Política de privacidad

Última actualización: 2026-06-19

1. Responsable del tratamiento y ámbito territorial

Giacomo Cacciatore
Correo electrónico: info@turnix.ch
Para solicitudes formales por correo postal, contactar por correo electrónico para solicitar la dirección postal del responsable; la respuesta a las solicitudes de privacidad se proporciona en un plazo de 30 días desde el envío.

Edad mínima de uso: 18 años (servicio destinado a profesionales sanitarios mayores de edad) o, alternativamente, edad mínima del consentimiento digital establecida por el país de residencia del usuario (art. 8 RGPD: entre 13 y 16 años según el estado miembro) con autorización explícita del titular de la responsabilidad parental. Para el Reino Unido se aplica además el UK Age Appropriate Design Code 2020 (Código de los Niños) del ICO. Turnix no recoge ni trata conscientemente datos de menores sin las autorizaciones legales; cualquier tratamiento detectado en infracción será eliminado de inmediato.

Turnix está disponible a nivel mundial. Aplicamos el RGPD (Reglamento UE 2016/679) como estándar de base para TODOS los usuarios, estén donde estén. En los siguientes regímenes garantizamos el cumplimiento local completo de la normativa aplicable:

Para los usuarios de otros países aplicamos el estándar RGPD como nivel mínimo de protección y respetamos los derechos previstos por la ley local aplicable en materia de protección de datos personales. Dichos usuarios pueden dirigirse a su propia autoridad de control local competente (véase §8).

Suiza se beneficia de una decisión de adecuación de la UE (15 de enero de 2024, Decisión 2024/254 de la Comisión Europea). El Reino Unido se beneficia de una decisión de adecuación de la UE (28 de junio de 2021, Decisión 2021/1772).

2. Datos recogidos

Categorías especiales de datos (art. 9 RGPD / art. 5 let. c nLPD): Turnix NO recoge datos biométricos, datos genéticos, datos relativos a opiniones religiosas-filosóficas-políticas-sindicales, origen étnico/racial, datos sociales o penales. Los datos de turno laboral constituyen datos personales ordinarios.

Funciones de salud opcionales — datos SOLO en el dispositivo (local-only)

Turnix ofrece tres funciones de salud opcionales, desactivadas por defecto, activables una a una mediante consentimiento explícito separado (art. 9 ap. 2 letra a RGPD / art. 6 ap. 7 letra a nLPD). Los datos de estas funciones son datos relativos a la salud (categoría especial, art. 9 RGPD):

Los datos de esta función permanecen solo en este dispositivo: no se envían a nuestros servidores ni a terceros. No se restauran en un teléfono nuevo y se pierden si desinstalas la aplicación.

Están cifrados at-rest en el dispositivo (AES, con clave generada localmente en el keystore seguro del teléfono), excluidos de las copias de seguridad automáticas del sistema operativo, nunca sincronizados en la nube y nunca transmitidos a encargados del tratamiento. Puedes desactivar cada función en cualquier momento: la desactivación elimina definitivamente sus datos del dispositivo, sin necesidad de eliminar la cuenta.

Turnix no es un dispositivo médico: los datos de esta función tienen únicamente fines informativos y personales y no sustituyen el consejo de un médico.

Sin elaboración de perfiles automatizada: Turnix NO efectúa elaboración de perfiles ni decisiones automatizadas sobre tus datos a tenor del art. 22 RGPD / UK GDPR / art. 21 nLPD. La agrupación visual cluster pHash es una comparación determinista de imágenes (huella hash perceptual de la celda PDF), NO constituye perfilado ni evaluación automática de aspectos personales del usuario. La clasificación "laboral/descanso" del cluster es siempre indicada manualmente por el usuario en las Estadísticas.

3. Finalidades y base jurídica

Base jurídica RGPD (UE + EEE) y UK GDPR:

Base jurídica nLPD/revDSG (Suiza): tratamiento necesario para la ejecución del contrato, para el interés legítimo del responsable y en base al consentimiento explícito del usuario para finalidades accesorias (art. 31 nLPD).

