La confidencialidad y la seguridad son valores fundamentales de Viterbit. Esto significa que nos comprometemos a garantizar la privacidad de los datos personales de nuestros usuarios, clientes y candidatos en todo momento, y a recoger únicamente la información que necesitamos para prestar nuestros servicios.
A continuación encontrará toda la información necesaria sobre los datos personales que tratamos, las finalidades para las que los utilizamos, las bases jurídicas que legitiman el tratamiento y los derechos que le asisten.
1. Identidad y datos de contacto del Responsable
Viterbit S.L. (en adelante, «Viterbit») informa a los usuarios del sitio web viterbit.com y de la plataforma Viterbit OS sobre el tratamiento de sus datos personales conforme al Reglamento (UE) 2016/679 (RGPD) y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Razón social: Viterbit S.L.
NIF: B42751479
Domicilio: C/Orense 12, planta 1 despacho 4, 28016, Madrid
Contacto general: Ariel Gutiérrez Lopez (ariel@viterbit.com)
Delegado de Protección de Datos: MARIA DEL CARMEN AGUILERA HITOS (dpo@viterbit.com)
2. Doble rol: Responsable y Encargado del tratamiento
Viterbit actúa con dos roles distintos en función del tratamiento concreto:
Como Responsable del tratamiento: respecto de los datos de visitantes web, leads comerciales, suscriptores a comunicaciones, administradores de cuentas cliente y datos contractuales de las empresas-cliente.
Como Encargado del tratamiento: respecto de los datos de candidatos que las empresas-cliente gestionan a través de Viterbit. En estos casos, el Responsable del tratamiento es la empresa-cliente y el tratamiento se rige por el correspondiente Contrato de Encargo del Tratamiento (DPA) suscrito conforme al artículo 28 RGPD. Las solicitudes de ejercicio de derechos por parte de los candidatos deben dirigirse, en primer término, a la empresa-cliente que gestiona el proceso de selección.
3. Finalidades del tratamiento, bases legales y categorías de datos
A continuación se detallan las distintas finalidades para las que Viterbit trata datos personales, indicando, en cada caso, las categorías de datos, la base jurídica que legitima el tratamiento y el plazo de conservación aplicable:
Finalidad | Categorías de datos | Base jurídica | Plazo de conservación | Rol de Viterbit |
|---|---|---|---|---|
Prestación del servicio Viterbit (alta, gestión de cuentas, acceso y uso de la plataforma). | Identificativos, contacto, facturación, datos de uso. | Ejecución contractual (Art. 6.1.b RGPD). | Vigencia del contrato + 6 años (Código de Comercio). | Responsable |
Gestión de demos, pruebas gratuitas y leads comerciales. | Identificativos, contacto profesional, empresa y puesto. | Consentimiento o interés legítimo (Art. 6.1.a / 6.1.f RGPD). | 12 meses sin conversión a cliente. | Responsable |
Envío de comunicaciones comerciales electrónicas sobre productos, novedades y promociones. | Email, preferencias de comunicación. | Consentimiento (Art. 21 LSSI; Art. 6.1.a RGPD). | Hasta la retirada del consentimiento por el interesado. | Responsable |
Soporte y atención al cliente (resolución de incidencias, consultas técnicas). | Identificativos, datos del incidente, comunicaciones. | Ejecución contractual (Art. 6.1.b RGPD). | Vigencia del contrato + 1 año. | Responsable |
Funcionalidades de IA: MIA AI Recruiter, parsing de CV y matching. | Datos curriculares y profesionales aportados por el candidato. | Ejecución contractual con la empresa-cliente; decisión final humana. | Según instrucción del cliente-Responsable. | Encargado |
Cumplimiento de obligaciones fiscales y contables. | Datos fiscales y de facturación. | Obligación legal (Art. 6.1.c RGPD). | 4–6 años según normativa fiscal y mercantil aplicable. | Responsable |
Seguridad de la información y prevención del fraude. | Logs, dirección IP, datos técnicos y de dispositivo. | Interés legítimo (Art. 6.1.f RGPD). | 12 meses. | Responsable |
Las funcionalidades de IA (MIA AI Recruiter, parsing y matching) operan sobre datos de candidatos cuya responsabilidad corresponde a la empresa-cliente. Viterbit los trata por cuenta de ésta y conforme a sus instrucciones documentadas en el Contrato de Encargo del Tratamiento.
