Aviso de Privacidad Integral

Documento Legal (Markdown)

Fuente versionada en frontend/content/legal/privacy-v1.0.md

# AVISO DE PRIVACIDAD INTEGRAL

**Bandify**  
**Versión 1.0**  
**Fecha de entrada en vigor: [FECHA_EFECTIVA]**

---

## 1. IDENTIDAD Y DOMICILIO DEL RESPONSABLE

**Responsable del Tratamiento de Datos Personales:**  
[RAZÓN_SOCIAL]

**Registro Federal de Contribuyentes (RFC):**  
[RFC]

**Domicilio:**  
[DOMICILIO_COMPLETO]  
[CIUDAD], [ESTADO], México  
C.P. [CÓDIGO_POSTAL]

**Correo Electrónico para Ejercicio de Derechos ARCO:**  
[CORREO_PRIVACIDAD]

**Teléfono:**  
[TELÉFONO]

---

## 2. INTRODUCCIÓN

[RAZÓN_SOCIAL], responsable de la plataforma digital "Bandify", accesible a través del sitio web [DOMINIO], reconoce la importancia de proteger la privacidad y los datos personales de sus usuarios.

Este Aviso de Privacidad Integral ha sido elaborado en cumplimiento con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) publicada en el Diario Oficial de la Federación el 20 de marzo de 2025, su Reglamento, y demás normatividad aplicable en materia de protección de datos personales en México.

El presente aviso describe de manera clara, detallada y específica:

- Los datos personales que recabamos
- Las finalidades para las cuales utilizamos sus datos
- Los mecanismos para ejercer sus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición)
- Las transferencias de datos que realizamos, incluyendo remisiones a encargados
- Las medidas de seguridad que implementamos
- Los cambios que pudiera sufrir este aviso

Al proporcionar sus datos personales a través de la plataforma Bandify, usted acepta los términos de este Aviso de Privacidad.

---

## 3. DATOS PERSONALES QUE RECABAMOS

Bandify recaba diferentes categorías de datos personales dependiendo del tipo de usuario y las funcionalidades que utilice en la plataforma.

### 3.1 Datos de Identificación y Contacto

**Recabados de todos los usuarios:**

- Nombre completo
- Correo electrónico
- Contraseña (almacenada en formato hash encriptado)
- Identificador único de usuario (UUID generado automáticamente)
- Número de teléfono (opcional)
- Fotografía de perfil (opcional)
- Dirección IP (para fines de seguridad y prevención de fraude)
- Información del dispositivo y navegador (user agent)

**Recabados mediante proveedores de autenticación de terceros (OAuth):**

Cuando el usuario elige registrarse o iniciar sesión mediante proveedores de autenticación de terceros como Google, recabamos:

- Nombre completo
- Correo electrónico
- Fotografía de perfil
- Identificador único del proveedor (Google ID, etc.)

Bandify NO tiene acceso a las contraseñas de las cuentas de los proveedores de autenticación de terceros.

### 3.2 Datos de Perfil de Usuario

**Recabados de todos los usuarios:**

- Rol seleccionado (Organizador, Músico, o ambos)
- Preferencias de notificación
- Fecha y hora de registro
- Fecha y hora de última actividad
- Fecha y hora de aceptación de Términos y Condiciones
- Fecha y hora de aceptación de Aviso de Privacidad

### 3.3 Datos Específicos de Músicos

**Para usuarios que crean perfil como Músicos, adicionalmente recabamos:**

- Nombre artístico o nombre profesional
- Biografía profesional (texto libre, máximo 500 caracteres)
- Géneros musicales que interpretan
- Tipos de eventos en los que se especializan
- Ubicación de operación (ciudad o región, texto libre)
- Información de contacto profesional (correo electrónico, teléfono)
- Galería de fotografías (hasta 9 imágenes)
- Video de demostración (un video, almacenado como URL)
- Grabación de audio destacada (un archivo de audio, almacenado como URL)

### 3.4 Datos de Bookings y Eventos

**Cuando se utilizan las funcionalidades de solicitud de contratación:**

- Información del evento solicitado:
  - Fecha del evento
  - Tipo de evento (boda, fiesta, corporativo, etc.)
  - Ubicación del evento (texto libre)
  - Duración estimada
  - Presupuesto propuesto
  - Mensaje personalizado del organizador (texto libre, máximo 1000 caracteres)
  
