Política de Privacidad
FindYourLocalJob · Actualizada: 29 de mayo de 2026 · RGPD / LOPD-GDDCondiciones de uso de FindYourLocalJob
Al registrarte, iniciar sesión o utilizar FindYourLocalJob aceptas estas condiciones, además de la Política de privacidad que figura a continuación.
- Cuenta y veracidad. Debes proporcionar datos veraces y mantener la confidencialidad de tus credenciales. Eres responsable de la actividad realizada desde tu cuenta.
- Uso del servicio. La plataforma facilita la intermediación laboral entre candidatos y empresas (ofertas, candidaturas, mensajería y funciones asociadas). Debes usarla de forma lícita y conforme a su finalidad profesional.
- Conducta prohibida. No está permitido suplantar identidades, publicar contenido ilícito o engañoso, acosar a otros usuarios, extraer datos de forma masiva no autorizada, eludir medidas de seguridad ni utilizar el servicio con fines fraudulentos o automatizados abusivos.
- Contenido y responsabilidad. Las empresas y candidatos son responsables de la información que publican (ofertas, perfiles, mensajes). FindYourLocalJob puede retirar contenido o suspender cuentas ante incumplimientos graves o reiterados.
- Disponibilidad. El servicio se presta «tal cual», con esfuerzos razonables de disponibilidad. Pueden producirse interrupciones por mantenimiento, actualizaciones o causas ajenas al titular.
- Limitación de responsabilidad. FindYourLocalJob no garantiza la contratación ni la veracidad absoluta de los datos aportados por terceros. En la medida permitida por la ley, la responsabilidad del titular se limita a los daños directos derivados de un incumplimiento imputable y probado.
- Modificaciones. Estas condiciones pueden actualizarse. Los cambios relevantes se comunicarán por email o aviso en la plataforma con antelación razonable cuando proceda.
Para el tratamiento de datos personales, cookies y derechos ARCO+, consulta las secciones de esta página indicadas en el índice.
Contenido
- Condiciones de uso
- 1. Responsable
- 2. Datos recogidos
- 3. Finalidades y base jurídica
- 4. Destinatarios y transferencias
- 5. Comunicaciones electrónicas
- 6. IA y decisiones automatizadas
- 7. Cookies y almacenamiento local
- 8. Tus derechos (ARCO+)
- 9. Retención y supresión
- 10. Seguridad
- 11. Menores de edad
- 12. Cambios y autoridad de control
1. Responsable del tratamiento
| Nombre del servicio | FindYourLocalJob |
| Titular | Iván Montoya García |
| Domicilio postal | Av Montserrat 39, El Prat de Llobregat, 08820, Barcelona, España |
| NIF | 47197735X |
| Email de contacto | support@findyourlocaljob.com |
| Dominio | findyourlocaljob.com |
2. Datos personales recogidos
2.1 Candidatos (job seekers)
Datos de registro (wizard de 5 pasos)
| Dato | Obligatorio | Finalidad |
|---|---|---|
| Sí | Autenticación, comunicaciones | |
| Contraseña | Sí | Autenticación (hash bcrypt; nunca en claro) |
| Nombre | Sí | Identificación, perfil público |
| Apellidos | Sí | Identificación, perfil público |
| Teléfono (con prefijo) | No | Contacto opcional |
| Fecha de nacimiento | Sí | Verificación de edad mínima (16 años) |
| Foto de perfil | No | Perfil visual |
| CV (PDF/DOCX) | No | Candidaturas; autocompletado de experiencia/formación a solicitud del usuario, con parseo determinista y revisión previa al guardado |
| Experiencia laboral | No | Perfil profesional, matching; puede completarse manualmente o desde CV |
| Formación | No | Perfil profesional, matching |
| Transporte preferido | Sí | Cálculo de tiempos de desplazamiento |
| Coordenadas GPS (lat/lng) | No — alternativa: ubicación manual o por IP | Mostrar ofertas cercanas, calcular distancias |
Datos generados por el uso
- Candidaturas enviadas y respuestas a preguntas filtro
- CV seleccionado por candidatura (la empresa solo accede al CV elegido para esa candidatura)
- Ofertas guardadas (favoritos) y alertas de empleo configuradas
- Mensajes de chat (cifrado en reposo; sin cifrado extremo a extremo)
- Biblioteca de CVs múltiples
- Notas internas de reclutadores sobre candidaturas (no visibles desde el dashboard del candidato)
- Emails adicionales verificados (
