Política de Privacidad

1. Responsable del tratamiento

Responsable: <NOMBRE_EMPRESA>. Domicilio fiscal: <DIRECCIÓN_FISCAL>. Contacto privacidad: <EMAIL_LEGAL>. Encargado de Protección de Datos (DPO): <EMAIL_DPO>.

2. Datos que recopilamos

• Datos de cuenta: nombre, correo electrónico y credenciales gestionados a través de Clerk.
• Contenido del usuario: texto del CV, descripción de vacantes, perfil de LinkedIn (si lo subes), notas y respuestas en evaluaciones.
• Datos de pago: información tokenizada por Stripe (no almacenamos números de tarjeta completos).
• Datos de uso: páginas visitadas, eventos de producto, métricas de rendimiento, información del dispositivo y dirección IP, recopilados a través de PostHog.
• Logs de seguridad y rate limiting almacenados en Upstash Redis.
• Inferencias generadas por nuestros modelos de IA a partir de tus datos.

3. Finalidades del tratamiento

• Prestar los servicios de análisis de carrera profesional contratados.
• Procesar pagos y emitir facturación.
• Mejorar la calidad de los modelos y la experiencia de producto (analítica agregada).
• Cumplir obligaciones legales, fiscales y contables.
• Prevenir fraude, abuso y vulneraciones de seguridad.
• Comunicaciones transaccionales esenciales (no marketing salvo opt-in explícito).

4. Bases legales (GDPR / LGPD / LFPDPPP)

• Ejecución del contrato: para prestar las funcionalidades que solicitas.
• Consentimiento: para cookies de analítica y comunicaciones de marketing.
• Interés legítimo: para seguridad, prevención de fraude y mejora del producto.
• Cumplimiento legal: para conservar registros fiscales y atender requerimientos de autoridades competentes.

5. Terceros con los que compartimos datos

Compartimos únicamente los datos necesarios con proveedores que actúan como encargados del tratamiento bajo acuerdos contractuales:

• Anthropic (Claude API): procesamiento de texto del CV y vacantes para generar análisis. Los datos no se utilizan para entrenar modelos de Anthropic conforme a sus condiciones para clientes API.
• Stripe: procesamiento de pagos y suscripciones; datos de tarjeta tokenizados.
• Clerk: autenticación, gestión de sesiones y MFA.
• Supabase: almacenamiento de la base de datos (PostgreSQL gestionado).
• PostHog: analítica de producto y telemetría de errores.
• Upstash: rate limiting y caché efímera.

6. Conservación de datos

• Análisis individuales (texto de CV procesado): 90 días desde la última actualización.
• Datos de cuenta y suscripción: durante la vigencia de la cuenta y hasta cinco (5) años tras su cierre por obligaciones fiscales.
• Logs de seguridad: 12 meses.
• Datos analíticos agregados (PostHog): hasta 12 meses, anonimizados después.

7. Tus derechos

Independientemente de tu jurisdicción, ofrecemos los siguientes derechos sobre tus datos personales:

• Acceso: obtener una copia de los datos que tratamos sobre ti.
• Rectificación: corregir datos inexactos o incompletos.
• Supresión / olvido: eliminar tu cuenta y datos asociados, salvo obligaciones legales de conservación.
• Portabilidad: recibir tus datos en formato estructurado y de uso común.
• Oposición y limitación: oponerte a tratamientos basados en interés legítimo o restringir su alcance.
• Revocar el consentimiento sin que afecte la licitud del tratamiento previo.
• Reclamar ante la autoridad de control competente (AEPD, ANPD, INAI, ICO, CCPA Agency, etc.).

Para ejercerlos, escribe a <EMAIL_DPO> con asunto 'Solicitud de derechos' y prueba de identidad. Responderemos en un plazo máximo de 30 días.

8. Aviso CCPA / CPRA (residentes de California)

AplicApp no vende datos personales en el sentido de la CCPA. Los residentes de California pueden ejercer los derechos de acceso, supresión, corrección y opt-out de share. Para enviar una solicitud verificable escribe a <EMAIL_LEGAL> incluyendo 'Solicitud CCPA'.

9. Aviso LGPD (Brasil)

El tratamiento se rige por la Ley General de Protección de Datos (Lei nº 13.709/2018). Puedes contactar al encargado por <EMAIL_DPO> y presentar reclamaciones ante la Autoridade Nacional de Proteção de Dados (ANPD).

10. Aviso LFPDPPP (México)

Para residentes en México, el tratamiento se rige por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Puedes ejercer los derechos ARCO (Acceso, Rectificación, Cancelación, Oposición) escribiendo a <EMAIL_DPO>. Reclamaciones ante el INAI (https://home.inai.org.mx).

11. Transferencias internacionales

Tus datos pueden ser tratados en servidores ubicados fuera de tu país (principalmente en Estados Unidos y la Unión Europea, donde residen nuestros proveedores). Aplicamos cláusulas contractuales tipo (SCCs) y medidas técnicas adicionales cuando corresponde.

12. Medidas de seguridad

Implementamos cifrado en tránsito (TLS 1.2+) y en reposo, control de accesos por rol, MFA para administradores, registro de auditoría, rate limiting y revisiones periódicas. Pese a ello, ningún sistema es absolutamente seguro; en caso de incidente notificaremos según los plazos legales aplicables.

13. Menores de edad

El servicio no está dirigido a menores de 18 años. Si detectamos una cuenta creada por un menor, procederemos a suspenderla y eliminar los datos asociados.