Política de privacidad

KoManao es una plataforma SaaS dirigida a personas en búsqueda activa de empleo o en desarrollo profesional, mayores de 18 años. La plataforma permite a sus usuarios solicitar voluntariamente feedback estructurado de los entrevistadores con los que interactúan tras un proceso de selección, así como realizar pruebas de autoconocimiento y solicitar una revisión humana de sus resultados por parte de un experto.

KoManao no realiza por sí misma ninguna evaluación, calificación oficial ni decisión sobre los candidatos. Su rol es facilitar la recogida, el almacenamiento y la visualización de datos que los propios usuarios solicitan, generan o aportan voluntariamente. Toda evaluación visible en la plataforma proviene de terceros (entrevistadores, evaluadores 360°, expertos invitados) o del propio usuario sobre sí mismo.

El responsable del tratamiento de los datos personales recogidos a través de la plataforma es KoManao, con sede operativa en España. Para cualquier comunicación relacionada con esta política puedes escribir a privacy@komanao.com.

Términos utilizados en esta política

• «Candidato» o «usuario»: persona registrada en KoManao que voluntariamente utiliza la plataforma para solicitar feedback, realizar pruebas o solicitar la revisión de un experto.
• «Entrevistador» o «tercero evaluador»: persona física que, a petición expresa del candidato, deja feedback sobre una entrevista o emite una evaluación 360°. KoManao no contacta con entrevistadores por iniciativa propia.
• «Feedback»: cualquier comentario, valoración o evaluación enviada por un tercero sobre el rendimiento del candidato en una entrevista. Es por naturaleza una opinión personal del tercero y nunca una evaluación oficial de KoManao.
• «Pruebas de autoconocimiento»: cuestionarios psicométricos que el candidato completa por sí mismo (KESA, KLPS, KMMS, KCMA). Los resultados se calculan automáticamente sobre las respuestas del propio candidato.
• «Informe del experto»: revisión cualitativa que un profesional invitado por el candidato puede emitir sobre los datos recogidos. Refleja la opinión personal del experto, no es vinculante y no implica certificación oficial alguna por parte de KoManao.
• «Datos anonimizados»: datos de los que se han eliminado todos los identificadores directos e indirectos hasta el punto de no permitir la reidentificación, ni siquiera por la propia plataforma.

KoManao trata únicamente los datos personales necesarios para prestar el servicio. Las categorías son las siguientes:

3.1 Datos de identificación y contacto del candidato

• Email (almacenado únicamente en el sistema de autenticación, nunca en perfiles públicos).
• Nombre o nombre visible elegido por el usuario.
• Username público (visible en la URL de su perfil).
• Avatar opcional.

3.2 Perfil profesional voluntario

• Año de nacimiento o rango de edad.
• Género (opcional, autoidentificado).
• Nivel de estudios.
• Años de experiencia profesional.
• Sector profesional o familia de roles.
• Situación laboral actual.
• País de residencia.

3.3 Resultados de las pruebas de autoconocimiento

• Respuestas individuales a cada cuestionario (KESA, KLPS, KMMS, KCMA).
• Puntuaciones calculadas automáticamente sobre esas respuestas.
• Patrones derivados (índices, perfiles dominantes, banderas de calidad).
• Fecha y hora de finalización.

3.4 Procesos de selección e interacciones con terceros

• Empresa, puesto, fase y estado de cada proceso que el usuario decida registrar.
• Notas privadas escritas por el propio usuario.
• Email de los entrevistadores que el propio candidato decida añadir, exclusivamente para enviar la solicitud de feedback (ver sección 6).

3.5 Feedback recibido del exterior

• Valoración numérica (1-5) emitida por el entrevistador.
• Comentario libre opcional del entrevistador.
• Criterios estructurados (claridad, conocimiento técnico, encaje cultural, etc.) seleccionados por el entrevistador.
• Fecha y hora de envío.

3.6 Datos del informe del experto (si el candidato lo solicita)

• Texto editorial escrito por el experto.
• Evaluaciones BARS sobre 10 competencias clave seleccionadas por el experto durante la sesión.
• Snapshot congelado del perfil del candidato en el momento de publicación del informe (resultados de las 4 pruebas + métricas derivadas).