- Metadatos del booking:
  - Fecha y hora de envío de la solicitud
  - Estado de la solicitud (pendiente, aceptada, rechazada)
  - Fecha y hora de respuesta del músico
  - Snapshots (copias estáticas) del nombre del organizador y del músico al momento de crear el booking

### 3.5 Datos Analíticos Anónimos

**Para mejorar la experiencia de usuario, recabamos de manera anónima:**

- Identificador de cliente anónimo (UUID almacenado en localStorage del navegador, no vinculado a identidad personal)
- Eventos de navegación:
  - Clicks en perfiles de músicos
  - Género musical de perfiles visitados
  - Posición del perfil en resultados de búsqueda
  - Timestamp de interacciones
  
Estos datos se recaban de forma agregada y anónima, sin vinculación a la identidad de usuarios específicos. Se utiliza un mecanismo de deduplicación que ignora clicks repetidos de la misma fuente dentro de 10 minutos.

### 3.6 Datos de Programa de Afiliados

**Para usuarios que lleguen a Bandify mediante un enlace de afiliado:**

- Parámetro de sponsor (slug del usuario que refiere)
- Timestamp del registro
- Atribución first-touch (registro del primer sponsor que refirió al usuario)

Estos datos se utilizan exclusivamente para acreditar referidos en un futuro programa de afiliados y no se comparten con terceros.

### 3.7 Datos que NO Recabamos

**Bandify NO recaba los siguientes tipos de datos:**

- Datos sensibles según la LFPDPPP (origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas o morales, afiliación sindical, opiniones políticas, preferencia sexual)
- Datos de menores de edad (la plataforma está restringida a mayores de 18 años)
- Datos de geolocalización en tiempo real (no usamos GPS ni servicios de mapas)
- Información financiera completa (NO almacenamos números completos de tarjetas de crédito o débito, cuentas bancarias, o información de cuentas financieras)
- Datos biométricos (huellas dactilares, reconocimiento facial, iris, voz)
- Historial médico
- Información criminal o antecedentes penales

**NOTA IMPORTANTE sobre versiones futuras:**

En futuras versiones de la plataforma que integren procesamiento de pagos, Bandify recibirá datos financieros limitados (últimos 4 dígitos de tarjeta, marca de tarjeta, información de cuenta bancaria para transferencias) exclusivamente a través de procesadores de pago certificados de terceros. Dichos datos serán tratados como **datos patrimoniales** que requieren consentimiento expreso. Cuando esta funcionalidad esté disponible, este Aviso de Privacidad será actualizado y se notificará a los usuarios con al menos 30 días de anticipación.

---

## 4. FINALIDADES DEL TRATAMIENTO DE DATOS PERSONALES

Los datos personales que recabamos serán utilizados para las siguientes finalidades:

### 4.1 Finalidades Primarias (Necesarias para el Servicio)

Estas finalidades son necesarias para la prestación del servicio de Bandify y para el cumplimiento de la relación contractual entre el usuario y Bandify. **Estas finalidades NO requieren consentimiento expreso adicional,** ya que son inherentes al uso de la plataforma:

**A. Creación y administración de cuenta de usuario**
- Crear y mantener la cuenta del usuario en la plataforma
- Autenticar la identidad del usuario en cada inicio de sesión
- Permitir la recuperación de contraseña
- Gestionar las preferencias de cuenta

**B. Facilitación de conexiones entre organizadores y músicos**
- Mostrar perfiles de músicos a organizadores interesados
- Permitir el envío y recepción de solicitudes de contratación (bookings)
- Facilitar el intercambio de información de contacto entre las partes
- Notificar sobre solicitudes, aceptaciones, y rechazos

**C. Operación y mejora de la plataforma**
- Proporcionar las funcionalidades técnicas de la plataforma
- Diagnosticar y resolver problemas técnicos
- Prevenir, detectar y combatir fraude, abuso, o usos no autorizados
- Monitorear el rendimiento y estabilidad de la plataforma
- Realizar análisis agregados y anónimos para mejorar la experiencia de usuario

**D. Comunicaciones operativas esenciales**
- Enviar notificaciones sobre actividad en la cuenta (nuevos bookings, respuestas, etc.)
- Informar sobre cambios en los Términos y Condiciones o en este Aviso de Privacidad
- Responder a consultas, solicitudes de soporte técnico, o quejas
- Enviar comunicaciones relacionadas con la seguridad de la cuenta

