1. Introducción y ámbito de aplicación

La presente Declaración de Privacidad (en adelante, la “Declaración”) regula el tratamiento de los datos personales que llevan a cabo SHIFTY AI SL y, en su caso, sus filiales (conjuntamente, “nosotros”, “Shifty” o “la Plataforma”), con CIF B75339416 y domicilio social en Calle Garcilaso 7, 28010, Madrid, a través de:

Su página web www.shifty.es y sus respectivas subpáginas.
Sus aplicaciones móviles para iOS y Android (la "App").
Cualquier otro medio digital o canal de comunicación operado por Shifty.

(Conjuntamente, el “Sitio Web”).

Esta Declaración se aplica a todos los Usuarios del Sitio Web, independientemente de su condición (Trabajadores, Empresas o visitantes), y se complementa con los Términos y Condiciones de Uso, la Política de Privacidad y la Política de Cookies de Shifty, que forman parte integrante de las condiciones del servicio.

Mediante la presente Declaración, Shifty informa a los Usuarios de que podrán determinar libre y voluntariamente si desean facilitar los datos personales que se les puedan requerir. El Usuario no está obligado por ley ni por contrato a facilitar los datos personales especificados. No obstante, su negativa podría imposibilitar el establecimiento de una relación contractual o limitar el uso de los servicios.

Esta Declaración se redacta de conformidad con:

El Reglamento (UE) 2016/679 (RGPD).
La Ley Orgánica 3/2018 (LOPDGDD).
La Ley 34/2002 (LSSI-CE).
La demás normativa española y europea aplicable en materia de protección de datos.

Nos reservamos el derecho a modificar esta Declaración en cualquier momento. Los cambios sustanciales se notificarán mediante la Plataforma y/o correo electrónico. El uso continuado del Sitio Web tras la publicación de los cambios constituirá su aceptación.

2. Responsable del tratamiento

De conformidad con el RGPD, Shifty actúa como Responsable del tratamiento de los datos personales recogidos a través del Sitio Web, introducidos en un registro de actividades de tratamiento conforme al artículo 30 del RGPD.

Responsable: Shifty AI SL
CIF: B75339416
Domicilio social: Calle Garcilaso 7, 28010, Madrid
Correo electrónico: soporte@shifty.es

3. Definiciones

Usuario

Toda persona física o jurídica que accede, se registra o utiliza el Sitio Web.

Trabajador

Persona física mayor de 18 años que se registra para encontrar oportunidades laborales temporales.

Empresa

Persona jurídica o física (autónomo) que publica ofertas de trabajo temporal.

ETT Colaboradora

Empresa de Trabajo Temporal autorizada que colabora con Shifty en la modalidad Shifty + ETT.

Turno

Cada oportunidad de trabajo temporal publicada por una Empresa en la Plataforma.

Datos personales

Toda información relativa a una persona física identificada o identificable (art. 4 RGPD).

Tratamiento

Cualquier operación realizada sobre datos personales (art. 4 RGPD).

4. Datos objeto de tratamiento

4.1. Datos recopilados automáticamente (datos de uso)

Al visitar el Sitio Web, se transmite información técnica a nuestros servidores, almacenada en archivos de registro. Esto ocurre independientemente de que el Usuario se registre o inicie sesión:

Fecha, hora y duración de la visita.
Dirección IP del dispositivo (seudonimizada cuando sea posible).
URL de referencia.
Subpáginas visitadas y acciones realizadas.
Tipo de dispositivo, navegador, sistema operativo, resolución de pantalla, idioma.
Datos de cookies y tecnologías similares.

4.2. Datos proporcionados por Trabajadores

Identificación: nombre, apellidos, DNI/NIE/pasaporte (imagen del documento), fecha de nacimiento, nacionalidad, fotografía.
Contacto: dirección postal, teléfono móvil (verificado por código), correo electrónico.
Laborales y profesionales: biografía, CV, experiencia, nivel de estudios, certificados, idiomas, categorías profesionales, referencias laborales.
Documentación legal: número de Seguridad Social, permisos de trabajo, permiso de conducir, certificados de manipulador de alimentos.
Financieros: número de cuenta bancaria (IBAN).
Contractuales: nóminas, documentos contractuales, altas y bajas en Seguridad Social.
Actividad en la Plataforma: candidaturas, turnos aceptados/rechazados/cancelados/completados, historial.
Disponibilidad y preferencias: disponibilidad horaria, zonas geográficas, categorías preferidas.
Asistencia y geolocalización: fichajes de entrada/salida, tiempos de descanso, ubicación para verificación de asistencia.
Contenido multimedia: vídeos de entrevistas, fotografías de perfil.
Valoraciones: valoraciones emitidas y recibidas por Empresas.
Sistema de Puntos: saldo, historial de penalizaciones, cancelaciones, no-shows, suspensiones.
Datos sensibles: justificantes médicos presentados como motivo de cancelación, tratados exclusivamente con consentimiento expreso.

4.3. Datos proporcionados por Empresas

Identificación de la empresa: razón social, CIF/NIF, domicilio social, inscripción registral.
Usuarios de empresa: nombre, apellidos, cargo, correo electrónico, teléfono.
Datos comerciales: logotipo, fotografías de establecimientos, descripción.
Financieros: datos de facturación, historial de pagos (tarjetas procesadas por el proveedor de pagos).
Actividad en la Plataforma: turnos publicados, candidatos seleccionados, historial de contrataciones, valoraciones, favoritos, bloqueos.
Contractuales: plan contratado, condiciones de facturación, documentos contractuales.

4.4. Datos obtenidos de terceros

ETT Colaboradoras: datos contractuales, de alta laboral y nóminas.
Anteriores empleadores: comentarios, datos de rendimiento y valoraciones sobre turnos previos.
Entidades bancarias y proveedores de pago: confirmaciones de transacciones.
Fuentes públicas: datos accesibles en registros públicos, conforme a la legislación aplicable.