3.7 Datos técnicos mínimos

• Hash SHA-256 del IP de quien deja feedback (no se almacena la IP en claro), únicamente para detección de duplicados y prevención de abuso.
• User-agent del navegador, únicamente para depuración técnica.
• Cookies estrictamente necesarias para mantener la sesión autenticada y la preferencia de idioma.

3.8 Categorías especiales (art. 9 RGPD)

KoManao NO solicita, no almacena y no procesa datos de categorías especiales: origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos, datos de salud, ni datos relativos a la vida u orientación sexual. Si un tercero introdujera datos de esta naturaleza accidentalmente en un campo libre de feedback, el candidato puede solicitar su supresión inmediata escribiendo a privacy@komanao.com.

Cada finalidad de tratamiento se ampara en una base jurídica concreta del RGPD. Detallamos cada una a continuación.

4.1 Prestación del servicio contratado — art. 6.1.b RGPD

El alta como usuario y el uso de las funcionalidades básicas (gestión del perfil, registro de procesos, almacenamiento de notas privadas, generación del enlace personal) se basa en la ejecución del contrato de servicio que se establece entre KoManao y el usuario al aceptar los Términos de uso al registrarse. Sin estos datos no es posible prestar el servicio.

4.2 Activación del módulo de feedback — art. 6.1.a + art. 7 RGPD

La recogida de feedback de terceros sobre el rendimiento del candidato en entrevistas constituye un tratamiento con consentimiento explícito, granular y revocable. Antes de que el candidato pueda generar su enlace público o su QR, debe marcar de forma expresa una casilla en la que reconoce que: (i) acepta voluntariamente recibir evaluaciones y feedback de terceros; (ii) entiende que KoManao no realiza estas evaluaciones; (iii) sabe que el contenido del feedback refleja opiniones individuales no validadas por KoManao; y (iv) puede retirar el consentimiento en cualquier momento desde Ajustes.

KoManao registra la fecha y hora UTC del consentimiento (campo profiles.feedback_consent_at) como prueba documentada de que el opt-in fue libre, específico, informado e inequívoco. Esta evidencia se conserva mientras la cuenta exista y se elimina al borrar la cuenta.

La revocación del consentimiento es tan sencilla como otorgarlo: desde Ajustes → Módulo de feedback → Desactivar. Al revocar, el usuario puede elegir entre conservar el feedback histórico ya recibido (solo dejará de aceptar nuevo) o eliminar todo el feedback recibido de forma irreversible. La revocación no afecta a la licitud del tratamiento basado en el consentimiento previo a su retirada (art. 7.3 RGPD).

4.3 Pruebas de autoconocimiento — art. 6.1.a RGPD

La realización de las pruebas KESA, KLPS, KMMS y KCMA es enteramente voluntaria. El candidato decide qué pruebas iniciar y puede abandonarlas en cualquier momento. Los resultados se calculan automáticamente sobre las respuestas del propio candidato y se le muestran únicamente a él. Ningún tercero accede a los resultados individuales sin invitación expresa del candidato.

4.4 Solicitud de revisión por un experto — art. 6.1.a + art. 6.1.b RGPD

Cuando el candidato solicita una sesión con un experto humano de KoManao (servicio opcional de pago), está activando un tratamiento adicional consistente en compartir su perfil agregado con el experto seleccionado y permitirle escribir un informe cualitativo. La base jurídica combina el consentimiento al solicitar el servicio (art. 6.1.a) y la ejecución del contrato de prestación de la sesión (art. 6.1.b). El informe queda visible solo para el candidato. El experto no puede compartirlo con terceros.

4.5 Comunicaciones a terceros invitados por el candidato — art. 6.1.f RGPD

Cuando el candidato facilita el correo electrónico de un tercero (entrevistador, responsable de selección, evaluador 360°, experto invitado u otro contacto profesional), KoManao trata esos datos como responsable del tratamiento con la única finalidad de enviar la solicitud de feedback o de evaluación en nombre del candidato.

