1. Introducción
En Shifty AI SL (en adelante, “Shifty”), nos comprometemos a proteger la privacidad de los datos personales de nuestros usuarios, trabajadores y clientes. Esta política de privacidad describe cómo recopilamos, utilizamos y protegemos tus datos personales de conformidad con el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y la Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE).
Esta política se aplica a todos los usuarios —trabajadores, empresas o visitantes— y a todos los medios operados por Shifty: la web www.shifty.es y sus subpáginas, las aplicaciones móviles para iOS y Android, y cualquier otro canal digital. Se complementa con nuestros Términos y Condiciones de Uso y con la Política de Cookies, que forman parte integrante de las condiciones del servicio.
Al utilizar nuestros servicios, aceptas las condiciones de esta política de privacidad. Si no estás de acuerdo, por favor, no utilices nuestros servicios.
2. Responsable del tratamiento de datos
- Entidad responsable
- Shifty AI SL
- CIF
- B75339416
- Domicilio social
- Calle Garcilaso 7, 28010, Madrid
- Correo electrónico
- soporte@shifty.es
Shifty AI SL es el responsable del tratamiento de los datos personales recogidos a través de la plataforma web y aplicación móvil de Shifty.
3. Datos personales que recopilamos
Shifty recopila las siguientes categorías de datos personales en función de tu relación con la plataforma:
3.1. Datos proporcionados directamente por el usuario
- Datos de identificación: nombre, apellidos, DNI/NIE/pasaporte, fecha de nacimiento, nacionalidad, fotografía de perfil, fotografía de verificación (selfie) capturada durante el alta.
- Datos de contacto: dirección postal, número de teléfono, correo electrónico.
- Datos laborales y profesionales: biografía, currículum (CV), experiencia profesional, nivel de estudios, formación, idiomas, categorías profesionales, referencias laborales, certificaciones.
- Documentación legal: número de afiliación a la Seguridad Social, permisos de trabajo, permiso de conducir, certificados de manipulador de alimentos y otra documentación exigible para la prestación del servicio.
- Datos bancarios: número de cuenta (IBAN) para la gestión de pagos.
- Contenido multimedia: vídeos de entrevistas, fotografías de perfil y fotografía de verificación (selfie) capturada durante el alta. La fotografía de verificación se conserva como referencia visual del expediente y no se somete a tratamiento biométrico.
- Datos de categorías especiales (sensibles): información relacionada con tu salud o condición física —en particular, los justificantes médicos presentados como motivo de cancelación de un turno—, tratados únicamente cuando sea estrictamente necesario para la prestación del servicio y siempre con tu consentimiento explícito previo (art. 9.2.a RGPD).
3.2. Datos generados por el uso de la plataforma
- Datos de uso: interacciones con la plataforma, turnos aceptados, rechazados, cancelados o completados, valoraciones y reseñas recibidas y emitidas, historial de candidaturas, disponibilidad horaria y preferencias.
- Sistema de puntos y reputación: saldo de puntos, historial de penalizaciones, cancelaciones, ausencias (no-shows) y suspensiones.
- Datos de geolocalización: recopilamos puntos de tu ubicación cuando usas la aplicación —al abrirla, al solicitar un anuncio o al fichar entrada y salida del turno— con la finalidad de mostrarte ofertas de trabajo cercanas a ti, mejorar la precisión de los anuncios que te recomendamos, verificar tu presencia en los centros de trabajo y prevenir el uso fraudulento del servicio. Solo se recogen mientras la aplicación está abierta —nunca en segundo plano sin tu interacción explícita— y siempre que hayas concedido el permiso de ubicación al sistema operativo de tu dispositivo. Puedes retirar el permiso en cualquier momento desde los ajustes de tu móvil; en ese caso dejaremos de recibir datos de tu posición, aunque algunas funcionalidades como el fichaje por geolocalización podrían quedar afectadas.
- Datos técnicos del dispositivo: dirección IP, tipo de dispositivo, sistema operativo, versión de la aplicación, identificadores únicos del dispositivo, datos de registro de actividad (logs).
