Política de Privacidad
Versión: 2026-05-18 · Te notificaremos si realizamos cambios que afecten a las bases legales del tratamiento.
1. Responsable del tratamiento
- Identidad: Gonzalo Tejero
- Contacto: hola@jobhook.io
- Delegado de Protección de Datos (DPD): No estamos obligados a designar DPD conforme al artículo 37 del RGPD. Para cualquier consulta sobre privacidad, escríbenos a hola@jobhook.io.
2. Categorías de datos que tratamos
| Categoría | Datos concretos | Origen |
|---|---|---|
| Cuenta | Nombre, dirección de correo electrónico | Clerk (proveedor de autenticación) |
| Currículum vitae | Texto extraído del PDF con datos de contacto eliminados automáticamente (email, teléfono, URLs, nombre). Se conservan datos de experiencia, formación y habilidades. | El propio usuario al subirlo |
| Preferencias de empleo | Texto libre describiendo tipo de puesto, sector, salario, etc. | El propio usuario |
| Perfiles de búsqueda | Palabras clave, ubicación, tipo de contrato, nivel de experiencia | El propio usuario |
| Resultados de ofertas | URL, título, empresa, descripción y puntuación IA de ofertas obtenidas de portales de empleo y páginas de empresa públicas | Fuentes públicas de terceros |
| Datos de suscripción | Plan, estado, fechas de vigencia. Las tarjetas de crédito las gestiona Stripe directamente; nosotros no las almacenamos. | Stripe |
| Datos técnicos | IP (hasheada en registros de consentimiento), user-agent | Generados automáticamente |
| Registros de consentimiento | Fecha, acción, versión de la política aceptada | Generados al aceptar esta política |
Datos de categoría especial: No solicitamos ni necesitamos datos de salud, religión, opiniones políticas, orientación sexual, afiliación sindical ni datos biométricos. Te pedimos expresamente que no los incluyas en tu CV, ya que su tratamiento requeriría una base legal adicional conforme al artículo 9 del RGPD.
3. Finalidades y bases legales del tratamiento
| Finalidad | Base legal (RGPD Art. 6) |
|---|---|
| Creación y gestión de la cuenta de usuario | Ejecución del contrato (Art. 6.1.b) |
| Prestación del servicio de búsqueda y puntuación de ofertas | Ejecución del contrato (Art. 6.1.b) |
| Procesamiento del CV mediante IA (envío a n8n y OpenAI para puntuación) | Consentimiento explícito (Art. 6.1.a), revocable en cualquier momento |
| Gestión de pagos y facturación | Ejecución del contrato (Art. 6.1.b) y obligación legal/fiscal (Art. 6.1.c) |
| Prevención de fraude (conservar el hash del email para evitar reutilización abusiva de la prueba gratuita) | Interés legítimo (Art. 6.1.f) |
| Comunicaciones sobre nuevas funcionalidades | Consentimiento explícito (Art. 6.1.a), opcional y revocable en cualquier momento |
| Demostrar el consentimiento (registros de consentimiento) | Obligación legal (Art. 6.1.c) + interés legítimo (Art. 6.1.f) |
4. Tratamiento del CV mediante inteligencia artificial
El texto de tu CV (una vez anonimizado) se envía a n8n GmbH (Alemania, UE) y a OpenAI, L.L.C. (EE. UU.) para calcular una puntuación de coincidencia con cada oferta de empleo encontrada. Esta puntuación es una recomendación: tú decides si solicitas o no cada oferta. No existe ninguna decisión automatizada con efectos jurídicos en el sentido del artículo 22 del RGPD.
OpenAI no utiliza los datos enviados a través de su API para entrenar sus modelos (conforme a su política de uso de la API vigente desde marzo de 2023). Los datos pueden almacenarse en caché en los servidores de OpenAI durante un máximo de 24 horas.
Puedes pausar en cualquier momento el procesamiento de tu CV desde Ajustes → Privacidad y datos, lo que desactivará tu flujo de puntuación sin borrar tus datos.
Verificador ATS. Si usas la herramienta Verificador ATS (en Panel → Verificador ATS), el texto anonimizado de tu CV se envía a OpenAI, L.L.C. para generar un informe de readiness ATS (puntuación, métricas y recomendaciones). La llamada se realiza con instrucciones expresas para que OpenAI no retenga los datos más allá del procesamiento puntual ni los utilice para entrenar sus modelos. El informe se guarda cifrado en tu cuenta para que puedas consultarlo y se elimina cuando eliminas tu cuenta. Las puntuaciones y recomendaciones están generadas por inteligencia artificial, son orientativas y no constituyen una decisión automatizada con efectos jurídicos en el sentido del artículo 22 del RGPD.