La base jurídica de este tratamiento es el interés legítimo concurrente del candidato (art. 6.1.f RGPD) — solicitar feedback profesional tras un proceso de selección o una interacción laboral — y el interés legítimo de KoManao en facilitar dicha funcionalidad como núcleo de su servicio. Ambos intereses están alineados y han sido contrastados con los derechos del tercero mediante un test de ponderación que documentamos internamente.

KoManao garantiza, respecto a estos datos:

• Su uso queda limitado exclusivamente a la finalidad concreta para la que fueron facilitados (envío de la invitación o solicitud).
• No se utilizarán nunca para comunicaciones comerciales, marketing, perfilado ni cesión a terceros distintos de los proveedores estrictamente necesarios para la entrega del email (Resend) y su almacenamiento mientras la entrevista esté activa (Supabase).
• No se conservarán más allá de lo necesario para la gestión de la solicitud. Concretamente, el correo y el nombre del tercero se anonimizan de forma irreversible (NULL) a los 3 meses desde la creación del registro mediante un cron diario automático auditado.

Antes de poder dejar cualquier feedback, el tercero recibe en el propio email de invitación información clara sobre quién le contacta, por qué, qué datos suyos se tratan, y un enlace a esta política. Decide libremente si participa o no. Cada email contiene además un enlace directo de baja en la propia plataforma — no es necesario escribir un correo a nadie ni esperar respuesta — donde el tercero puede en un solo clic eliminar su correo de esa solicitud concreta. La baja se circunscribe a la entrevista o invitación específica: tras eliminar el correo, KoManao no conserva ningún registro adicional del tercero, en línea con el principio de minimización de datos.

El candidato, al utilizar esta funcionalidad, se compromete a facilitar únicamente datos de personas con las que haya tenido una interacción profesional previa real y a no introducir datos de terceros de forma abusiva o sin relación legítima con la finalidad del servicio. Cada vez que el candidato introduce un email externo en la plataforma debe marcar expresamente una casilla confirmando este compromiso. Sin esa confirmación no es posible enviar la invitación. KoManao registra la fecha de la confirmación junto con el envío como prueba documentada del uso legítimo.

4.5.bis Registro voluntario del entrevistador — Guardianes del Feedback (art. 6.1.a RGPD)

De forma totalmente independiente al flujo anterior, los entrevistadores que dejan feedback en KoManao pueden, si lo desean, registrar voluntariamente su correo electrónico al finalizar el formulario para acumular un conteo de feedbacks aportados y obtener un nivel simbólico dentro del programa "Guardianes del Feedback". Es una funcionalidad de gamificación y reconocimiento social, completamente opcional, que requiere consentimiento expreso del propio entrevistador (art. 6.1.a RGPD) — no del candidato.

Los datos almacenados en este caso son únicamente el correo del entrevistador, su nombre opcional, el contador de feedbacks aportados y la fecha de última actividad. Por diseño arquitectónico no existe ningún vínculo en base de datos entre este registro y los feedbacks concretos que el entrevistador haya enviado: KoManao puede saber que un entrevistador ha aportado N feedbacks pero no a qué candidatos. Esto preserva el anonimato del feedback hacia el candidato, que es un valor fundamental del producto.

Reclamación de credencial verificada: desde la pantalla de agradecimiento posterior al feedback, el entrevistador puede dar un paso adicional y crear una cuenta KoManao verificada por contraseña para "reclamar" su credencial Guardian. Al hacerlo, el registro Guardian existente se vincula automáticamente a su perfil (columna profile_id en la tabla interviewer_contacts) mediante coincidencia por correo electrónico. Este vínculo no cambia lo que KoManao almacena (seguimos sin enlazar su identidad con feedbacks concretos), pero le permite ver en su dashboard su nivel actual, su contador y, en el futuro, un historial de los feedbacks que decida guardar explícitamente (funcionalidad que requerirá un opt-in granular adicional en el propio formulario de feedback, aún no activa). La visibilidad pública de la credencial en páginas tipo ranking se controla con un feature flag y, cuando se active, solo mostrará a los guardianes que hayan reclamado su credencial (es decir, con perfil vinculado y username público).