4.5. Edad mínima

Los servicios de Shifty están dirigidos exclusivamente a personas mayores de 18 años. Si detectamos que un menor se ha registrado, procederemos a la eliminación inmediata de sus datos y la cancelación de su cuenta.

5. Finalidades, bases jurídicas y plazos de conservación

5.1. Prestación del servicio y gestión contractual

Datos tratados

Datos de identificación, contacto, laborales, documentación legal, financieros, contractuales, actividad en la Plataforma, disponibilidad, asistencia, geolocalización, contenido multimedia, valoraciones, sistema de Puntos.

Finalidad

Prestar el servicio: registro, gestión de perfil, publicación de turnos, gestión de candidaturas, matching, coordinación de turnos, fichajes, gestión de cancelaciones y penalizaciones, favoritos e invitaciones.

Base jurídica

Ejecución del contrato (art. 6.1.b RGPD)

Plazo de conservación

Mientras la cuenta esté activa. Tras la baja, 5 años (art. 1964 Código Civil).

5.2. Gestión laboral y contractual (Shifty + ETT)

Datos tratados

Datos de identificación, contacto, número de Seguridad Social, documentación legal, financieros, nóminas, documentos contractuales.

Finalidad

Gestión de la relación laboral a través de la ETT Colaboradora: contratos, alta/baja en Seguridad Social, nóminas, cumplimiento de obligaciones laborales.

Base jurídica

Ejecución del contrato (art. 6.1.b) y cumplimiento legal (art. 6.1.c RGPD)

Plazo de conservación

4 años desde la finalización de la relación laboral (art. 4.2 LISOS).

5.3. Registro y autenticación

Datos tratados

Nombre, apellidos, correo electrónico, número de teléfono, dirección IP.

Finalidad

Registro como Usuario, verificación de identidad mediante código de confirmación, gestión de acceso y autenticación.

Base jurídica

Ejecución del contrato (art. 6.1.b RGPD)

Plazo de conservación

Mientras la cuenta esté activa. Tras la baja, 5 años.

5.4. Verificación de identidad y experiencia profesional

Datos tratados

DNI/NIE/pasaporte (imagen), experiencia laboral, referencias, certificados, permisos de trabajo, vídeos de entrevistas.

Finalidad

Verificación de identidad (incluyendo OCR asistido por IA), comprobación de experiencia profesional y entrevista de verificación.

Base jurídica

Ejecución del contrato (art. 6.1.b) e interés legítimo (art. 6.1.f RGPD)

Plazo de conservación

Mientras la cuenta esté activa. Tras la baja, 5 años. Los documentos caducados se sustituyen conservando registro del anterior.

5.5. Sistema de recomendación automatizada

Datos tratados

Nombre, experiencia, referencias, certificados, categorías, disponibilidad, preferencias, geolocalización, valoraciones, historial de turnos, comportamiento en la Plataforma.

Finalidad

Recomendación de Trabajadores a Empresas y de turnos a Trabajadores mediante algoritmos de IA. Función exclusivamente de recomendación y apoyo (ver sección 10).

Base jurídica

Ejecución del contrato (art. 6.1.b RGPD)

Plazo de conservación

Mientras la cuenta esté activa. Datos de comportamiento históricos se anonimizan tras 24 meses de inactividad.

5.6. Valoraciones y sistema de reputación

Datos tratados

Nombre, valoraciones emitidas y recibidas, comentarios de empleadores, datos de rendimiento.

Finalidad

Gestión del sistema de valoraciones y reputación. Las valoraciones son permanentes. Generación de puntuación de calidad como control de calidad del servicio.

Base jurídica

Ejecución del contrato (art. 6.1.b) e interés legítimo (art. 6.1.f RGPD)

Plazo de conservación

Permanente (anonimizadas tras la baja cuando sea posible).

5.7. Gestión de cancelaciones y justificantes médicos

Datos tratados

Datos de identificación, datos de turnos, motivo de cancelación, justificante médico (dato sensible), sistema de Puntos.

Finalidad

Gestión de cancelaciones, aplicación del sistema de penalizaciones, verificación de justificantes médicos presentados dentro de 24 horas.

Base jurídica

Ejecución del contrato (art. 6.1.b) y consentimiento explícito (art. 9.2.a RGPD) para datos sensibles

Plazo de conservación

Justificantes médicos: máximo 12 meses. Historial de penalizaciones: mientras la cuenta esté activa y 5 años tras la baja.

5.8. Comunicaciones operativas

Datos tratados

Nombre, correo electrónico, número de teléfono.

Finalidad

Notificaciones del servicio: confirmaciones de turnos, recordatorios, alertas, estado de la cuenta, invitaciones de Empresas, actualizaciones.

Base jurídica

Ejecución del contrato (art. 6.1.b RGPD)

Plazo de conservación

Mientras dure la relación contractual.

5.9. Comunicaciones comerciales relacionadas con el servicio

Datos tratados

Nombre, apellidos, correo electrónico, número de teléfono.

Finalidad

Información promocional relacionada: oportunidades laborales, cursos de formación, novedades de la Plataforma.

Base jurídica

Ejecución del contrato (art. 6.1.b) e interés legítimo (art. 6.1.f RGPD)

Plazo de conservación

Mientras dure la relación contractual o hasta que el Usuario se oponga.

5.10. Comunicaciones comerciales de terceros

Datos tratados

Nombre, apellidos, correo electrónico, número de teléfono, dirección.

Finalidad

Información promocional no directamente relacionada: beneficios, ofertas o descuentos de terceros colaboradores.

Base jurídica

Consentimiento previo y expreso (art. 6.1.a RGPD)

Plazo de conservación

Hasta la retirada del consentimiento.

5.11. Publicación de contenido en la Plataforma

Datos tratados

Nombre, fotografías de perfil, logotipos, fotografías de establecimientos, vídeos de entrevistas, perfil profesional.

