Harvard · Resume

Documento legal

Política de privacidad.

Qué datos tomamos, qué hacemos con ellos, y cómo los borras cuando quieras. Sin letra chica, sin clauses ocultas.

Vigente desde el 24 de mayo de 2026

Esta política describe cómo Harvard Resume ("nosotros") recolecta, usa, almacena y comparte información cuando usas el sitio harvard-resume.com (el "Servicio"). Cumplimos con el GDPR (UE/UK), CCPA/CPRA (California) y la Ley 19.628 sobre Protección de la Vida Privada (Chile).

Resumen ejecutivo

  • ·No usamos tu CV para entrenar modelos de IA.
  • ·No vendemos tus datos a terceros.
  • ·Recolectamos lo mínimo indispensable para operar el Servicio.
  • ·Puedes borrar todo desde el dashboard con un clic — incluido tu CV en S3, tu fila en Postgres, y tu sesión en Supabase Auth.
  • ·Pagos vía Stripe (PCI-DSS Nivel 1). Nunca vemos ni almacenamos tu tarjeta.
  1. 01

    Qué datos recolectamos

    Solo los datos necesarios para que el Servicio funcione:

    Datos de autenticación

    Tu correo electrónico cuando creas cuenta o pagas como invitado. Almacenado en Supabase Auth (Frankfurt, UE). No almacenamos contraseñas — usamos magic-links.

    Contenido del CV

    El texto que escribes en el editor: nombre, contacto, educación, experiencia, etc. Guardado en AWS S3 (us-east-1) como JSON cifrado en reposo, con tu userId como namespace. Para invitados también se guarda en localStorage del navegador hasta que limpies caché.

    Datos de pago

    Procesados íntegramente por Stripe. Recibimos solamente: ID de pago, monto, estado, últimos 4 dígitos de la tarjeta y país. Nunca recibimos número completo, CVV, ni fecha de vencimiento.

    Datos de uso analítico

    Eventos anónimos vía PostHog: páginas visitadas, clicks principales, conversión de embudo. Sin contenido del CV. IPs anonimizadas. Puedes opt-out desde el banner de cookies o respetando tu cabecera Do-Not-Track.

    Logs técnicos

    Logs de servidor (CloudWatch, Vercel) con userId/resumeId/paymentId, timestamps, y códigos de error. Sin contenido del CV ni emails completos. Retención: 30 días.

  2. 02

    Cómo usamos los datos

    • Operar el Servicio: renderizar tu PDF, persistir tu progreso, autenticarte.
    • Procesar pagos, emitir recibos, gestionar suscripciones recurrentes.
    • Responder tus mensajes de soporte cuando escribes a hola@harvard-resume.com.
    • Entender qué partes del producto se usan más y qué bugs aparecen (datos agregados, sin identificarte personalmente).
    • Cumplir obligaciones legales (impuestos, retención de facturas, requerimientos judiciales legítimos).

    No usamos tu información para perfilamiento publicitario fuera del Servicio, ni para entrenar modelos de IA, ni para venderla a brokers de datos.

  3. 03

    Con quién compartimos datos

    Solo compartimos datos con sub-procesadores estrictamente necesarios para operar el Servicio. Cada uno bajo contrato DPA (Data Processing Agreement):

    Supabase (auth + Postgres)

    Frankfurt, UE. Almacena tu correo, el JWT de sesión y la fila User de Postgres. Cumple GDPR, SOC2.

    Stripe (pagos)

    Procesa el cobro y emite el recibo. Recibe nombre completo y email si los proporcionas al checkout. PCI-DSS Nivel 1.

    AWS S3 + Lambda (almacenamiento + render PDF)

    us-east-1. Almacena el JSON de tu CV y renderiza el PDF servidor-side. Cifrado en reposo (SSE-S3). Acceso vía pre-signed URLs con TTL máximo de 60 segundos.

    Vercel (hosting frontend)

    Edge global. Hostea la app Next.js. Logs de acceso con IP, user-agent, y URL (retención 30 días).