- Datos de comunicaciones: mensajes intercambiados dentro de la plataforma entre trabajadores y empresas.
3.3. Datos de las empresas clientes
- Identificación de la empresa: razón social, CIF/NIF, domicilio social e inscripción registral.
- Usuarios de la empresa: nombre, apellidos, cargo, correo electrónico y teléfono de las personas que operan la cuenta.
- Datos comerciales: logotipo, fotografías de los establecimientos y descripción de la actividad.
- Datos financieros y contractuales: datos de facturación, historial de pagos (las tarjetas se procesan a través del proveedor de pagos), plan contratado y condiciones de facturación.
3.4. Datos obtenidos de terceros
- Empresas de Trabajo Temporal (ETT): datos contractuales, de alta laboral y nóminas cuando el servicio se presta bajo la modalidad Shifty + ETT.
- Anteriores empleadores: comentarios, datos de rendimiento y valoraciones sobre turnos previos realizados a través de la plataforma.
- Entidades bancarias y proveedores de pago: confirmaciones de transacciones y datos necesarios para la gestión de cobros y pagos.
- Fuentes públicas: datos accesibles en registros públicos, conforme a la legislación aplicable.
4. Finalidades del tratamiento
Tus datos personales serán tratados para las siguientes finalidades:
| Finalidad | Base legal (Art. 6 RGPD) |
|---|---|
| Registro y gestión de cuenta | Ejecución de contrato (Art. 6.1.b) |
| Prestación del servicio: publicación de turnos, gestión de candidaturas, matching | Ejecución de contrato (Art. 6.1.b) |
| Verificación de identidad y experiencia | Ejecución de contrato (Art. 6.1.b) e interés legítimo (Art. 6.1.f) |
| Gestión laboral y contractual (modalidad ETT) | Ejecución de contrato (Art. 6.1.b) y cumplimiento legal (Art. 6.1.c) |
| Gestión de pagos | Ejecución de contrato (Art. 6.1.b) |
| Sistema de valoraciones y reputación | Interés legítimo (Art. 6.1.f) |
| Comunicaciones operativas del servicio (confirmaciones de turno, recordatorios, alertas) | Ejecución de contrato (Art. 6.1.b) |
| Comunicaciones comerciales y de marketing | Consentimiento (Art. 6.1.a) |
| Sistemas de recomendación automatizada | Interés legítimo (Art. 6.1.f) |
| Mejora del servicio y análisis | Interés legítimo (Art. 6.1.f) |
| Prevención de fraude y seguridad | Interés legítimo (Art. 6.1.f) |
| Cumplimiento legal y fiscal | Cumplimiento legal (Art. 6.1.c) |
| Defensa de reclamaciones | Interés legítimo (Art. 6.1.f) |
5. Base legal para el tratamiento
El tratamiento de tus datos personales se realiza con base en las siguientes legitimaciones conforme al artículo 6 del RGPD:
- Ejecución de un contrato o medidas precontractuales (Art. 6.1.b): cuando el tratamiento es necesario para la prestación de los servicios contratados o para dar respuesta a tu solicitud de registro.
- Cumplimiento de obligaciones legales (Art. 6.1.c): cuando el tratamiento es necesario para cumplir con la legislación laboral, fiscal, mercantil o de Seguridad Social aplicable.
- Consentimiento expreso del usuario (Art. 6.1.a): para el envío de comunicaciones comerciales, el tratamiento de datos sensibles y cualquier otra finalidad que requiera tu consentimiento. Puedes retirar tu consentimiento en cualquier momento.
- Interés legítimo (Art. 6.1.f): cuando el tratamiento es necesario para la mejora de nuestros servicios, la prevención de fraude, el funcionamiento de los sistemas de recomendación o la defensa de reclamaciones legales.
6. Veracidad de los datos
Los usuarios se comprometen a facilitar datos personales veraces, exactos, completos y actualizados, así como a comunicar cualquier modificación a través de la configuración de su perfil o escribiendo a soporte@shifty.es.