**E. Cumplimiento de obligaciones legales**
- Cumplir con requerimientos legales, regulatorios, o de autoridades competentes
- Conservar registros según lo exige la Norma Oficial Mexicana NOM-151-SCFI-2016 (10 años)
- Responder a procesos legales (citatorios, órdenes judiciales, solicitudes de PROFECO)
- Cooperar en investigaciones de fraude o actividades ilícitas

**F. Resolución de disputas**
- Proporcionar evidencia en caso de conflictos entre usuarios
- Facilitar mediación informal entre organizadores y músicos (cuando sea solicitado)
- Documentar incidentes reportados por usuarios

### 4.2 Finalidades Secundarias (Opcionales, Requieren Consentimiento)

Estas finalidades NO son necesarias para la prestación del servicio principal, pero nos ayudan a mejorar la experiencia y ofrecer valor adicional. **El usuario puede negarse al tratamiento de sus datos para estas finalidades sin que ello afecte su uso de la plataforma:**

**A. Marketing y comunicaciones promocionales**
- Enviar boletines informativos sobre nuevas funcionalidades de Bandify
- Informar sobre ofertas especiales, promociones, o programas de descuentos
- Recomendar músicos o eventos que puedan ser de interés
- Invitar a participar en el programa de afiliados

**B. Investigación de mercado y análisis de tendencias**
- Realizar encuestas de satisfacción
- Analizar patrones de uso y preferencias agregadas
- Desarrollar nuevas funcionalidades basadas en necesidades identificadas
- Realizar estudios de mercado sobre la industria musical y de eventos

**C. Personalización de experiencia**
- Mostrar resultados de búsqueda más relevantes según historial de navegación
- Sugerir músicos o eventos basados en preferencias previas
- Adaptar la interfaz según patrones de uso

**Mecanismo de Negativa u Oposición:**

Si el usuario NO desea que sus datos sean utilizados para las finalidades secundarias, puede manifestar su negativa u oposición en cualquier momento mediante:

1. Ajuste de preferencias de notificaciones en la configuración de su cuenta
2. Clic en el enlace "Cancelar suscripción" en los correos de marketing
3. Envío de correo electrónico a [CORREO_PRIVACIDAD] solicitando la exclusión

La negativa para finalidades secundarias no afectará el uso de la plataforma para las finalidades primarias.

---

## 5. MECANISMO PARA EJERCER DERECHOS ARCO

De conformidad con la LFPDPPP, todo titular de datos personales tiene derecho a:

### 5.1 Derechos ARCO

**A - Acceso:** Conocer qué datos personales tenemos sobre usted y para qué los utilizamos.

**R - Rectificación:** Solicitar la corrección de sus datos personales cuando sean inexactos o incompletos.

**C - Cancelación:** Solicitar que eliminemos sus datos personales de nuestros registros o bases de datos cuando considere que no están siendo utilizados conforme a los principios y obligaciones de la ley.

**O - Oposición:** Oponerse al tratamiento de sus datos personales para fines específicos.

### 5.2 Procedimiento para Ejercer Derechos ARCO

Para ejercer cualquiera de los derechos ARCO, el titular o su representante legal debidamente acreditado deberá presentar una solicitud enviando un correo electrónico a:

**[CORREO_PRIVACIDAD]**

La solicitud deberá contener la siguiente información y documentación:

**Información requerida:**

1. Nombre completo del titular
2. Domicilio del titular (para recibir respuesta)
3. Correo electrónico del titular (para recibir respuesta)
4. Copia de identificación oficial vigente del titular (INE, pasaporte, cédula profesional)
5. Descripción clara y precisa de los datos personales respecto de los cuales busca ejercer alguno de los derechos ARCO
6. Descripción del derecho que desea ejercer (Acceso, Rectificación, Cancelación, u Oposición) y las razones por las cuales desea ejercerlo
7. Cualquier elemento o documento que facilite la localización de los datos personales

**En caso de Rectificación:**

8. Los documentos que acrediten la corrección solicitada

**En caso de representación legal:**

9. Carta poder firmada ante dos testigos o poder notarial
10. Identificación oficial del representante legal

### 5.3 Plazos de Respuesta

Bandify responderá la solicitud de ejercicio de derechos ARCO en un plazo máximo de **veinte (20) días hábiles** contados a partir de la fecha en que se recibió la solicitud completa.

