Política de privacidad
Última actualización: 19 de mayo de 2026.
La presente Política de Privacidad regula el tratamiento de los datos personales en la plataforma Operix(en adelante, «la Plataforma») conforme al Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y demás normativa vigente.
1. Responsable del tratamiento
- Identidad: {{RAZON_SOCIAL_TITULAR}}
- NIF: {{NIF_TITULAR}}
- Domicilio: {{DOMICILIO_FISCAL}}
- Email para asuntos de privacidad: privacidad@operixapp.com
- Email general: hola@operixapp.com
2. Roles RGPD: cuándo somos responsables y cuándo encargados
Operix actúa como responsable del tratamiento respecto de los datos que recogemos para gestionar la relación contractual con nuestros clientes (datos de suscripción, facturación, soporte y datos identificativos de los usuarios administradores de la cuenta).
Operix actúa como encargado del tratamiento respecto de los datos que el cliente introduce en la Plataforma sobre sus propios empleados, clientes finales, presupuestos, partes de servicio y demás contenidos. El cliente es responsable de esos datos. La relación queda regulada en la cláusula de protección de datos incluida en las Condiciones de Uso.
3. Categorías de datos, finalidades y base legal
| Categoría de datos | Finalidad | Base legal | Plazo de conservación |
|---|---|---|---|
| Identificativos del usuario (email, nombre) | Crear y mantener la cuenta, autenticación, soporte | Ejecución del contrato (art. 6.1.b RGPD) | Mientras la cuenta esté activa + plazos legales |
| Datos fiscales de la empresa cliente (NIF, dirección, razón social) | Facturación y cumplimiento de obligaciones fiscales | Obligación legal (art. 6.1.c) — Ley General Tributaria | 6 años (LGT, art. 66) |
| Datos de pago y suscripción (gestionados por Stripe) | Cobro de la suscripción y emisión de facturas | Ejecución del contrato + obligación legal | 6 años |
| Datos de empleados introducidos por el cliente (nombre, DNI, email, teléfono, fichajes, coordenadas GPS, fotos) | Prestar la funcionalidad de gestión laboral y registro horario en nombre del cliente | Operix actúa como encargado — base legal aportada por el cliente responsable | El que establezca el cliente; por defecto, 4 años para registros horarios (RD 8/2019) |
| Datos de clientes finales (nombre, NIF, email, teléfono, firma, IP) | Emisión, envío y aceptación de presupuestos | Operix actúa como encargado — base aportada por el cliente responsable | El que establezca el cliente |
| Logs técnicos, IP, registros de acceso, métricas de uso | Seguridad, prevención de fraude, mejora del servicio | Interés legítimo (art. 6.1.f) | 12 meses |
4. Decisiones automatizadas y uso de IA
Operix utiliza modelos de inteligencia artificial (OpenAI) para sugerir partidas de presupuesto a partir de descripciones introducidas por el usuario. Estas sugerencias no producen efectos jurídicos ni afectan significativamente al usuario: son una propuesta editable que el usuario revisa y modifica antes de emitir el presupuesto. No se elaboran perfiles a partir de estos datos.
5. Destinatarios (encargados del tratamiento)
Para prestar el servicio confiamos en proveedores que pueden tratar datos personales por cuenta de Operix. Todos están vinculados por contratos de encargo de tratamiento (Data Processing Agreement, DPA) que cumplen el art. 28 RGPD.
