Política de privacidad

Última actualización: 18 de febrero de 2025 · En vigor: 18 de febrero de 2025

HeyTalent es una plataforma B2B de reclutamiento con IA. Recopilamos los datos necesarios para prestar el servicio, mejorar el producto y darte soporte cuando algo va mal. Para ello usamos herramientas como PostHog (analíticas y session replays) y Sentry (monitorización de errores).

Nunca vendemos tus datos. Sólo los compartimos con subencargados de confianza que nos ayudan a operar la plataforma. Puedes desactivar las analíticas en cualquier momento desde la configuración de tu cuenta.

1. Quiénes somos

HeyTalent ("nosotros", "nuestro") es una plataforma B2B de reclutamiento que ayuda a recruiters y agencias a gestionar su pipeline de talento mediante herramientas potenciadas con IA. Esta Política de Privacidad explica cómo recopilamos, usamos y protegemos tus datos personales cuando utilizas nuestra plataforma.

Esta política aplica a los usuarios de la plataforma — recruiters, hiring managers y profesionales de agencias con relación contractual directa con nosotros. No cubre a los candidatos cuyos datos se procesan a través de la plataforma en tu nombre (ver Sección 6 para los detalles sobre datos de candidatos).

2. Qué datos recopilamos

Datos de cuenta. Cuando creas una cuenta recopilamos tu nombre, email y nombre de la organización. Es necesario para darte acceso a la plataforma.

Datos de uso (analíticas). Usamos PostHog para entender cómo interactúas con HeyTalent. Esto incluye páginas vistas, rutas de navegación, clicks y envíos de formularios. También recopilamos tu User ID y nombre visible (pero no tu email) con fines analíticos. Nos ayuda a identificar patrones y mejorar el producto.

Grabaciones de sesión. Grabamos sesiones de pantalla de tus interacciones con HeyTalent vía PostHog. Estas grabaciones capturan lo que ves en pantalla — clicks, scroll y contenido. Pueden incluir datos de candidatos visibles en pantalla en el momento de la grabación. Ver Sección 5 para todos los detalles.

Datos de errores y rendimiento. Usamos Sentry para detectar y diagnosticar bugs. Cuando ocurre un error recopilamos el stack trace, la URL donde ocurrió, tu User ID, email y un Request ID para correlacionar logs. Datos sensibles como contraseñas, tokens y cabeceras de autenticación se filtran automáticamente antes de enviarse a Sentry.

Datos de consola y red. PostHog puede capturar errores/avisos de la consola del navegador y bodies de request/response API para ayudarnos a depurar incidencias que reportes. Los endpoints de autenticación (/auth/*) están excluidos, y los tokens de autenticación en cabeceras se filtran.

3. Por qué los recopilamos

  • Prestar el servicio. Datos usados: datos de cuenta, datos de candidatos. Ejemplo: gestionar tu pipeline de talento, ejecutar búsquedas con IA.
  • Mejorar el producto. Datos usados: analíticas, grabaciones de sesión. Ejemplo: entender qué funcionalidades se usan más para priorizar el desarrollo.
  • Soporte técnico. Datos usados: grabaciones de sesión, logs de error. Ejemplo: cuando reportas un bug revisamos tu grabación para ver exactamente qué pasó.
  • Seguridad y estabilidad. Datos usados: datos de error, métricas de rendimiento. Ejemplo: detectar y arreglar crashes antes de que afecten a más usuarios.

4. Base legal para el tratamiento

Bajo el RGPD, tratamos tus datos sobre las siguientes bases legales:

Ejecución contractual (Art. 6.1.b) — El tratamiento de tus datos de cuenta y de los datos de candidatos es necesario para prestar el servicio de reclutamiento que has contratado con nosotros.