Si la solicitud está incompleta o requiere información adicional para su procesamiento, Bandify solicitará al titular que proporcione la información faltante dentro de los cinco (5) días hábiles siguientes a la recepción de la solicitud. El titular tendrá diez (10) días hábiles para atender el requerimiento, y el plazo de respuesta de 20 días hábiles comenzará a contar a partir de que se reciba la información completa.

En casos excepcionales y justificados, el plazo de respuesta podrá extenderse por una sola vez por un periodo adicional de **veinte (20) días hábiles**, lo cual será notificado al titular dentro del plazo inicial.

### 5.4 Gratuidad del Ejercicio de Derechos ARCO

El ejercicio de los derechos ARCO es completamente gratuito. Bandify no cobrará ningún costo al titular por el procesamiento de solicitudes ARCO.

En caso de solicitudes de acceso repetitivas o excesivas (más de dos veces en un periodo de doce meses), Bandify podrá cobrar los costos de reproducción y envío de la información, los cuales serán informados previamente al titular.

### 5.5 Limitaciones al Ejercicio de Derechos ARCO

Bandify podrá negar el ejercicio de los derechos ARCO en los siguientes casos:

- Cuando el solicitante no sea el titular de los datos o su representante legal debidamente acreditado
- Cuando en la base de datos del responsable no se encuentren los datos personales del solicitante
- Cuando se lesionen los derechos de un tercero
- Cuando exista un impedimento legal o una resolución de autoridad competente que restrinja el ejercicio de derechos ARCO
- Cuando la cancelación u oposición haya sido previamente realizada

En caso de negativa, Bandify notificará al titular las razones de su determinación, con apoyo en la legislación aplicable, así como los medios de impugnación que procedan.

### 5.6 Revocación del Consentimiento

El titular tiene derecho a revocar el consentimiento que ha otorgado a Bandify para el tratamiento de sus datos personales, especialmente para las finalidades secundarias.

La revocación del consentimiento se realizará mediante el mismo procedimiento establecido para el ejercicio de derechos ARCO.

Es importante señalar que la revocación del consentimiento para finalidades primarias puede implicar que Bandify no pueda seguir prestando el servicio de la plataforma, lo cual podría resultar en la terminación de la cuenta del usuario.

La revocación del consentimiento para finalidades secundarias no afectará el uso de la plataforma.

---

## 6. TRANSFERENCIAS DE DATOS PERSONALES

### 6.1 Distinción entre Transferencias y Remisiones

Es importante distinguir entre dos tipos de compartición de datos:

**Transferencias (a terceros independientes):** Cuando los datos se comparten con terceros que tienen sus propias finalidades de tratamiento, independientes de las de Bandify. Estas transferencias requieren su consentimiento o deben estar justificadas legalmente.

**Remisiones (a encargados del tratamiento):** Cuando los datos se comparten con proveedores de servicios que procesan datos en nombre de Bandify y bajo instrucciones de Bandify. Estas remisiones NO requieren consentimiento adicional, pero sí requieren que Bandify establezca acuerdos de protección de datos.

### 6.2 Remisiones a Encargados del Tratamiento (NO requieren consentimiento)

Bandify remite datos personales a los siguientes encargados del tratamiento, quienes procesan los datos exclusivamente en nombre de Bandify y conforme a sus instrucciones:

**A. Supabase Inc. (Estados Unidos)**

- **Finalidad:** Proveedor de infraestructura tecnológica que proporciona servicios de:
  - Autenticación y gestión de usuarios
  - Base de datos (PostgreSQL)
  - Almacenamiento de archivos (fotografías, audio, video)
  
- **Tipo de datos compartidos:** Todos los datos de usuario recabados según lo descrito en la Sección 3

- **Ubicación de servidores:** Estados Unidos de América

- **Protección:** Bandify ha revisado el Data Processing Agreement (DPA) de Supabase que garantiza el cumplimiento de estándares internacionales de protección de datos

**B. Vercel Inc. (Estados Unidos)**

- **Finalidad:** Proveedor de servicios de hosting y distribución de contenido (CDN) para la aplicación web de Bandify

- **Tipo de datos compartidos:** 
  - Dirección IP de usuarios
  - Información de navegador y dispositivo
  - Logs de acceso y errores
  