notification_emails): hasta 3 direcciones secundarias que reciben BCC automático en cambios de estado de candidatura - Preferencias de notificación
2.2 Empresas
Datos de registro
| Dato | Obligatorio | Finalidad |
|---|---|---|
| Sí | Autenticación, comunicaciones | |
| Contraseña | Sí | Autenticación (hash) |
| Nombre de empresa | Sí | Identificación |
| CIF/NIF | Sí | Identificación fiscal. Si el CIF pertenece a un autónomo (persona física), es dato personal sujeto al RGPD. Los autónomos registrados como empresa son a la vez responsables del tratamiento de sus ofertas e interesados por sus propios datos; les asisten todos los derechos ARCO+. |
| Teléfono | No | Contacto |
| Sector | Sí | Clasificación, matching |
| Logo, lema, descripción, web, tamaño | No | Perfil público |
| Sedes (nombre, lat, lng) | Sí (mín. 1) | Ubicar ofertas, calcular distancias |
Datos generados por el uso
- Ofertas publicadas y plantillas de oferta
- Preguntas filtro y estado de onboarding
- Estadísticas de contratación
2.3 Visitantes (sin cuenta registrada)
Los visitantes no facilitan datos de registro pero pueden generar los siguientes datos:
| Dato | Mecanismo | Base jurídica |
|---|---|---|
| Coordenadas GPS o ubicación manual | Permiso de geolocalización del navegador para mostrar ofertas cercanas; alternativa: búsqueda manual de municipio | Consentimiento explícito (Art. 6.1.a RGPD) |
| IP (implícita, fallback) | Geolocalización aproximada por IP si no hay GPS ni ubicación manual | Interés legítimo en prestar el servicio básico (Art. 6.1.f) |
Ubicación manual (fyjl_guest_manual_location) | localStorage / sessionStorage del navegador; permanece en el dispositivo | Almacenamiento local en dispositivo del usuario |
| IP y User-Agent vía CDN y mapas | Igual que en §2.4 (datos automáticos) | Ejecución del servicio (Art. 6.1.b) |
Los visitantes no pueden guardar favoritos, configurar alertas ni enviar candidaturas. Las preferencias del mapa se conservan en sessionStorage hasta cerrar la pestaña.
2.4 Datos recogidos automáticamente (todos los usuarios)
| Dato | Mecanismo | Destino | Base jurídica |
|---|---|---|---|
| IP (hash SHA-256) | Tickets de soporte | support_tickets.metadata.ip_hash | Interés legítimo (seguridad/antiabuso) |
| User-Agent pseudoanonimizado | Tickets de soporte | Familia navegador + SO, sin versión completa | Interés legítimo |
| IP para geolocalización aproximada | Fallback de ubicación (servidor propio) | Vercel (headers de geolocalización); GeoJS solo en servidor en desarrollo | Ejecución de contrato |
| IP y User-Agent vía CDN | Carga de recursos web | jsDelivr, Cloudflare (unpkg/cdnjs) | Ejecución de contrato |
| IP + coordenadas del viewport del mapa | Mapas interactivos | CARTO, OpenStreetMap Foundation (fallback) | Ejecución de contrato |
| Core Web Vitals, URL, dispositivo | Vercel Speed Insights | Servidores Vercel (EE.UU.) | Consentimiento (CMP) |
| Fingerprint anti-bot (Vercel BotID) | Señales del navegador en login y soporte | Procesamiento local + API Vercel | Interés legítimo (seguridad) |
Registro de uso de IA (ai_usage) | Tabla interna al invocar funciones de IA | Servidores Supabase (EE.UU.) | Interés legítimo (control de abuso de cuotas) |
3. Finalidades y base jurídica
parse-cv)Solo a solicitud explícita del usuario. El texto del CV transita por la infraestructura Supabase EE.UU. (SCCs+DPA) y no se persiste en base de datos. Base: ejecución de contrato/medidas precontractuales.generate-candidate-skills)Experiencia y formación del candidato enviadas a OpenAI GPT-4o-mini (EE.UU., SCCs+DPA) solo a solicitud explícita; el candidato revisa y confirma antes de guardar. Base: ejecución de contrato.FYLJCompatibility). Perfil expuesto: nombre, habilidades, experiencia aproximada, ubicación aproximada — sin email, teléfono ni CV. Base: interés legítimo (Art. 6.1.f) — ver §3.1 LIA a continuación.ai_usage)Registro de cuotas por usuario/empresa para prevenir abuso. Base: interés legítimo.§3.1 — Interés legítimo (LIA): búsqueda proactiva y scoring
Interés legítimo perseguido: facilitar la intermediación laboral eficiente entre empresas y candidatos que han elegido activamente hacer su perfil descubrible, presentando los resultados más relevantes en primer lugar.
