Política de privacidad

En cumplimiento del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), te informamos sobre el tratamiento de los datos personales recogidos a través de este sitio y del servicio GTG RRHH.

1. Responsable del tratamiento

Gesturas Technology Group, S.L.
NIF: B02943447
Domicilio: Calle España, 22 — Faro de Calaburras, 29649 Mijas (Málaga).
Contacto en materia legal y de protección de datos: legal@gtg-rrhh.com

No estamos obligados a designar Delegado de Protección de Datos conforme al artículo 37 RGPD. Para cualquier cuestión sobre el tratamiento de tus datos puedes contactar directamente con la dirección indicada.

Doble rol funcional: Cuando utilizas GTG RRHH para gestionar a tus empleados (control horario, vacaciones, ausencias y documentación laboral), GTG actúa como Encargado del Tratamiento y tú como Responsable; esa relación se rige por el Acuerdo de Encargo de Tratamiento (DPA).

2. Datos que recogemos

• Datos de contacto: nombre y email cuando nos escribes a través del formulario de contacto.
• Datos de registro: nombre, email, razón social, NIF, dirección fiscal, teléfono y datos del administrador cuando creas una cuenta en GTG RRHH.
• Datos de pago: los datos de tarjeta o cuenta bancaria los gestiona directamente Stripe (procesador de pagos PCI-DSS); nosotros solo recibimos un identificador y los últimos cuatro dígitos.
• Datos de uso del servicio: registros de jornada (entrada/salida/pausas) de tus empleados, vacaciones y ausencias gestionadas, documentación laboral subida al expediente del empleado.
• Datos técnicos automáticos: dirección IP, tipo de navegador, sistema operativo y páginas visitadas, registrados con fines de seguridad y prevención de fraude.
• Cookies estrictamente técnicas: ver política de cookies.

3. Finalidades y base jurídica

• Prestar el servicio contratado (gestión de cuenta, emisión de facturas, soporte técnico): ejecución de contrato, art. 6.1.b RGPD.
• Atender tus consultas y peticiones: consentimiento, art. 6.1.a RGPD.
• Cumplir obligaciones legales (facturación del SaaS, contabilidad, prevención de fraude): obligación legal, art. 6.1.c RGPD.
• Garantizar la seguridad del servicio y prevenir el fraude: interés legítimo, art. 6.1.f RGPD.
• Comunicaciones comerciales propias (sobre productos y servicios similares al contratado): interés legítimo, art. 21.2 LSSI. Puedes oponerte en cualquier momento.

Tratamiento de datos de tus empleados: cuando GTG actúa como encargado del Cliente para el tratamiento de los fichajes y documentación laboral de su plantilla, la base legal del Cliente-Responsable es el cumplimiento de obligación legal (art. 6.1.c RGPD en relación con el art. 34.9 ET y RD-ley 8/2019). GTG limita su tratamiento a las instrucciones del Cliente recogidas en el DPA.

4. Plazos de conservación

• Datos de cuenta: mientras dure la relación contractual.
• Tras cancelación, datos no sujetos a conservación legal: seis (6) meses en modo solo-lectura para permitir exportación o reactivación, posteriormente supresión.
• Registros de jornada de empleados: cuatro (4) años desde su generación, conforme al art. 34.9 del Estatuto de los Trabajadores y a la disposición adicional séptima del RD-ley 8/2019.
• Documentación laboral relevante a efectos de inspección: cuatro (4) años conforme al art. 21 de la LISOS (RD Legislativo 5/2000), sin perjuicio de plazos superiores aplicables a determinados documentos por la normativa de Seguridad Social.
• Facturas emitidas por GTG al Cliente por el SaaS: seis (6) años conforme al art. 30 del Código de Comercio y cuatro (4) años a efectos tributarios (art. 66 Ley 58/2003 General Tributaria).
• Datos de formularios web sin contratación: máximo 2 años desde el último contacto.
• Logs técnicos y de seguridad: 12 meses.
• Comunicaciones comerciales: hasta retirada del consentimiento o ejercicio del derecho de oposición.

5. Destinatarios y encargados de tratamiento

Tus datos no se ceden a terceros, salvo obligación legal. Para la prestación del servicio contamos con encargados de tratamiento sujetos a contrato conforme al artículo 28 RGPD. El listado actualizado y detallado, con sede, datos tratados y garantías para transferencias internacionales, está publicado en gtg-rrhh.com/encargados.

A modo de resumen: Stripe (pasarela de pago), Brevo (emails transaccionales), 1&1 IONOS (hosting), Backblaze (backups cifrados), Google Workspace (correo corporativo) y KERMOSA (gestión administrativa).

Los datos pueden cederse, cuando lo requiera la normativa o el propio Cliente: a la Inspección de Trabajo y Seguridad Social (ITSS) en cumplimiento del art. 34.9 ET y RD-ley 8/2019; a la Tesorería General de la Seguridad Social (TGSS) y al SEPE cuando el Cliente lo solicite para sus gestiones laborales; a entidades bancarias en ejecución de cobros y pagos del SaaS; y a autoridades judiciales o administrativas ante requerimiento legal.

6. Tus derechos

Como interesado puedes ejercer los siguientes derechos:

• Acceso: saber qué datos tenemos sobre ti.
• Rectificación: corregir datos inexactos.
• Supresión ("derecho al olvido"): pedir su eliminación, salvo cuando exista obligación legal de conservación.
• Oposición: oponerte a determinados tratamientos basados en interés legítimo.
• Portabilidad: recibir tus datos en formato estructurado para transferirlos a otro responsable.
• Limitación del tratamiento en los casos previstos por el RGPD.
• Retirar el consentimiento en cualquier momento, sin que afecte a la licitud previa.

Para ejercer tus derechos, escribe a legal@gtg-rrhh.com indicando el derecho que quieres ejercer y adjuntando copia de tu DNI o documento equivalente. Responderemos en el plazo máximo de un mes (art. 12 RGPD), prorrogable a dos meses cuando la solicitud sea compleja.

Si consideras que el tratamiento no se ajusta a la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).

7. Medidas de seguridad

Aplicamos medidas técnicas y organizativas apropiadas: cifrado en tránsito (HTTPS/TLS), control de accesos por contraseña individual, copias de seguridad cifradas, registro de accesos y auditoría interna, tokens con expiración y bloqueo por intentos fallidos, y firmas HMAC-SHA256 para comunicaciones entre módulos.

8. Brechas de seguridad

En caso de brecha que afecte a datos personales, lo notificaremos a la AEPD en un plazo máximo de 72 horas (art. 33 RGPD) y, cuando sea aplicable, a los interesados afectados (art. 34 RGPD).

9. Modificaciones

Esta Política puede actualizarse para adaptarse a cambios normativos o del servicio. Cualquier modificación se comunicará a través del propio sitio o por email a los usuarios registrados con suficiente antelación.

Última actualización: 25 de junio de 2026