- **Ubicación de servidores:** Estados Unidos de América y red global de CDN

- **Protección:** Bandify ha revisado los términos de procesamiento de datos de Vercel que garantizan medidas de seguridad adecuadas

**Acuerdos de Protección de Datos:**

Todos los encargados del tratamiento mencionados arriba han firmado o tienen disponibles públicamente Data Processing Agreements (DPAs) que establecen:

- Obligación de mantener confidencialidad
- Implementación de medidas de seguridad técnicas y organizativas
- Prohibición de utilizar los datos para finalidades propias
- Obligación de eliminar o devolver los datos al término del servicio
- Notificación de brechas de seguridad

### 6.3 Transferencias Internacionales de Datos

Los encargados del tratamiento mencionados anteriormente tienen servidores ubicados fuera de México, principalmente en Estados Unidos de América.

Estas transferencias se realizan bajo el mecanismo legal de remisión a encargados, donde el encargado NO tiene finalidades propias y actúa únicamente bajo instrucciones de Bandify como responsable.

No obstante, el usuario reconoce y acepta que sus datos personales serán procesados en servidores ubicados en:

- **Estados Unidos de América** (Supabase y Vercel)

Bandify ha tomado las medidas razonables para garantizar que los encargados implementen medidas de seguridad y protección de datos equivalentes a las exigidas por la legislación mexicana.

### 6.4 Compartición de Datos entre Usuarios de la Plataforma

Como parte del funcionamiento esencial de Bandify (plataforma bilateral de conexión), ciertos datos personales se comparten entre usuarios:

**Datos visibles públicamente en perfiles de Músicos:**

Los siguientes datos de Músicos son visibles para todos los Organizadores y visitantes del sitio:

- Nombre artístico/profesional
- Biografía
- Géneros musicales
- Tipos de eventos
- Ubicación de operación (ciudad/región)
- Galería de fotografías
- Video de demostración
- Audio destacado
- Información de contacto profesional (correo, teléfono si el músico lo incluye)

**Datos compartidos al enviar/aceptar un Booking:**

Cuando un Organizador envía una solicitud de contratación a un Músico:

- El Músico ve: nombre del organizador, correo electrónico, información del evento (fecha, tipo, ubicación, mensaje)

Cuando un Músico acepta una solicitud:

- El Organizador ve: nombre del músico, correo electrónico, teléfono (si fue proporcionado en el perfil)

Esta compartición de datos es una **finalidad primaria** inherente al funcionamiento de la plataforma. Al registrarse y crear perfiles o enviar solicitudes, el usuario consiente esta compartición de información.

### 6.5 Transferencias que SÍ Requieren Consentimiento (Versión Futura)

**NOTA: Estas transferencias NO están activas en la versión actual de la plataforma (v1.0). Se incluyen para información sobre funcionalidades futuras.**

En futuras versiones que integren procesamiento de pagos, Bandify realizará las siguientes transferencias:

**Stripe, Inc. (Estados Unidos) - Procesador de Pagos**

- **Finalidad:** Procesamiento de pagos con tarjeta de crédito/débito, prevención de fraude, cumplimiento regulatorio (KYC/AML)

- **Tipo de datos compartidos:**
  - Nombre completo
  - Correo electrónico
  - Información de tarjeta de crédito/débito (procesada directamente por Stripe, NO almacenada por Bandify)
  - Dirección IP
  - Información de transacciones

- **Ubicación:** Estados Unidos de América

- **Consentimiento:** Cuando esta funcionalidad esté disponible, se solicitará consentimiento expreso mediante checkbox antes de procesar cualquier pago

### 6.6 Otras Transferencias Permitidas por Ley

Bandify podrá transferir datos personales sin consentimiento del titular en los siguientes casos previstos por la LFPDPPP:

- Cuando la transferencia esté prevista en una ley o tratado internacional
- Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios
- Cuando la transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable
- Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero
- Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia
- Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial
- Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular

---

## 7. MEDIDAS DE SEGURIDAD

Bandify implementa medidas de seguridad técnicas, físicas y administrativas para proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.