Test de necesidad: un sistema de puntuación y ordenación es necesario para que los resultados sean utilizables. Sin un orden basado en compatibilidad, una lista de potencialmente cientos de perfiles no permite a las empresas identificar candidatos relevantes de forma práctica.
Ponderación de intereses:
- El candidato ha optado expresamente a ser descubrible (visibilidad pública o alerta de empleo activa que cubre la sede de la oferta).
- La puntuación usa criterios objetivos y deterministas sin categorías especiales ni proxies discriminatorios.
- El perfil expuesto es limitado: nombre, habilidades, experiencia aproximada y ubicación aproximada. Sin email, teléfono ni CV.
- Las empresas revisan siempre múltiples candidatos; la decisión final de contactar, entrevistar o contratar es íntegramente humana.
- El candidato puede cambiar su visibilidad en cualquier momento desde Ajustes > Privacidad.
- El candidato puede oponerse en cualquier momento (Art. 21 RGPD).
Conclusión: el interés legítimo no está supeditado a los intereses o derechos fundamentales del candidato, dado el opt-in de visibilidad, la naturaleza limitada de los datos expuestos y la decisión final humana.
§3.2 — Búsqueda proactiva vs. asistencia IA en criterios
a) Búsqueda proactiva + scoring determinista. La visibilidad la fija el candidato. El orden y la puntuación los aplica la plataforma con reglas deterministas (FYLJCompatibility). Constituye elaboración de perfiles (Art. 4(4) RGPD); no activa el Art. 22(1) RGPD porque la empresa siempre revisa múltiples resultados y la decisión final es humana.
b) Asistencia IA en el prompt de búsqueda (search-candidates). La Edge Function envía únicamente el prompt en lenguaje natural de la empresa a OpenAI para obtener criterios estructurales editables. OpenAI no accede a perfiles de candidatos, no realiza matching semántico sobre ellos ni influye en el scoring. No se exige consentimiento específico del candidato por este uso.
4. Destinatarios y transferencias internacionales
Algunos tratamientos implican transferencia de datos personales a países fuera del Espacio Económico Europeo (EEE). Las garantías aplicables se detallan a continuación.
4.1 Infraestructura principal
| Proveedor | País | Datos que recibe | Garantía |
|---|---|---|---|
| Supabase (BD, auth, storage, edge functions) | EE.UU. | Todos los datos de la plataforma | SCCs + DPA |
| Supabase Realtime (websockets del chat) | EE.UU. | Mensajes de chat y notificaciones en tiempo real, identificadores de usuario | SCCs + DPA |
| Vercel (hosting, serverless, Speed Insights, BotID) | EE.UU. | Peticiones HTTP, headers, IPs, métricas de rendimiento (si hay consentimiento). Las funciones api/* procesan la IP del usuario para rate limiting. | EU-US DPF |
4.2 Inteligencia Artificial (OpenAI)
Proveedor: OpenAI (GPT-4o-mini) · País: EE.UU. · Garantía: SCCs + DPA
| Función | Datos enviados a OpenAI |
|---|---|
ask-openai, generate-skills, generate-killer-questions | Título del puesto (solo) |
generate-job-with-ai | Prompt libre de la empresa (máx. 1000 caracteres) |
search-candidates | Prompt de criterios de la empresa — sin perfiles de candidatos |
generate-candidate-skills | Experiencia y formación estructuradas del candidato — solo a solicitud explícita del candidato |
4.3 Envío de emails
| Proveedor | País | Datos que recibe | Garantía |
|---|---|---|---|
| Resend | EE.UU. | Emails de candidatos/empresas, nombre completo del candidato y tiempo estimado de desplazamiento en notificaciones de nueva candidatura | EU-US DPF |
| Supabase Auth | EE.UU. | Email del destinatario, contenido de OTP / enlace de reset (emails de verificación, confirmación y recuperación de contraseña) | SCCs + DPA |
4.4 Autenticación OAuth
| Proveedor | País | Datos intercambiados | Garantía |
|---|---|---|---|
| EE.UU. | Email, nombre, foto de perfil | DPF | |
| Microsoft (Azure) | EE.UU. | Email, nombre, perfil, claims OpenID | DPF |
| EE.UU. | Email, nombre, foto de perfil | DPF |
Puede vincular/desvincular identidades OAuth desde su dashboard.