El entrevistador puede solicitar la baja de su registro Guardian en cualquier momento escribiendo a privacy@komanao.com. Estamos trabajando en una pantalla self-service para que esa baja se pueda hacer también con un clic, sin necesidad de email. Adicionalmente, todo registro Guardian que no haya sido actualizado en los últimos 24 meses (es decir, sin nuevos feedbacks contados durante 2 años) se elimina automáticamente mediante el mismo cron diario auditado.

4.5.ter Firma del Manifiesto del Feedback (art. 6.1.a RGPD)

Los usuarios autenticados en KoManao pueden firmar el Manifiesto del Feedback — una declaración pública de adhesión a los cinco principios del feedback honesto y útil. La firma es estrictamente voluntaria y requiere un acto positivo explícito: pulsar el botón "Firmar" después de leer el manifiesto. La base jurídica es el consentimiento del propio usuario (art. 6.1.a RGPD).

Los datos almacenados asociados a una firma son exclusivamente: el identificador del perfil que firma, la fecha y hora de la firma, un indicador de visibilidad pública (displayed_on_wall, false por defecto), y un nivel de supporter (supporter_tier, "free" por defecto). El nombre y el username públicos que se muestran en el wall /manifesto/firmantes se derivan de la tabla profiles; no se duplican en la tabla de firmas.

Visibilidad: por defecto la firma NO es pública. El usuario debe activar explícitamente el checkbox "muéstrame en el wall público" para que su nombre y username aparezcan en /manifesto/firmantes. Esta visibilidad es revocable: el usuario puede desactivar el toggle en cualquier momento sin borrar la firma, o bien revocar la firma completa (DELETE sobre su propia fila) con un clic. Ambos controles viven en la propia página del manifiesto cuando el usuario está autenticado.

La firma no caduca automáticamente — es una declaración de compromiso, no un dato funcional sometido a plazo de retención. Si el usuario borra su cuenta KoManao (flujo estándar de derecho de supresión), la fila de firma se elimina en cascada por la restricción de integridad referencial.

4.6 Análisis estadístico anonimizado — art. 6.1.f RGPD

KoManao realiza análisis agregados y completamente anonimizados de los resultados de las pruebas de autoconocimiento con el fin de mejorar la calidad psicométrica de los instrumentos, generar normas poblacionales por segmento demográfico y detectar sesgos. Estos análisis se basan en el interés legítimo de KoManao en mejorar continuamente la fiabilidad y utilidad de su producto, sin que ese interés prevalezca sobre los derechos del usuario, ya que los datos analizados no permiten reidentificar a ninguna persona.

4.7 Cumplimiento de obligaciones legales — art. 6.1.c RGPD

Determinados tratamientos pueden ser necesarios para cumplir obligaciones legales aplicables a KoManao, como la atención a requerimientos judiciales o de autoridades de protección de datos, la conservación de pruebas mínimas para defenderse frente a reclamaciones, o el cumplimiento de obligaciones contables y fiscales.

Esta sección es esencial para entender el rol jurídico y de producto de KoManao y se aplica con prioridad sobre cualquier otra interpretación.

KoManao es una plataforma de intermediación tecnológica. No realiza por sí misma ninguna evaluación de candidatos, no emite juicios profesionales, no produce certificaciones oficiales y no garantiza la objetividad, exactitud, completitud o utilidad de los contenidos que terceros aporten a través de la plataforma. Todo feedback visible en el perfil de un candidato es la expresión de la opinión personal e individual del entrevistador, evaluador o experto que lo emitió, voluntariamente solicitada por el propio candidato.

En particular, KoManao no es responsable de:

• La exactitud o veracidad de los datos que un tercero introduzca en un campo libre.
• La objetividad o fiabilidad metodológica de las valoraciones numéricas o cualitativas que un tercero emita.
• La interpretación que el candidato haga del feedback recibido o las decisiones que tome a raíz de él.
• La conducta de los terceros invitados por el candidato, incluido el uso que esos terceros puedan hacer de su email después de recibir la invitación.
• El contenido editorial de los informes del experto, salvo que se demuestre incumplimiento por parte de KoManao de sus deberes contractuales con el experto.