4. Conservación de los datos

Los datos se conservan mientras la cuenta esté activa. El usuario puede eliminar todos sus datos en cualquier momento desde Ajustes → Restablecer todos los datos. Tras la eliminación, los datos se borran de las copias de seguridad en un plazo de 30 días.

Retención específica por categoría:

5. Terceros (subencargados)

Supabase Inc. (almacenamiento de datos, autenticación) — Servidores en región: eu-west-1 (Irlanda, UE). DPA disponible en supabase.com/privacy.

RevenueCat Inc. (gestión de suscripciones) — Política de privacidad: revenuecat.com/privacy. RevenueCat recibe únicamente un identificador anónimo de la compra, no los datos de los turnos.

Datos de las funciones de salud (ciclo, sueño, bienestar): sin encargado del tratamiento. Permanecen cifrados en el dispositivo y no se transmiten a Supabase ni a ningún tercero.

Google LLC — Google Calendar API (función Premium opcional, activa solo si el usuario Premium conecta su propia cuenta de Google). La app utiliza dos ámbitos: "calendar.events" (CRUD sobre los eventos del calendario primario del usuario: la app escribe en Google solo tus eventos/recordatorios y lee los eventos de tu calendario principal) y "calendar.readonly" (solo lectura, para importar en Turnix los eventos de tus otros calendarios de Google — p. ej. Cumpleaños, Festivos y calendarios personalizados). La sincronización abarca exclusivamente turnos, eventos y recordatorios: NUNCA se transmiten datos de las funciones de salud (ciclo, bienestar, sueño). Los token OAuth se almacenan exclusivamente en el dispositivo (gestionados por Google Sign-In), nunca se envían a los servidores de Turnix. El usuario puede desconectar o revocar el acceso en cualquier momento desde Ajustes → Sincronización Google Calendar → Desconectar, o desde myaccount.google.com → Seguridad. Google recibe los eventos (fecha, hora, etiqueta de clúster) pero NINGÚN dato sensible (nombre del empleado, código de turno OCR), conforme al principio Strada B Pura.

Google LLC — Firebase Cloud Messaging (FCM). Solo modalidad team Enterprise para recibir notificaciones push cuando el jefe distribuye un PDF. El token FCM se almacena en Supabase (RLS activo, accesible solo al backend Cloud Run). Política de privacidad: firebase.google.com/support/privacy.

Sentry (Functional Software Inc.) — diagnóstico de fallos y estabilidad. Servidores en región UE: Sentry Frankfurt (ingest.de.sentry.io). Recibe solo stack-trace, versión de la app, modelo del dispositivo, sistema operativo. Flag sendDefaultPii=false configurado — NINGÚN dato personal (correo electrónico, IP, identificadores de usuario) es enviado. Retención de datos 90 días. Política de privacidad: sentry.io/privacy.

Ningún dato de turnos se vende ni se cede a terceros con fines publicitarios.

5.1 Cookies y tecnologías de seguimiento

Conformidad con la Directiva ePrivacy 2002/58/CE (transpuesta en cada estado miembro UE/EEE, p. ej. d.lgs. 196/2003 art. 122 IT, BDSG-§25 TTDSG DE, LIL art. 82 FR, LSSI-CE art. 22 ES) + UK Privacy and Electronic Communications Regulations (PECR) 2003 + nLPD art. 45c CH.

App móvil Turnix: NO utiliza cookies HTTP (las apps nativas no tienen cookies de navegador). Almacenamiento local utilizado exclusivamente para:

Sitio web turnix.ch: utiliza exclusivamente cookies técnicas esenciales (sin analytics, sin tracking, sin elaboración de perfiles, sin cookies de terceros). No se requiere consentimiento de cookies en virtud del art. 22 LSSI-CE + directrices EDPB cookie 03/2022.

5.2 Delegado de Protección de Datos (DPD)

Turnix no está obligado a nombrar un Delegado de Protección de Datos (DPD/DPO) en virtud del art. 37 ap. 1 RGPD / UK GDPR / art. 10 nLPD: el responsable no es autoridad pública, no efectúa tratamientos a gran escala de datos sensibles (art. 9-10 RGPD), no efectúa observación sistemática de interesados a gran escala.