4. Plazos de conservación
Los plazos específicos de conservación figuran en la sección anterior. Con carácter general, los datos personales se conservan durante el tiempo estrictamente necesario para cumplir con la finalidad para la que fueron recogidos. Una vez finalizado dicho plazo, los datos serán bloqueados durante los periodos en que puedan derivarse responsabilidades legales, conforme a lo dispuesto en el artículo 32 LOPDGDD, y posteriormente suprimidos o anonimizados de forma segura.
5. Destinatarios y subencargados del tratamiento
Para la prestación del servicio, Viterbit recurre a subencargados del tratamiento que actúan exclusivamente bajo sus instrucciones documentadas y con contratos firmados conforme al artículo 28 RGPD. Estos subencargados se someten a las mismas obligaciones de confidencialidad y seguridad que Viterbit.
5.1. Subencargados principales
Subencargado | Servicio y ubicación |
|---|---|
Amazon Web Services (AWS) | Infraestructura cloud, almacenamiento y procesamiento. Fráncfort (UE). |
Google Cloud Platform (GCP) | Infraestructura cloud, almacenamiento y procesamiento. Irlanda (UE). |
Hetzner | Infraestructura cloud y servidores. Alemania (UE). |
Resend | Envío de correo electrónico transaccional. Irlanda (UE). |
Stripe | Procesamiento de pagos y suscripciones. Irlanda (UE). |
Sentry | Monitorización de errores y logs. Fráncfort (UE). |
PostHog | Analítica de producto y uso de plataforma. Alemania (UE). |
HubSpot | CRM y comunicación comercial. Irlanda / Alemania (UE). |
Intercom | Soporte y comunicación con clientes. Irlanda (UE). |
Cloudflare | CDN, DNS, protección y edge network. Red global con presencia en la UE. |
Pusher | Notificaciones en tiempo real. Reino Unido (Decisión de adecuación 2021/1772). |
OCR.space | Reconocimiento OCR y extracción de texto. Alemania (UE). |
CloudAMQP | Colas y mensajería interna. Fráncfort (UE). |
ArcGIS (Esri) | Geocodificación y mapas. Alemania (UE). |
5.2. Subencargados opcionales (IA y comunicación)
Estos subencargados se utilizan únicamente cuando la empresa-cliente activa las funcionalidades correspondientes:
Subencargado | Servicio y ubicación |
|---|---|
Google Gemini API | Procesamiento IA, parsing de CVs y asistentes conversacionales. Regiones UE. |
OpenAI | Procesamiento IA, parsing de CVs y asistentes conversacionales. Estados Unidos. |
360dialog | WhatsApp Business y mensajería. Alemania (UE). |
Viterbit notificará el alta o sustitución de subencargados a sus clientes con un preaviso mínimo de 10 días hábiles, conforme a lo previsto en el Contrato de Encargo del Tratamiento. Adicionalmente, los datos podrán comunicarse a las autoridades competentes (administrativas, judiciales o reguladoras) cuando exista una obligación legal.
6. Transferencias internacionales de datos
La gran mayoría de los datos personales tratados por Viterbit se procesan dentro del Espacio Económico Europeo (EEE). Excepcionalmente, se realizan las siguientes transferencias internacionales con las garantías que se indican:
Reino Unido (Pusher): transferencia amparada por la Decisión de Adecuación 2021/1772 de la Comisión Europea.
Estados Unidos (OpenAI, sólo si la empresa-cliente activa funcionalidades de IA): transferencia amparada de forma combinada por el EU-US Data Privacy Framework, las Cláusulas Contractuales Tipo aprobadas por la Decisión 2021/914 de la Comisión Europea y un Transfer Impact Assessment (TIA) documentado.