La falta de comunicación o la información incompleta, inexacta o falsa podrá dar lugar a la imposibilidad de prestar el servicio y, en su caso, a la suspensión o cancelación de la cuenta. La falsificación de documentos de identidad, justificantes médicos, certificados profesionales o cualquier otra documentación conllevará la expulsión inmediata y definitiva de la plataforma.
7. Encargados del tratamiento
Shifty permite el acceso a datos personales por parte de terceros que actúan como encargados del tratamiento conforme al artículo 28 del RGPD. Estos encargados no tratan los datos con fines propios ni distintos a los de Shifty, actúan siguiendo nuestras instrucciones documentadas, están obligados contractualmente a garantizar la confidencialidad y seguridad, y han sido seleccionados verificando que ofrecen garantías suficientes conforme al RGPD.
| Categoría | Proveedor y finalidad |
|---|---|
| Procesamiento de pagos | Stripe, Inc. (Estados Unidos) — procesamiento de cobros, pagos y prevención de fraude. |
| Analítica de producto | PostHog, Inc. (Estados Unidos) — análisis de comportamiento, mapas de calor y grabaciones de sesión (con enmascaramiento de datos). |
| Asistente virtual de soporte (IA) | Anthropic, PBC (Estados Unidos, modelos Claude) — generación de respuestas automáticas y evaluación de calidad en el chat de soporte. OpenAI, L.L.C. (Estados Unidos, modelos de embeddings) — indexación y búsqueda en nuestra base de conocimiento interna. Los mensajes que escribes en el chat solo se envían a Anthropic; OpenAI únicamente recibe fragmentos de nuestra documentación. |
| Infraestructura tecnológica | Alojamiento web, bases de datos, infraestructura en la nube, CDN, telecomunicaciones y seguridad informática (ciberseguridad, monitorización, copias de seguridad y recuperación). |
| Comunicación y marketing | Proveedores de email, notificaciones push, SMS y plataformas de marketing digital (estas últimas, con consentimiento). |
| ETT colaboradoras y nóminas | Gestión laboral bajo la modalidad Shifty + ETT. |
| Validación documental y soporte | Validación de documentación, verificación de identidad, entrevistas y atención al cliente. |
| Asesores profesionales | Asesorías fiscales, laborales, contables y jurídicas. |
8. Cesiones y comunicaciones de datos a terceros
Además de los encargados del tratamiento descritos en el apartado anterior, Shifty podrá comunicar datos personales a los siguientes destinatarios, que los tratan como responsables independientes, exclusivamente para las finalidades descritas y cuando exista base jurídica para ello:
- Empresas clientes de la plataforma: los datos de tu perfil profesional (experiencia, valoraciones, categorías, disponibilidad) son visibles para las empresas a las que apliques. Adicionalmente, una vez confirmado un turno y con tu consentimiento expreso, se facilitarán a la empresa los datos de identidad necesarios para la gestión laboral (nombre completo, DNI/NIE). Una vez finalizado el turno trabajado, se compartirán los datos de pago necesarios para la liquidación del salario. En ningún caso se comparten con la empresa los datos bancarios, los documentos de identidad, los datos de Seguridad Social ni los justificantes médicos, ni se facilita ningún dato antes de la confirmación del turno o para fines distintos a la relación laboral derivada del mismo.
- Empresas de Trabajo Temporal (ETT) colaboradoras: en modalidad Shifty + ETT, se compartirán los datos necesarios para la formalización del contrato de puesta a disposición, el alta en la Seguridad Social y la gestión de nóminas.
- Entidades bancarias: para la ejecución de transferencias, domiciliaciones y gestión de pagos.
- Administraciones públicas: Agencia Tributaria, Tesorería General de la Seguridad Social, Inspección de Trabajo y cualquier otra autoridad competente cuando sea exigido por ley.
- Autoridades judiciales y fuerzas de seguridad: juzgados, tribunales, Ministerio Fiscal y fuerzas y cuerpos de seguridad del Estado cuando exista requerimiento legal.
