En cumplimiento del Reglamento (UE) 2016/679 (RGPD) y de la Ley Orgánica 3/2018 (LOPDGDD), QSAS Data SL informa a los usuarios del sitio web qsasdata.com y de sus plataformas SaaS (Fichajes, PropTech Manager, Gloc y cualquier otro producto alojado en subdominios de qsasdata.com) acerca del tratamiento de sus datos personales.
1. Responsable del tratamiento
Denominación social: QSAS Data SL
CIF: B26879262
Domicilio social: C/ Sant Lluís 40 (local), 08291 Ripollet, Barcelona
QSAS Data SL no ha designado un Delegado de Protección de Datos al no concurrir los supuestos del artículo 37.1 RGPD. Las consultas y el ejercicio de derechos se canalizan a través de privacidad@qsasdata.com. Esta decisión se reevalúa anualmente y ante cambios materiales de alcance o volumen.
2. Finalidades del tratamiento
Sitio web corporativo qsasdata.com:
Atender consultas y solicitudes de información recibidas vía formulario de contacto.
Informar sobre nuestros productos y novedades (solo a usuarios que lo hayan solicitado expresamente).
Cumplir con las obligaciones legales aplicables a la actividad.
Plataformas SaaS (Fichajes, PropTech Manager, Gloc y siguientes):
Prestar el servicio contratado (gestión de jornada laboral, gestión inmobiliaria, geolocalización operativa, etc.).
Gestión de contratos, facturación y cobros (incluida domiciliación SEPA y TPV virtual para pagos puntuales).
Firma digital de documentos con trazabilidad (metadatos de fecha, IP y user agent del firmante).
Comunicaciones transaccionales (alta de cuenta, recuperación de contraseña, notificaciones operativas).
Auditoría, seguridad y prevención de fraude.
Segregación de datos entre clientes (multi-tenant) para garantizar la confidencialidad.
Generación de reportes y métricas agregadas o anonimizadas para mejorar el servicio.
QSAS Data SL no realiza acciones de marketing directo por email ni SMS a usuarios finales, ni comparte los datos para fines publicitarios de terceros.
3. Base legal del tratamiento
Ejecución de contrato (art. 6.1.b RGPD) — cuando el tratamiento es necesario para prestar el servicio contratado, incluyendo facturación, firma digital y comunicaciones transaccionales.
Cumplimiento de obligación legal (art. 6.1.c RGPD) — conservación de facturación, obligaciones fiscales, normativa laboral aplicable al registro de jornada, y medidas de seguridad exigidas por el art. 32 RGPD.
Interés legítimo (art. 6.1.f RGPD) — seguridad, prevención de fraude, audit trail, segregación multi-tenant y mejora del servicio mediante métricas anonimizadas. Se han realizado los correspondientes tests de ponderación, disponibles previa solicitud.
Consentimiento (art. 6.1.a RGPD) — únicamente para cookies no estrictamente necesarias (ver Política de Cookies).
4. Categorías de datos tratados
Datos identificativos y de contacto: nombre, apellidos, DNI/NIE, dirección, teléfono, email.
Datos económicos y contractuales: IBAN, datos de facturación, importes, condiciones del contrato.
Datos técnicos de uso: direcciones IP, user agent, registros de acceso, metadatos de firma.
Documentación contractual: contratos, anexos, justificantes, avales aportados por el inquilino.
Datos aportados por terceros: cuando un documento subido por el usuario contiene datos personales de un tercero (por ejemplo, avalistas o garantes), estos datos son tratados con la misma finalidad contractual y con la base legal correspondiente.
No se tratan categorías especiales de datos (art. 9 RGPD) ni datos relativos a condenas penales.
5. Destinatarios y encargados del tratamiento
Los datos personales no se ceden a terceros salvo obligación legal. Acceden a los datos, únicamente en calidad de encargados del tratamiento conforme al art. 28 RGPD:
Redsys Servicios de Procesamiento SL — pasarela de pago TPV para cobros puntuales con tarjeta. Ubicación: España (UE).
