Política de Privacidad
Borrador operativo. Pendiente de revisión legal antes de publicación.
Versión: borrador 0.1 — {{FECHA}}
1. Responsable del tratamiento
- Titular: {{RAZON_SOCIAL}} ("Ayho").
- NIF/CIF: {{CIF}}.
- Domicilio: {{DOMICILIO_COMPLETO}}.
- Contacto de privacidad:
[email protected]. - Delegado de Protección de Datos: {{DPO_DATOS}} (si aplica).
2. Información tratada y finalidades
Ayho trata datos personales para las finalidades descritas a continuación. La columna "Base jurídica" indica la fundamentación legal conforme al artículo 6 del RGPD.
| Finalidad | Datos tratados | Base jurídica |
|---|---|---|
| Alta, autenticación y gestión de cuenta | email, hash de contraseña, datos de sesión, preferencias | Ejecución del contrato (Art. 6.1.b) |
| Perfil de candidato y preferencias | headline, summary, skills, idiomas, ubicación, salario esperado, disponibilidad | Ejecución del contrato (Art. 6.1.b) |
| Subida y procesamiento opcional de CV con IA | fichero CV, texto extraído, imported_experience_summary |
Consentimiento (Art. 6.1.a) |
| Visibilidad del perfil a empresas | datos del perfil estructurado | Consentimiento (Art. 6.1.a) |
| Publicación y gestión de ofertas | datos de empresa, datos de oferta | Ejecución del contrato (Art. 6.1.b) |
| Matching y recomendación | preferencias, skills, comportamiento de swipe | Interés legítimo (Art. 6.1.f) y ejecución del contrato |
| Mensajería entre empresa y candidato | contenido de mensajes, metadatos | Ejecución del contrato |
| Facturación y pagos | email de facturación, tax_id, transacciones, datos bancarios gestionados por Stripe | Obligación legal (Art. 6.1.c) y ejecución del contrato |
| Comunicaciones transaccionales | email, rol, metadatos del evento | Ejecución del contrato |
| Comunicaciones comerciales | email, preferencias | Consentimiento (Art. 6.1.a) |
| Seguridad, antifraude y cumplimiento | logs técnicos, IP, eventos sensibles | Interés legítimo y cumplimiento legal |
| Atención a derechos del interesado | los necesarios para verificar identidad | Obligación legal |
3. Consentimientos granulares
Los tres consentimientos independientes son:
- Procesamiento del CV con IA (
ai_cv_processing): permite que el CV del candidato se procese con modelos de IA para extraer un resumen y detectar skills. - Visibilidad del perfil ante empresas (
profile_visibility): permite que el perfil aparezca en el feed de empresas para recibir conversaciones. - Comunicaciones comerciales (
marketing_comms): permite enviar correos no transaccionales.
Cada consentimiento puede concederse o revocarse de forma independiente desde la configuración de la cuenta. Detalle técnico en docs/security/consents.md.
4. Categorías de datos y origen
- Datos facilitados por el usuario en el alta, onboarding y uso del servicio.
- Datos obtenidos de proveedores OAuth (Google, LinkedIn) cuando el usuario elige iniciar sesión con ellos.
- Datos inferidos a partir del uso (señales de comportamiento, métricas de matching).
- Datos técnicos (IP, dispositivo, user-agent) necesarios para seguridad y correcto funcionamiento.
Ayho no trata categorías especiales de datos personales (Art. 9 RGPD). Los usuarios deben evitar incluir en su CV o perfil datos sensibles (salud, religión, afiliación política, origen racial, etc.).
5. Plazos de conservación
| Tipo de dato | Plazo |
|---|---|
| Cuenta activa | Mientras dure la relación contractual |
| Cuenta eliminada | Anonimización inmediata; purga efectiva a 30 días |
| CV reemplazado | Purga a 30 días del reemplazo |
| Auditoría de acciones (AuditLog) | 6 años |
| Transacciones de pago y facturas | 6 años (Ley 58/2003, Código de Comercio) |
| Consentimientos | Vida de la cuenta + 5 años (prueba) |
| Logs técnicos de error | 90 días |
| Analítica identificable | 13 meses máximo |
6. Destinatarios y subprocesadores
Ayho comparte datos únicamente con proveedores de servicio necesarios para prestar la plataforma. Inventario detallado en docs/security/subprocessors.md:
- Infraestructura: Hetzner Cloud (UE).
- Identidad y OAuth: Better Auth (local), Google, LinkedIn.
- Pagos y facturación: Stripe Payments Europe.
- Email transaccional: Resend.
- Almacenamiento de documentos: Cloudflare R2.
- Antibot: Cloudflare Turnstile.
- IA para CV y normalización: OpenAI (con consentimiento).
- Analítica y error tracking: PostHog y GlitchTip (auto-hospedados).
Todos los subprocesadores fuera del EEE operan bajo cláusulas contractuales tipo (SCC) o marcos de adecuación vigentes.
7. Transferencias internacionales
Cuando un subprocesador trate datos fuera del Espacio Económico Europeo (EEE), se aplican las garantías exigidas por los artículos 44 a 49 del RGPD:
- Decisiones de adecuación cuando existan.
- Cláusulas contractuales tipo aprobadas por la Comisión Europea (SCC).
- Medidas suplementarias: cifrado en tránsito, control de acceso, minimización de datos.
8. Derechos del interesado
Los usuarios pueden ejercer en cualquier momento los derechos de acceso, rectificación, supresión, oposición, limitación, portabilidad y a no ser objeto de decisiones automatizadas, conforme a los artículos 15 a 22 del RGPD.
Cómo ejercerlos:
- Desde la configuración de la cuenta cuando la acción es autoservible.
- Enviando un correo a
[email protected]con identificación suficiente. - Detalle operativo en docs/security/gdpr.md.
El usuario tiene derecho a presentar reclamación ante la Agencia
Española de Protección de Datos (AEPD) si considera que el tratamiento
no cumple la normativa (https://www.aepd.es).
9. Decisiones automatizadas
El matching de oportunidades combina hard filters y un ranker basado en pesos. La decisión final de iniciar una conversación es siempre humana: ni el candidato ni la empresa reciben decisiones exclusivamente automatizadas en el sentido del artículo 22 del RGPD.
El usuario puede revisar y corregir los datos que alimentan el matching desde su perfil y preferencias.
10. Seguridad
Ayho aplica medidas técnicas y organizativas apropiadas para proteger los datos: cifrado en tránsito, cifrado de contraseñas, control de acceso, minimización de datos enviados a IA, auditoría de acciones sensibles, backups cifrados y revisión periódica según OWASP ASVS 5.0.
En caso de brecha de seguridad con impacto en los derechos y libertades del interesado, se aplicará el procedimiento descrito en docs/security/gdpr.md §8.
11. Menores de edad
El servicio está dirigido a personas mayores de 16 años. Ayho no recaba datos conscientemente de menores de esa edad. Si se detecta un usuario menor, su cuenta se suspende y los datos se eliminan.
12. Cambios en la política
Ayho podrá actualizar esta política. Cuando los cambios afecten de forma significativa al usuario, se comunicarán por email o en el producto con antelación razonable. La versión vigente estará publicada siempre en el sitio y la versión utilizada al otorgar un consentimiento queda registrada junto al mismo.