Finalidad

Publicación y visualización de contenido en la Plataforma (perfiles de Trabajadores, perfiles de Empresas, logotipos, fotografías).

Base jurídica

Consentimiento (art. 6.1.a) y ejecución del contrato (art. 6.1.b RGPD)

Plazo de conservación

Mientras la cuenta esté activa. Tras la baja, se elimina de visualización pública. Se conserva internamente durante el plazo legal.

5.12. Análisis, mejora del servicio y seguridad

Datos tratados

Datos de uso (fecha, hora, IP, URL de referencia, subpáginas, dispositivo), datos de interacción.

Finalidad

Análisis de rendimiento, mejora continua, corrección de errores, personalización, seguridad informática, prevención de fraude y accesos no autorizados.

Base jurídica

Interés legítimo (art. 6.1.f RGPD)

Plazo de conservación

Logs técnicos: 12 meses. Datos analíticos agregados (no identificables): sin límite.

5.13. Cumplimiento de obligaciones legales

Datos tratados

Nombre, apellidos, número de Seguridad Social, datos fiscales, nóminas, facturación, documentos contractuales, financieros.

Finalidad

Cumplimiento de obligaciones fiscales, contables, laborales, de Seguridad Social y cualquier otra obligación legal.

Base jurídica

Cumplimiento de obligaciones legales (art. 6.1.c RGPD)

Plazo de conservación

Fiscales: 4 años (art. 66 LGT). Laborales/SS: 4 años (art. 4.2 LISOS). Mercantiles: 6 años (art. 30 Código de Comercio).

5.14. Defensa de reclamaciones

Datos tratados

Nombre, correo electrónico, dirección, valoraciones, referencias, nóminas, financieros, historial de actividad, cancelaciones, penalizaciones.

Finalidad

Conservación para la formulación, ejercicio o defensa de reclamaciones legales.

Base jurídica

Interés legítimo (art. 6.1.f RGPD)

Plazo de conservación

5 años desde el hecho causante (art. 1964 Código Civil). Si hay procedimiento en curso, hasta resolución firme.

5.15. Tabla resumen de plazos de conservación

Categoría	Plazo	Fundamento
Datos de cuenta activa	Mientras la cuenta esté activa	Ejecución de contrato
Datos tras baja de cuenta	5 años desde la baja	Art. 1964 Código Civil
Datos fiscales y de facturación	4 años	Art. 66 Ley General Tributaria
Datos laborales y Seguridad Social	4 años	Art. 4.2 LISOS
Documentación mercantil y contable	6 años	Art. 30 Código de Comercio
Justificantes médicos	12 meses	Minimización (art. 5.1.e RGPD)
Registros y logs técnicos	12 meses	Minimización (art. 5.1.e RGPD)
Datos de geolocalización	30 días	Minimización (art. 5.1.e RGPD)
Consentimiento comunicaciones comerciales	Hasta retirada del consentimiento	Art. 7.3 RGPD
Valoraciones y reseñas	Permanente (anonimizadas tras baja)	Interés legítimo

Transcurridos los plazos indicados, los datos serán suprimidos o anonimizados de forma irreversible.

6. Veracidad de los datos

Los Usuarios se comprometen a facilitar datos personales veraces, exactos, completos y actualizados, así como a comunicar cualquier modificación a través de la configuración de su perfil o mediante comunicación a soporte@shifty.es.

La falta de comunicación o la información incompleta, inexacta o falsa podrá dar lugar a la imposibilidad de prestar el servicio y, en su caso, a la suspensión o cancelación de la cuenta.

Importante: La falsificación de documentos de identidad, justificantes médicos, certificados profesionales o cualquier otra documentación conllevará la expulsión inmediata y definitiva de la Plataforma.

7. Encargados del tratamiento

Shifty permite el acceso a datos personales por parte de terceros que actúan como Encargados del tratamiento conforme al artículo 28 del RGPD. Estos Encargados:

No tratan los datos con fines propios ni distintos a los de Shifty.
Actúan siguiendo las instrucciones documentadas de Shifty.
Están obligados contractualmente a garantizar la confidencialidad y seguridad.
Han sido seleccionados verificando que ofrecen garantías suficientes conforme al RGPD.

7.1. Categorías de Encargados

Categoría	Descripción
Proveedores de servicios de pago	Stripe, Inc. — procesamiento de cobros, pagos y prevención de fraude.
Proveedores tecnológicos	Alojamiento web, bases de datos, infraestructura en la nube, CDN y telecomunicaciones.
Proveedores de análisis	PostHog, Inc. — análisis de comportamiento, mapas de calor, grabaciones de sesión (con enmascaramiento).
ETT Colaboradoras y nóminas	Gestión laboral bajo la modalidad Shifty + ETT.
Seguridad informática	Ciberseguridad, monitorización, copias de seguridad y recuperación.
Comunicación y marketing	Email, notificaciones push, SMS, plataformas de marketing digital (con consentimiento).
Soporte al Usuario	Chat de soporte, gestión de incidencias y atención al cliente.
Validación documental	Externalización de validación de documentación, verificación de identidad y entrevistas.
Asesores profesionales	Asesorías fiscales, laborales, contables y jurídicas.

8. Comunicaciones de datos a terceros (cesiones)

Shifty comunicará datos personales a terceros que los tratarán como Responsables independientes cuando exista base jurídica:

Empresas de la Plataforma

Ejecución del contrato (art. 6.1.b)

Perfil profesional del Trabajador (nombre, experiencia, categorías, valoraciones, disponibilidad). Nunca datos bancarios, documentos de identidad, SS ni justificantes médicos.

ETT Colaboradoras

Ejecución del contrato (art. 6.1.b) y cumplimiento legal (art. 6.1.c)

Datos necesarios para contratos de puesta a disposición, altas en SS y nóminas.

