Legal · Política de Privacidad
Política de Privacidad
Vigente desde 3 de junio de 2026
1. Qué recopilamos
Al registrarte, recopilamos:
- Tu dirección de correo electrónico (para el inicio de sesión y los correos transaccionales).
- Nombre completo opcional (si lo proporcionás al registrarte).
- Un hash cifrado de contraseña a través de Supabase Auth: nunca vemos tu contraseña en texto plano.
Cuando ejecutás un análisis, también almacenamos:
- El texto de la descripción del puesto y el currículum del candidato que enviás.
- La transcripción y el scorecard que produce el modelo.
- Metadatos sobre el análisis (fecha y hora, modalidad, créditos consumidos).
No utilizamos el contenido de tus análisis para entrenar ni ajustar ningún modelo.
Si usás funciones opcionales, también almacenamos: un código de referido y los eventos de referido que te vinculan con las personas que invitás (para acreditar ambas cuentas); y cualquier resultado post-contratación que registres sobre un análisis anterior (sigue aquí / ascendido / desvinculado / con bajo rendimiento), que se incorpora a tus propios datos de calibración privados para mejorar tus análisis futuros. Nunca compartimos esto entre organizaciones.
2. Procesadores de datos (subencargados)
- Anthropic — Inferencia de IA para el motor de análisis. El texto del CV y la descripción del puesto se envían a Anthropic en el momento del análisis; según los términos de la API de Anthropic, el contenido de la API no se utiliza para entrenamiento.
- Stripe — procesamiento de pagos para la compra de paquetes de créditos. Stripe almacena los datos de la tarjeta en su infraestructura PCI-DSS; nunca vemos ni almacenamos números de tarjeta completos.
- Supabase — base de datos Postgres y autenticación. Aloja la tabla de usuarios, el registro de créditos y el historial de análisis.
- Resend — entrega de correos electrónicos transaccionales (recibos de compra, restablecimiento de contraseña, etc.).
- Crisp — chat de soporte en vivo. Si abrís el widget de soporte, los mensajes que enviás (y, cuando estás autenticado, el correo de tu cuenta) se comparten con Crisp para gestionar y responder tu solicitud. Crisp no recibe contenido de CVs, candidatos ni descripciones de puestos.
- PostHog (EU) — analítica de producto. Recibe únicamente eventos de comportamiento seudonimizados (por ejemplo, registro, análisis ejecutado, compra) identificados por un id de usuario opaco; nunca recibe CVs, candidatos ni descripciones de puestos.
- Ahrefs Web Analytics — analítica web sin cookies. Recibe datos agregados de visitas de página (URL visitada, referente, país aproximado, tipo de dispositivo); no usa cookies y nunca recibe contenido de CVs, candidatos ni descripciones de puestos.
- Google Cloud Run — alojamiento de la aplicación en la región us-central1.
3. Tus derechos RGPD
Si te encontrás en la UE/Reino Unido o en cualquier jurisdicción con derechos equivalentes al RGPD, tenés los siguientes derechos sobre tus datos:
- Derecho de acceso — autoservicio: iniciá sesión y visitá /dashboard o utilizá
GET /api/me/gdpr-exportpara descargar un archivo JSON con todos los registros que tenemos vinculados a tu cuenta (perfil, saldo, transacciones, análisis, rankings, historial de límite de uso). - Derecho de rectificación: actualizá tu correo o nombre completo desde la página de tu cuenta, o enviá un correo a contacto@infinure.com.
- Derecho de supresión — autoservicio: iniciá sesión y visitá /settings → Eliminar mis datos (o utilizá
POST /api/me/gdpr-delete)). Esto elimina de forma inmediata y permanente tus análisis, rankings, evaluaciones de promoción, roles, CVs de candidatos y conjuntos de calibración, anonimiza tu cuenta y cierra tu sesión. Los registros financieros se conservan cuando lo exige la ley (por ejemplo, registros de facturas para fines impositivos). También podés escribir a contacto@infinure.com. - Derecho a la portabilidad: el JSON de exportación RGPD es el artefacto de portabilidad: está estructurado, es legible por máquina y contiene el conjunto de datos completo.