4.5 Geolocalización y geocoding
| Servicio | Organización / País | Datos | Uso |
|---|---|---|---|
Vercel (headers x-vercel-ip-latitude/longitude) | EE.UU. | IP implícita | Geolocalización aproximada por IP en producción (endpoint /api/ip-location) |
GeoJS (get.geojs.io) | EE.UU. | IP implícita | Fallback solo en servidor (desarrollo local sin headers Vercel) |
| Open-Meteo Geocoding | Alemania / EEE | Texto de búsqueda | Geocoding directo (primario) |
| Nominatim / OSM | Alemania / EEE | Texto / coordenadas | Geocoding directo (fallback) + inverso |
| Photon / Komoot | Alemania / EEE | Coordenadas lat/lng | Geocoding inverso (fallback) |
FOSSGIS OSRM (routing.openstreetmap.de) | Alemania / EEE | Pares de coordenadas | Cálculo de tiempos de desplazamiento en coche |
4.6 Analítica y rendimiento
Vercel Speed Insights (EE.UU., DPF) — recoge Core Web Vitals, URL visitada y datos del dispositivo. Requiere consentimiento previo a través del banner de cookies. Al rechazar o revocar el consentimiento, los scripts se eliminan del DOM y se detienen todas las peticiones.
4.7 CDN y librerías externas
En cada visita, el navegador descarga recursos estáticos desde dominios de terceros. Cada solicitud HTTP transfiere de forma implícita la IP del usuario y el User-Agent. La IP es dato personal (TJUE, C-582/14 Breyer). Base jurídica: ejecución del contrato (Art. 6.1.b); no requieren consentimiento del CMP.
| Dominio / servicio | Entidad | País | Datos | Garantía |
|---|---|---|---|---|
jsDelivr (cdn.jsdelivr.net) | Volentio JSD Ltd. | Reino Unido + CDN global | IP, User-Agent. Recursos: Leaflet JS y plugins (markercluster, geocoder), Supabase JS client | Adecuación UK (Art. 45) |
Cloudflare / unpkg (unpkg.com) | Cloudflare, Inc. | EE.UU. + edge global | IP, User-Agent | DPF |
Cloudflare / cdnjs (cdnjs.cloudflare.com) | Cloudflare, Inc. | EE.UU. + edge global | IP, User-Agent. Recursos: Font Awesome 7.0.1 (todas las páginas) y Leaflet CSS (mapa) | DPF |
CARTO Basemaps (basemaps.cartocdn.com) | CARTO | EE.UU. + edge global | IP + coordenadas del viewport del mapa (teselas z/x/y = localización aproximada del área visible) | DPF |
OpenStreetMap Foundation (tile.openstreetmap.org) | OSMF | UK / EEE | IP + coordenadas del viewport (fallback de mapas) | Responsable independiente — ver OSMF Privacy Policy |
Al usar el mapa de ofertas, se transmiten a CARTO las coordenadas del área geográfica visible (teselas). Si CARTO no responde, se usa OpenStreetMap Foundation como fallback. Esto equivale a una localización aproximada según las directrices EDPB.
4.8 Seguridad anti-bot (Vercel BotID)
Vercel BotID (EE.UU., DPF) procesa señales del navegador (fingerprint) para detectar bots. Solo se carga en: login de candidato, login de empresa y formulario de soporte. Base: interés legítimo en seguridad.
