Responsable del tratamiento
Omar Alejandro De La Rosa Torres (persona física), en representación del proyecto musical Bahía Flamingo, con domicilio en Guadalajara, Jalisco, México, es el responsable del tratamiento de tus datos personales recabados a través de bahiaflamingo.mx.
Para cualquier asunto relacionado con este Aviso o para ejercer tus derechos ARCO, puedes escribirnos a contacto@bahiaflamingo.mx. El domicilio completo para recibir solicitudes ARCO se comparte al iniciar el trámite por correo, siempre que se verifique la identidad del solicitante.
Datos personales que recabamos
Recabamos los siguientes datos personales únicamente cuando tú nos los proporcionas de forma directa:
- Identificación y contacto: nombre, apellidos, correo electrónico, número de teléfono móvil.
- Domicilio de envío: calle y número (exterior/interior), colonia, código postal, ciudad, estado y referencias adicionales.
- Datos de la compra: productos seleccionados (diseño, talla), cantidad, monto, fecha de la transacción y canal de pago.
- Comunicación: contenido de los mensajes enviados desde el formulario de contacto.
No recabamos datos personales sensibles (origen racial o étnico, estado de salud, información genética, creencias religiosas o filosóficas, preferencias sexuales, opiniones políticas, etc.).
Finalidades del tratamiento
Finalidades primarias
Necesarias para cumplir con la relación comercial o de atención que inicias al contactarnos o comprar. No requieren tu consentimiento expreso.
- Procesar y despachar tu pedido de merch: generar el enlace de pago con Stripe, cotizar y generar la etiqueta de envío con envia.com, y dar seguimiento al paquete.
- Comunicarnos contigo sobre el estado de tu pedido.
- Responder a consultas enviadas desde el formulario de contacto.
- Cumplir con obligaciones fiscales y contables aplicables (facturación, retención de comprobantes).
Finalidades secundarias
No son necesarias para completar tu compra. Puedes oponerte al tratamiento para estos fines sin que afecte tu pedido ni el servicio que te damos.
- Enviarte comunicación ocasional sobre nuevos lanzamientos musicales, fechas de gira, merch nuevo y preventas.
Si no deseas recibir comunicación con finalidades secundarias, puedes oponerte respondiendo la palabra STOP al primer correo que recibas, o escribiendo a contacto@bahiaflamingo.mx en cualquier momento.
Transferencias de datos a terceros
Para cumplir con las finalidades primarias, transferimos datos específicos y mínimos a los siguientes terceros. Cada transferencia se limita a lo estrictamente necesario.
- Stripe Payments Mexico, S. de R.L. de C.V.: procesador de pagos. Recibe nombre, correo, teléfono, dirección de facturación y monto para emitir el Stripe Checkout Session, procesar el pago (tarjeta o OXXO) y generar el voucher correspondiente. Stripe puede transferir datos a su matriz Stripe, Inc. en Estados Unidos para el procesamiento técnico de la transacción. México y Estados Unidos.
- Envia.com: servicio de paquetería y logística. Recibe nombre, teléfono y dirección completa para cotizar y generar la etiqueta de envío. México.
- Brevo (Sendinblue SAS): plataforma de email marketing y gestión de la lista de newsletter. Recibe tu correo electrónico y, si los proporcionas, tu nombre y teléfono móvil, para administrar tu suscripción y enviarte la comunicación de finalidades secundarias (lanzamientos, giras, preventas). Solo aplica si te suscribes al newsletter o aceptas recibirlo al comprar o contactarnos. Unión Europea.
- Resend (Resend, Inc.): servicio de correo transaccional. Recibe tu correo y nombre para enviarte los mensajes operativos de tu pedido (confirmación de compra, enlace de pago, recordatorios) y el correo de bienvenida al newsletter. Estados Unidos.
- Discord, Inc.: usamos un canal privado de Discord como tablero interno de avisos operativos en tiempo real. Cuando se genera un pedido recibe los datos necesarios para prepararlo (nombre, correo, teléfono, dirección de envío y detalle de la compra); cuando llega un mensaje del formulario de contacto recibe su contenido; y cuando alguien se suscribe al newsletter recibe únicamente su correo de forma parcialmente enmascarada. Lo usamos solo internamente para coordinar la atención, nunca como canal para contactarte. Estados Unidos.
- Cloudflare, Inc.: proveedor de hosting, Workers y Pages Functions. Procesa las peticiones técnicas del sitio (incluyendo tu dirección IP en los logs operativos). Estados Unidos, con centros de datos globales.
- Sepomex (Servicio Postal Mexicano): consulta pública de códigos postales. Recibe solamente el código postal de 5 dígitos para devolver estado, ciudad y colonias disponibles. No se le envía ningún otro dato identificable. México.
- Google LLC (Google Fonts): únicamente para cargar las tipografías del sitio. Google ve la dirección IP del visitante al servir los archivos. Estados Unidos.
No vendemos, rentamos ni intercambiamos tus datos personales con terceros para fines comerciales propios de esos terceros.
Derechos ARCO
De acuerdo con la LFPDPPP, tienes derecho a:
- Acceder a los datos personales que tenemos sobre ti.
- Rectificar los datos si son inexactos o incompletos.
- Cancelar (eliminar) los datos cuando ya no sean necesarios para las finalidades del tratamiento.
- Oponerte al uso de tus datos para finalidades específicas.
Cómo ejercer tus derechos ARCO
Envía un correo a contacto@bahiaflamingo.mx incluyendo:
- Tu nombre completo y correo de contacto.
- Copia de una identificación oficial vigente (INE o pasaporte). Solo para verificar tu identidad.
- Descripción clara y precisa del derecho que deseas ejercer y los datos involucrados.
