Privacidad

Última actualización:

JobSolutions es un portal de reclutamiento tech operado actualmente por Yorman Álvarez (persona física, residente en España), en tanto se constituye la entidad mercantil definitiva (Estonia OÜ vía Xolo). Esta política cumple el Reglamento (UE) 2016/679 (GDPR), la LOPDGPD española y la normativa de protección de datos aplicable. Te explica qué datos recopilamos, dónde se alojan, por qué los usamos, con quién los compartimos, cuánto tiempo los guardamos y qué derechos tienes.

Resumen ejecutivo: alojamos tus datos en servidores UE (Railway, Frankfurt/Ámsterdam), los CV y exportaciones en Cloudflare R2 también en la UE. Solo recurrimos a dos subprocesadores fuera del EEE —Anthropic (EE. UU., evaluación IA) y Google (EE. UU., OAuth)— siempre bajo SCCs 2021/914 y DPA firmado. Paddle (UK, pagos) opera bajo decisión de adecuación UE. No vendemos tus datos, no usamos webcam, no grabamos audio y nunca generamos perfiles psicométricos.

1. Responsable del tratamiento y contacto

Responsable: Yorman Álvarez (operando bajo la marca JobSolutions), domicilio pendiente de constitución mercantil. Para cualquier asunto de privacidad, escribe a [email protected]. Plazo de respuesta: máximo 30 días (Art. 12 GDPR), ampliable motivadamente hasta 60 días para solicitudes especialmente complejas.

No hemos designado un Delegado de Protección de Datos (DPO) formal, dado que la actividad de tratamiento no alcanza los umbrales del Art. 37 GDPR que lo exigen para nuestra escala de operación. Si en el futuro fuera obligatorio, se nombrará DPO y se actualizará esta sección. Para asuntos de protección de datos: [email protected].

Cuando esta política dice «nosotros», «nuestro» o «JobSolutions», se refiere al operador descrito. Cuando dice «tú» o «usuario», se refiere a cualquier persona física o jurídica que use la plataforma como candidato, empresa, contacto de empresa o visitante.

2. Qué datos tratamos y cómo los obtenemos

Los datos que tratamos se agrupan en cuatro categorías. Todos provienen de ti al crear la cuenta o usar la plataforma, salvo los datos técnicos automáticos (logs, IP, user agent) que se recogen al interactuar con el servicio.

2.1 Datos de cuenta e identidad

  • Email (obligatorio, verificado por enlace de un solo uso enviado por Resend).
  • Contraseña almacenada como hash argon2id (nunca se guarda en claro).
  • Nombre profesional (display name) y, en caso de empresa, nombre del contacto.
  • Teléfono móvil (opcional), almacenado en tu perfil para que las empresas puedan contactarte cuando lo aceptes. La verificación por SMS no está activa en la versión actual.

2.2 Datos de perfil profesional

  • Candidato: tecnologías declaradas, nivel (junior/mid/senior), zona horaria, modalidad preferida (remoto/híbrido/presencial), idiomas, CV en PDF (opcional, en R2), biografía corta, avatar (opcional), slug de perfil público (opcional).
  • Empresa: razón social o nombre comercial, NIF/IVA, país, sector, web, descripción pública, logotipo (opcional), tamaño, año de fundación, redes sociales.
  • Idiomas hablados: no constituyen categoría especial del Art. 9 GDPR; tratamiento basado en ejecución del contrato.
  • Preferencias de notificación y consentimiento de marketing (opt-in granular e independiente).
  • Datos de facturación si contratas plan premium como empresa: nombre, NIF/IVA y dirección fiscal. Datos de tarjeta los gestiona Paddle directamente; nunca llegan a nuestros servidores.

2.3 Datos de actividad en la plataforma

  • Intentos de test: respuestas técnicas y de razonamiento, puntuación por criterio (score_breakdown), nota total (score_total), latencia de evaluación IA, model_version y prompt_template_version.
  • Eventos anti-cheat durante un test: cambios de visibilidad de pestaña, pérdida de foco, pegado en respuesta, copia desde la pregunta, salida de pantalla completa y abandono. Base legal: interés legítimo (Art. 6.1.f). NO recogemos webcam, audio, keylogging ni capturas de pantalla.
  • Interacciones con vacantes: postulaciones, candidatos contactados/descartados, contrataciones confirmadas (solo informativo, sin comisión).
  • Mensajes entre candidatos y empresas vía buzón in-app, propuestas de reunión y archivos adjuntos.