En relación con las funciones de salud opcionales (categoría especial, art. 9 RGPD), se ha realizado una evaluación de impacto relativa a la protección de datos (EIPD, art. 35 RGPD). La EIPD confirmó la ausencia de riesgos elevados para los derechos y libertades de los interesados gracias a la arquitectura local-only: sin tratamiento del lado del servidor, datos cifrados at-rest únicamente en el dispositivo del usuario y bajo su control exclusivo, consentimiento explícito separado y eliminación inmediata a petición.

Para cualquier solicitud en materia de protección de datos personales, ejercicio de los derechos del interesado (véase §7) o reclamación, contactar directamente con el responsable del tratamiento en la dirección info@turnix.ch. Respuesta en un plazo de 30 días desde la solicitud (art. 12 ap. 3 RGPD).

6. Transferencia internacional de datos

Los datos personales pueden ser transferidos fuera de la UE/EEE, del Reino Unido y de Suiza en los casos descritos a continuación. Cada transferencia se basa en garantías adecuadas en virtud de los arts. 44-49 RGPD / UK GDPR y de los arts. 16-18 nLPD.

Transferencia de datos por proveedor:

Datos de las funciones de salud (ciclo, sueño, bienestar): sin transferencia internacional. Permanecen en el dispositivo del usuario y nunca salen del teléfono.

Para los clientes del Reino Unido se aplica además el Data Protection Act 2018 (DPA 2018) como integración al UK GDPR. Para Suiza, la nLPD garantiza un nivel de protección equivalente al RGPD.

7. Derechos del interesado y derecho de desistimiento

En virtud del RGPD (arts. 15-22), del UK GDPR (arts. 15-22) y de la nLPD (arts. 25-27) tienes derecho a:

Derecho de desistimiento 14 días

Para ejercer estos derechos escribe a: info@turnix.ch

7.1 Usuarios fuera de la UE/EEE/Suiza/Reino Unido (incluidos EE. UU., Brasil, Canadá, Australia)

Turnix está disponible a nivel mundial y aplica el RGPD como nivel mínimo de protección en cada país. A continuación se detallan las integraciones para las principales jurisdicciones adicionales.

Estados Unidos — California (CCPA/CPRA)

Brasil (LGPD)

Reconocemos los derechos previstos por la LGPD (confirmación, acceso, rectificación, anonimización/supresión, portabilidad, revocación del consentimiento) y la autoridad ANPD. Responsable del tratamiento: Giacomo Cacciatore (info@turnix.ch).

Otros países (Canadá, Australia, etc.)

Aplicamos el estándar RGPD como nivel mínimo de protección y respetamos los derechos previstos por las leyes locales aplicables.

8. Autoridad de control

Tienes derecho a presentar una reclamación ante la autoridad de control competente. Las autoridades de referencia para los regímenes que seguimos explícitamente son:

Para los países cuya autoridad no figura más arriba, puedes dirigirte a la autoridad local de protección de datos de tu país, cuando exista.

9. Seguridad

Los datos están protegidos mediante Row Level Security (RLS) en Supabase: cada usuario accede exclusivamente a sus propios datos. La comunicación se realiza mediante HTTPS/TLS.

Notificación de violaciones de datos personales (data breach): en caso de violación de seguridad de los datos personales que comporte un riesgo para los derechos y libertades del usuario, Turnix notificará a la autoridad de control competente del país de residencia del usuario en un plazo de 72 horas desde el descubrimiento de la violación, a tenor del art. 33 RGPD / UK GDPR y del art. 24 nLPD. Cuando la violación sea susceptible de presentar un riesgo elevado para los derechos y libertades de los usuarios afectados (art. 34 RGPD), Turnix comunicará la violación directamente a los usuarios sin demora injustificada, con lenguaje claro y sencillo, indicando: naturaleza de la violación, datos y categorías afectadas, consecuencias probables, medidas adoptadas o propuestas para atenuar los efectos, punto de contacto info@turnix.ch.

10. Modificaciones

Cualquier modificación sustancial será notificada a través de la app. El uso continuado de la app tras la notificación constituye aceptación.