4.9 Tabla consolidada de garantías de transferencia
| Proveedor | DPF | Garantía aplicable | Referencia |
|---|---|---|---|
| Vercel | Sí | DPF | Vercel Privacy |
| Google (OAuth) | Sí | DPF | DPF List |
| Microsoft (OAuth) | Sí | DPF | Microsoft DPF |
| LinkedIn (OAuth) | Sí | DPF | DPF List |
| Resend (emails) | Sí | DPF | Resend DPA |
| Cloudflare (cdnjs, unpkg) | Sí | DPF | Cloudflare Privacy |
| CARTO (mapas) | Sí | DPF | CARTO Privacy |
| Supabase (BD, auth, storage, edge functions, Realtime) | No | SCCs + DPA | Supabase Privacy |
| OpenAI (IA) | No | SCCs + DPA | OpenAI DPA |
| jsDelivr (Volentio JSD, UK) | N/A | Adecuación UK (Art. 45) | jsDelivr Privacy |
| OSMF (teselas OSM) | N/A | Responsable independiente | OSMF Privacy |
| GeoJS (fallback servidor en desarrollo) | N/A | Consulta desde backend, no desde el navegador | GeoJS |
| Photon / Komoot, Open-Meteo, Nominatim, OSRM | N/A | Tratamiento en EEE (Alemania) | — |
5. Comunicaciones electrónicas
5.1 Emails enviados a candidatos
| Tipo | Disparador | Contenido |
|---|---|---|
| Confirmación de registro (OTP 8 dígitos) | Registro | Código temporal — enviado por Supabase Auth |
| Reenvío de OTP | Solicitud del usuario | Código temporal — enviado por Supabase Auth |
| Recuperación de contraseña | Solicitud del usuario | Enlace de reset — enviado por Supabase Auth |
| Alertas de empleo | Cron (cada minuto) | Ofertas cercanas según criterios — enviado por Resend |
| Notificación de estado de candidatura | Cron | Nombre empresa, título oferta, nuevo estado. Se envía en BCC a los emails adicionales verificados (notification_emails) que el candidato haya configurado — enviado por Resend |
5.2 Emails enviados a empresas
| Tipo | Disparador | Contenido |
|---|---|---|
| Confirmación de registro (OTP) | Registro | Código temporal — Supabase Auth |
| Reenvío de OTP | Solicitud | Código temporal — Supabase Auth |
| Recuperación de contraseña | Solicitud | Enlace de reset — Supabase Auth |
| Nueva candidatura recibida | Insert en applications (trigger de BD) | Ver §5.3 — Resend |
| Estadísticas mensuales | Cron mensual | Métricas de actividad — Resend |
5.3 Email «Nueva candidatura recibida»
Al insertarse una candidatura se envía automáticamente un email a la empresa vía Resend (EE.UU., DPF). Base jurídica: ejecución de contrato (Art. 6.1.b).
| Dato del candidato en el correo | Notas |
|---|---|
| Nombre y apellidos | Siempre |
| Tiempo estimado de desplazamiento | Calculado desde la ubicación guardada del candidato y su transporte preferido; si faltan coordenadas del candidato o de la sede, se indica que no está disponible |
| Título de la oferta | Siempre |
| Enlace a la candidatura | Siempre |
Antes de confirmar el envío de cada candidatura, le mostramos un aviso informándole de que el correo incluirá su nombre y apellidos y el tiempo estimado de desplazamiento. El correo se entrega al servidor de correo de la empresa y queda fuera del control directo de FindYourLocalJob tras la entrega.
Empresa como responsable independiente: tras la entrega, la empresa gestiona el proceso de selección con los datos recibidos. FindYourLocalJob es responsable del tratamiento en la plataforma; la empresa es responsable independiente de su proceso de selección. Consulte la política de privacidad de la empresa contratante.
5.4 Estadísticas mensuales a empresas
Las empresas reciben un email mensual con métricas de actividad (candidaturas recibidas, contrataciones, rendimiento de ofertas). Base jurídica: ejecución del contrato (Art. 6.1.b). Las empresas pueden desactivar este envío en cualquier momento desde Ajustes de empresa > Notificaciones.
5.5 Preferencias de notificación
Los candidatos pueden gestionar sus preferencias de comunicación desde Ajustes > Notificaciones:
| Preferencia | Descripción | Canal |
|---|---|---|
| Cambios de estado de candidatura | Notificación al cambiar el estado de una candidatura | |
| Nuevos mensajes de chat | Notificación al recibir un nuevo mensaje | |
| Alertas de empleo | Nuevas ofertas que coinciden con los criterios configurados | |
| Campanas in-app | Notificaciones dentro de la plataforma | In-app |
5.6 Correos de verificación (Supabase Auth)
Los emails de verificación de cuenta (OTP), confirmación de registro y restablecimiento de contraseña son enviados por Supabase Auth — infraestructura diferente a Resend. Datos transmitidos: dirección email del destinatario y código OTP o enlace de reset. Base jurídica: ejecución de contrato. Garantía de transferencia a EE.UU.: SCCs + DPA (ver §4.1). FindYourLocalJob no almacena copias de estos emails en su base de datos.
5.7 Ofertas externas (redirección a dominio de tercero)
Algunas ofertas están marcadas como externas (jobs.is_external = true). Al hacer clic, el candidato es redirigido al sitio web del tercero (external_url). En esa redirección:
- FindYourLocalJob no envía candidatura interna ni datos personales del candidato al sitio de destino.
- El sitio de destino es un dominio ajeno; la IP del usuario, las cookies del navegador y el encabezado
Refererpueden ser recibidos por ese tercero. - El responsable del tratamiento en el sitio de destino es la empresa propietaria de ese dominio. Consulte su política de privacidad.