Cualquier interesado puede solicitar copia de las garantías aplicadas a estas transferencias dirigiéndose a dpo@viterbit.com.
7. Uso de sistemas de inteligencia artificial
Viterbit ofrece a sus clientes funcionalidades asistidas por inteligencia artificial, entre las que destacan:
MIA AI Recruiter: asistente conversacional que apoya la inscripción de candidatos, el filtrado preliminar y la planificación de entrevistas.
AI Matcher y parsing de CV: extracción estructurada de información curricular y emparejamiento de candidatos con ofertas.
AI Talent Co-Pilot: asistencia al reclutador en su flujo de trabajo diario.
Estos sistemas tratan datos de candidatos por cuenta de la empresa-cliente, que actúa como Responsable del tratamiento. Viterbit no adopta decisiones automatizadas con efectos jurídicos o significativos sobre los candidatos sin intervención humana: la decisión final sobre la continuidad de cualquier candidato en un proceso de selección corresponde siempre al reclutador de la empresa-cliente.
Los candidatos podrán solicitar información sobre la lógica aplicada, expresar su punto de vista o impugnar el resultado del tratamiento dirigiéndose a la empresa-cliente que gestiona el proceso de selección.
8. Derechos de los interesados
Cualquier interesado puede ejercer, de forma gratuita, los siguientes derechos reconocidos en los artículos 15 a 22 RGPD:
Derecho de acceso (Art. 15 RGPD).
Derecho de rectificación (Art. 16 RGPD).
Derecho de supresión u olvido (Art. 17 RGPD).
Derecho a la limitación del tratamiento (Art. 18 RGPD).
Derecho a la portabilidad (Art. 20 RGPD).
Derecho de oposición (Art. 21 RGPD).
Derecho a no ser objeto de decisiones automatizadas (Art. 22 RGPD).
Derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento previo.
Canal de ejercicio
Cuando Viterbit actúa como Responsable: el interesado podrá dirigirse a dpo@viterbit.com o, por correo postal, al domicilio social indicado en la sección 1. La solicitud deberá incluir nombre y apellidos, correo electrónico de contacto, derecho que desea ejercer y, en su caso, copia del documento de identidad. Viterbit resolverá las solicitudes en el plazo máximo de un mes, prorrogable por dos meses adicionales en función de la complejidad.
Cuando Viterbit actúa como Encargado (datos de candidatos): el interesado deberá dirigirse a la empresa-cliente que gestiona el proceso de selección, en su calidad de Responsable del tratamiento. Si Viterbit recibe directamente una solicitud, la redirigirá a la empresa-cliente correspondiente y se lo comunicará al interesado.
Reclamación ante la AEPD
Los interesados tienen derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es) si consideran que el tratamiento de sus datos personales no se ajusta a la normativa, sin necesidad de presentar reclamación previa ante Viterbit.
9. Medidas de seguridad
Viterbit aplica medidas técnicas y organizativas apropiadas conforme al artículo 32 RGPD, dentro de un Sistema de Gestión de la Seguridad de la Información alineado con estándares internacionalmente reconocidos. Entre las medidas implantadas destacan:
Cifrado de los datos en tránsito y en reposo.
Control de accesos basado en el principio de mínimo privilegio y autenticación reforzada.
Registro de actividad y monitorización continua.
Procedimientos formalizados de gestión de incidentes y notificación de brechas.
Plan de continuidad de negocio y recuperación ante desastres.
Formación periódica del personal en materia de protección de datos y seguridad de la información.
10. Modificaciones de esta política
Viterbit se reserva el derecho de modificar la presente Política de Privacidad para adaptarla a cambios normativos, jurisprudenciales, criterios de la autoridad de control u operativos. Cualquier modificación se publicará en este mismo sitio web. Los cambios sustanciales serán comunicados a los interesados con un preaviso razonable a través de los canales habituales de comunicación.