KoManao se reserva el derecho a retirar de la plataforma cualquier contenido manifiestamente ilícito, abusivo, discriminatorio o que infrinja derechos de terceros, a petición del usuario afectado o por iniciativa propia tras detección razonable.

La sección 4.5 detalla la base jurídica del tratamiento de los datos del tercero (KoManao como responsable bajo interés legítimo). Esta sección 6 desarrolla las dos caras complementarias: qué se compromete a hacer el candidato cuando facilita esos datos, y qué derechos puede ejercer el tercero en cualquier momento.

6.1 Compromiso del candidato

Al utilizar la funcionalidad de invitación, el candidato declara, bajo su responsabilidad, que:

• Ha tenido una interacción profesional previa real con la persona cuyo correo facilita (entrevista, proceso de selección, evaluación, sesión de mentoría u otra relación laboral o profesional concreta).
• No facilita correos de personas con las que no exista esa relación previa real ni utiliza la plataforma de forma masiva, automatizada o abusiva.
• No facilita correos de menores de edad.
• Entiende que el tercero recibirá información clara sobre el tratamiento y podrá decidir libremente si participa.

Cada vez que el candidato introduce el correo de un tercero en la plataforma debe marcar expresamente una casilla confirmando este compromiso. Sin esa confirmación, el envío de la invitación queda bloqueado por el propio sistema. KoManao conserva el registro de esa confirmación junto con la fecha del envío como prueba documentada del uso legítimo. El uso fraudulento o masivo de esta funcionalidad puede dar lugar a la suspensión inmediata de la cuenta del candidato.

6.2 Derechos del tercero

Cualquier persona cuyo correo haya sido facilitado a KoManao por un candidato es titular de los siguientes derechos sobre sus propios datos:

• Derecho de acceso: saber qué datos suyos tratamos y por qué.
• Derecho de rectificación: corregir datos inexactos.
• Derecho de supresión: solicitar la eliminación inmediata de su correo, incluso antes del plazo automático de 3 meses.
• Derecho de oposición: oponerse al tratamiento basado en interés legítimo. KoManao detendrá el tratamiento salvo motivos legítimos imperiosos que prevalezcan sobre los derechos del tercero, lo que no será habitual.
• Derecho de oposición a solicitudes concretas: cada email recibido incluye un enlace de baja en un clic que elimina el correo de esa solicitud específica. KoManao no mantiene listas permanentes de exclusión, en coherencia con el principio de minimización; si el mismo candidato u otro te invita en el futuro, recibirás un nuevo email que también podrás declinar.
• Derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (ver sección 16).

La forma más rápida de ejercer estos derechos es usar el enlace de baja que aparece dentro del propio email recibido — un solo clic borra tu correo de esa solicitud concreta y KoManao no conserva ningún registro adicional tuyo. La baja se aplica a la solicitud específica que has recibido; si el mismo candidato u otro distinto te invita en el futuro a un nuevo proceso, recibirás un email nuevo que también podrás declinar de la misma forma. Esto cumple el principio de minimización de datos: KoManao no mantiene listas indefinidas sobre personas que han ejercido su derecho de oposición.

Si has perdido el email original o prefieres ejercer los derechos por otra vía, también puedes escribir a privacy@komanao.com indicando el correo electrónico al que se refiere la solicitud y, si lo deseas, la identidad del candidato que lo invitó (no es imprescindible). KoManao atenderá la petición en el plazo legal previsto, normalmente en menos de 72 horas.

Si el tercero recibe una invitación que considera que no debió haber recibido (por ejemplo, porque no recuerda haber tenido la interacción profesional descrita por el candidato), puede comunicarlo a la misma dirección. KoManao tomará las medidas correspondientes, que pueden incluir la baja inmediata del correo de su sistema y la advertencia o suspensión del candidato responsable si se confirma un uso indebido.

KoManao conserva los datos personales únicamente durante el tiempo necesario para las finalidades para las que fueron recogidos y para cumplir con las obligaciones legales aplicables.