2.4 Datos técnicos y de uso

  • IP hasheada con SHA-256 (no se almacena en claro), user agent, marca de tiempo y ruta de petición HTTP.
  • Cookies: solo las estrictamente necesarias para la sesión (Auth.js). Las analíticas opcionales requieren consentimiento previo. Ver política de cookies.
  • Telemetría de errores en Sentry (Alemania, UE): stack trace truncado, módulo, función, contexto técnico. Sin PII en breadcrumbs (sendDefaultPii: false).

3. Origen de los datos

Solo tratamos datos que tú facilitas o que se generan automáticamente al usar la plataforma. No compramos bases de datos, no hacemos scraping y no enriquecemos perfiles con fuentes externas sin consentimiento explícito.

  • Directamente de ti: al registrarte, completar el perfil, contestar tests, escribir mensajes o contratar un plan.
  • Automáticamente al usar la plataforma: logs técnicos, eventos anti-cheat, telemetría de errores y métricas agregadas y anónimas.
  • De terceros únicamente en un caso: Google OAuth —si eliges iniciar sesión con Google, recibimos email, nombre y avatar desde Google LLC (EE. UU.), bajo SCCs—.

4. Bases legales del tratamiento (Art. 6 GDPR)

Cada tratamiento se ampara en una base legal específica:

  • Ejecución del contrato (Art. 6.1.b): creación y mantenimiento de cuenta, evaluación de tests, matching, buzón in-app y suscripciones.
  • Consentimiento (Art. 6.1.a): marketing, cookies analíticas, compartición de CV con empresas y consentimientos granulares. Siempre revocable sin consecuencias.
  • Interés legítimo (Art. 6.1.f): detección de fraude y anti-cheat, seguridad del servicio, prevención de abusos, métricas agregadas y anónimas. Test de ponderación realizado: proporcional y no prevalece sobre derechos de los interesados.
  • Obligación legal (Art. 6.1.c): conservación de facturas 10 años; atención de requerimientos de autoridades.

5. Finalidades del tratamiento

Usamos tus datos exclusivamente para:

  • Crear, mantener y proteger tu cuenta: autenticación, verificación de email, recuperación de contraseña, gestión de sesiones.
  • Construir y mostrar tu perfil; evaluar tests con IA (Anthropic Claude); generar ranking de candidatos para empresas (matching + umbral 50%); mostrar vacantes recomendadas.
  • Facilitar comunicación candidato-empresa: buzón in-app, propuestas de reunión, notificaciones email transaccional (Resend) y alertas en plataforma.
  • Procesar suscripciones premium vía Paddle como Merchant of Record (Paddle factura, recauda VAT/IVA UE, gestiona soporte de cobros).
  • Detectar trampas en tests, prevenir abuso de cuotas IA, aplicar rate limits.
  • Cumplir obligaciones legales (contabilidad, fiscalidad, derechos GDPR) y contractuales con subprocesadores.

6. Con quién compartimos tus datos

No vendemos, alquilamos ni cedemos datos personales a terceros para fines comerciales propios. Solo los compartimos con subprocesadores necesarios para operar el servicio, todos con DPA firmado y, donde aplica, SCCs 2021/914.

Lista pública y actualizada de subprocesadores en /legal/subprocesadores. Cualquier alta o baja se anuncia con 30 días de antelación por email.

7. Dónde se alojan tus datos

Todos los datos personales se procesan y almacenan dentro de la UE siempre que es posible:

  • Aplicación y BD PostgreSQL 16: Railway, región UE Oeste (Frankfurt o Ámsterdam). Backups cifrados, retención 30 días.
  • Archivos (CV, exportes GDPR, logos, avatares): Cloudflare R2, bucket en la UE.
  • CDN, anti-DDoS, Turnstile: Cloudflare. Tráfico global, pero datos personales no se almacenan fuera de la región R2 configurada.