Responderemos a tu solicitud en un plazo máximo de 20 días hábiles a partir de la fecha en que recibamos la solicitud completa. Si procede, ejecutaremos la acción en los siguientes 15 días hábiles.
Revocación del consentimiento
En cualquier momento puedes revocar el consentimiento que nos diste para el tratamiento de tus datos personales, escribiendo a contacto@bahiaflamingo.mx con el mismo procedimiento descrito en la sección 5.
Ten en cuenta que la revocación puede impedir que completemos una transacción en curso (por ejemplo, un envío pendiente). La ley nos permite conservar los datos durante el tiempo necesario para cumplir obligaciones derivadas de esa transacción.
Cookies y tecnologías de rastreo
No usamos cookies de publicidad ni vendemos tus datos. Para entender cómo se usa el sitio y mejorarlo empleamos dos herramientas de analítica:
Cloudflare Web Analytics: métricas agregadas y anónimas (páginas visitadas, referentes, tiempos de carga). No instala cookies ni recolecta datos personales identificables.
PostHog: nos ayuda a ver el recorrido de uso (clicks, vistas de página, embudo de compra). Guarda un identificador anónimo en una cookie y en el almacenamiento local de tu navegador. No graba tu sesión (sin session recording), respeta la señal Do Not Track de tu navegador, y no incluimos datos personales (nombre, email, dirección) en los eventos que medimos.
Operamos bajo un modelo de exclusión voluntaria (opt-out): la analítica funciona por defecto, pero puedes rechazarla en cualquier momento desde el aviso de cookies del sitio (botón "Rechazar") o activando Do Not Track en tu navegador. Si cambiamos estas herramientas, actualizaremos este Aviso y lo notificaremos en el sitio.
Menores de edad
Este sitio y el proceso de compra están dirigidos a mayores de 18 años. No recabamos datos de menores de edad de forma consciente. Si eres menor de 18 años, pide a un tutor mayor de edad que realice la compra en tu nombre.
Medidas de seguridad
Implementamos medidas técnicas y organizativas razonables para proteger tus datos personales:
- Conexión HTTPS/TLS en todo el sitio.
- Las credenciales de nuestros proveedores (Stripe, envia.com, Brevo, Resend y demás) viven en variables de entorno seguras de nuestro Cloudflare Worker (nunca se exponen en el código del sitio ni se envían al navegador).
- Acceso restringido al correo operativo y a los sistemas donde se almacena el historial de pedidos.
- Revisión periódica de los terceros con los que compartimos datos para verificar que mantengan estándares de seguridad y privacidad equivalentes.
Conservación de los datos
Conservamos los datos de cada compra por un plazo de 5 años contados a partir de la fecha de la transacción, para cumplir con obligaciones fiscales y contables (art. 30 del Código Fiscal de la Federación). Pasado ese plazo, eliminamos los datos de forma segura, salvo que una autoridad competente nos requiera conservarlos por más tiempo.
Los mensajes enviados desde el formulario de contacto se conservan 2 años como historial de comunicación y después se eliminan.
Programa de clientes recurrentes
Para reconocer a quienes nos compran más de una vez (saludo personalizado en el correo de confirmación, dirección de envío pre-rellenada en el siguiente pedido, posibles beneficios de fans) mantenemos un perfil agregado por cada correo electrónico que ha hecho al menos una compra. El perfil contiene:
- Datos agregados: número de pedidos, total gastado, fecha de primer y último pedido, talla preferida (moda de tus compras de playera), si tu envío suele ser en la Zona Metropolitana de Guadalajara.
- Datos de contacto: nombre, teléfono.
- Hasta tres direcciones de envío más usadas (calle, colonia, ciudad, estado, código postal, referencias).
- Identificadores técnicos para reusar tarjetas guardadas en Stripe (no almacenamos los datos de tu tarjeta; Stripe los conserva del lado del procesador).
La clave del perfil en nuestra base de datos es un hash criptográfico (SHA-256 truncado) de tu correo en minúsculas, no el correo en plano. De esta forma, alguien con acceso a la lista de claves no puede deducir qué correos están registrados.
Retención escalonada (LFPDPPP)
- Datos agregados (número de pedidos, total, fechas, talla, ZMG, identificadores Stripe): se conservan mientras hagas alguna compra cada cinco años.
- Datos de contacto y direcciones (teléfono, calles): se purgan automáticamente 18 meses después de tu última compra. Si vuelves a comprar después, los datos se recapturan a partir del nuevo formulario.
- Borrado total: 5 años sin actividad eliminan el perfil completo. Las órdenes individuales en sí se conservan los 5 años fiscales del Art. 30 CFF aunque hayas borrado el perfil agregado.
Cómo ejercer tus derechos ARCO sobre el perfil de cliente
Para Acceso y Cancelación tienes una vía rápida con auto-servicio:
- Ve a bahiaflamingo.mx/cuenta y escribe tu correo.
- Te enviamos un link único válido por 15 minutos.
- Al abrirlo, ves todo lo que tenemos sobre ti y puedes pedir el borrado con un click. La eliminación es inmediata.
Para Rectificación y Oposición (cambiar un dato, oponerte a un uso específico) sigue el procedimiento de la sección 5 escribiendo a contacto@bahiaflamingo.mx con tu identificación.
Cambios al Aviso de Privacidad
Este Aviso puede actualizarse cuando cambien nuestros servicios, proveedores, la normativa aplicable o nuestras prácticas. Cualquier cambio se publicará en esta misma página con la fecha de actualización en el encabezado. Te recomendamos revisarlo periódicamente.
Si los cambios afectan finalidades esenciales o nuevas transferencias relevantes, lo notificaremos de forma visible en el sitio y, cuando sea aplicable, por correo electrónico.