- FindYourLocalJob no controla ni es responsable del tratamiento que realice el tercero tras la redirección.
6. IA y decisiones automatizadas
Las empresas verificadas pueden buscar candidatos cuyo perfil sea descubrible según su configuración de visibilidad. Para facilitar la búsqueda, la empresa puede describir en lenguaje natural el perfil que busca; un asistente de IA traduce esa descripción en criterios de filtro que la empresa puede revisar y modificar antes de aplicarlos.
La plataforma ordena y puntúa los resultados con reglas deterministas, iguales si los criterios se introducen manualmente o con asistencia de IA. No utilizamos IA para leer su CV ni para hacer coincidencia semántica automática de su perfil en esta función. La decisión de contactarle corresponde siempre a la empresa.
6.1 Tabla de usos de IA
| Función | Datos enviados a OpenAI | Quién lo inicia | Impacto sobre candidatos |
|---|---|---|---|
search-candidates (asistencia en criterios) | Prompt en lenguaje natural de la empresa — sin perfiles de candidatos | Empresa | Indirecto: OpenAI no lee ni puntúa perfiles |
ask-openai (descripción de oferta) | Título del puesto | Empresa | Indirecto |
generate-skills | Título del puesto | Empresa | Indirecto |
generate-killer-questions | Título del puesto | Empresa | Indirecto (candidato responde las preguntas generadas) |
generate-job-with-ai | Prompt libre de la empresa (máx. 1000 caracteres) | Empresa | Indirecto |
generate-candidate-skills | Experiencia y formación del candidato | Candidato (acción explícita) | Directo: el candidato revisa y confirma antes de guardar |
6.2 Elaboración de perfiles y Art. 22 RGPD
El scoring y ordenación de resultados constituye elaboración de perfiles en el sentido del Art. 4(4) RGPD. No activa el Art. 22(1) RGPD porque:
- La empresa siempre revisa múltiples candidatos y ningún puesto de ranking tiene efecto determinante por sí solo.
- La decisión final de contactar, entrevistar o contratar corresponde íntegramente a la empresa.
Los candidatos tienen derecho a:
- Oponerse al tratamiento (Art. 21 RGPD) vía support@findyourlocaljob.com
- Limitar su visibilidad en cualquier momento desde Ajustes > Privacidad
- Solicitar información sobre los criterios de compatibilidad aplicados
| Componente | ¿OpenAI sobre candidato? | ¿Activa Art. 22(1)? |
|---|---|---|
| Visibilidad / descubrimiento (RPC) | No | No — el candidato controla la visibilidad |
Scoring y orden (FYLJCompatibility) | No | No — decisión final humana (sí es elaboración de perfiles Art. 4(4)) |
Traducción prompt → criterios (search-candidates) | No (solo prompt de empresa) | No |
Habilidades sugeridas al candidato (generate-candidate-skills) | Sí, datos del propio candidato | No — candidato inicia y confirma el resultado |
| Preguntas filtro generadas con IA | No sobre perfiles; sí sobre el rol | No — empresa revisa antes de publicar |
Si desea oponerse a la búsqueda proactiva, puede cambiar su visibilidad desde Ajustes > Privacidad o escribir a support@findyourlocaljob.com.
7. Cookies y almacenamiento local
7.1 Cookies de terceros
| Servicio | Tipo | Consentimiento |
|---|---|---|
| Vercel Speed Insights | Analítica / rendimiento | Requerido — CMP. Al revocar, scripts eliminados del DOM. |
| Supabase Auth (session JWT) | Estrictamente necesaria | No requiere consentimiento |
Puede gestionar el consentimiento en cualquier momento desde el botón Privacidad visible en la web.
7.2 localStorage
| Clave | ¿Datos personales? | Propósito |
|---|---|---|
pendingConfirmEmail | Sí — email | Recordar email durante confirmación de correo |
fylj_cookie_consent_v1 | No | Preferencia CMP (analítica/rendimiento) |
fyjl_guest_manual_location | Marginal (lat/lng) | Ubicación elegida como visitante |
fyjlLocationAllowed, fyjlWelcomeSeen, flags onboarding | No | Estado de UI y permisos técnicos |
notif_read_*, notif_dismissed_* | No | Notificaciones leídas/descartadas |
7.3 sessionStorage
Durante el asistente de registro de candidato, la aplicación guarda temporalmente en sessionStorage los datos que va introduciendo —nombre, apellidos, teléfono, fecha de nacimiento, fotografía, experiencia, formación y, si las facilita, coordenadas de ubicación— para conservar el progreso entre pasos. Estos datos permanecen en su dispositivo y no se transmiten a nuestros servidores hasta que confirme cada paso. Se eliminan al finalizar el registro, al abandonar/cancelar o al cerrar la pestaña. El mismo criterio se aplica al asistente de registro de empresa (nombre comercial, CIF/NIF, teléfono, sedes).