    PostHog (analítica)

    Self-hosted EU. Eventos anónimos. Sin contenido del CV. IPs truncadas.

    Resend (correo transaccional)

    Envía magic-links y recibos. Recibe tu correo y el contenido del mensaje. No usa tu correo para nada más.

    No compartimos con otros terceros. No usamos píxeles de tracking de Facebook, Google Ads, ni similares.

  4. 04

    Cuánto tiempo guardamos los datos

    • Datos de cuenta y CV: hasta que borres tu cuenta. Borrado inmediato (excepto facturas, ver abajo).
    • Datos de invitado (CV en localStorage, pago one-time sin cuenta): persisten en localStorage hasta que limpies caché. La fila en nuestra DB asociada al guestEmail se borra 12 meses después del último uso.
    • Logs técnicos: 30 días.
    • Facturas y registros contables: 6 años (obligación tributaria chilena, Art. 17 Código Tributario).
  5. 05

    Tus derechos

    Bajo GDPR, CCPA y la Ley 19.628 chilena tienes derecho a:

    • Acceder a los datos que tenemos sobre ti.
    • Rectificar datos incorrectos (desde el dashboard o por email).
    • Borrar tu cuenta y todos los datos asociados ("derecho al olvido") con un clic desde el dashboard.
    • Portabilidad: exportar tu CV como JSON o PDF en cualquier momento.
    • Oponerte al procesamiento analítico (opt-out de PostHog).
    • Revocar consentimiento en cualquier momento.
    • Presentar reclamo ante tu autoridad de protección de datos local (en Chile: SERNAC y el Consejo para la Transparencia).

    Para ejercer cualquier derecho que no esté disponible directamente desde el dashboard, escribe a hola@harvard-resume.com. Respondemos dentro de 30 días.

  6. 06

    Cookies y storage local

    Usamos lo mínimo:

    • Cookies de sesión (Supabase Auth) — esenciales para mantenerte autenticado.
    • Cookie de idioma (next-intl) — esencial para preservar tu preferencia es/en.
    • Cookie de PostHog (opcional) — opt-out desde el banner inicial.
    • localStorage del navegador — guarda el borrador del CV para invitados. Lo controlas tú desde la configuración del navegador.

    No usamos cookies de tracking publicitario de terceros.

  7. 07

    Seguridad

    Todo el tráfico viaja sobre TLS 1.3. Datos en reposo cifrados en disco (Supabase, S3). Tokens JWT firmados con HS256, secret rotable.

    Aplicamos el principio de mínimo privilegio: cada servicio accede solo a lo estrictamente necesario. Hay logs de auditoría para operaciones sensibles (borrado de cuenta, cambios de email).

    Si detectamos una brecha que afecte tus datos personales, te notificamos por correo dentro de 72 horas (cumplimiento GDPR Art. 33), describiendo el alcance, el remedio aplicado y los pasos recomendados de tu lado.

  8. 08

    Transferencias internacionales

    Tus datos pueden almacenarse o procesarse en países distintos al tuyo (principalmente Chile, UE, EE.UU.). Cada sub-procesador opera bajo Cláusulas Contractuales Tipo (SCCs) o equivalentes aprobados por la Comisión Europea.

  9. 09

    Menores de edad

    El Servicio no está dirigido a menores de 16 años. No solicitamos conscientemente datos de menores. Si descubrimos que tenemos datos de un menor sin consentimiento parental, los borramos inmediatamente.

  10. 10

    Cambios a esta política

    Cambios materiales se notifican por correo (cuentas) o banner (invitados) con 14 días de anticipación. Cambios menores (mejoras de redacción, sub-procesadores nuevos del mismo tipo) se anuncian en el changelog del sitio.

  11. 11

    Contacto del Responsable de Datos

    Para cualquier consulta o ejercicio de derechos relacionados con esta política:

    hola@harvard-resume.com

Volver al inicio