Política de Privacidad
Esta Política explica qué datos personales recolectamos, por qué los necesitamos, con quién los compartimos y cómo puedes ejercer tus derechos. Aplica al sitio laorejadepollo.com y a todos sus servicios (tienda, donaciones, TIIKTAK School, denuncias).
English summary: this Privacy Policy explains what personal data we collect (phone, email, payment details via Stripe), how we use it, and your rights. Full English version on request at hola@laorejadepollo.com.
1. Responsable del tratamiento
La Oreja de Pollo LLC es el responsable del tratamiento de los datos personales recogidos a través del sitio. Email del oficial de privacidad: privacy@laorejadepollo.com (alternativo: hola@laorejadepollo.com).
2. Datos que recolectamos
| Categoría | Datos | Cuándo |
|---|---|---|
| Identidad de miembro | Número telefónico en formato E.164, código de país, slug público, nombre visible (opcional), foto (opcional), biografía (opcional) | Al registrarte como miembro |
| Sesión | Cookie de sesión pollo_member, IP de origen, user-agent, hora de último uso | Cada vez que inicias sesión |
| Verificación telefónica | Resultado de Twilio Verify (sent/approved/denied), canal usado (WhatsApp/SMS), línea (mobile/landline/voip) y riesgo SMS-pumping | Cada intento de login/signup |
| Comercio | Nombre, email, teléfono, dirección postal (sólo para envíos físicos), descripción del producto, monto | Al hacer una compra o donación |
| Pago | No almacenamos tarjetas de crédito. Stripe procesa el pago y nos devuelve únicamente: ID de transacción, últimos 4 dígitos, marca, país emisor, monto, moneda y estado. | Al pagar |
| Suscripción | ID de cliente Stripe, ID de suscripción, estado (active/past_due/canceled), fecha de próximo cobro | Mientras tu suscripción esté activa |
| Contenido | Comentarios, posts, denuncias y archivos que subas voluntariamente | Al publicar |
| Telemetría | Logs de acceso, errores, latencia, ruta visitada — agregados y rotados periódicamente | Continuo |
| Moderación | Estado de tu reputación, violaciones registradas, señales de pares | Si participas con contenido |
No recolectamos: información biométrica, datos de salud, orientación política específica, número de cédula, datos financieros directos (bancarios o de tarjetas).
3. Para qué los usamos
- Autenticación: tu teléfono nos permite verificarte sin contraseña.
- Prestación del servicio: mostrar tu perfil, procesar tus compras/donaciones, entregarte el material de TIIKTAK School.
- Soporte y comunicaciones operativas: enviarte recibos, notificaciones de envío y nudges semanales (puedes desactivar los nudges desde tu cuenta o respondiendo "STOP").
- Seguridad y prevención de fraude: detectar abuso, suplantación, SMS-pumping y violaciones de los Términos.
- Mejora del servicio: métricas agregadas (no individuales) sobre uso, conversión y desempeño.
- Cumplimiento legal: responder a requerimientos válidos de autoridades competentes.
No usamos tus datos para publicidad de terceros. No vendemos, alquilamos ni cedemos tu información a corredores de datos.
4. Base legal
- Ejecución contractual — para procesar compras, suscripciones y entregar el servicio.
- Consentimiento — para enviarte comunicaciones no transaccionales (revocable en cualquier momento).
- Interés legítimo — para seguridad, prevención de fraude y métricas agregadas.
- Obligación legal — para retención fiscal y respuesta a requerimientos judiciales.
5. Terceros con los que compartimos datos
Sólo lo estrictamente necesario, bajo acuerdo de confidencialidad y mínimo privilegio:
- Stripe, Inc. (EE.UU.) — procesamiento de pagos. Recibe: nombre, email, monto y método de pago. Política de Stripe.
- Twilio Inc. (EE.UU.) — envío de códigos OTP y validación de línea telefónica (Lookup). Recibe: tu número telefónico. Política de Twilio.
- Resend, Inc. (EE.UU.) — envío de correos transaccionales (recibos, nudges). Recibe: tu email. Política de Resend.