| Clave | ¿Datos personales? | Propósito |
|---|---|---|
fylj_register_user_state | Sí | Wizard registro candidato |
fylj_register_company_state | Sí | Wizard registro empresa |
fylj_register_from_login_prefill | Sí — email, rol (TTL ~10 min) | Prerrellenar paso 1 tras login incompleto |
fylj_map_state, fylj_nav_*, fylj_oauth_pending | No / marginal | Estado de sesión y navegación |
7.4 IndexedDB y plazos de retención local
La base de datos fylj_pending_uploads (IndexedDB) almacena archivos pendientes de subida hasta el primer inicio de sesión que procese la subida.
Plazos de retención en el navegador:
- Wizard de registro: hasta cerrar la pestaña, completar el alta o cancelar.
- Prefill tras login incompleto: máximo 10 minutos.
- Estado de sesión: hasta cerrar la pestaña.
- Preferencias técnicas / UI: hasta borrar datos del sitio o cambiar la preferencia en la app.
- Consentimiento analítica: hasta cambiar la elección o borrar datos del sitio.
Estos plazos aplican solo al almacenamiento en su dispositivo. La retención en servidores se describe en §9.
8. Sus derechos (ARCO+)
| Derecho | Artículo RGPD | Cómo ejercerlo |
|---|---|---|
| Acceso | Art. 15 | Ver sus datos en el dashboard o solicitar exportación por email |
| Rectificación | Art. 16 | Editar perfil desde /edit_user o /edit_company |
| Supresión | Art. 17 | Botón «Eliminar cuenta» en Ajustes > Avanzadas (confirmar con la palabra ELIMINAR) |
| Limitación | Art. 18 | Email o formulario de soporte — procedimiento manual |
| Portabilidad | Art. 20 | Ver §8.1 a continuación |
| Oposición | Art. 21 | Ajustes: alertas de empleo, cookies de analítica, visibilidad del perfil. Para otros tratamientos: email o soporte. |
Canal de contacto: support@findyourlocaljob.com o formulario de soporte con el asunto «Derechos ARCO+ (privacidad)». Plazo máximo de respuesta: 1 mes, prorrogable hasta 2 meses si la solicitud es compleja.
8.1 Portabilidad y exportación de datos (Art. 20)
Puede solicitar una copia de sus datos en formato CSV (UTF-8) + ZIP si incluye documentos. Plazo: un mes desde la verificación de identidad. Acceso desde Ajustes > Avanzadas > Exportar Datos (abre un correo predefinido; el equipo entrega tras verificar la identidad).
| Fichero | Candidato | Empresa |
|---|---|---|
cuenta.csv (email, fecha alta, OAuth vinculados) | ✓ | ✓ |
perfil.csv | ✓ | ✓ |
sedes.csv | — | ✓ |
experiencia.csv / formacion.csv | ✓ | — |
candidaturas.csv (respuestas, historial de estados) | ✓ | ✓ (solo a sus ofertas) |
mensajes.csv | ✓ | ✓ |
preferencias.csv (favoritos, alertas) | ✓ | Parcial |
ofertas.csv / plantillas.csv | — | ✓ |
documentos/ (CVs, fotos, logos) | ✓ | ✓ |
No se incluyen: contraseñas, hashes, tokens; datos de seguridad (ip_hash, BotID); notas internas de terceros sobre el candidato.
¿Quiere ejercer algún derecho sobre sus datos?
Contactar sobre privacidad9. Retención y supresión de datos
Al eliminar su cuenta, escriba ELIMINAR en el modal de confirmación. La Edge Function delete-account borra perfil, candidaturas, experiencia, formación y documentos de forma inmediata en producción. Las tablas dependientes se limpian por cascada.