Datos de cuenta y perfil profesional

Mientras la cuenta del usuario esté activa. Cuando el usuario solicita la eliminación de su cuenta, los datos identificativos y de perfil se borran de inmediato.

Resultados de pruebas de autoconocimiento

Las respuestas individuales se borran junto con la cuenta. Las puntuaciones calculadas se conservan en forma anonimizada, desvinculadas del usuario y agregadas con un resumen demográfico (rango de edad, sector, país), únicamente para análisis estadístico y mejora de la calidad psicométrica de las pruebas. Estos datos anonimizados no permiten la reidentificación.

Feedback recibido de terceros

Mientras el candidato tenga el módulo de feedback activo. Si el candidato revoca su consentimiento y elige conservar el histórico, el feedback sigue almacenado únicamente para su propia consulta. Si elige borrarlo, se elimina inmediatamente. En cualquier caso, los datos se eliminan al borrar la cuenta.

Datos del informe del experto

Mientras la cuenta esté activa. El snapshot congelado del perfil en el momento de publicación se conserva como parte del informe para garantizar la reproducibilidad y la trazabilidad de la opinión del experto.

Datos del tercero facilitados por el candidato

Cuando un candidato facilita el correo de un entrevistador, evaluador 360° u otro contacto profesional para enviarle una invitación, ese correo y, en su caso, el nombre se conservan únicamente durante el tiempo necesario para gestionar la solicitud. Concretamente:

• Si el candidato elimina la entrevista, proceso o invitación correspondiente: el correo se borra de inmediato (cascade).
• Si el candidato elimina su cuenta: el correo se borra de inmediato como parte del borrado en cascada de la cuenta.
• En cualquier otro caso: a los 3 meses desde la creación de la entrevista o invitación, el correo y el nombre se anonimizan de forma irreversible (NULL) mediante un cron diario automático. La fila de la entrevista o invitación puede subsistir como historial del candidato pero ya sin datos identificativos del tercero.
• Si el tercero solicita la baja antes de cualquiera de los anteriores escribiendo a privacy@komanao.com: el correo se borra en menos de 72 horas.

Registro Guardian del Feedback (entrevistador opt-in)

Cuando un entrevistador se registra voluntariamente para acumular un conteo de feedbacks (sección 4.5.bis), su correo y nombre opcional se conservan mientras siga activo. Se considera activo si ha aportado nuevos feedbacks contados en los últimos 24 meses. Pasado ese plazo de inactividad, el registro completo (correo, nombre, contador y fechas) se elimina automáticamente mediante el mismo cron diario. El entrevistador puede solicitar la baja en cualquier momento escribiendo a privacy@komanao.com.

Hash de IP y datos técnicos de prevención de abuso

Hash SHA-256 del IP: 6 meses desde el envío del feedback (eliminado automáticamente por cron diario). User-agent: 30 días desde el envío (eliminado automáticamente por el mismo cron). Logs de acceso del servidor: gestionados por nuestro proveedor de hosting (Vercel) conforme a su propia política de retención, típicamente hasta 30 días.

Pruebas de consentimiento

Mientras la cuenta exista, más un plazo razonable adicional tras la baja con el fin de poder demostrar el cumplimiento del RGPD ante una eventual reclamación. Plazo máximo: 3 años desde la baja.

Auditoría del cumplimiento de los plazos

Los plazos de borrado descritos en esta sección no son aspiracionales: están implementados mediante un cron automático (`/api/cron/gdpr-retention-sweep`) que se ejecuta a diario y cuyos resultados quedan registrados. Adicionalmente, KoManao realiza auditorías periódicas mediante un script independiente (`scripts/audit-gdpr-retention.ts`) que verifica que ninguna fila ha superado su plazo de retención. Si la auditoría detecta cualquier desviación, se investiga y se corrige antes de que pueda convertirse en un incumplimiento. Estas auditorías son frecuentes (mínimo mensuales) y se intensifican tras cualquier cambio en la infraestructura de retención.

