Saltar al contenido principal

Política de privacidad

Fecha de vigencia:

Jonot es un servicio de gestión de colas en la nube. Esta política explica qué datos personales recopilamos cuando tú o tus clientes utilizan el servicio, por qué los recopilamos, durante cuánto tiempo los conservamos y qué derechos tienes sobre ellos.

Quiénes somos

El servicio lo gestiona Jonot Oy (ID de empresa 3620928-7), una sociedad registrada en Finlandia ("Jonot", "nosotros" en esta política). Para consultas de privacidad:

  • Correo electrónico: info@jonot.io
  • Dirección postal: Jonot Oy, Tenavatie 11B, 00760 Helsinki, Finlandia

No hemos designado un delegado de protección de datos —estamos por debajo de los umbrales del artículo 37 del RGPD que lo exigirían—, pero la dirección de correo anterior llega a la persona responsable del cumplimiento de la normativa de privacidad.

Qué recopilamos, por rol

Jonot lo utilizan tres grupos de personas y recopilamos datos distintos de cada uno.

Usuarios finales (personas que se unen a una cola)

  • Hash del turno: un identificador aleatorio de 22 caracteres que representa al usuario final. Es el único identificador que tiene el usuario final —sin cuenta, sin inicio de sesión y sin correo electrónico recopilado por defecto.
  • Dirección IP: se lee en el edge para la limitación de velocidad y la protección contra abusos (por ejemplo, para impedir que un navegador sature una cola). Las direcciones IP no se almacenan en la base de datos de colas; solo se conservan en registros de solicitudes de corta duración.
  • Datos de contacto opcionales: si el negocio ha configurado un flujo de quiosco o de unión que solicita el nombre o el número de teléfono (por ejemplo, para llamarte cuando sea tu turno), ese valor se almacena vinculado a tu turno durante el tiempo que dura el periodo de cola.

Usuarios del personal (mostrador, administración, super-admin)

  • Identidad: correo electrónico, nombre, avatar e ID de usuario. Jonot gestiona su propia autenticación en su base de datos de la UE; tu contraseña solo se almacena como hash con sal —nunca en texto claro y nunca visible para nosotros.
  • Permisos: los roles asignados a tu cuenta (por ejemplo, org-manager, desk), verificados en cada solicitud.
  • Registro de actividad: un historial de acciones administrativas (crear local, revocar dispositivo, etc.) vinculado a tu ID de usuario.
  • Metadatos de solicitud: IP y agente de usuario registrados en los logs de solicitudes de corta duración.

Dispositivos (quioscos, pantallas)

  • Hash del token de sesión del dispositivo: un hash unidireccional del token que emitimos al emparejar. Nunca almacenamos el token en bruto.
  • Metadatos de emparejamiento: el local al que está vinculado el dispositivo, una etiqueta legible y marcas de tiempo de última conexión.

Por qué lo recopilamos (base jurídica)

El RGPD exige una base jurídica para cada actividad de tratamiento. Las nuestras son:

  • Contrato (art. 6.1 b): cuentas del personal, emisión de turnos y emparejamiento de quioscos, todos necesarios para prestar el servicio que nuestro cliente de pago contrató.
  • Intereses legítimos (art. 6.1 f): limitación de velocidad, protección contra abusos y logs de solicitudes. Nuestro interés en mantener el servicio disponible y equitativo supera la intrusión mínima de un log de IP de corta duración.
  • Consentimiento (art. 6.1 a): campos de contacto opcionales que un usuario final rellena activamente en un formulario de quiosco. Puedes retirar el consentimiento en cualquier momento enviándonos un correo.

Quién trata los datos en nuestro nombre

Nos apoyamos en un pequeño número de subencargados para prestar el servicio. Cada uno está vinculado por una adenda de tratamiento de datos y solo puede tratar datos personales según nuestras instrucciones:

  • Cloudflare — alojamiento, base de datos (D1) y computación en el edge. Los datos de cola y de cuenta se almacenan en la UE (Europa Occidental); los activos estáticos y la computación sin estado se sirven desde su red edge global.

La autenticación y la identidad del personal se gestionan internamente en nuestra propia base de datos de la UE, no por un tercero. La facturación la gestiona Polar como nuestro merchant of record; Polar actúa como responsable independiente para los datos de pago, no como subencargado nuestro. Actualizamos esta lista cuando cambian nuestros subencargados.