| Categoría de datos | Período de retención |
|---|---|
| Cuenta y perfil activo | Mientras exista la cuenta |
| CVs y documentos | Mientras el usuario los conserve o hasta borrar cuenta |
| Candidaturas y notas internas de reclutamiento | 24 meses desde cierre o última actualización del proceso |
| Mensajes de chat | 24 meses desde el último mensaje o cierre del proceso asociado |
| Tickets de soporte | 3 años desde cierre del ticket |
| Feedback | 2 años |
| Alertas de empleo | Al desactivarlas o al borrar la cuenta |
| Notificaciones internas | 12 meses |
| Coordenadas GPS | 12 meses desde el último inicio de sesión |
| Datos de seguridad / rate limit (ip_hash, logs) | Hasta 90 días |
Registro de uso de IA (ai_usage) | Duración de la cuenta; se elimina al borrar la cuenta |
FindYourLocalJob no gestiona copias de seguridad propias. Sin embargo, nuestro proveedor Supabase mantiene copias internas (point-in-time recovery) según su propia política. Pueden existir copias residuales de sus datos en esos sistemas durante el plazo que Supabase establezca, incluso después de que su cuenta haya sido eliminada en producción.
10. Seguridad de los datos
- RLS (Row Level Security) en Supabase: cada usuario solo accede a sus propios datos.
- Cifrado en tránsito: HTTPS/TLS en todas las comunicaciones.
- Cifrado en reposo: gestionado por Supabase.
- Hashing de contraseñas: bcrypt vía Supabase Auth; nunca en claro.
- IP en soporte: almacenada solo como hash SHA-256.
- User-Agent en soporte: pseudoanonimizado (solo familia de navegador + SO; sin versión completa).
- Tokens JWT: sesión con auto-refresh; PKCE para OAuth.
- BotID: protección anti-bot en login y soporte.
- Rate limiting: en API de soporte y comprobación de emails.
- Chat: mensajes cifrados en reposo. Sin cifrado extremo a extremo.
- Acceso al CV en PDF: solo mediante enlace temporal bajo demanda (validez máxima 1 hora).
- Notas internas de reclutamiento: tabla privada por candidatura con RLS limitada a la empresa propietaria.
- Acceso de empresas a CVs: limitado al CV seleccionado por el candidato en cada candidatura.
10.1 Acceso a CVs en PDF
Si sube un CV en PDF o DOCX, el archivo se almacena en un espacio privado. Cuando usted o una empresa autorizada pulsa «Ver CV», la plataforma genera un enlace temporal de acceso con validez máxima de una (1) hora. Cualquier persona que disponga de ese enlace podrá abrir el documento hasta que caduque; le recomendamos no reenviarlo fuera de la plataforma. Para compartir su perfil profesional con terceros, use la opción «Compartir» de su panel, que enlaza a su perfil público (/me/…) y no al PDF. Los correos electrónicos que enviamos no contienen enlaces de descarga directa a su CV.
10.2 Perfil público /me/:slug
Los candidatos pueden tener un perfil accesible mediante URL personalizada. La visibilidad se controla desde Ajustes > Privacidad:
| Nivel de visibilidad | Datos visibles | Quién puede acceder |
|---|---|---|
| Pública | Nombre, apellidos, foto, «sobre mí», idiomas, habilidades, carnet/vehículo, disponibilidad de viaje, experiencia y formación | Cualquier persona con el enlace |
| Solo empresas relacionadas | Mismo contenido | Solo empresas con las que haya enviado candidatura, o que tengan una alerta activa que cubra la sede de la oferta |
El perfil público nunca incluye email, teléfono, fecha de nacimiento ni el PDF del CV.
11. Menores de edad
- Edad mínima: 16 años. La plataforma aplica un umbral más restrictivo que el mínimo legal en España (LOPD-GDD Art. 7: 14 años).
- Verificación: mediante la fecha de nacimiento introducida en el registro (autodeclaración del usuario; sin verificación documental).
- No se recogen datos de menores de 16 años de forma intencionada.
Si tiene conocimiento de que una cuenta pertenece a un menor:
- Formulario en findyourlocaljob.com/support
- Email: support@findyourlocaljob.com
- Asunto: «Privacidad / menores de edad» · Urgencia: Alta
- Incluya si es posible: identificador de cuenta (email o URL del perfil), motivo y relación con el menor.
Si se confirma o existe fundamento razonable, FindYourLocalJob procederá a la supresión inmediata de la cuenta y los datos asociados (conforme a §9).
12. Cambios en esta política y autoridad de control
- Los cambios materiales se notifican por email y con aviso en la plataforma, con un preaviso mínimo de 30 días.
- Si el cambio afecta al alcance del tratamiento basado en consentimiento, se solicitará nuevo consentimiento.
Autoridad de control competente: Agencia Española de Protección de Datos (AEPD) — aepd.es. Si considera que el tratamiento de sus datos infringe la normativa aplicable, tiene derecho a presentar una reclamación ante la AEPD.