Política de privacidad

Quiénes somos

TakeMeUp.cv es una herramienta de creación de currículums y búsqueda de empleo operada por Bogdan Ionita (empresario individual, Bucarest, Rumanía). A efectos del Reglamento General de Protección de Datos de la UE (RGPD), Bogdan Ionita es el responsable del tratamiento de los datos personales tratados a través de TakeMeUp.cv.

Contacto para cuestiones de privacidad, solicitudes o reclamaciones: contact@takemeup.cv.

Qué datos personales recopilamos

El contenido del currículum que nos facilita. Cuando crea, importa o sube un currículum, tratamos todo lo que incluya en él: su nombre, correo electrónico, teléfono, ubicación, fotografía (si la sube), fecha de nacimiento y nacionalidad (si completa esos campos específicos de la UE), historial laboral, formación, competencias, certificaciones, idiomas, proyectos, premios y cualquier sección personalizada.

Datos de la cuenta (solo usuarios registrados): correo electrónico y tokens de autenticación (gestionados por Clerk), ID de cliente de Stripe y estado de la suscripción (para los planes de pago), y su estado de consentimiento para el tratamiento por IA.

Datos de uso. Registramos qué funciones del currículum utiliza, los recuentos de cuota para los límites del nivel gratuito y las entradas del registro de gasto en IA. Aplicamos un hash a su dirección IP (SHA-256 + sal) antes de almacenarla para limitar la frecuencia de uso; no almacenamos direcciones IP en bruto.

Los usuarios anónimos pueden utilizar el nivel gratuito sin una cuenta. Establecemos una cookie funcional (cv_anon) para vincular cualquier currículum creado de forma anónima a su navegador y que no pierda su trabajo. Los currículums anónimos y los registros de eventos se eliminan automáticamente transcurridos 30 días.

Para qué los utilizamos y la base jurídica

• Crear, almacenar y exportar su currículum: ejecución del contrato (Art. 6(1)(b) RGPD) para los usuarios de pago; interés legítimo (Art. 6(1)(f)) para el nivel gratuito.
• Autenticación: ejecución del contrato para los usuarios registrados.
• Procesamiento de pagos: ejecución del contrato; cumplimiento de las obligaciones de conservación de registros fiscales (Art. 6(1)(c)).
• Funciones basadas en IA (Reescritura, Crítica, Career GPS, Resumen, Carta de presentación, Preparación de entrevistas, Detector de obsolescencia, Amplificador de logros, Coincidencia de empleo, Traducción, LinkedIn, Verificación de autenticidad, Lagunas profesionales, análisis de currículums): su consentimiento explícito (Art. 6(1)(a)). La primera vez que active cualquier función de IA, le mostramos una solicitud de consentimiento; puede retirar su consentimiento en cualquier momento desde la página de su cuenta, tras lo cual no se ejecutará ninguna otra función de IA sobre su currículum.
• Limitación de frecuencia y prevención del fraude: interés legítimo en mantener el servicio utilizable para todos (Art. 6(1)(f)).
• Correos electrónicos de servicio (confirmaciones de cuenta, recibos): ejecución del contrato.

Con quién los compartimos

Utilizamos un pequeño conjunto de subencargados del tratamiento cuidadosamente seleccionados para operar TakeMeUp.cv. La lista completa y actualizada —que incluye la función de cada proveedor, qué datos recibe, dónde los trata y el mecanismo de transferencia UE→fuera de la UE cuando proceda— se encuentra en nuestra página de Subencargados del tratamiento.

La relación más relevante que conviene destacar aquí: Anthropic PBC (EE. UU.), que proporciona la inferencia de IA para todas las funciones de IA. Cuando activa una función de IA, enviamos las partes pertinentes de su currículum a la API de Anthropic. Anthropic está certificada conforme al Marco de Privacidad de Datos UE-EE. UU. (decisión de adecuación de la Comisión Europea, julio de 2023). Existe un Acuerdo de tratamiento de datos con cláusulas contractuales tipo de la UE en vigor entre nosotros y Anthropic; Anthropic incorpora automáticamente este DPA a sus Condiciones comerciales de servicio, que hemos aceptado. La API pública de Anthropic, por contrato, no se entrena con los datos de los clientes.

No vendemos sus datos. No los compartimos con anunciantes. No los utilizamos para entrenar ningún modelo de IA (ni el nuestro ni el de nadie).