Administraciones Públicas

Cumplimiento legal (art. 6.1.c)

Agencia Tributaria, TGSS, Inspección de Trabajo y cualquier autoridad competente.

Autoridades judiciales

Cumplimiento legal (art. 6.1.c)

Juzgados, tribunales, Ministerio Fiscal y fuerzas de seguridad del Estado.

Mutuas colaboradoras con la SS

Cumplimiento legal (art. 6.1.c)

Asistencia sanitaria, salud laboral y prevención de riesgos laborales.

Entidades bancarias

Ejecución del contrato (art. 6.1.b)

Ejecución de transferencias, domiciliaciones y gestión de pagos.

Empresas del grupo Shifty

Interés legítimo (art. 6.1.f)

Filiales que presten servicios de apoyo para la mejor experiencia de usuario.

Shifty no vende ni cede datos personales a terceros con fines comerciales o publicitarios ajenos a la prestación del servicio.

9. Transferencias internacionales de datos

Shifty no transfiere datos fuera del Espacio Económico Europeo (EEE) de forma directa. Todos los datos se almacenan y procesan en servidores dentro del EEE.

Algunos Encargados (como Stripe o PostHog) pueden tener servidores fuera del EEE. En estos casos, Shifty garantiza salvaguardas adecuadas:

Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea (art. 46.2.c RGPD).
Decisiones de adecuación de la Comisión Europea (como el Marco de Privacidad de Datos UE-EE.UU.).

Para información adicional, contacta a soporte@shifty.es.

10. Decisiones automatizadas y elaboración de perfiles

10.1. Sistemas de recomendación

Shifty utiliza un algoritmo que genera recomendaciones automáticas basándose en:

Datos del perfil profesional: experiencia, categorías, certificaciones.
Datos de comportamiento: historial de turnos, tasa de cumplimiento, cancelaciones.
Datos de rendimiento: valoraciones y comentarios de Empresas.
Datos de disponibilidad y geolocalización.

10.2. La IA recomienda, nunca selecciona

Estos sistemas tienen función exclusivamente de recomendación y apoyo. Shifty no toma decisiones exclusivamente automatizadas que produzcan efectos jurídicos sobre el Usuario (art. 22 RGPD).

La selección de un Trabajador para un turno es siempre una decisión humana de la Empresa.
La decisión de aplicar a un turno es siempre una decisión humana del Trabajador.
El sistema de Puntos y penalizaciones se aplica conforme a reglas objetivas y predeterminadas.

10.3. Derechos del Usuario

Conforme al artículo 22 del RGPD, tienes derecho a:

Obtener información significativa sobre la lógica de los sistemas de recomendación.
Solicitar intervención humana en cualquier proceso que te afecte.
Expresar tu punto de vista e impugnar cualquier decisión.

Para ejercer estos derechos, contacta a soporte@shifty.es.

10.4. Consentimiento al tratamiento automatizado

El tratamiento automatizado es necesario para la prestación del servicio (art. 6.1.b RGPD). Si el Usuario no está de acuerdo, no deberá aceptar esta Declaración ni registrarse, ya que dicho tratamiento es consustancial al servicio.

11. Medidas de seguridad

Shifty adopta medidas técnicas y organizativas apropiadas conforme al artículo 32 del RGPD:

Cifrado de datos en tránsito (TLS/SSL).
Cifrado de datos sensibles almacenados (bancarios, documentos de identidad, justificantes médicos).
Controles de acceso basados en roles y principio de mínimo privilegio.
Autenticación segura, incluyendo verificación por código.
Seudonimización de datos de uso y registros técnicos.
Copias de seguridad periódicas y recuperación ante desastres.
Monitorización y detección de accesos no autorizados.
Evaluaciones periódicas de seguridad.
Formación del personal en protección de datos.
Procedimientos de gestión de brechas conformes al RGPD.

En caso de brecha de seguridad con riesgo para tus derechos, Shifty lo notificará a la AEPD en 72 horas (art. 33 RGPD) y, si el riesgo es alto, te informará sin dilación (art. 34 RGPD).

12. Ejercicio de derechos

Acceso

Art. 15

Obtener confirmación de si tratamos tus datos y acceder a ellos.

Rectificación

Art. 16

Solicitar la corrección de datos inexactos o completar datos incompletos.

Supresión

Art. 17

Solicitar la eliminación cuando ya no sean necesarios, se retire el consentimiento o se hayan tratado ilícitamente.

Limitación

Art. 18

Solicitar que limitemos el tratamiento en determinadas circunstancias.

Portabilidad

Art. 20

Recibir tus datos en formato estructurado y transmitirlos a otro responsable.

Oposición

Art. 21

Oponerte al tratamiento basado en interés legítimo por motivos de tu situación particular.

Decisiones automatizadas

Art. 22

No ser objeto de decisiones basadas únicamente en tratamiento automatizado con efectos jurídicos.

Retirar consentimiento

Art. 7.3

Retirar el consentimiento en cualquier momento sin afectar la licitud del tratamiento previo.

Reclamación

Art. 77

Presentar reclamación ante la AEPD si consideras que se han vulnerado tus derechos.

12.1. Cómo ejercer los derechos

Desde la Plataforma: configuración de cuenta y edición de perfil (rectificación, supresión parcial, portabilidad básica).
Por correo electrónico: escribiendo a soporte@shifty.es desde la dirección asociada a tu cuenta.

Deberás indicar tu nombre completo, correo electrónico de la cuenta, el derecho que deseas ejercer y adjuntar copia de tu DNI/NIE/pasaporte.

12.2. Plazos de respuesta

Máximo un mes desde la recepción. En solicitudes complejas o numerosas, hasta dos meses adicionales informándote dentro del primer mes.

12.3. Gratuidad

El ejercicio es gratuito. Si las solicitudes son manifiestamente infundadas o excesivas, Shifty podrá cobrar un canon razonable o negarse conforme al artículo 12.5 RGPD.