Interés legítimo (Art. 6.1.f) — Usamos analíticas, grabaciones de sesión y monitorización de errores para mejorar el producto y dar soporte técnico efectivo. Dado nuestro contexto B2B y la naturaleza profesional directa del uso, consideramos que es un uso razonable y esperado de tus datos. Puedes oponerte a las analíticas y grabaciones de sesión en cualquier momento (ver Sección 12).

Hemos llevado a cabo una Evaluación de Intereses Legítimos (LIA) y concluido que los beneficios de las analíticas de producto y la capacidad de depuración — tanto para nosotros como para ti como usuario — pesan más que cualquier impacto potencial sobre tu privacidad, particularmente dado el contexto profesional B2B y la disponibilidad de controles de opt-out.

5. Grabaciones de sesión y analíticas

Queremos ser transparentes con cómo funcionan las grabaciones de sesión, ya que es la funcionalidad más sensible desde el punto de vista de privacidad.

Qué se graba. Cuando usas HeyTalent en producción, PostHog graba tus interacciones de pantalla: qué páginas visitas, qué cliqueas, cómo desplazas el scroll y el contenido visible en pantalla.

Qué se filtra.

  • Los inputs de contraseñas se enmascaran automáticamente
  • Los tokens de autenticación en cabeceras de request se eliminan
  • Todos los endpoints de autenticación (/auth/*) están excluidos de la grabación
  • Las grabaciones sólo ocurren en el entorno de producción — nunca en desarrollo

Quién accede a las grabaciones. Las grabaciones son accesibles únicamente a miembros autorizados del equipo de HeyTalent con fines de mejora del producto y soporte técnico. Las revisamos al investigar bugs que reportes o al analizar patrones de uso.

Cómo desactivarlas. Puedes solicitar desactivar grabaciones de sesión y analíticas desde la configuración de tu cuenta en cualquier momento a través de contact@heytalent.app. Una vez desactivadas no se capturarán eventos analíticos ni grabaciones de sesión para tu cuenta.

6. Datos de candidatos

HeyTalent trata datos de perfil de candidatos (obtenidos de fuentes públicas como LinkedIn) como parte del servicio de reclutamiento. En la mayoría de los casos, tú (nuestro cliente) eres el responsable del tratamiento de los datos de candidatos, y HeyTalent actúa como encargado del tratamiento en tu nombre.

Los datos de candidatos se almacenan en nuestra base de datos. Los tratamos exclusivamente para prestar el servicio que has contratado.

La retención de datos de candidatos se rige por la configuración de tu cuenta y por nuestro Acuerdo de Encargo del Tratamiento (DPA). Si necesitas un DPA firmado, contáctanos.

7. Subencargados y terceros

Sólo compartimos tus datos con los siguientes subencargados de confianza que nos ayudan a operar la plataforma. No vendemos, alquilamos ni intercambiamos tus datos con nadie.

  • PostHog. Finalidad: analíticas de producto y session replay. Datos compartidos: datos de uso, grabaciones de sesión, User ID, nombre visible. Ubicación: EE.UU. / UE. Cumplimiento: SOC 2, RGPD.
  • Sentry. Finalidad: monitorización de errores. Datos compartidos: datos de error, User ID, email, URL de página. Ubicación: EE.UU. Cumplimiento: SOC 2 Type II, RGPD.
  • Supabase. Finalidad: hosting de base de datos. Datos compartidos: datos de cuenta, datos de candidatos. Ubicación: UE disponible. Cumplimiento: SOC 2, RGPD.

No compartimos datos de candidatos con ninguna otra parte más allá de estos subencargados. Todos los subencargados están vinculados por acuerdos de tratamiento de datos que les obligan a proteger tus datos conforme al RGPD.

8. Transferencias internacionales de datos

Algunos subencargados (Sentry) pueden tratar datos en EE.UU. Cuando los datos se transfieren fuera del Espacio Económico Europeo (EEE), garantizamos las salvaguardas apropiadas:

  • Cláusulas Contractuales Tipo (CCT) — Nuestros subencargados usan CCT aprobadas por la UE para las transferencias internacionales.
  • Opciones de hosting en la UE — Supabase ofrece hosting en la UE, y PostHog ofrece residencia de datos en la UE donde está disponible.