- Mutuas colaboradoras con la Seguridad Social: para asistencia sanitaria, salud laboral y prevención de riesgos laborales.
- Empresas del grupo Shifty: filiales que presten servicios de apoyo para mejorar la experiencia de usuario, con las garantías exigidas por el RGPD.
Shifty no vende ni cede datos personales a terceros con fines comerciales o publicitarios ajenos a la prestación del servicio.
9. Transferencias internacionales de datos
Con carácter general, los datos personales se almacenan y procesan en servidores ubicados dentro del Espacio Económico Europeo (EEE). No obstante, algunos de nuestros encargados del tratamiento tienen servidores fuera del EEE. En particular:
- Stripe, Inc. (Estados Unidos) — procesamiento de pagos.
- PostHog, Inc. (Estados Unidos) — analítica de producto.
- Anthropic, PBC (Estados Unidos) — asistente virtual de soporte (modelos Claude). Solo se transmiten los mensajes del chat de soporte cuando interactúas con el asistente virtual.
- OpenAI, L.L.C. (Estados Unidos) — indexación y búsqueda semántica de la base de conocimiento interna. No se envían tus mensajes, únicamente fragmentos de la documentación de Shifty.
En todos estos casos, Shifty garantiza salvaguardas adecuadas conforme al RGPD: Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (art. 46.2.c RGPD), decisiones de adecuación de la Comisión Europea (como el Marco de Privacidad de Datos UE-EE.UU.) cuando resulten aplicables, y medidas técnicas y organizativas adicionales (cifrado, minimización de datos y retención limitada) para garantizar un nivel de protección equivalente al exigido por el RGPD.
Para cualquier otra transferencia internacional que pudiera resultar necesaria en el futuro, Shifty aplicará igualmente las salvaguardas adecuadas conforme al RGPD y te informará previamente. Para más información o para ejercer tus derechos en relación con estas transferencias, escribe a soporte@shifty.es.
10. Plazos de conservación de los datos
Tus datos personales se conservarán durante los siguientes plazos:
| Categoría de datos | Plazo | Fundamento legal |
|---|---|---|
| Datos de cuenta activa | Mientras mantengas tu cuenta activa | Ejecución de contrato |
| Datos tras baja de cuenta | 5 años desde la baja | Art. 1964 Código Civil |
| Datos fiscales y de facturación | 4 años desde la última declaración fiscal | Art. 66 Ley General Tributaria |
| Datos laborales y nóminas (ETT) | 4 años desde finalización de la relación laboral | Art. 4.2 LISOS |
| Datos de Seguridad Social | 4 años desde el hecho causante | Art. 4.2 LISOS |
| Documentación mercantil y contable | 6 años desde el último asiento contable | Art. 30 Código de Comercio |
| Comunicaciones comerciales | Hasta retirada del consentimiento | Art. 7.3 RGPD |
| Justificantes médicos | Máximo 12 meses | Art. 5.1.e RGPD |
| Valoraciones y reseñas | Permanente (anonimizadas tras la baja) | Interés legítimo |
| Defensa de reclamaciones | 5 años desde el hecho causante | Art. 1964 Código Civil |
| Registros y logs técnicos | 12 meses | Art. 5.1.e RGPD |
| Datos de geolocalización | Máximo 180 días | Art. 5.1.e RGPD |
Transcurridos los plazos indicados, los datos serán suprimidos o anonimizados de forma irreversible. En caso de existir un procedimiento judicial, administrativo o arbitral en curso, los datos relevantes se conservarán hasta la resolución firme del mismo.
11. Derechos del usuario
De conformidad con el RGPD y la LOPDGDD, tienes derecho a:
Acceso
Art. 15Obtener confirmación de si tratamos tus datos y acceder a una copia.
Rectificación
Art. 16Solicitar la corrección de datos inexactos o completar datos incompletos.
Supresión
Art. 17Solicitar la eliminación de tus datos cuando ya no sean necesarios.
Limitación
Art. 18Solicitar la limitación del tratamiento en determinadas circunstancias.