12.4. Reclamación ante la AEPD

Web: www.aepd.es
Dirección: C/ Jorge Juan 6, 28001, Madrid
Teléfono: 901 100 099 / 912 663 517

13. Información específica sobre el derecho de oposición

13.1. Oposición al tratamiento basado en interés legítimo

Cuando el tratamiento se base en interés legítimo (art. 6.1.f RGPD), puedes oponerte en cualquier momento por motivos de tu situación particular. Shifty dejará de tratar tus datos, salvo que acredite motivos legítimos imperiosos o para la defensa de reclamaciones.

13.2. Oposición a marketing directo

Puedes oponerte en cualquier momento, de forma gratuita y sin necesidad de alegar motivo, al tratamiento con fines de marketing directo. Tus datos dejarán de ser tratados para dicha finalidad.

13.3. Consecuencias de la oposición

El ejercicio de determinados derechos (supresión, oposición) podría imposibilitar total o parcialmente la prestación del servicio. La oposición al marketing directo no afecta en ningún caso al servicio ni a las comunicaciones operativas.

Para ejercer el derecho de oposición: soporte@shifty.es o los mecanismos de baja incluidos en cada comunicación comercial.

14. Cookies y tecnologías similares

El Sitio Web utiliza cookies y tecnologías similares. Para información detallada, consulta nuestra Política de Cookies.

15. Contacto

Si tienes cualquier pregunta, consulta o reclamación:

Correo electrónico: soporte@shifty.es
Dirección postal: Shifty AI SL, Calle Garcilaso 7, 28010, Madrid

1. Introducción y ámbito de aplicación

Su página web www.shifty.es y sus respectivas subpáginas.
Sus aplicaciones móviles para iOS y Android (la "App").
Cualquier otro medio digital o canal de comunicación operado por Shifty.

(Conjuntamente, el “Sitio Web”).

Esta Declaración se redacta de conformidad con:

El Reglamento (UE) 2016/679 (RGPD).
La Ley Orgánica 3/2018 (LOPDGDD).
La Ley 34/2002 (LSSI-CE).
La demás normativa española y europea aplicable en materia de protección de datos.

2. Responsable del tratamiento

Responsable: Shifty AI SL
CIF: B75339416
Domicilio social: Calle Garcilaso 7, 28010, Madrid
Correo electrónico: soporte@shifty.es

3. Definiciones

Usuario

Toda persona física o jurídica que accede, se registra o utiliza el Sitio Web.

Trabajador

Persona física mayor de 18 años que se registra para encontrar oportunidades laborales temporales.

Empresa

Persona jurídica o física (autónomo) que publica ofertas de trabajo temporal.

ETT Colaboradora

Empresa de Trabajo Temporal autorizada que colabora con Shifty en la modalidad Shifty + ETT.

Turno

Cada oportunidad de trabajo temporal publicada por una Empresa en la Plataforma.

Datos personales

Toda información relativa a una persona física identificada o identificable (art. 4 RGPD).

Tratamiento

Cualquier operación realizada sobre datos personales (art. 4 RGPD).

4. Datos objeto de tratamiento

4.1. Datos recopilados automáticamente (datos de uso)

Al visitar el Sitio Web, se transmite información técnica a nuestros servidores, almacenada en archivos de registro. Esto ocurre independientemente de que el Usuario se registre o inicie sesión:

Fecha, hora y duración de la visita.
Dirección IP del dispositivo (seudonimizada cuando sea posible).
URL de referencia.
Subpáginas visitadas y acciones realizadas.
Tipo de dispositivo, navegador, sistema operativo, resolución de pantalla, idioma.
Datos de cookies y tecnologías similares.

4.2. Datos proporcionados por Trabajadores

Identificación: nombre, apellidos, DNI/NIE/pasaporte (imagen del documento), fecha de nacimiento, nacionalidad, fotografía.
Contacto: dirección postal, teléfono móvil (verificado por código), correo electrónico.
Laborales y profesionales: biografía, CV, experiencia, nivel de estudios, certificados, idiomas, categorías profesionales, referencias laborales.
Documentación legal: número de Seguridad Social, permisos de trabajo, permiso de conducir, certificados de manipulador de alimentos.
Financieros: número de cuenta bancaria (IBAN).
Contractuales: nóminas, documentos contractuales, altas y bajas en Seguridad Social.
Actividad en la Plataforma: candidaturas, turnos aceptados/rechazados/cancelados/completados, historial.
Disponibilidad y preferencias: disponibilidad horaria, zonas geográficas, categorías preferidas.
Asistencia y geolocalización: fichajes de entrada/salida, tiempos de descanso, ubicación para verificación de asistencia.
Contenido multimedia: vídeos de entrevistas, fotografías de perfil.
Valoraciones: valoraciones emitidas y recibidas por Empresas.
Sistema de Puntos: saldo, historial de penalizaciones, cancelaciones, no-shows, suspensiones.
Datos sensibles: justificantes médicos presentados como motivo de cancelación, tratados exclusivamente con consentimiento expreso.

4.3. Datos proporcionados por Empresas

Identificación de la empresa: razón social, CIF/NIF, domicilio social, inscripción registral.
Usuarios de empresa: nombre, apellidos, cargo, correo electrónico, teléfono.
Datos comerciales: logotipo, fotografías de establecimientos, descripción.
Financieros: datos de facturación, historial de pagos (tarjetas procesadas por el proveedor de pagos).
Actividad en la Plataforma: turnos publicados, candidatos seleccionados, historial de contrataciones, valoraciones, favoritos, bloqueos.
Contractuales: plan contratado, condiciones de facturación, documentos contractuales.