Revisamos regularmente las prácticas de protección de datos de nuestros subencargados para garantizar el cumplimiento continuo.

9. Conservación de datos

  • Datos de cuenta — se conservan mientras tu cuenta esté activa, más 30 días tras el cierre de la cuenta.
  • Grabaciones de sesión — se conservan 90 días (eliminadas automáticamente por PostHog).
  • Logs de error — se conservan 90 días (eliminados automáticamente por Sentry).
  • Datos de candidatos — se conservan según la configuración de tu cuenta y los términos del DPA aplicable.

Tras el período de retención los datos se eliminan automáticamente de los sistemas correspondientes.

10. Seguridad

Nos tomamos en serio la seguridad de tus datos e implementamos las siguientes medidas:

  • Cifrado en tránsito — todos los datos transmitidos entre tu navegador y nuestros servidores están cifrados mediante HTTPS/TLS.
  • Cifrado en reposo — los datos almacenados en nuestra base de datos (Supabase) están cifrados en reposo.
  • Control de accesos — el acceso a la plataforma está protegido mediante autenticación, y el acceso interno a herramientas como PostHog y Sentry está restringido a miembros autorizados del equipo.
  • Filtrado de datos — los datos sensibles (contraseñas, tokens de autenticación, cabeceras auth) se eliminan automáticamente antes de enviarse a cualquier servicio de analíticas o monitorización de errores.
  • Grabación sólo en producción — las grabaciones de sesión sólo están activas en el entorno de producción.

11. Cookies

Cookie Proveedor Finalidad Categoría
ph_* PostHog Identificación para analíticas y session replay Funcional / Analíticas
Cookies de Sentry Sentry Monitorización de errores e identificación de sesión Funcional

Estas cookies se usan para la operación funcional de nuestros sistemas de analíticas y monitorización. No se usan para publicidad. Puedes desactivar las cookies de analíticas desde la configuración de tu cuenta en HeyTalent.

12. Tus derechos (RGPD)

Si te encuentras en el Espacio Económico Europeo, tienes los siguientes derechos sobre tus datos personales:

  • Acceso — solicitar una copia de los datos personales que tenemos sobre ti.
  • Rectificación — pedir que corrijamos cualquier dato inexacto.
  • Supresión — solicitar la eliminación de tu cuenta y los datos asociados.
  • Portabilidad — recibir tus datos en un formato estructurado y legible por máquina.
  • Oposición — oponerte al tratamiento basado en interés legítimo. También puedes desactivar analíticas y grabaciones de sesión directamente desde la configuración de tu cuenta.
  • Limitación — solicitar que limitemos el tratamiento de tus datos mientras se resuelve una reclamación.
  • Reclamación — presentar una reclamación ante tu Autoridad de Protección de Datos local (en España: AEPD).

Para ejercer cualquiera de estos derechos, contáctanos en la dirección de abajo. Responderemos en un plazo máximo de 30 días.

13. Cambios en esta política

Podemos actualizar esta Política de Privacidad de vez en cuando para reflejar cambios en nuestras prácticas o por motivos legales y regulatorios. Si hacemos cambios sustanciales, te notificaremos por email antes de que los cambios entren en vigor.

Te recomendamos revisar esta página periódicamente. La fecha de "Última actualización" al inicio de la política indica cuándo se revisó por última vez.

14. Contacto

Si tienes preguntas sobre esta Política de Privacidad, quieres ejercer tus derechos sobre los datos o tienes inquietudes sobre cómo manejamos tus datos:

Email: contact@heytalent.app

Asunto: "Privacy Request — [Tu nombre]"

Nuestro objetivo es responder a todas las consultas relacionadas con privacidad en un plazo de 30 días.