Portabilidad
Art. 20Recibir tus datos en formato estructurado y transmitirlos a otro responsable.
Oposición
Art. 21Oponerte al tratamiento por motivos de tu situación particular.
Decisiones automatizadas
Art. 22No ser objeto de decisiones basadas únicamente en tratamiento automatizado.
Retirada del consentimiento
Art. 7.3Retirar en cualquier momento el consentimiento prestado.
Reclamación
Art. 77Presentar una reclamación ante la AEPD si consideras vulnerados tus derechos.
Cómo ejercer tus derechos
Puedes ejercer tus derechos desde la propia plataforma (configuración de cuenta y edición de perfil, para rectificación, supresión parcial y portabilidad básica) o enviando una solicitud a soporte@shifty.es desde la dirección asociada a tu cuenta, indicando tu nombre completo, el derecho que deseas ejercer y una copia de tu DNI/NIE/pasaporte. Responderemos en un plazo máximo de un mes desde la recepción; en solicitudes especialmente complejas o numerosas, dicho plazo podrá ampliarse hasta dos meses adicionales, informándote dentro del primer mes.
El ejercicio de estos derechos es gratuito. No obstante, si las solicitudes son manifiestamente infundadas o excesivas, Shifty podrá cobrar un canon razonable o negarse a actuar conforme al artículo 12.5 del RGPD.
Reclamación ante la AEPD
Si consideras que se han vulnerado tus derechos, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD):
- Web
- www.aepd.es
- Dirección
- C/ Jorge Juan 6, 28001, Madrid
- Teléfono
- 901 100 099 / 912 663 517
12. Información específica sobre el derecho de oposición
Oposición al tratamiento basado en interés legítimo
Cuando el tratamiento se base en interés legítimo (art. 6.1.f RGPD), puedes oponerte en cualquier momento por motivos de tu situación particular. Shifty dejará de tratar tus datos para esa finalidad, salvo que acredite motivos legítimos imperiosos que prevalezcan sobre tus intereses o para la formulación, ejercicio o defensa de reclamaciones.
Oposición a marketing directo
Puedes oponerte en cualquier momento, de forma gratuita y sin necesidad de alegar motivo, al tratamiento de tus datos con fines de marketing directo. A partir de ese momento dejaremos de tratarlos para dicha finalidad. La oposición al marketing directo no afecta en ningún caso a la prestación del servicio ni a las comunicaciones operativas (confirmaciones de turno, recordatorios o alertas de seguridad).
Para ejercer el derecho de oposición, escribe a soporte@shifty.es o utiliza los mecanismos de baja incluidos en cada comunicación comercial.
13. Seguridad de los datos
Shifty implementa medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, de conformidad con el artículo 32 del RGPD:
- Cifrado de datos en tránsito mediante protocolo TLS/SSL.
- Cifrado de datos sensibles almacenados (datos bancarios, documentos de identidad, justificantes médicos).
- Controles de acceso basados en roles y principio de mínimo privilegio.
- Autenticación segura de usuarios, incluyendo verificación por código.
- Seudonimización de datos de uso y registros técnicos.
- Copias de seguridad periódicas y procedimientos de recuperación ante desastres.
- Monitorización y detección de accesos no autorizados.
- Formación periódica del personal en materia de protección de datos.
- Evaluaciones periódicas de las medidas de seguridad implementadas.
En caso de producirse una brecha de seguridad que suponga un riesgo para tus derechos y libertades, Shifty lo notificará a la AEPD en un plazo máximo de 72 horas (art. 33 RGPD) y, cuando el riesgo sea alto, te informará sin dilación indebida (art. 34 RGPD).
14. Uso de cookies
La plataforma web de Shifty utiliza cookies y tecnologías similares. Para obtener información detallada sobre las cookies que utilizamos, su finalidad y cómo gestionarlas, consulta nuestra Política de Cookies.