- Derecho de oposición / retirada del consentimiento: dejá de usar el Servicio y solicitá la eliminación de tus datos. No existe un consentimiento de marketing separado: solo enviamos correos transaccionales.
4. Retención
Los análisis, rankings y conjuntos de calibración se conservan en tu cuenta para que puedas descargar transcripciones y PDFs, hasta que los eliminés. Podés borrar todo en cualquier momento, vos mismo, desde /settings → Eliminar mis datos. Los registros financieros (registro de transacciones, recibos de Stripe) pueden conservarse hasta 7 años cuando lo exija la legislación fiscal o contable de nuestra jurisdicción operativa.
Enlaces de veredicto compartidos. Si creás un enlace de solo lectura para un veredicto, cualquier persona que tenga ese enlace podrá verlo —incluidos los nombres de los candidatos que contiene— sin necesidad de iniciar sesión. Un enlace solo se crea mediante una acción deliberada tuya, y podés revocarlo en cualquier momento, lo que lo deshabilita de forma inmediata y permanente.
5. Seguridad
- Todas las conexiones utilizan HTTPS; HTTP es rechazado.
- El acceso a la base de datos está mediado por políticas de seguridad a nivel de fila de Supabase y una clave de rol de servicio que solo se mantiene en nuestro entorno de servidor.
- Los tokens de autenticación son JWTs emitidos por Supabase Auth, con alcance en .infinure.com y con vidas útiles cortas.
- La verificación de firma de webhooks de Stripe se aplica en cada evento de facturación.
- Un registro de auditoría interno registra cada compra de créditos y cada consumo de análisis.
6. Transferencias internacionales
El Servicio funciona en infraestructura de Estados Unidos (Google Cloud Run, us-central1). Si accedés al Servicio desde fuera de EE. UU., tus datos se transfieren y procesan en EE. UU. Cuando corresponde, nos basamos en las Cláusulas Contractuales Estándar de la UE como mecanismo legal de transferencia con nuestros subencargados.
7. Cookies y analítica
Utilizamos una única cookie de autenticación propia establecida por Supabase Auth para mantener tu sesión activa. Esto es estrictamente necesario y no requiere consentimiento. Con tu consentimiento, también utilizamos PostHog (UE) para analítica de producto respetuosa de la privacidad (ver §3): almacena un identificador propio en tu navegador para medir cómo se usa Verdict y nunca recibe contenido de CVs, candidatos ni descripciones de puestos. Elegís aceptar o rechazar la analítica en el banner que aparece en tu primera visita, y podés cambiar de decisión limpiando el almacenamiento de tu navegador. No utilizamos cookies publicitarias de terceros, píxeles publicitarios ni rastreadores entre sitios en Verdict.
8. Menores
Verdict no está dirigido ni destinado a menores de 16 años. No recopilamos datos personales de menores de manera consciente.
9. Naturaleza de la evaluación
Verdict es una herramienta de apoyo a la toma de decisiones. Una evaluación es un análisis de la evidencia contenida en los documentos que proporcionás (un CV frente a una descripción del puesto): no es un juicio sobre la persona y nunca tiene la intención de constituir una caracterización negativa o maliciosa de ningún candidato. Expresiones como «ajuste débil» o una «brecha» señalada describen el ajuste entre la evidencia aportada y un rol específico en un momento dado; no dicen nada sobre el valor, el carácter ni el potencial de una persona.
Las evaluaciones son producidas por modelos de IA que pueden cometer errores: pueden malinterpretar, omitir o ponderar incorrectamente la información. Las evaluaciones son basadas en evidencia, pero direccionales y probabilísticas: repetir el mismo análisis con los mismos datos puede arrojar resultados diferentes. Los resultados son, por lo tanto, orientaciones, no veredictos definitivos, y deben ser revisados por una persona y ponderados junto con otra información. Verdict nunca debe utilizarse como única base para una decisión de contratación, promoción o rechazo.
10. Cambios
Podemos actualizar esta política. Los cambios sustanciales se reflejarán en la fecha de vigencia y, cuando sean significativos, se comunicarán al correo registrado al menos 14 días antes de que entren en vigor.
11. Contacto
Infinure · contacto@infinure.com