4.4. Datos obtenidos de terceros

ETT Colaboradoras: datos contractuales, de alta laboral y nóminas.
Anteriores empleadores: comentarios, datos de rendimiento y valoraciones sobre turnos previos.
Entidades bancarias y proveedores de pago: confirmaciones de transacciones.
Fuentes públicas: datos accesibles en registros públicos, conforme a la legislación aplicable.

4.5. Edad mínima

5. Finalidades, bases jurídicas y plazos de conservación

5.1. Prestación del servicio y gestión contractual

Datos tratados

Finalidad

Base jurídica

Ejecución del contrato (art. 6.1.b RGPD)

Plazo de conservación

Mientras la cuenta esté activa. Tras la baja, 5 años (art. 1964 Código Civil).

5.2. Gestión laboral y contractual (Shifty + ETT)

Datos tratados

Datos de identificación, contacto, número de Seguridad Social, documentación legal, financieros, nóminas, documentos contractuales.

Finalidad

Gestión de la relación laboral a través de la ETT Colaboradora: contratos, alta/baja en Seguridad Social, nóminas, cumplimiento de obligaciones laborales.

Base jurídica

Ejecución del contrato (art. 6.1.b) y cumplimiento legal (art. 6.1.c RGPD)

Plazo de conservación

4 años desde la finalización de la relación laboral (art. 4.2 LISOS).

5.3. Registro y autenticación

Datos tratados

Nombre, apellidos, correo electrónico, número de teléfono, dirección IP.

Finalidad

Registro como Usuario, verificación de identidad mediante código de confirmación, gestión de acceso y autenticación.

Base jurídica

Ejecución del contrato (art. 6.1.b RGPD)

Plazo de conservación

Mientras la cuenta esté activa. Tras la baja, 5 años.

5.4. Verificación de identidad y experiencia profesional

Datos tratados

DNI/NIE/pasaporte (imagen), experiencia laboral, referencias, certificados, permisos de trabajo, vídeos de entrevistas.

Finalidad

Verificación de identidad (incluyendo OCR asistido por IA), comprobación de experiencia profesional y entrevista de verificación.

Base jurídica

Ejecución del contrato (art. 6.1.b) e interés legítimo (art. 6.1.f RGPD)

Plazo de conservación

Mientras la cuenta esté activa. Tras la baja, 5 años. Los documentos caducados se sustituyen conservando registro del anterior.

5.5. Sistema de recomendación automatizada

Datos tratados

Nombre, experiencia, referencias, certificados, categorías, disponibilidad, preferencias, geolocalización, valoraciones, historial de turnos, comportamiento en la Plataforma.

Finalidad

Recomendación de Trabajadores a Empresas y de turnos a Trabajadores mediante algoritmos de IA. Función exclusivamente de recomendación y apoyo (ver sección 10).

Base jurídica

Ejecución del contrato (art. 6.1.b RGPD)

Plazo de conservación

Mientras la cuenta esté activa. Datos de comportamiento históricos se anonimizan tras 24 meses de inactividad.

5.6. Valoraciones y sistema de reputación

Datos tratados

Nombre, valoraciones emitidas y recibidas, comentarios de empleadores, datos de rendimiento.

Finalidad

Gestión del sistema de valoraciones y reputación. Las valoraciones son permanentes. Generación de puntuación de calidad como control de calidad del servicio.

Base jurídica

Ejecución del contrato (art. 6.1.b) e interés legítimo (art. 6.1.f RGPD)

Plazo de conservación

Permanente (anonimizadas tras la baja cuando sea posible).

5.7. Gestión de cancelaciones y justificantes médicos

Datos tratados

Datos de identificación, datos de turnos, motivo de cancelación, justificante médico (dato sensible), sistema de Puntos.

Finalidad

Gestión de cancelaciones, aplicación del sistema de penalizaciones, verificación de justificantes médicos presentados dentro de 24 horas.

Base jurídica

Ejecución del contrato (art. 6.1.b) y consentimiento explícito (art. 9.2.a RGPD) para datos sensibles

Plazo de conservación

Justificantes médicos: máximo 12 meses. Historial de penalizaciones: mientras la cuenta esté activa y 5 años tras la baja.

5.8. Comunicaciones operativas

Datos tratados

Nombre, correo electrónico, número de teléfono.

Finalidad

Notificaciones del servicio: confirmaciones de turnos, recordatorios, alertas, estado de la cuenta, invitaciones de Empresas, actualizaciones.

Base jurídica

Ejecución del contrato (art. 6.1.b RGPD)

Plazo de conservación

Mientras dure la relación contractual.

5.9. Comunicaciones comerciales relacionadas con el servicio

Datos tratados

Nombre, apellidos, correo electrónico, número de teléfono.

Finalidad

Información promocional relacionada: oportunidades laborales, cursos de formación, novedades de la Plataforma.

Base jurídica

Ejecución del contrato (art. 6.1.b) e interés legítimo (art. 6.1.f RGPD)

Plazo de conservación

Mientras dure la relación contractual o hasta que el Usuario se oponga.

5.10. Comunicaciones comerciales de terceros

Datos tratados

Nombre, apellidos, correo electrónico, número de teléfono, dirección.

Finalidad

Información promocional no directamente relacionada: beneficios, ofertas o descuentos de terceros colaboradores.

Base jurídica

Consentimiento previo y expreso (art. 6.1.a RGPD)

Plazo de conservación

Hasta la retirada del consentimiento.

5.11. Publicación de contenido en la Plataforma

Datos tratados

Nombre, fotografías de perfil, logotipos, fotografías de establecimientos, vídeos de entrevistas, perfil profesional.

Finalidad

Publicación y visualización de contenido en la Plataforma (perfiles de Trabajadores, perfiles de Empresas, logotipos, fotografías).

Base jurídica

Consentimiento (art. 6.1.a) y ejecución del contrato (art. 6.1.b RGPD)

Plazo de conservación

Mientras la cuenta esté activa. Tras la baja, se elimina de visualización pública. Se conserva internamente durante el plazo legal.