15. Decisiones automatizadas y sistemas de recomendación
Shifty utiliza algoritmos de inteligencia artificial y sistemas automatizados con las siguientes finalidades:
- Recomendación de candidatos a empresas: análisis de perfil profesional, experiencia, categorías verificadas, valoraciones, disponibilidad y proximidad geográfica.
- Recomendación de turnos a trabajadores: turnos compatibles con tu perfil, disponibilidad y preferencias.
- Verificación de documentos de identidad: tecnología OCR asistida por inteligencia artificial.
Importante: estos sistemas tienen una función exclusivamente de recomendación y apoyo. En ningún caso la selección de un trabajador para un turno se realiza de forma exclusivamente automatizada. Toda decisión de selección es tomada por la empresa contratante.
Conforme al artículo 22 del RGPD, tienes derecho a obtener información sobre la lógica aplicada, solicitar intervención humana, expresar tu punto de vista e impugnar cualquier decisión. Contacta con nosotros en soporte@shifty.es.
Asistente virtual de soporte (IA conversacional)
El chat de soporte dentro de la app puede responder mediante un asistente virtual basado en modelos de lenguaje (Anthropic, PBC). Se identificará como “asistente virtual” si preguntas expresamente si hablas con una persona. Sus funciones se limitan a responder preguntas sobre el funcionamiento de la plataforma, consultar tus propios datos (turnos, documentos, pagos) y crear incidencias de soporte cuando el caso requiere intervención humana.
El asistente virtual no toma decisiones con efectos jurídicos sobre ti: cualquier decisión sobre bloqueos, pagos, contratos o resolución de incidencias la adopta siempre una persona del equipo de Shifty. En cualquier momento puedes solicitar hablar con una persona del equipo y tu caso se escalará sin requisitos adicionales.
16. Edad mínima
Los servicios de Shifty están dirigidos exclusivamente a personas mayores de 18 años. No recopilamos conscientemente datos personales de menores de 18 años. Si detectamos que un menor se ha registrado en la plataforma, procederemos a la eliminación inmediata de sus datos y la cancelación de su cuenta.
Si eres padre, madre o tutor legal y crees que un menor ha proporcionado datos a Shifty, contacta con nosotros en soporte@shifty.es.
17. Comunicaciones comerciales
De conformidad con la LSSI-CE (art. 21), Shifty podrá enviarte comunicaciones comerciales y de marketing por medios electrónicos únicamente si has prestado tu consentimiento previo y expreso (art. 6.1.a RGPD). Esto incluye tanto la información promocional sobre la propia plataforma (nuevas funcionalidades, oportunidades, formación) como, en su caso, ofertas de terceros colaboradores.
Puedes revocar tu consentimiento en cualquier momento:
- A través del enlace de baja incluido en cada comunicación comercial.
- Enviando una solicitud a soporte@shifty.es.
- Desde los ajustes de notificaciones de tu cuenta en la plataforma.
La revocación no afectará a las comunicaciones operativas necesarias para la prestación del servicio (notificaciones de turnos, confirmaciones, alertas de seguridad, etc.).
18. Cambios en la política de privacidad
Shifty se reserva el derecho de modificar esta política en cualquier momento. En caso de cambios sustanciales, te notificaremos mediante notificación en la plataforma o correo electrónico. Se entenderá que aceptas los cambios si continúas utilizando los servicios después de haber sido informado.
19. Legislación aplicable y jurisdicción
Esta política de privacidad se rige por la legislación española y europea en materia de protección de datos, en particular:
- Reglamento (UE) 2016/679 (RGPD).
- Ley Orgánica 3/2018 (LOPDGDD).
- Ley 34/2002 (LSSI-CE).
Para cualquier controversia derivada de esta política, las partes se someterán a los Juzgados y Tribunales de Madrid, salvo que la normativa aplicable establezca un fuero distinto.
20. Contacto
Si tienes dudas o consultas sobre esta política de privacidad o sobre el tratamiento de tus datos personales:
- Correo electrónico
- soporte@shifty.es
- Dirección postal
- Shifty AI SL, Calle Garcilaso 7, 28010, Madrid