con una fecha de "Última Actualización" actualizada, notificados a los usuarios por correo electrónico para cambios materiales, efectivos 30 días después de la notificación (a menos que se requiera cumplimiento inmediato).

Su uso continuado del Servicio después de los cambios constituye la aceptación de la política actualizada.

15. Información de Contacto

Tiene derecho a presentar una reclamación ante su autoridad nacional de protección de datos. Para una lista de autoridades de protección de datos de la UE, visite: edpb.europa.eu

16. Información Adicional para Jurisdicciones Específicas

16.1 Unión Europea

Esta política cumple con los requisitos del GDPR. Los usuarios de la UE tienen todos los derechos especificados en la Sección 9.

16.2 Reino Unido

Los usuarios del Reino Unido están protegidos bajo el UK GDPR y la Ley de Protección de Datos de 2018.

16.3 California (CCPA)

Los residentes de California tienen derechos adicionales bajo la Ley de Privacidad del Consumidor de California. Contáctenos para más detalles.

17. Acuerdo de Procesamiento de Datos

Si su organización es el controlador de datos y procesamos datos en su nombre, un Acuerdo de Procesamiento de Datos (DPA) separado rige nuestra relación de acuerdo con el Artículo 28 del GDPR.