8. Transferencias internacionales (Arts. 44-49 GDPR)

Cuatro subprocesadores procesan datos fuera del EEE. En cada caso se aplican las salvaguardas legalmente exigidas:

  • Anthropic, Inc. (EE. UU.): evaluación IA de tests (claude-opus-4-8) y botón «Editar con IA» (claude-haiku-4-5). Base: DPA firmado + SCCs UE 2021/914. Anthropic no entrena sus modelos con datos de usuarios.
  • Twilio, Inc. (EE. UU.): SMS de verificación (no activo en la versión actual). Cuando se reactive, base: DPA + SCCs UE 2021/914.
  • Google LLC (EE. UU.): OAuth Google Sign-In. Datos: email, nombre, avatar (solo si usas Google para registrarte). Base: SCCs UE 2021/914 y/o EU-US Data Privacy Framework.
  • Paddle.com Market Ltd. (Reino Unido): pagos como Merchant of Record. Base: decisión de adecuación UE + DPA firmado.
  • Resend, Cloudflare R2, Railway, Sentry: todos en UE. No son transferencias internacionales; incluidos por transparencia.
  • legalPrivacy.li8f
  • legalPrivacy.li8g

9. Plazos de retención

Principio de minimización y limitación del plazo (Art. 5 GDPR):

  • Cuenta activa: mientras la cuenta permanezca activa.
  • Cuenta inactiva 24 meses: notificación por email; si no hay respuesta en 6 meses más, borrado lógico inmediato + borrado físico en 30 días.
  • Test invalidado por anti-cheat: 90 días para auditoría y posible reclamación.
  • Logs técnicos sin PII: 90 días. Logs con PII redactada: 30 días.
  • Registros de consentimiento (consent_log): 5 años para acreditar cumplimiento.
  • Facturas y registros fiscales: 10 años (obligación fiscal española y/o estonia/UE según entidad operante).
  • Backups cifrados de BD: 30 días con rotación automática.
  • CV en R2: borrado físico inmediato al eliminar la cuenta o al solicitarlo por separado.

10. Medidas de seguridad

Medidas técnicas y organizativas acordes con el estado de la técnica y el riesgo:

  • Cifrado en tránsito: TLS 1.3 en todas las comunicaciones.
  • Cifrado en reposo: BD PostgreSQL y Cloudflare R2.
  • Contraseñas con hash argon2id; nunca en claro.
  • Redacción automática de PII en logs (pino con `redact`).
  • Control de acceso por rol y principio de mínimo privilegio.
  • Auditoría de accesos internos registrada.

11. Notificación de brechas de seguridad

Si detectamos una brecha que afecte a datos personales con riesgo para derechos y libertades, notificaremos a la autoridad de control en menos de 72 horas (Art. 33 GDPR). Si el riesgo es alto para el interesado, también lo notificaremos directamente por email sin demora indebida (Art. 34 GDPR).

Mantenemos registro interno de incidentes. La notificación indicará la naturaleza de la brecha, categorías de datos afectados, número aproximado de interesados y medidas adoptadas.

12. Acceso interno y confidencialidad

Solo el personal estrictamente necesario accede a datos personales, bajo mínimo privilegio y deber de confidencialidad. Los accesos se auditan. No cedemos datos a terceros para fines comerciales, ni en forma anonimizada sin consentimiento previo.

13. Tus derechos como interesado (Arts. 15-22 GDPR)

Puedes ejercer los siguientes derechos en cualquier momento, de forma gratuita:

  • Acceso (Art. 15): obtener confirmación de si tratamos tus datos y copia de los mismos.
  • Rectificación (Art. 16): corregir datos inexactos o incompletos desde tu configuración.
  • Supresión o «derecho al olvido» (Art. 17): solicitar el borrado cuando los datos ya no sean necesarios o el tratamiento sea ilícito. Plazo: 30 días.
  • Limitación (Art. 18): suspender el tratamiento mientras se resuelve una disputa sobre exactitud o licitud.
  • Portabilidad (Art. 20): recibir tus datos en formato legible por máquina (JSON/CSV) vía `GET /api/me/export`.
  • Oposición (Art. 21): oponerte al tratamiento por interés legítimo —incluida elaboración de perfiles— y al marketing directo.
  • Revisión de decisiones automatizadas (Art. 22): solicitar revisión humana de la evaluación IA si consideras la nota injusta. Ver sección 17 y /legal/ia.
  • Retirar consentimiento (Art. 7.3): en cualquier momento y sin efecto retroactivo para tratamientos basados en consentimiento.

14. Cómo ejercer tus derechos

Para la mayoría de derechos puedes actuar desde Configuración → Privacidad y datos. Para solicitudes formales, escribe a [email protected] indicando el derecho que ejerces, tu identidad (nombre y email de cuenta) y la información concreta si procede. Respondemos en máximo 30 días (Art. 12 GDPR), ampliable a 60 con notificación motivada.

15. Cookies

Solo usamos cookies estrictamente necesarias para autenticación y sesión. Las cookies analíticas opcionales requieren consentimiento previo. Detalle completo en /legal/cookies.