KoManao no vende, alquila ni cede datos personales a terceros con fines comerciales. Los únicos destinatarios externos de los datos son los proveedores de servicios estrictamente necesarios para el funcionamiento de la plataforma, en su condición de encargados del tratamiento contractualmente vinculados a KoManao.

Encargados del tratamiento utilizados

• Supabase (Supabase Inc., con servidores PostgreSQL en la región Frankfurt de la Unión Europea) — base de datos, autenticación y almacenamiento.
• Vercel (Vercel Inc., con CDN y funciones serverless en regiones europeas) — alojamiento de la aplicación web.
• Resend (Resend Inc.) — envío de correos transaccionales (verificación de email, notificaciones, invitaciones a entrevistadores).
• Vercel Analytics — métricas agregadas y anónimas de tráfico (sin cookies de seguimiento, sin huella digital).

Cada uno de estos proveedores está sujeto a un contrato de encargado del tratamiento (DPA) con KoManao y aplica garantías técnicas y organizativas adecuadas.

Transferencias internacionales

Los datos de los usuarios se almacenan en servidores situados en la Unión Europea. Algunos de los proveedores indicados son sociedades constituidas en Estados Unidos. Cuando exista cualquier flujo de datos a infraestructuras fuera del Espacio Económico Europeo, las transferencias se amparan en los mecanismos previstos por el RGPD: cláusulas contractuales tipo aprobadas por la Comisión Europea, certificación EU-US Data Privacy Framework cuando aplique, y medidas suplementarias de cifrado en tránsito y en reposo.

En virtud del RGPD y la legislación española de protección de datos, todo usuario tiene los siguientes derechos:

• Derecho de acceso (art. 15 RGPD): obtener confirmación de qué datos personales suyos tratamos y una copia de los mismos.
• Derecho de rectificación (art. 16 RGPD): solicitar la corrección de datos inexactos o incompletos.
• Derecho de supresión (art. 17 RGPD), también conocido como «derecho al olvido»: solicitar la eliminación de sus datos personales en los supuestos previstos por la ley.
• Derecho a la limitación del tratamiento (art. 18 RGPD): solicitar que tratemos sus datos únicamente para conservarlos, durante el tiempo necesario para resolver una reclamación o verificar una rectificación.
• Derecho a la portabilidad (art. 20 RGPD): recibir sus datos en formato estructurado, de uso común y lectura mecánica, así como transmitirlos a otro responsable.
• Derecho de oposición (art. 21 RGPD): oponerse en cualquier momento al tratamiento de sus datos basado en el interés legítimo de KoManao.
• Derecho a retirar el consentimiento (art. 7.3 RGPD): cuando el tratamiento se base en el consentimiento, puede retirarlo en cualquier momento sin que ello afecte a la licitud del tratamiento previo a la retirada.
• Derecho a no ser objeto de decisiones automatizadas (art. 22 RGPD): KoManao no realiza decisiones automatizadas con efectos jurídicos sobre el usuario (ver sección 11).
• Derecho a presentar una reclamación ante una autoridad de control: en España, la Agencia Española de Protección de Datos (www.aepd.es).

La mayoría de los derechos puedes ejercerlos directamente desde tu cuenta sin necesidad de contactarnos:

• Acceso y portabilidad: descarga un fichero JSON con todos tus datos desde Ajustes → GDPR → Exportar mis datos.
• Rectificación: edita tu perfil profesional y demográfico desde Ajustes → Perfil profesional.
• Supresión: borra tu cuenta y todos los datos asociados desde Ajustes → GDPR → Eliminar cuenta.
• Retirada del consentimiento al módulo de feedback: desde Ajustes → Módulo de feedback → Desactivar (puedes elegir entre mantener o borrar el feedback histórico).
• Oposición al análisis estadístico anonimizado: escríbenos a privacy@komanao.com.

Para cualquier solicitud que no puedas resolver desde tu cuenta, escríbenos a privacy@komanao.com indicando claramente el derecho que quieres ejercer y, si es necesario, una copia de tu DNI o documento equivalente para verificar tu identidad. Resolveremos la solicitud en el plazo máximo de un mes desde su recepción, ampliable a dos meses adicionales en casos especialmente complejos, en cuyo caso te lo comunicaremos.

