Política de privacidad

Última actualización: 07/07/2026

La versión en alemán de este documento es la referencia legalmente vinculante en caso de discrepancia.

1. Responsable del tratamiento

Ahmad Sakka — Saseler Chaussee 30c, 22391 Hamburg, Alemania — [email protected]

2. Bases jurídicas (art. 6 RGPD)

Art. 6(1)(b) ejecución del contrato: cuenta (incluida la verificación de edad), subida/análisis/creación del CV, informes. Art. 6(1)(a) consentimiento: cookies de estadística/marketing y datos especiales (art. 9) del CV. Art. 6(1)(c) obligaciones legales: conservación de facturas. Art. 6(1)(f) interés legítimo: seguridad, prevención del fraude, operación estable.

3. Alojamiento y ubicación de almacenamiento

El sitio y su base de datos se alojan íntegramente en un VPS de netcup GmbH (Karlsruhe, Alemania). Todos los CV e informes se almacenan exclusivamente en este servidor dentro de Alemania/UE. Existe un contrato de encargo (AV-Vertrag) conforme al art. 28 RGPD con netcup.

4. Conservación del archivo subido

El archivo original del CV nunca se almacena. Su texto se extrae en memoria y se elimina tras generar el informe. Solo permanece el informe derivado, que puedes eliminar en cualquier momento.

5. Procesamiento por IA (Anthropic) y transferencia a terceros países

Para generar el análisis, el texto del CV se envía mediante una API cifrada a Anthropic PBC (EE. UU.) — una transferencia a un tercer país bajo las garantías de los art. 44–49 RGPD (Marco EU-US Data Privacy Framework y/o cláusulas contractuales tipo). Anthropic actúa como subencargado conforme al anexo estándar de tratamiento de datos (DPA) incorporado en sus Commercial Terms. Hemos activado la opción de retención cero de datos (Zero Data Retention) disponible en la configuración de nuestra cuenta de Anthropic; conforme a las Commercial Terms de Anthropic, las entradas y salidas no se utilizan para entrenar modelos. La transferencia se basa en las Cláusulas Contractuales Tipo (SCC). Condiciones de tratamiento y lista de subencargados de Anthropic: https://www.anthropic.com/legal/commercial-terms · https://trust.anthropic.com

6. Datos que recopilamos

Datos de cuenta (nombre, fecha de nacimiento [verificación de edad], correo con confirmación doble opt-in, contraseña con hash, idioma); datos de contenido (texto del CV temporalmente, informes, descripciones de puesto); datos de pago (íntegramente en Paddle – sin datos de tarjeta en nuestros servidores); registros del servidor (IP, hora, navegador/sistema).

7. Registros del servidor

Los registros de acceso se recopilan sobre la base del interés legítimo (art. 6(1)(f)) para la detección de ataques y se eliminan automáticamente en 7 días (se conservan solo como prueba en un incidente de seguridad en curso).

8. Cookies y herramientas de protección

Cookies estrictamente necesarias (sesión/seguridad): sin consentimiento (art. 6(1)(f) + § 25(2) TDDDG). Cloudflare Turnstile (verificación humano/bot, Cloudflare Inc., EE. UU. — transferencia con garantías DPF/SCC). Cloudflare Web Analytics funciona sin cookies. Actualmente no se usan cookies de estadística/marketing; cualquier uso requeriría tu consentimiento expreso.

9. Proveedor de pago (Paddle)

Los pagos los gestiona Paddle.com Market Ltd como Merchant of Record. Tus datos de pago (tarjeta, nombre, correo, dirección de facturación) se tratan directamente en Paddle y no se almacenan en nuestros servidores. Paddle se encarga de la facturación y el cumplimiento fiscal internacional. Privacidad de Paddle: https://www.paddle.com/legal/privacy

10. Encargo de tratamiento para empresas (B2B)

Para clientes B2B que suben datos de candidatos, ofrecemos un AV-Vertrag (art. 28 RGPD), disponible para su aceptación en el panel y que forma parte del contrato.

11. Conservación y supresión

Puedes eliminar tus CV e informes en cualquier momento; se retiran del servidor de inmediato. Se exceptúan las facturas, que conservamos: 8 años según § 147 AO.

12. Tus derechos (art. 15–21 RGPD)

Tienes derecho de acceso, rectificación, supresión, limitación, portabilidad y oposición (art. 21) al tratamiento basado en el interés legítimo. Para retirar el consentimiento o ejercer tus derechos: [email protected].

13. Autoridad de control

Tienes derecho a presentar una reclamación: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Ludwig-Erhard-Str. 22, 20459 Hamburg.

14. Medidas técnicas (art. 32 RGPD)

Cifrado en tránsito (TLS) y en reposo, control de acceso estricto, separación de red, copias de seguridad cifradas y minimización de datos.

15. Tratamiento automatizado y transparencia (art. 13(2)(f), 22 RGPD)

No existe ninguna decisión exclusivamente automatizada. El análisis es una herramienta de apoyo con lógica evaluativa (correspondencia de aptitudes/experiencia/ATS); la decisión corresponde a una persona. Nota: los sistemas que puntúan/clasifican candidatos pueden considerarse de alto riesgo según el Reglamento de IA de la UE (anexo III); sus obligaciones se atenderán antes del lanzamiento comercial. Nota sobre el Reglamento de IA: las obligaciones de los sistemas de alto riesgo (anexo III) se aplican —tras el aplazamiento del paquete Digital Omnibus— a partir del 2 de diciembre de 2027. Con independencia de ello, conforme al art. 50 (desde el 2 de agosto de 2026) te informamos claramente de que interactúas con un sistema de IA y de que los resultados son generados por IA.