5.12. Análisis, mejora del servicio y seguridad

Datos tratados

Datos de uso (fecha, hora, IP, URL de referencia, subpáginas, dispositivo), datos de interacción.

Finalidad

Análisis de rendimiento, mejora continua, corrección de errores, personalización, seguridad informática, prevención de fraude y accesos no autorizados.

Base jurídica

Interés legítimo (art. 6.1.f RGPD)

Plazo de conservación

Logs técnicos: 12 meses. Datos analíticos agregados (no identificables): sin límite.

5.13. Cumplimiento de obligaciones legales

Datos tratados

Nombre, apellidos, número de Seguridad Social, datos fiscales, nóminas, facturación, documentos contractuales, financieros.

Finalidad

Cumplimiento de obligaciones fiscales, contables, laborales, de Seguridad Social y cualquier otra obligación legal.

Base jurídica

Cumplimiento de obligaciones legales (art. 6.1.c RGPD)

Plazo de conservación

Fiscales: 4 años (art. 66 LGT). Laborales/SS: 4 años (art. 4.2 LISOS). Mercantiles: 6 años (art. 30 Código de Comercio).

5.14. Defensa de reclamaciones

Datos tratados

Nombre, correo electrónico, dirección, valoraciones, referencias, nóminas, financieros, historial de actividad, cancelaciones, penalizaciones.

Finalidad

Conservación para la formulación, ejercicio o defensa de reclamaciones legales.

Base jurídica

Interés legítimo (art. 6.1.f RGPD)

Plazo de conservación

5 años desde el hecho causante (art. 1964 Código Civil). Si hay procedimiento en curso, hasta resolución firme.

5.15. Tabla resumen de plazos de conservación

Categoría	Plazo	Fundamento
Datos de cuenta activa	Mientras la cuenta esté activa	Ejecución de contrato
Datos tras baja de cuenta	5 años desde la baja	Art. 1964 Código Civil
Datos fiscales y de facturación	4 años	Art. 66 Ley General Tributaria
Datos laborales y Seguridad Social	4 años	Art. 4.2 LISOS
Documentación mercantil y contable	6 años	Art. 30 Código de Comercio
Justificantes médicos	12 meses	Minimización (art. 5.1.e RGPD)
Registros y logs técnicos	12 meses	Minimización (art. 5.1.e RGPD)
Datos de geolocalización	30 días	Minimización (art. 5.1.e RGPD)
Consentimiento comunicaciones comerciales	Hasta retirada del consentimiento	Art. 7.3 RGPD
Valoraciones y reseñas	Permanente (anonimizadas tras baja)	Interés legítimo

Transcurridos los plazos indicados, los datos serán suprimidos o anonimizados de forma irreversible.

6. Veracidad de los datos

La falta de comunicación o la información incompleta, inexacta o falsa podrá dar lugar a la imposibilidad de prestar el servicio y, en su caso, a la suspensión o cancelación de la cuenta.

7. Encargados del tratamiento

Shifty permite el acceso a datos personales por parte de terceros que actúan como Encargados del tratamiento conforme al artículo 28 del RGPD. Estos Encargados:

No tratan los datos con fines propios ni distintos a los de Shifty.
Actúan siguiendo las instrucciones documentadas de Shifty.
Están obligados contractualmente a garantizar la confidencialidad y seguridad.
Han sido seleccionados verificando que ofrecen garantías suficientes conforme al RGPD.

7.1. Categorías de Encargados

Categoría	Descripción
Proveedores de servicios de pago	Stripe, Inc. — procesamiento de cobros, pagos y prevención de fraude.
Proveedores tecnológicos	Alojamiento web, bases de datos, infraestructura en la nube, CDN y telecomunicaciones.
Proveedores de análisis	PostHog, Inc. — análisis de comportamiento, mapas de calor, grabaciones de sesión (con enmascaramiento).
ETT Colaboradoras y nóminas	Gestión laboral bajo la modalidad Shifty + ETT.
Seguridad informática	Ciberseguridad, monitorización, copias de seguridad y recuperación.
Comunicación y marketing	Email, notificaciones push, SMS, plataformas de marketing digital (con consentimiento).
Soporte al Usuario	Chat de soporte, gestión de incidencias y atención al cliente.
Validación documental	Externalización de validación de documentación, verificación de identidad y entrevistas.
Asesores profesionales	Asesorías fiscales, laborales, contables y jurídicas.

8. Comunicaciones de datos a terceros (cesiones)

Shifty comunicará datos personales a terceros que los tratarán como Responsables independientes cuando exista base jurídica:

Empresas de la Plataforma

Ejecución del contrato (art. 6.1.b)

Perfil profesional del Trabajador (nombre, experiencia, categorías, valoraciones, disponibilidad). Nunca datos bancarios, documentos de identidad, SS ni justificantes médicos.

ETT Colaboradoras

Ejecución del contrato (art. 6.1.b) y cumplimiento legal (art. 6.1.c)

Datos necesarios para contratos de puesta a disposición, altas en SS y nóminas.

Administraciones Públicas

Cumplimiento legal (art. 6.1.c)

Agencia Tributaria, TGSS, Inspección de Trabajo y cualquier autoridad competente.

Autoridades judiciales

Cumplimiento legal (art. 6.1.c)

Juzgados, tribunales, Ministerio Fiscal y fuerzas de seguridad del Estado.

Mutuas colaboradoras con la SS

Cumplimiento legal (art. 6.1.c)

Asistencia sanitaria, salud laboral y prevención de riesgos laborales.

Entidades bancarias

Ejecución del contrato (art. 6.1.b)

Ejecución de transferencias, domiciliaciones y gestión de pagos.

Empresas del grupo Shifty

Interés legítimo (art. 6.1.f)

Filiales que presten servicios de apoyo para la mejor experiencia de usuario.

Shifty no vende ni cede datos personales a terceros con fines comerciales o publicitarios ajenos a la prestación del servicio.