Dónde se tratan los datos

  • Datos de cola: almacenados en la UE (Europa Occidental).
  • Activos estáticos y computación de aplicaciones: servidos desde una red edge global. La computación es sin estado; no se persisten datos personales en el edge.
  • Identidad y autenticación: gestionadas internamente en nuestra base de datos de la UE (Europa Occidental).
  • Facturación (a través de Polar, nuestro merchant of record): puede implicar transferencias a EE. UU. en el marco del Marco de Privacidad de Datos UE-EE. UU.

Si un destinatario no está certificado en el Marco de Privacidad de Datos UE-EE. UU., la transferencia se basa en las cláusulas contractuales tipo de la Comisión Europea; puede solicitarse una copia de las cláusulas en info@jonot.io.

Cuánto tiempo conservamos los datos

  • Turnos de cola: se conservan hasta que el periodo de cola se cierra, luego 30 días para resolución de disputas y después se eliminan.
  • Sesiones de dispositivo: se conservan hasta que el dispositivo se revoca; la revocación activa la eliminación inmediata del hash del token.
  • Datos de cuenta del personal: se conservan durante la vigencia de la suscripción de la organización, más 90 días tras la cancelación, y luego se eliminan de nuestra base de datos. Los datos de identidad, incluido el hash de contraseña con sal, forman parte de estos datos de cuenta y se eliminan según el mismo calendario.
  • Registros de auditoría: 12 meses.
  • Logs de solicitudes: normalmente 7 días.

Tus derechos

Si te encuentras en la UE/EEE (y en la mayoría de los casos, independientemente de dónde estés), tienes derecho a:

  • Acceder a los datos personales que conservamos sobre ti.
  • Rectificar los datos incorrectos.
  • Suprimir tus datos (con sujeción a las obligaciones legales de conservación, por ejemplo, de datos de facturación).
  • Exportar tus datos en un formato portátil.
  • Oponerte al tratamiento basado en intereses legítimos.
  • Retirar el consentimiento para cualquier cosa sobre la que hayas dado tu consentimiento (sin que ello afecte al tratamiento ya realizado).

Envía un correo a info@jonot.io para ejercer cualquiera de estos derechos. Nos comprometemos a responder en 30 días; el plazo legal de la autoridad supervisora es un mes, ampliable por otros dos meses en casos complejos.

Si tratamos datos en nombre de un cliente de Jonot (por ejemplo, tu empleador), dirige la solicitud a ellos primero —son el responsable de esos datos y nosotros actuamos según sus instrucciones.

Cookies y almacenamiento local

Las aplicaciones de Jonot usan el almacenamiento del navegador de forma limitada:

  • Almacenamiento de sesión para URL post-inicio de sesión para enviarte de vuelta a donde estabas tras el inicio de sesión. Se borra en cuanto finaliza la redirección.
  • Tokens de identidad: tokens de ID y de actualización conservados en memoria y en cookies de actualización seguras emitidas por el propio servicio de autenticación de Jonot.

No usamos cookies de publicidad ni de análisis en las aplicaciones del producto. El sitio de marketing puede utilizar análisis de primera parte en el futuro; dicho añadido activará una actualización de esta página y, si es necesario, un aviso de consentimiento.

Menores

Jonot es un servicio empresarial. No recopilamos datos de menores de 16 años de forma consciente. Si crees que un menor ha enviado datos a través del quiosco de un cliente que no deberían estar ahí, escríbenos y los eliminaremos.

Cambios en esta política

Actualizamos esta política a medida que el servicio evoluciona. La fecha de vigencia que aparece en la parte superior de la página refleja siempre la versión actual; para cambios sustanciales, notificaremos a los usuarios del personal registrados con al menos 14 días de antelación por correo electrónico.

Reclamaciones

Si no estás satisfecho con cómo hemos gestionado una solicitud de privacidad, puedes presentar una reclamación ante una autoridad supervisora. En Finlandia es la Oficina del Comisionado de Protección de Datos (tietosuoja.fi). En cualquier otro país de la UE/EEE, es tu autoridad local de protección de datos.