Política de privacidad

Información sobre el tratamiento de datos personales de los usuarios del portal growzyn.com, conforme al Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD).

1. Responsable del tratamiento

• Responsable: Mónica Galeano Agudelo (persona física)
• NIF: 49351712Z
• Domicilio: Avenida de Francia, 79 — 46024 Valencia
• Email de contacto en materia de protección de datos: monica.galeano.ag@gmail.com

2. Finalidades del tratamiento

Los datos personales de los usuarios del portal se tratan con las siguientes finalidades:

• Autenticación y gestión de sesión en el portal y en las aplicaciones web del ecosistema Growzyn (SSO).
• Asignación de permisos de acceso a las aplicaciones contratadas por la empresa cliente.
• Cumplimiento del contrato de servicio entre el responsable y la empresa que ha contratado Growzyn para sus empleados.
• Seguridad de la información: registro de accesos, prevención de accesos no autorizados, auditoría técnica.
• Cumplimiento de obligaciones legales aplicables al responsable.

3. Base jurídica del tratamiento

• Ejecución del contrato de prestación del servicio (Art. 6.1.b RGPD) suscrito entre el responsable y la empresa contratante a la que pertenece el usuario.
• Interés legítimo del responsable (Art. 6.1.f RGPD) en garantizar la seguridad técnica del servicio y prevenir abusos.
• Cumplimiento de obligaciones legales (Art. 6.1.c RGPD) cuando proceda.

4. Categorías de datos tratados

• Identificativos: nombre, apellidos, email corporativo.
• Credenciales: contraseña almacenada con hash criptográfico (bcrypt). El responsable no almacena la contraseña en texto plano y no tiene capacidad técnica de recuperarla.
• Permisos y rol: aplicaciones del ecosistema a las que el usuario está autorizado a acceder.
• Datos de sesión y auditoría técnica: dirección IP, identificador del navegador (user agent), fechas y horas de acceso, identificadores de sesión.

Las aplicaciones del ecosistema (por ejemplo, RRHH) pueden tratar adicionalmente otros datos personales para sus finalidades específicas. Cada aplicación dispone de su propia cláusula informativa.

5. Destinatarios de los datos

• Los datos no se ceden a terceros ajenos al servicio, salvo obligación legal.
• Encargados del tratamiento (Art. 28 RGPD) que prestan servicios técnicos al responsable:
  • Railway Corp. — proveedor de alojamiento de la base de datos y la aplicación. Datos almacenados en territorio de la Unión Europea (europe-west4, Ámsterdam). DPA aceptado.
• La empresa contratante del servicio, en su condición de empleador del usuario, puede acceder a los datos de acceso de sus empleados con fines de administración del servicio.

6. Transferencias internacionales

No se realizan transferencias internacionales de datos a países fuera del Espacio Económico Europeo. Los datos se alojan en territorio de la Unión Europea.

7. Plazo de conservación

• Datos de cuenta: mientras el usuario esté activo en el servicio. Si la empresa contratante desactiva o elimina la cuenta, los datos se conservan únicamente el tiempo legalmente exigible para responsabilidades posteriores.
• Logs de acceso y seguridad: 12 meses (Art. 18 LOPDGDD).
• Datos contables / facturación (si aplica): durante los plazos exigidos por la legislación fiscal y mercantil.

8. Derechos del interesado

El usuario puede ejercer en cualquier momento los derechos reconocidos por el RGPD:

• Acceso a sus datos personales.
• Rectificación de datos inexactos.
• Supresión cuando no sean necesarios para las finalidades del tratamiento o concurra causa legalmente prevista.
• Limitación del tratamiento.
• Oposición por motivos relacionados con su situación particular.
• Portabilidad de sus datos en formato estructurado.
• No ser objeto de decisiones automatizadas con efectos jurídicos.

Para ejercer estos derechos, envíe una solicitud por escrito acompañada de copia de su DNI o documento equivalente a monica.galeano.ag@gmail.com. La respuesta se facilitará en el plazo máximo de un mes desde la recepción.

9. Reclamaciones ante la autoridad de control

El usuario tiene derecho a presentar reclamación ante la Agencia Española de Protección de Datos (C/ Jorge Juan, 6, 28001 Madrid — www.aepd.es) si considera que el tratamiento de sus datos no se ajusta a la normativa.

10. Medidas de seguridad

El responsable aplica medidas técnicas y organizativas apropiadas para garantizar la seguridad del tratamiento (Art. 32 RGPD): contraseñas almacenadas con hash bcrypt, conexiones cifradas mediante HTTPS/TLS, base de datos con acceso restringido a la red privada del proveedor en producción, autenticación reforzada (2FA) en las cuentas administrativas, copias de seguridad y registro de incidencias.

11. Decisiones automatizadas

En esta plataforma no se adoptan decisiones automatizadas ni elaboración de perfiles que produzcan efectos jurídicos en el interesado o le afecten significativamente.