| Encargado | Finalidad | Ubicación | DPA |
|---|---|---|---|
| Supabase (Supabase Inc.) | Base de datos, autenticación, almacenamiento de archivos | UE — Frankfurt | supabase.com/dpa |
| Vercel (Vercel Inc.) | Hosting de la aplicación y edge functions | Regiones UE / EE.UU. (transferencia amparada por SCC) | vercel.com/legal/dpa |
| Stripe (Stripe Payments Europe Ltd.) | Procesamiento de pagos y facturación | Irlanda (UE) — algunos servicios EE.UU. con SCC | stripe.com/legal/dpa |
| OpenAI (OpenAI, L.L.C.) | Generación de sugerencias de presupuesto con IA | EE.UU. — transferencia amparada en Cláusulas Contractuales Tipo (SCC) | openai.com/policies/data-processing-addendum |
| Resend (Resend, Inc.) | Envío de emails transaccionales | EE.UU. — transferencia amparada en SCC | resend.com/legal/dpa |
Operix tiene contratada la opción API / no-training de OpenAI: las solicitudes enviadas a sus modelos no se utilizan para entrenar modelos de OpenAI y se conservan únicamente el tiempo necesario para gestión de abuso y obligaciones legales, según su DPA.
6. Transferencias internacionales
Algunos de los encargados (OpenAI, Resend y, en determinados servicios, Stripe y Vercel) están situados en EE.UU. Estas transferencias se realizan amparadas en las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea (Decisión 2021/914) que figuran en los respectivos DPA de cada proveedor. No se realizan transferencias internacionales fuera de las descritas.
7. Derechos del interesado
Puedes ejercer en cualquier momento los siguientes derechos:
- Acceso: conocer qué datos tratamos sobre ti.
- Rectificación: corregir datos inexactos.
- Supresión («derecho al olvido»): eliminar tus datos cuando ya no sean necesarios.
- Limitación: restringir el tratamiento en los supuestos del art. 18 RGPD.
- Portabilidad: recibir tus datos en formato estructurado y de uso común.
- Oposición: oponerte a un tratamiento basado en interés legítimo.
- No ser objeto de decisiones automatizadas: Operix no toma decisiones automatizadas con efectos significativos.
Para ejercer estos derechos puedes:
- Escribirnos a privacidad@operixapp.com indicando el derecho que ejerces y adjuntando un documento que acredite tu identidad.
- Usar las herramientas de autoservicio disponibles en tu panel de privacidad, que permiten exportar todos tus datos y eliminar tu cuenta de forma inmediata.
Si consideras que el tratamiento no se ajusta a la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).
8. Datos especialmente sensibles: GPS y fotos de empleados
Cuando el cliente activa la funcionalidad de fichaje y partes de servicio, la Plataforma captura coordenadas GPS y fotos al inicio y al fin del servicio. Estos datos:
- Se capturan únicamente en los momentos de check-in y check-out, no de forma continua. La aplicación no realiza seguimiento del empleado entre fichajes.
- Tienen como finalidad acreditar el cumplimiento del Real Decreto-ley 8/2019 (registro horario) y la realización efectiva del servicio.
- Requieren consentimiento informado previo y explícito del empleado, que se solicita en el primer acceso a la app móvil y queda registrado con fecha y hora.
- El empleado puede revocar el consentimiento en cualquier momento dirigiéndose a su empresa, sin perjuicio de las obligaciones legales del empleador respecto al registro horario.
9. Seguridad
Operix aplica medidas técnicas y organizativas apropiadas para proteger los datos: cifrado en tránsito (TLS), cifrado en reposo en base de datos, segregación lógica por organización (multi-tenancy con Row Level Security a nivel de base de datos), control de accesos basado en roles, registros de auditoría y copias de seguridad cifradas. En caso de violación de seguridad que afecte a datos personales, notificaremos al cliente afectado en un plazo máximo de 72 horas desde su detección, conforme al art. 33 RGPD.
10. Menores
Operix está dirigido exclusivamente a empresas y profesionales. No tratamos intencionadamente datos de menores de 14 años. Si tienes constancia de que un menor ha facilitado datos sin autorización, contacta con nosotros para eliminarlos.
11. Cambios en esta política
Podemos actualizar esta política para reflejar cambios legales o del servicio. Cuando los cambios sean sustanciales, notificaremos al usuario a través de la Plataforma o por email con antelación razonable. La versión vigente es la publicada en esta página.