9. Transferencias internacionales de datos

Shifty no transfiere datos fuera del Espacio Económico Europeo (EEE) de forma directa. Todos los datos se almacenan y procesan en servidores dentro del EEE.

Algunos Encargados (como Stripe o PostHog) pueden tener servidores fuera del EEE. En estos casos, Shifty garantiza salvaguardas adecuadas:

Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea (art. 46.2.c RGPD).
Decisiones de adecuación de la Comisión Europea (como el Marco de Privacidad de Datos UE-EE.UU.).

Para información adicional, contacta a soporte@shifty.es.

10. Decisiones automatizadas y elaboración de perfiles

10.1. Sistemas de recomendación

Shifty utiliza un algoritmo que genera recomendaciones automáticas basándose en:

Datos del perfil profesional: experiencia, categorías, certificaciones.
Datos de comportamiento: historial de turnos, tasa de cumplimiento, cancelaciones.
Datos de rendimiento: valoraciones y comentarios de Empresas.
Datos de disponibilidad y geolocalización.

10.2. La IA recomienda, nunca selecciona

Estos sistemas tienen función exclusivamente de recomendación y apoyo. Shifty no toma decisiones exclusivamente automatizadas que produzcan efectos jurídicos sobre el Usuario (art. 22 RGPD).

La selección de un Trabajador para un turno es siempre una decisión humana de la Empresa.
La decisión de aplicar a un turno es siempre una decisión humana del Trabajador.
El sistema de Puntos y penalizaciones se aplica conforme a reglas objetivas y predeterminadas.

10.3. Derechos del Usuario

Conforme al artículo 22 del RGPD, tienes derecho a:

Obtener información significativa sobre la lógica de los sistemas de recomendación.
Solicitar intervención humana en cualquier proceso que te afecte.
Expresar tu punto de vista e impugnar cualquier decisión.

Para ejercer estos derechos, contacta a soporte@shifty.es.

10.4. Consentimiento al tratamiento automatizado

11. Medidas de seguridad

Shifty adopta medidas técnicas y organizativas apropiadas conforme al artículo 32 del RGPD:

Cifrado de datos en tránsito (TLS/SSL).
Cifrado de datos sensibles almacenados (bancarios, documentos de identidad, justificantes médicos).
Controles de acceso basados en roles y principio de mínimo privilegio.
Autenticación segura, incluyendo verificación por código.
Seudonimización de datos de uso y registros técnicos.
Copias de seguridad periódicas y recuperación ante desastres.
Monitorización y detección de accesos no autorizados.
Evaluaciones periódicas de seguridad.
Formación del personal en protección de datos.
Procedimientos de gestión de brechas conformes al RGPD.

En caso de brecha de seguridad con riesgo para tus derechos, Shifty lo notificará a la AEPD en 72 horas (art. 33 RGPD) y, si el riesgo es alto, te informará sin dilación (art. 34 RGPD).

12. Ejercicio de derechos

Acceso

Art. 15

Obtener confirmación de si tratamos tus datos y acceder a ellos.

Rectificación

Art. 16

Solicitar la corrección de datos inexactos o completar datos incompletos.

Supresión

Art. 17

Solicitar la eliminación cuando ya no sean necesarios, se retire el consentimiento o se hayan tratado ilícitamente.

Limitación

Art. 18

Solicitar que limitemos el tratamiento en determinadas circunstancias.

Portabilidad

Art. 20

Recibir tus datos en formato estructurado y transmitirlos a otro responsable.

Oposición

Art. 21

Oponerte al tratamiento basado en interés legítimo por motivos de tu situación particular.

Decisiones automatizadas

Art. 22

No ser objeto de decisiones basadas únicamente en tratamiento automatizado con efectos jurídicos.

Retirar consentimiento

Art. 7.3

Retirar el consentimiento en cualquier momento sin afectar la licitud del tratamiento previo.

Reclamación

Art. 77

Presentar reclamación ante la AEPD si consideras que se han vulnerado tus derechos.

12.1. Cómo ejercer los derechos

Desde la Plataforma: configuración de cuenta y edición de perfil (rectificación, supresión parcial, portabilidad básica).
Por correo electrónico: escribiendo a soporte@shifty.es desde la dirección asociada a tu cuenta.

Deberás indicar tu nombre completo, correo electrónico de la cuenta, el derecho que deseas ejercer y adjuntar copia de tu DNI/NIE/pasaporte.

12.2. Plazos de respuesta

Máximo un mes desde la recepción. En solicitudes complejas o numerosas, hasta dos meses adicionales informándote dentro del primer mes.

12.3. Gratuidad

El ejercicio es gratuito. Si las solicitudes son manifiestamente infundadas o excesivas, Shifty podrá cobrar un canon razonable o negarse conforme al artículo 12.5 RGPD.

12.4. Reclamación ante la AEPD

Web: www.aepd.es
Dirección: C/ Jorge Juan 6, 28001, Madrid
Teléfono: 901 100 099 / 912 663 517

13. Información específica sobre el derecho de oposición

13.1. Oposición al tratamiento basado en interés legítimo

13.2. Oposición a marketing directo

Puedes oponerte en cualquier momento, de forma gratuita y sin necesidad de alegar motivo, al tratamiento con fines de marketing directo. Tus datos dejarán de ser tratados para dicha finalidad.

13.3. Consecuencias de la oposición

Para ejercer el derecho de oposición: soporte@shifty.es o los mecanismos de baja incluidos en cada comunicación comercial.

14. Cookies y tecnologías similares

El Sitio Web utiliza cookies y tecnologías similares. Para información detallada, consulta nuestra Política de Cookies.

15. Contacto

Si tienes cualquier pregunta, consulta o reclamación:

Correo electrónico: soporte@shifty.es
Dirección postal: Shifty AI SL, Calle Garcilaso 7, 28010, Madrid