1. Responsable del tratamiento
Ahmad Sakka — Saseler Chaussee 30c, 22391 Hamburg, Alemania — [email protected]
Última actualización: 07/07/2026
La versión en alemán de este documento es la referencia legalmente vinculante en caso de discrepancia.
Ahmad Sakka — Saseler Chaussee 30c, 22391 Hamburg, Alemania — [email protected]
Art. 6(1)(b) ejecución del contrato: cuenta (incluida la verificación de edad), subida/análisis/creación del CV, informes. Art. 6(1)(a) consentimiento: cookies de estadística/marketing y datos especiales (art. 9) del CV. Art. 6(1)(c) obligaciones legales: conservación de facturas. Art. 6(1)(f) interés legítimo: seguridad, prevención del fraude, operación estable.
El sitio y su base de datos se alojan íntegramente en un VPS de netcup GmbH (Karlsruhe, Alemania). Todos los CV e informes se almacenan exclusivamente en este servidor dentro de Alemania/UE. Existe un contrato de encargo (AV-Vertrag) conforme al art. 28 RGPD con netcup.
El archivo original del CV nunca se almacena. Su texto se extrae en memoria y se elimina tras generar el informe. Solo permanece el informe derivado, que puedes eliminar en cualquier momento.
Para generar el análisis, el texto del CV se envía mediante una API cifrada a Anthropic PBC (EE. UU.) — una transferencia a un tercer país bajo las garantías de los art. 44–49 RGPD (Marco EU-US Data Privacy Framework y/o cláusulas contractuales tipo). Anthropic actúa como subencargado conforme al anexo estándar de tratamiento de datos (DPA) incorporado en sus Commercial Terms. Hemos activado la opción de retención cero de datos (Zero Data Retention) disponible en la configuración de nuestra cuenta de Anthropic; conforme a las Commercial Terms de Anthropic, las entradas y salidas no se utilizan para entrenar modelos. La transferencia se basa en las Cláusulas Contractuales Tipo (SCC). Condiciones de tratamiento y lista de subencargados de Anthropic: https://www.anthropic.com/legal/commercial-terms · https://trust.anthropic.com
Datos de cuenta (nombre, fecha de nacimiento [verificación de edad], correo con confirmación doble opt-in, contraseña con hash, idioma); datos de contenido (texto del CV temporalmente, informes, descripciones de puesto); datos de pago (íntegramente en Paddle – sin datos de tarjeta en nuestros servidores); registros del servidor (IP, hora, navegador/sistema).
Los registros de acceso se recopilan sobre la base del interés legítimo (art. 6(1)(f)) para la detección de ataques y se eliminan automáticamente en 7 días (se conservan solo como prueba en un incidente de seguridad en curso).
Cookies estrictamente necesarias (sesión/seguridad): sin consentimiento (art. 6(1)(f) + § 25(2) TDDDG). Cloudflare Turnstile (verificación humano/bot, Cloudflare Inc., EE. UU. — transferencia con garantías DPF/SCC). Cloudflare Web Analytics funciona sin cookies. Actualmente no se usan cookies de estadística/marketing; cualquier uso requeriría tu consentimiento expreso.
Los pagos los gestiona Paddle.com Market Ltd como Merchant of Record. Tus datos de pago (tarjeta, nombre, correo, dirección de facturación) se tratan directamente en Paddle y no se almacenan en nuestros servidores. Paddle se encarga de la facturación y el cumplimiento fiscal internacional. Privacidad de Paddle: https://www.paddle.com/legal/privacy
Para clientes B2B que suben datos de candidatos, ofrecemos un AV-Vertrag (art. 28 RGPD), disponible para su aceptación en el panel y que forma parte del contrato.
Puedes eliminar tus CV e informes en cualquier momento; se retiran del servidor de inmediato. Se exceptúan las facturas, que conservamos: 8 años según § 147 AO.
Tienes derecho de acceso, rectificación, supresión, limitación, portabilidad y oposición (art. 21) al tratamiento basado en el interés legítimo. Para retirar el consentimiento o ejercer tus derechos: [email protected].
Tienes derecho a presentar una reclamación: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Ludwig-Erhard-Str. 22, 20459 Hamburg.
Cifrado en tránsito (TLS) y en reposo, control de acceso estricto, separación de red, copias de seguridad cifradas y minimización de datos.
No existe ninguna decisión exclusivamente automatizada. El análisis es una herramienta de apoyo con lógica evaluativa (correspondencia de aptitudes/experiencia/ATS); la decisión corresponde a una persona. Nota: los sistemas que puntúan/clasifican candidatos pueden considerarse de alto riesgo según el Reglamento de IA de la UE (anexo III); sus obligaciones se atenderán antes del lanzamiento comercial. Nota sobre el Reglamento de IA: las obligaciones de los sistemas de alto riesgo (anexo III) se aplican —tras el aplazamiento del paquete Digital Omnibus— a partir del 2 de diciembre de 2027. Con independencia de ello, conforme al art. 50 (desde el 2 de agosto de 2026) te informamos claramente de que interactúas con un sistema de IA y de que los resultados son generados por IA.