Puntualby IDK Manager

Política de Privacidad

Última actualización: 13 de abril de 2026 · Versión 1.0 · LOPDP Ecuador · GDPR

Este documento se rige por la versión en español. La versión en inglés es una traducción de cortesía.

1. Quiénes somos

Puntual es un servicio operado por IDK Manager, con domicilio en Quito, Ecuador. Actuamos como encargados de tratamiento (processor) para la empresa cliente, quien es el controlador (controller) de los datos de sus empleados.

2. Qué datos recolectamos

Del admin: nombre, email, teléfono, rol, contraseña (hasheada con bcrypt).

De los empleados:

  • Datos laborales: nombre, cédula, email, teléfono, departamento, cargo, fecha ingreso, salario mensual (para cálculo LOSEP).
  • Marcaciones: timestamp, tipo (entrada/salida/almuerzo), ubicación GPS, IP pública, user agent, método de verificación.
  • Passkey WebAuthn: firma criptográfica del dispositivo (NO la huella real).
  • Selfie de enrolamiento: tomada al momento del primer registro biométrico como prueba de vida.
  • Device info del enrolamiento: user agent, plataforma, idioma, zona horaria, resolución pantalla, IP.
  • Justificativos: tipo, fechas, motivo, adjuntos (ej. certificados médicos).

3. Biometría on-device

Puntual no procesa ni almacena templates biométricos en servidores. El estándar WebAuthn garantiza que la huella, Face ID o PIN del empleado se verifica exclusivamente en el hardware seguro (Secure Enclave, TEE) de su dispositivo. Al servidor solo llega una firma criptográfica irrepetible — no reversible a la biometría original.

4. Bases legales del tratamiento

  • Contrato laboral: la relación de dependencia justifica el tratamiento de datos de asistencia.
  • Obligación legal: cumplimiento del Código del Trabajo, LOSEP y reportes al Ministerio del Trabajo (SIITH).
  • Interés legítimo: prevención de fraude de asistencia (buddy punching, manipulación de horarios).
  • Consentimiento: activación de biometría opcional en almuerzo y envío de comunicaciones no esenciales.

5. Dónde se alojan los datos

Infraestructura propia ubicada en territorio ecuatoriano. Los datos no se transfieren a AWS, Azure, Google Cloud ni otras jurisdicciones. Adjuntos y selfies se almacenan en storage S3-compatible con cifrado en reposo (AES-256).

6. Proveedores (subencargados)

  • Backblaze B2: almacenamiento de adjuntos cifrados (fuera de Ecuador, solo datos ya cifrados).
  • WhatsApp API: bot de WhatsApp self-hosted en Ecuador.
  • Cloudflare: CDN, TLS edge y DNS (proxy, no almacena payloads).
  • Anthropic Claude: análisis de anomalías de fraude (opcional, solo metadatos anonimizados — no se envían datos personales).
  • ip-api.com: geolocalización de IP para detección de VPN (solo IP pública, no personal).

7. Retención

  • Registros de asistencia: 7 años (cumplimiento tributario + laboral).
  • Adjuntos (selfies, justificativos): 2 años.
  • Logs de auditoría: 7 años con cadena SHA-256 inmutable.
  • Passkeys WebAuthn: mientras el empleado esté activo; se invalidan al darle de baja.

8. Derechos del titular

Conforme LOPDP Ecuador y GDPR, el empleado puede solicitar:

  • Acceso: obtener copia de todos sus datos.
  • Rectificación: corregir datos inexactos.
  • Cancelación: eliminación total al terminar la relación laboral (sujeto a obligaciones legales de retención).
  • Oposición: limitar el tratamiento para fines no esenciales.
  • Portabilidad: recibir datos en formato estructurado (Excel/CSV).

Solicitudes a [email protected]. Respondemos en máximo 15 días hábiles.

9. Seguridad

  • TLS 1.2+ en todas las comunicaciones.
  • Contraseñas hasheadas con bcrypt (12 rounds).
  • Cifrado en reposo AES-256.
  • Autenticación multi-factor obligatoria para admins SaaS.
  • Auditoría inmutable con SHA-256 chain.
  • Firewall WAF con geo-blocking de paths admin fuera de Ecuador.
  • Rotación de secretos JWT trimestral.
  • Backups diarios verificados con restore periódico.

10. Cookies

Usamos cookies estrictamente necesarias (token de sesión JWT en localStorage). No usamos cookies de terceros, tracking publicitario ni analíticas invasivas. Solo agregamos métricas de uso anonimizadas.

11. Notificación de brechas

En caso de incidente de seguridad que afecte datos personales, notificaremos a los admins afectados en máximo 72 horas conforme GDPR art. 33 y a la Superintendencia de Protección de Datos del Ecuador.

12. DPA (Data Processing Agreement)

Clientes Enterprise pueden solicitar un DPA firmado con cláusulas específicas para su industria. Disponible bajo solicitud a [email protected].

13. Contacto

Para ejercer tus derechos o hacer consultas sobre esta política: [email protected]