Política de Privacidad

Vigencia: 16 de mayo, 2026 Versión: 1.0

Esta Política explica qué datos personales recolectamos, por qué los necesitamos, con quién los compartimos y cómo puedes ejercer tus derechos. Aplica al sitio laorejadepollo.com y a todos sus servicios (tienda, donaciones, TIIKTAK School, denuncias).

English summary: this Privacy Policy explains what personal data we collect (phone, email, payment details via Stripe), how we use it, and your rights. Full English version on request at hola@laorejadepollo.com.

1. Responsable del tratamiento

La Oreja de Pollo LLC es el responsable del tratamiento de los datos personales recogidos a través del sitio. Email del oficial de privacidad: privacy@laorejadepollo.com (alternativo: hola@laorejadepollo.com).

2. Datos que recolectamos

Categoría	Datos	Cuándo
Identidad de miembro	Número telefónico en formato E.164, código de país, slug público, nombre visible (opcional), foto (opcional), biografía (opcional)	Al registrarte como miembro
Sesión	Cookie de sesión `pollo_member`, IP de origen, user-agent, hora de último uso	Cada vez que inicias sesión
Verificación telefónica	Resultado de Twilio Verify (sent/approved/denied), canal usado (WhatsApp/SMS), línea (mobile/landline/voip) y riesgo SMS-pumping	Cada intento de login/signup
Comercio	Nombre, email, teléfono, dirección postal (sólo para envíos físicos), descripción del producto, monto	Al hacer una compra o donación
Pago	No almacenamos tarjetas de crédito. Stripe procesa el pago y nos devuelve únicamente: ID de transacción, últimos 4 dígitos, marca, país emisor, monto, moneda y estado.	Al pagar
Suscripción	ID de cliente Stripe, ID de suscripción, estado (active/past_due/canceled), fecha de próximo cobro	Mientras tu suscripción esté activa
Contenido	Comentarios, posts, denuncias y archivos que subas voluntariamente	Al publicar
Telemetría	Logs de acceso, errores, latencia, ruta visitada — agregados y rotados periódicamente	Continuo
Moderación	Estado de tu reputación, violaciones registradas, señales de pares	Si participas con contenido

No recolectamos: información biométrica, datos de salud, orientación política específica, número de cédula, datos financieros directos (bancarios o de tarjetas).

3. Para qué los usamos

Autenticación: tu teléfono nos permite verificarte sin contraseña.
Prestación del servicio: mostrar tu perfil, procesar tus compras/donaciones, entregarte el material de TIIKTAK School.
Soporte y comunicaciones operativas: enviarte recibos, notificaciones de envío y nudges semanales (puedes desactivar los nudges desde tu cuenta o respondiendo "STOP").
Seguridad y prevención de fraude: detectar abuso, suplantación, SMS-pumping y violaciones de los Términos.
Mejora del servicio: métricas agregadas (no individuales) sobre uso, conversión y desempeño.
Cumplimiento legal: responder a requerimientos válidos de autoridades competentes.

No usamos tus datos para publicidad de terceros. No vendemos, alquilamos ni cedemos tu información a corredores de datos.

4. Base legal

Ejecución contractual — para procesar compras, suscripciones y entregar el servicio.
Consentimiento — para enviarte comunicaciones no transaccionales (revocable en cualquier momento).
Interés legítimo — para seguridad, prevención de fraude y métricas agregadas.
Obligación legal — para retención fiscal y respuesta a requerimientos judiciales.

5. Terceros con los que compartimos datos

Sólo lo estrictamente necesario, bajo acuerdo de confidencialidad y mínimo privilegio:

Stripe, Inc. (EE.UU.) — procesamiento de pagos. Recibe: nombre, email, monto y método de pago. Política de Stripe.
Twilio Inc. (EE.UU.) — envío de códigos OTP y validación de línea telefónica (Lookup). Recibe: tu número telefónico. Política de Twilio.
Resend, Inc. (EE.UU.) — envío de correos transaccionales (recibos, nudges). Recibe: tu email. Política de Resend.
Cloudflare, Inc. (EE.UU.) — CDN, protección anti-bot (Turnstile) y mitigación DDoS. Recibe: IP y datos de cabecera HTTP. Política de Cloudflare.
Anthropic, Inc. (EE.UU.) — modelo de lenguaje usado para asistencia editorial interna. No recibe datos de miembros; sólo prompts editoriales internos del equipo.
Autoridades competentes — sólo bajo orden judicial válida o requerimiento legal vinculante.