KoManao no realiza decisiones automatizadas, incluida la elaboración de perfiles, que produzcan efectos jurídicos en el usuario o le afecten significativamente de modo similar (art. 22 RGPD).

En particular, las puntuaciones que el sistema calcula sobre las pruebas de autoconocimiento son únicamente herramientas informativas para el propio usuario. No se utilizan para tomar decisiones de contratación, no se comparten automáticamente con empresas, no generan rankings entre candidatos y no se reúsan para perfiles publicitarios. Cualquier decisión sobre un candidato (avanzar o no en un proceso, contratar o no) la toma siempre un ser humano externo a KoManao en el ámbito de su propio proceso de selección.

KoManao no está dirigida a menores de 18 años. La plataforma no recoge intencionadamente datos de menores. Si tomamos conocimiento de que un usuario ha facilitado datos siendo menor de 18 años, procederemos a eliminar la cuenta y todos los datos asociados sin demora. Los padres, tutores o el propio menor pueden solicitar la eliminación inmediata escribiendo a privacy@komanao.com.

KoManao aplica medidas técnicas y organizativas razonables para proteger los datos personales contra accesos no autorizados, alteración, divulgación o destrucción. Entre estas medidas se incluyen:

• Cifrado en tránsito de todas las comunicaciones (HTTPS / TLS).
• Cifrado en reposo de la base de datos en los servidores del proveedor.
• Políticas de Row Level Security (RLS) en PostgreSQL para impedir que un usuario acceda a datos de otro.
• Hashing de la IP del usuario cuando se almacena, mediante SHA-256 con sal secreta.
• Autenticación obligatoria para todos los endpoints que tratan datos personales.
• Control granular de roles internos (admin, expert) registrados en una tabla dedicada con auditoría.
• Revisiones periódicas de seguridad y dependencias.

Pese a estas medidas, ningún sistema es absolutamente impenetrable. En caso de detectar una violación de la seguridad de los datos personales que pueda suponer un riesgo para los derechos y libertades del usuario, KoManao notificará a la Agencia Española de Protección de Datos en el plazo máximo de 72 horas y, cuando sea exigible, también a los usuarios afectados.

KoManao utiliza únicamente cookies estrictamente necesarias para el funcionamiento del servicio: una cookie de sesión para mantener al usuario autenticado y una cookie de preferencia de idioma. No utiliza cookies de seguimiento publicitario, cookies de marketing ni cookies de análisis con identificadores persistentes. Por este motivo no se requiere un banner de cookies bajo la regulación española vigente.

Las métricas agregadas de tráfico se obtienen a través de Vercel Analytics, que no utiliza cookies ni identificadores de usuario; agrega información a nivel de ruta sin trazar individuos.

KoManao puede actualizar esta política para reflejar cambios legales, de producto o de prácticas internas. La versión actualizada se publica en esta misma URL con la fecha de la última revisión visible en la cabecera. Cuando los cambios sean sustanciales, los usuarios serán informados mediante una notificación destacada en el dashboard o por correo electrónico antes de su entrada en vigor.

Recomendamos revisar periódicamente esta política. El uso continuado del servicio tras la publicación de cambios se considerará una aceptación de los mismos, sin perjuicio del derecho del usuario a darse de baja en cualquier momento si no está conforme.

Si consideras que KoManao no ha tratado tus datos personales conforme al RGPD o a la legislación española de protección de datos, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos:

• Web: https://www.aepd.es
• Sede electrónica: https://sedeagpd.gob.es
• Dirección postal: C/ Jorge Juan, 6. 28001 Madrid

Te animamos a contactar primero con nosotros en privacy@komanao.com para que podamos resolver cualquier incidencia de la forma más rápida posible.

Para cualquier consulta sobre esta política de privacidad, el ejercicio de tus derechos o cualquier otra cuestión relacionada con el tratamiento de tus datos personales, puedes escribirnos a privacy@komanao.com. Nos comprometemos a responder en el plazo máximo de un mes.