- Cloudflare, Inc. (EE.UU.) — CDN, protección anti-bot (Turnstile) y mitigación DDoS. Recibe: IP y datos de cabecera HTTP. Política de Cloudflare.
- Anthropic, Inc. (EE.UU.) — modelo de lenguaje usado para asistencia editorial interna. No recibe datos de miembros; sólo prompts editoriales internos del equipo.
- Autoridades competentes — sólo bajo orden judicial válida o requerimiento legal vinculante.
6. Cookies y tecnologías similares
Usamos las siguientes cookies. Ninguna se utiliza para perfilado publicitario:
| Cookie | Propósito | Duración | Tipo |
|---|---|---|---|
pollo_session | Sesión de staff (dashboard) | 30 días | Estrictamente necesaria |
pollo_member | Sesión de miembro | 30 días | Estrictamente necesaria |
pollo_csrf | Protección CSRF (double-submit) | Sesión | Estrictamente necesaria |
| Cloudflare cf_* | Anti-bot y seguridad | Hasta 1 año | Estrictamente necesaria |
7. Retención
- Cuenta de miembro: mientras la cuenta esté activa. Tras cierre se retiene 90 días por seguridad y luego se anonimiza.
- Historial de compras y donaciones: 7 años (obligación contable).
- Logs de acceso y errores: 90 días.
- Códigos OTP: minutos (sólo durante el flujo de verificación).
- Suscripción cancelada: se mantiene el registro histórico (cliente Stripe, último estado) sin datos sensibles.
8. Tus derechos
Tienes derecho a:
- Acceso: solicitar copia de tus datos.
- Rectificación: corregir datos inexactos.
- Cancelación: eliminar tu cuenta y datos asociados (salvo obligaciones legales de retención).
- Oposición: objetar tratamientos basados en interés legítimo.
- Portabilidad: recibir tus datos en formato JSON estructurado.
- Limitación: restringir temporalmente el tratamiento mientras se resuelve una disputa.
- Revocación de consentimiento: en cualquier momento y sin retroactividad.
Para ejercer tus derechos escribe a privacy@laorejadepollo.com. Respondemos en hasta 30 días.
9. Seguridad
Medidas técnicas y organizativas que aplicamos:
- Transporte cifrado (TLS 1.2+) para todo el sitio.
- Cookies
HttpOnly,Secure,SameSite=Lax. - Hash SHA-256 de tokens de sesión en la base de datos (no se almacena el token claro).
- TOTP obligatorio para el personal con acceso al dashboard.
- Auditoría de intentos de login (success/failure).
- Rate limiting por IP y por número telefónico.
- CSP estricta en el panel administrativo (
frame-ancestors 'none'). - Pago: no almacenamos PAN, CVC ni fecha de tarjeta. Stripe es certificado PCI DSS Nivel 1.
10. Menores de edad
El servicio no está dirigido a menores de 13 años. Si descubrimos una cuenta perteneciente a un menor de 13, la eliminaremos. Para edades entre 13 y 17 se requiere consentimiento del representante legal.
11. Transferencias internacionales
Nuestros proveedores (Stripe, Twilio, Resend, Cloudflare) procesan datos en EE.UU. Para usuarios en la Unión Europea o el Reino Unido, estas transferencias se sustentan en cláusulas contractuales tipo (SCCs) y/o la decisión de adecuación EU-U.S. Data Privacy Framework cuando aplique.
Nota sobre Venezuela: reconocemos que el vínculo teléfono↔cédula gestionado por operadoras venezolanas implica un riesgo de privacidad no eliminable por nosotros. Para denuncias internas de alta sensibilidad recomendamos canales especializados como Signal o SecureDrop, no este sitio.
12. Cambios a esta Política
Notificaremos cambios materiales con al menos 14 días de anticipación vía banner en el sitio y email a las personas con suscripción o donaciones activas.
13. Contacto
Privacidad: privacy@laorejadepollo.com
General: hola@laorejadepollo.com
Última revisión: 2026-05-16.