6. Cookies y tecnologías similares

Usamos las siguientes cookies. Ninguna se utiliza para perfilado publicitario:

Cookie	Propósito	Duración	Tipo
`pollo_session`	Sesión de staff (dashboard)	30 días	Estrictamente necesaria
`pollo_member`	Sesión de miembro	30 días	Estrictamente necesaria
`pollo_csrf`	Protección CSRF (double-submit)	Sesión	Estrictamente necesaria
Cloudflare cf_*	Anti-bot y seguridad	Hasta 1 año	Estrictamente necesaria

7. Retención

Cuenta de miembro: mientras la cuenta esté activa. Tras cierre se retiene 90 días por seguridad y luego se anonimiza.
Historial de compras y donaciones: 7 años (obligación contable).
Logs de acceso y errores: 90 días.
Códigos OTP: minutos (sólo durante el flujo de verificación).
Suscripción cancelada: se mantiene el registro histórico (cliente Stripe, último estado) sin datos sensibles.

8. Tus derechos

Tienes derecho a:

Acceso: solicitar copia de tus datos.
Rectificación: corregir datos inexactos.
Cancelación: eliminar tu cuenta y datos asociados (salvo obligaciones legales de retención).
Oposición: objetar tratamientos basados en interés legítimo.
Portabilidad: recibir tus datos en formato JSON estructurado.
Limitación: restringir temporalmente el tratamiento mientras se resuelve una disputa.
Revocación de consentimiento: en cualquier momento y sin retroactividad.

Para ejercer tus derechos escribe a privacy@laorejadepollo.com. Respondemos en hasta 30 días.

9. Seguridad

Medidas técnicas y organizativas que aplicamos:

Transporte cifrado (TLS 1.2+) para todo el sitio.
Cookies HttpOnly, Secure, SameSite=Lax.
Hash SHA-256 de tokens de sesión en la base de datos (no se almacena el token claro).
TOTP obligatorio para el personal con acceso al dashboard.
Auditoría de intentos de login (success/failure).
Rate limiting por IP y por número telefónico.
CSP estricta en el panel administrativo (frame-ancestors 'none').
Pago: no almacenamos PAN, CVC ni fecha de tarjeta. Stripe es certificado PCI DSS Nivel 1.

10. Menores de edad

El servicio no está dirigido a menores de 13 años. Si descubrimos una cuenta perteneciente a un menor de 13, la eliminaremos. Para edades entre 13 y 17 se requiere consentimiento del representante legal.

11. Transferencias internacionales

Nuestros proveedores (Stripe, Twilio, Resend, Cloudflare) procesan datos en EE.UU. Para usuarios en la Unión Europea o el Reino Unido, estas transferencias se sustentan en cláusulas contractuales tipo (SCCs) y/o la decisión de adecuación EU-U.S. Data Privacy Framework cuando aplique.

Nota sobre Venezuela: reconocemos que el vínculo teléfono↔cédula gestionado por operadoras venezolanas implica un riesgo de privacidad no eliminable por nosotros. Para denuncias internas de alta sensibilidad recomendamos canales especializados como Signal o SecureDrop, no este sitio.

12. Cambios a esta Política

Notificaremos cambios materiales con al menos 14 días de anticipación vía banner en el sitio y email a las personas con suscripción o donaciones activas.

13. Contacto

Privacidad: privacy@laorejadepollo.com
General: hola@laorejadepollo.com

Última revisión: 2026-05-16.

Términos y Condiciones → Política de Reembolsos → Contacto →