Dónde se tratan sus datos

Nuestra infraestructura principal opera dentro del Espacio Económico Europeo y el Reino Unido: la base de datos Neon Postgres y el almacenamiento Vercel Blob se encuentran en el Reino Unido (región de Londres, amparada por la decisión de adecuación de la Comisión Europea respecto al Reino Unido, válida hasta 2031). Las API de terceros ubicadas en la UE (Eurostat, ESCO, France Travail, Bundesagentur, Jooble) tratan las consultas dentro de la UE.

Algunos subencargados del tratamiento tienen su sede fuera de la UE/Reino Unido, pero están amparados por mecanismos de transferencia adecuados: el Marco de Privacidad de Datos UE-EE. UU., las cláusulas contractuales tipo de la UE y un Acuerdo de tratamiento de datos en vigor con cada proveedor. En el caso de los proveedores que utilizamos, el DPA se incorpora automáticamente a las condiciones comerciales estándar del proveedor (que hemos aceptado); no se requieren firmas individuales por cliente para que el acuerdo sea vinculante. La lista completa con cada ubicación y base de transferencia se encuentra en la página de Subencargados del tratamiento.

Cuánto tiempo los conservamos

• Datos de la cuenta y del currículum: se conservan mientras su cuenta esté activa, se eliminan a petición (véase más abajo) o 30 días después de que cierre su cuenta.
• Datos de currículums anónimos y registros de eventos: se eliminan automáticamente 30 días después de la última actividad.
• Artefactos de IA (críticas, cartas de presentación, GPS, etc.) siguen al currículum principal: se eliminan cuando se elimina el currículum.
• Registros de pago: se conservan según exige la legislación fiscal rumana (actualmente 10 años para las facturas).
• Copias de seguridad: copias de seguridad de la base de datos con rotación de 30 días. Las solicitudes de eliminación se propagan a las copias de seguridad en un plazo de 30 días.

Sus derechos

En virtud del RGPD, usted dispone de los siguientes derechos:

• Acceso (Art. 15): ver qué datos tenemos sobre usted. Autoservicio a través de su menú Gestionar cuenta → Descargar mis datos.
• Rectificación (Art. 16): corregir sus datos. Autoservicio en el editor de currículums y en la configuración de la cuenta.
• Supresión (Art. 17): eliminar su cuenta y todos los datos asociados. Autoservicio a través de Gestionar cuenta → Eliminar mi cuenta.
• Limitación (Art. 18): solicitarnos que suspendamos el tratamiento mientras se resuelve una controversia. Escríbanos un correo electrónico.
• Portabilidad (Art. 20): obtener una copia de sus datos en un formato legible por máquina. Autoservicio a través de la acción de exportación.
• Oposición (Art. 21): oponerse al tratamiento basado en el interés legítimo. Escríbanos un correo electrónico.
• Retirar el consentimiento para la IA (Art. 7(3)): revocar su consentimiento para las funciones de IA en cualquier momento a través de la configuración de la cuenta. Los resultados de IA anteriores no se ven afectados; no se ejecutará ninguna llamada de IA futura sobre su currículum.
• Reclamación ante una autoridad de control: tiene derecho a presentar una reclamación ante su autoridad nacional de protección de datos. Para Rumanía (donde estamos establecidos): ANSPDCP, dataprotection.ro.

Menores

TakeMeUp.cv no está dirigido a menores de 16 años. No tratamos conscientemente datos personales de menores de 16 años. Si cree que un menor nos ha facilitado datos personales, póngase en contacto con nosotros y los eliminaremos.

Seguridad

Utilizamos TLS para todos los datos en tránsito, cifrado en reposo para la base de datos y el almacenamiento de objetos, tokens de acceso con alcance limitado para las llamadas entre servicios y almacenamiento únicamente mediante hash de las direcciones IP y (cuando proceda) de los identificadores de destinatario. La autenticación la gestiona Clerk (gestión de sesiones conforme al estándar del sector, MFA opcional). Ningún sistema es perfectamente seguro; notificaremos a los usuarios afectados y a la autoridad pertinente en un plazo de 72 horas desde que tengamos conocimiento de cualquier violación que afecte a datos personales, según exigen los Art. 33–34 del RGPD.

Cambios en esta política

Actualizaremos esta página cuando cambie nuestro tratamiento (nuevo subencargado del tratamiento, nueva función, nueva región). La fecha de «Última actualización» que figura en la parte superior refleja el cambio más reciente. Los cambios sustanciales que afecten a sus datos existentes se señalarán por correo electrónico o mediante un aviso dentro de la aplicación.

Contacto

Para cualquier cuestión de privacidad, solicitud de derechos o simplemente una objeción sincera sobre algo de esta política: contact@takemeup.cv. Yo (Bogdan) leo cada uno de los mensajes.