Google LLC (Google Workspace) — envío de correo electrónico transaccional desde dominios @qsasdata.com. Transferencia internacional a EE.UU. cubierta por el Data Privacy Framework UE–EE.UU. (Google LLC certificada).
La infraestructura de hosting, almacenamiento (MinIO) y firma digital es propia de QSAS Data SL y se opera en centros de datos en territorio de la Unión Europea.
6. Transferencias internacionales
El núcleo del tratamiento (aplicación, bases de datos, almacenamiento de documentos, logs) se realiza íntegramente en la Unión Europea. La única transferencia internacional es al servicio de correo electrónico de Google LLC, amparada por el Data Privacy Framework UE–EE.UU. y los Processor Terms de Google Workspace.
7. Plazos de conservación
Contratos, documentos firmados y datos contractuales: durante la vigencia del contrato + 6 años (art. 30 CCom + plazos de prescripción civil y fiscal).
Facturación y comisiones: 6 años (art. 30 CCom y LGT).
Registros de auditoría y seguridad: 3 años.
Usuarios inactivos: 2 años sin inicio de sesión → anonimización irreversible, previa notificación al email registrado con 30 días de antelación.
Registros de comunicaciones transaccionales: 12 meses.
Aceptaciones legales y consentimientos: de forma permanente y en formato inmutable, como prueba de consentimiento.
8. Medidas de seguridad
QSAS Data SL aplica medidas técnicas y organizativas proporcionales al riesgo (art. 32 RGPD):
Cifrado en tránsito (TLS 1.3) y cifrado de datos sensibles en reposo (AES) con claves gestionadas en servicio de secretos dedicado.
Segregación estricta entre clientes (multi-tenant) mediante Row-Level Security en base de datos y control de acceso por rol.
Autenticación multifactor (2FA) obligatoria para cuentas administrativas.
Registro de auditoría inmutable y logs centralizados.
Detección automática de accesos anómalos y patrones de ataque.
Copias de seguridad cifradas con RPO ≤ 15 minutos y plan de recuperación documentado.
Pruebas de penetración anuales y previo al lanzamiento en producción de cambios relevantes.
Análisis estático de código, escaneo de dependencias y escaneo de secretos en el ciclo de desarrollo.
Formación RGPD anual obligatoria para todo el personal con acceso a datos.
9. Derechos del interesado
El usuario puede ejercer, en cualquier momento y de forma gratuita, los siguientes derechos (arts. 15 a 22 RGPD):
Acceso: conocer qué datos suyos tratamos y obtener una copia.
Rectificación: corregir datos inexactos o incompletos.
Supresión (olvido): solicitar la eliminación de sus datos, salvo obligaciones legales de conservación.
Limitación: solicitar la limitación temporal del tratamiento.
Portabilidad: recibir sus datos en formato estructurado y automatizable.
Oposición: oponerse a tratamientos basados en interés legítimo, con revisión caso a caso.
No ser objeto de decisiones automatizadas con efectos jurídicos significativos. QSAS Data SL no realiza este tipo de decisiones en sus productos actuales.
Canal de ejercicio:privacidad@qsasdata.com. Plazo de respuesta: 1 mes desde la recepción, prorrogable hasta 2 meses adicionales si la solicitud es especialmente compleja (se comunicará la prórroga motivada).
Verificación de identidad: se podrán solicitar datos mínimos para acreditar la identidad del solicitante cuando existan dudas razonables, con criterios de proporcionalidad y minimización.
QSAS Data SL cuenta con un procedimiento documentado para la notificación de brechas de seguridad a la AEPD dentro del plazo de 72 horas (art. 33 RGPD) y, cuando el riesgo para los derechos del interesado sea alto, también al propio interesado (art. 34 RGPD).
11. Actualización de la política
La presente política podrá ser actualizada para adaptarla a cambios normativos o a nuevas funcionalidades del servicio. La fecha de última actualización figura al inicio del documento. En caso de cambios sustanciales se comunicará previamente a los usuarios por los medios habituales.
Utilizamos cookies técnicas para el funcionamiento del sitio. Consulta nuestra Política de Cookies.