5. Sub-encargados del tratamiento
Compartimos datos con los siguientes proveedores en su condición de sub-encargados. Todos ellos ofrecen garantías adecuadas conforme al Capítulo V del RGPD:
| Proveedor | Servicio | País | Mecanismo | DPA |
|---|---|---|---|---|
| Clerk, Inc. | Gestión de cuentas de usuario y sesiones de inicio de sesión | Estados Unidos | DPF | Ver DPA |
| Cloudflare, Inc. | Verificación de que los envíos del formulario de contacto provienen de personas reales (sin instalar cookies ni identificadores persistentes) | Estados Unidos | DPF | Ver DPA |
| Stripe Payments Europe, Ltd. | Procesamiento de pagos, gestión de suscripciones y facturas | Irlanda (UE) y EE. UU. | DPF + SCC | Ver DPA |
| Supabase, Inc. | Almacenamiento estructurado de datos de cuenta y resultados de búsqueda | Unión Europea (verificar región del proyecto) | EEE | Ver DPA |
| Vercel, Inc. | Servir la aplicación web, ejecutar funciones serverless y recopilar métricas anónimas de rendimiento y uso (Speed Insights y Web Analytics, sin cookies ni identificadores persistentes) | Estados Unidos | DPF | Ver DPA |
| n8n GmbH | Coordinar el envío del CV al modelo de IA y devolver los resultados puntuados | Alemania (UE) | EEE | Ver DPA |
| OpenAI, L.L.C. | Puntuar la coincidencia entre el CV y cada oferta de empleo | Estados Unidos | DPF + SCC | Ver DPA |
| Oracle Cloud | Ejecutar el agente que recoge ofertas públicas de LinkedIn | Verificar región (TODO sub-procesador) | SCC | Ver DPA |
| Resend, Inc. | Enviar notificaciones por email cuando hay nuevas ofertas puntuadas | Estados Unidos | DPF | Ver DPA |
| Zoho Corporation B.V. | Recepción de correos enviados a privacidad@, hola@ y otras direcciones de jobhook.io | Países Bajos (UE) | EEE | Ver DPA |
Leyenda: DPF = Marco UE-EE. UU. · SCC = Cláusulas contractuales tipo · EEE = sin transferencia internacional (proveedor dentro del Espacio Económico Europeo).
6. Medidas de seguridad
Aplicamos medidas técnicas y organizativas apropiadas conforme al artículo 32 del RGPD para proteger tus datos:
- Cifrado en tránsito: TLS 1.2+ en todas las comunicaciones (HTTPS).
- Cifrado en reposo: la base de datos completa está cifrada a nivel de disco (AES-256) por nuestro proveedor de infraestructura (Supabase). Adicionalmente, el texto de tu CV y tus preferencias de empleo se cifran en la capa de aplicación con AES-256-GCM antes de almacenarse, por lo que sólo JobHook puede leer su contenido en claro.
- Minimización: el CV se anonimiza automáticamente al subirlo (se eliminan email, teléfono, URLs y nombre) antes de almacenarse y antes de enviarse a OpenAI.
- Control de acceso: autenticación gestionada por Clerk con políticas de contraseñas robustas y, opcionalmente, MFA.
- Registros de auditoría: conservamos un registro inmutable de los consentimientos otorgados y de los eventos de webhook recibidos.
7. Plazos de conservación
| Dato | Plazo | Criterio |
|---|---|---|
| Cuenta y CV | Hasta solicitud de supresión | Necesario para prestar el servicio |
| Resultados de ofertas | 30 días | Limpieza automática por cron |
| Registros de scraping | 90 días | Limpieza automática por cron |
| Hash del email (prevención de fraude) | 5 años | Interés legítimo; el hash no es reversible al email original |
| Registros de consentimiento | Vida de la cuenta (suprimidos en cascada) | Obligación de demostrar el consentimiento (Art. 7.1 RGPD) |
| Datos de facturación (Stripe) | Mínimo 5 años | Obligación fiscal (Ley 58/2003 General Tributaria, Art. 66). Gestionados por Stripe bajo su propia base legal. |
8. Derechos de los interesados
Conforme a los artículos 15 a 22 del RGPD, puedes ejercer los siguientes derechos:
- Acceso (Art. 15): conocer qué datos tratamos sobre ti.
- Rectificación (Art. 16): corregir datos inexactos.
- Supresión (Art. 17): eliminar tu cuenta y todos tus datos desde Ajustes → Privacidad y datos → Eliminar mi cuenta.
- Portabilidad (Art. 20): solicitar una copia de tus datos escribiendo a privacidad@jobhook.io.
- Limitación (Art. 18): suspender temporalmente el tratamiento.
- Oposición al perfilado (Art. 21): pausar la puntuación con IA desde Ajustes → Privacidad y datos.
- Retirada del consentimiento (Art. 7.3): revocar cualquier consentimiento en cualquier momento sin que afecte a la licitud del tratamiento anterior.
Para ejercer cualquier derecho no cubierto por la interfaz o para formular reclamaciones, escríbenos a hola@jobhook.io. Respondemos en un plazo máximo de 30 días.
También puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es.
9. Menores de edad
El servicio está dirigido a personas mayores de 14 años, edad mínima de consentimiento digital en España conforme al artículo 7 de la Ley Orgánica 3/2018 (LOPDGDD). No tratamos a sabiendas datos de menores de 14 años.
10. Decisiones automatizadas
JobHook utiliza inteligencia artificial para puntuar la coincidencia entre tu CV y cada oferta de empleo. Esta puntuación es una recomendación orientativa: el usuario decide de forma autónoma si solicita o no cada empleo. No existe ninguna decisión automatizada que produzca efectos jurídicos o te afecte significativamente en el sentido del artículo 22 del RGPD.
11. Modificaciones
Podemos actualizar esta política. Si los cambios afectan a las bases legales o a las finalidades del tratamiento, te lo notificaremos y te solicitaremos nuevamente tu consentimiento cuando sea necesario. La versión vigente siempre estará accesible en esta página.