16. Anti-cheat: lo que SÍ y lo que NO hacemos durante los tests

Para garantizar la integridad de las evaluaciones detectamos: cambio de visibilidad de pestaña, pérdida de foco de ventana, pegado en la respuesta, copia desde la pregunta, salida de pantalla completa y abandono. Estos eventos se registran en la tabla attempt_event vinculada al intento. 3 o más incidencias críticas invalidan el intento automáticamente.

Lo que NO hacemos: no activamos la cámara, no grabamos audio, no hacemos keylogging, no tomamos capturas de pantalla del escritorio ni inferimos rasgos biométricos. El proctoring por cámara está explícitamente fuera del alcance del producto en su versión actual (PRD v1.4). Cualquier incorporación futura requeriría consentimiento reforzado y DPIA actualizada previamente.

17. Evaluación por IA y supervisión humana

Las evaluaciones las realiza el modelo Anthropic claude-opus-4-8 con temperature 0.1 (configuración determinista): la misma respuesta siempre produce la misma nota, con independencia de quién seas. La rúbrica con criterios y pesos es visible junto a tu resultado. En zona borderline (55-65 puntos) se ejecuta una segunda pasada automática; si las dos notas difieren más de 10 puntos, el intento se marca para revisión humana (needs_review = true) y se promedia.

Bajo el EU AI Act (Reglamento UE 2024/1689), clasificamos esta evaluación como sistema de IA de alto riesgo (Anexo III, empleo y gestión de trabajadores). Documentación de transparencia completa —modelo, versión, configuración, supervisión humana y derechos— en /legal/ia.

18. Datos de menores

JobSolutions es un servicio profesional dirigido a mayores de 16 años (mínimo establecido por la LOPDGPD española para el consentimiento digital; el GDPR fija el máximo en 16 salvo que el Estado miembro lo rebaje hasta 13). No recogemos a sabiendas datos de menores de 16 años. Si detectamos que hemos tratado datos de un menor de esa edad, los eliminaremos inmediatamente y lo notificaremos a los progenitores o tutores si disponemos de sus datos de contacto.

19. Publicidad en planes gratuitos

Los usuarios con plan free pueden ver publicidad servida directamente por nosotros. El targeting se realiza exclusivamente por: (a) rol (candidato o empresa), (b) continente de registro y (c) idioma de la interfaz. Nunca segmentamos por PII ni por inferencias sobre características personales. Los usuarios premium no ven publicidad; si eres premium y ves publicidad, escríbenos y te prorrateamos el mes.

20. Marketing y comunicaciones comerciales

Solo enviamos comunicaciones de marketing con consentimiento explícito e independiente, obtenido al registrarte o desde Configuración → Notificaciones. Puedes retirarlo en cualquier momento mediante el enlace de baja en cada email comercial o desde tu cuenta, sin coste ni consecuencias para el uso del servicio. Los emails transaccionales necesarios (verificación, recuperación, alertas del servicio) no requieren opt-in; son necesarios para la ejecución del contrato.

21. Cambios en esta política

Si modificamos la política de forma sustancial (cambio de responsable, nueva finalidad, nuevo subprocesador con transferencia internacional, cambio de base legal) notificaremos por email con al menos 30 días de antelación y solicitaremos re-consentimiento en el próximo login. Cambios menores (redacción, contacto, altas/bajas de subprocesadores sin nuevas transferencias) se publican aquí con la fecha de revisión.

22. Autoridad de control y derecho a reclamar

Si consideras que tratamos tus datos incorrectamente, puedes reclamar ante la autoridad de control competente. Al ser el operador actual una persona física residente en España, la autoridad de control principal de referencia es la Agencia Española de Protección de Datos (AEPD — www.aepd.es, C/ Jorge Juan 6, 28001 Madrid, sede.aepd.gob.es). Si resides en otro Estado miembro de la UE, puedes también acudir a la autoridad de control de tu país.

Te rogamos que nos contactes primero en [email protected]; la mayoría de cuestiones se resuelven directamente y en plazo.

23. Versión y contacto

Versión de esta política: v1.0. Última revisión: 28 de mayo de 2026. Privacidad y derechos: [email protected]. Asuntos generales: [email protected]. Asuntos legales: [email protected].

Esta web usa cookies

Usamos cookies técnicas (siempre activas) y, si las aceptas, cookies de preferencias, analíticas y marketing. Puedes personalizar tu elección o rechazarlas en cualquier momento. Más información.