Esta página describe de forma precisa los datos recopilados por la extensión de Chrome Marvin V2, a quién se transmiten y durante cuánto tiempo se conservan. Se mantiene actualizada con cada cambio sustancial del ámbito de tratamiento.
Responsable del tratamiento
Marvin SAS — marvin-recruiter (Francia). La extensión es una herramienta profesional destinada a un usuario reclutador autenticado que disponga de una cuenta en app.marvins.ai. No se efectúa ningún tratamiento para un usuario no autenticado.
Datos recopilados
La extensión recopila las siguientes categorías de datos, únicamente cuando el usuario ha iniciado explícitamente una acción (apertura del panel lateral, importación de un perfil, envío de un mensaje):
| Categoría | Contenido | Fuente |
|---|---|---|
| Identificadores de cuenta | userId, tenantId, correo del usuario |
Cookie SSO app.marvins.ai |
| Perfiles de LinkedIn | Nombre, cargo, empresa, URL del perfil consultado, estudios, experiencias | DOM de LinkedIn, vía Unipile |
| Datos técnicos | Versión de la extensión, idioma del navegador, identificador de sesión | Navegador |
| Telemetría | Eventos de uso (sidepanel_opened, profile_imported, errores) |
Runtime de la extensión |
La extensión no recopila: historial de navegación fuera de LinkedIn, mensajes privados de LinkedIn (fuera de los hilos abiertos vía un outreach de Marvin), datos bancarios, geolocalización.
Destinatarios y flujos salientes
Los datos salen de la extensión únicamente hacia los destinatarios indicados a continuación. Todos los flujos están cifrados con TLS 1.2+.
| Destinatario | Datos | Alojamiento |
|---|---|---|
API Marvin (api.marvins.ai) |
Identificadores, perfiles importados, eventos | Google Cloud (UE) |
| Unipile | Auth de LinkedIn, operaciones sobre perfiles | UE (subcontratista) |
| Sentry | Errores de runtime, stack traces | UE (sentry.io UE) |
| Grafana Cloud | Trazas y métricas técnicas | UE |
| LaunchDarkly | Evaluación de feature flags (userId) | EE.UU. (DPF-certificado) |
Ningún dato se vende. Ninguna compartición con fines publicitarios. Ningún dato se transmite a LinkedIn fuera del tráfico normal del navegador del usuario.
Base legal
- Ejecución de un contrato (RGPD art. 6.1.b) para el usuario reclutador: prestación del servicio Marvin.
- Interés legítimo (RGPD art. 6.1.f) para los perfiles de LinkedIn tratados: permitir al reclutador organizar su prospección profesional conforme a la finalidad pública de LinkedIn. El candidato es informado desde la primera interacción saliente.
Plazo de conservación
| Dato | Plazo |
|---|---|
JWT local (chrome.storage) |
Hasta cierre de sesión o 7 días (rotación automática) |
| Perfiles importados | Duración de vida del tenant (eliminación previa solicitud) |
| Logs Sentry | 90 días |
| Trazas Grafana | 30 días |
| Eventos de telemetría | 13 meses máximo (analytics) |
Derechos de las personas
Toda persona interesada puede ejercer sus derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición:
- Usuario reclutador — vía la interfaz
app.marvins.aio escribiendo aprivacy@marvins.ai. - Candidato / perfil importado — escribiendo a
privacy@marvins.ai. Se aplica un procedimiento de verificación de identidad antes del tratamiento.
Las reclamaciones pueden dirigirse a la AEPD (www.aepd.es) o a la CNIL (www.cnil.fr).
Almacenamiento local
La extensión utiliza chrome.storage.local (API del navegador, aislada por extensión) para persistir:
- El JWT de autenticación (cifrado en reposo por Chrome).
- Las preferencias del usuario (idioma, último panel abierto).
No se establece ninguna cookie de tercero. chrome.storage no sale de la máquina del usuario.
Cookies de LinkedIn (li_at / li_a)
En el momento en que el usuario hace clic en Conectar en el panel lateral para vincular su cuenta de LinkedIn, la extensión lee las cookies li_at (sesión LinkedIn) y, si está presente, li_a (token Premium) vía la API chrome.cookies — y únicamente en ese instante preciso. Nunca se leen en segundo plano, nunca se almacenan en chrome.storage, nunca se persisten en el lado de la extensión.
Estos valores transitan cifrados en TLS hacia la API de Marvin, que los reenvía inmediatamente a Unipile para aprovisionar la sesión del lado del servidor. La API de Marvin nunca almacena li_at / li_a en base de datos: solo se persiste el identificador Unipile (account_id) tras el intercambio. El usuario puede revocar la conexión en cualquier momento desde Ajustes > Integraciones.
Permisos de Chrome solicitados
| Permiso | Uso |
|---|---|
storage |
Persistencia del JWT y de las preferencias |
sidePanel |
Visualización de la interfaz Marvin en el panel lateral del navegador |
cookies |
Lectura de la cookie SSO app.marvins.ai (JWT) y, al hacer clic, li_at/li_a |
activeTab |
Lectura contextual de la página de LinkedIn activa |
Host linkedin.com |
Inyección del content script en las páginas de LinkedIn |
Host *.marvins.ai |
Llamadas API autenticadas |
No se solicita ningún permiso amplio del tipo <all_urls>.
Modificaciones
Toda modificación sustancial de esta política da lugar a una nueva versión de la extensión y a una notificación en el panel lateral en el primer arranque posterior a la actualización.
Contacto: privacy@marvins.ai.