### 7.1 Medidas Técnicas

**Encriptación:**
- Todas las contraseñas se almacenan utilizando algoritmos de hash seguros (bcrypt) con salts únicos
- Las comunicaciones entre el navegador del usuario y los servidores de Bandify se realizan mediante protocolo HTTPS con certificados SSL/TLS
- Los datos en tránsito están encriptados usando TLS 1.2 o superior

**Control de acceso:**
- Autenticación de dos factores disponible para usuarios (opcional)
- Sesiones con tokens de autenticación seguros (httpOnly cookies)
- Expiración automática de sesiones inactivas
- Rate limiting para prevenir ataques de fuerza bruta

**Infraestructura:**
- Servidores alojados en proveedores con certificaciones de seguridad (SOC 2, ISO 27001)
- Backups automáticos diarios de bases de datos
- Monitoreo continuo de actividad sospechosa
- Logs de auditoría de acceso a datos sensibles

**Seguridad de aplicación:**
- Sanitización de entradas de usuario para prevenir inyección SQL y XSS
- Validación de archivos subidos (tipo, tamaño, contenido)
- Escaneo de vulnerabilidades periódico
- Actualizaciones de seguridad aplicadas regularmente

### 7.2 Medidas Administrativas

**Personal:**
- Acceso limitado a datos personales bajo principio de "necesidad de conocer"
- Capacitación periódica a personal sobre protección de datos
- Acuerdos de confidencialidad firmados por personal con acceso a datos

**Políticas:**
- Política de seguridad de la información documentada
- Procedimientos de respuesta a incidentes de seguridad
- Revisión anual de medidas de seguridad

### 7.3 Responsabilidad del Usuario

El usuario es responsable de:

- Mantener la confidencialidad de su contraseña
- No compartir sus credenciales de acceso con terceros
- Cerrar sesión al terminar de usar la plataforma, especialmente en dispositivos compartidos
- Notificar inmediatamente a Bandify sobre cualquier uso no autorizado de su cuenta
- Mantener actualizado su software antivirus y sistema operativo

### 7.4 Notificación de Brechas de Seguridad

En caso de una brecha de seguridad que afecte datos personales, Bandify:

- Notificará a los usuarios afectados dentro de las setenta y dos (72) horas siguientes a que tenga conocimiento de la brecha
- Informará sobre la naturaleza de la brecha, los datos afectados, y las medidas adoptadas
- Reportará el incidente a la autoridad competente (Secretaría Anticorrupción y Buen Gobierno) según lo requiera la ley

---

## 8. COOKIES Y TECNOLOGÍAS DE RASTREO

### 8.1 Uso de Cookies

Bandify utiliza cookies y tecnologías similares para proporcionar y mejorar la experiencia del usuario en la plataforma.

**¿Qué son las cookies?**

Las cookies son pequeños archivos de texto que se almacenan en el dispositivo del usuario cuando visita un sitio web. Permiten al sitio recordar acciones y preferencias del usuario durante un período de tiempo.

### 8.2 Tipos de Cookies que Utilizamos

**Cookies Estrictamente Necesarias (NO requieren consentimiento):**

Estas cookies son esenciales para el funcionamiento de la plataforma:

- **Cookies de autenticación:** Mantienen la sesión activa del usuario mientras navega por la plataforma
  - Nombre: `sb-access-token`, `sb-refresh-token`
  - Proveedor: Supabase
  - Duración: Sesión / 30 días
  - Finalidad: Autenticar al usuario y mantener sesión activa

**Cookies Analíticas (Anónimas, NO requieren consentimiento):**

- **Identificador de cliente anónimo:** UUID generado aleatoriamente almacenado en localStorage del navegador
  - Nombre: `bandify_client_id`
  - Finalidad: Análisis agregado de uso de la plataforma (no vinculado a identidad personal)
  - Duración: Permanente (hasta que el usuario borre los datos del navegador)

### 8.3 Cookies que NO Utilizamos

Bandify NO utiliza:

- Cookies de publicidad o marketing de terceros (Google Ads, Facebook Pixel, etc.)
- Cookies de redes sociales para rastreo entre sitios
- Cookies de analytics de terceros (Google Analytics, Mixpanel, etc.)
- Cookies de remarketing o retargeting

### 8.4 Control de Cookies

El usuario puede controlar y/o eliminar las cookies según desee:

- Configurando las preferencias del navegador para rechazar cookies
- Eliminando todas las cookies ya almacenadas en su dispositivo
- Usando el modo de navegación privada/incógnito

**Nota:** Rechazar o eliminar las cookies de autenticación impedirá el correcto funcionamiento de la plataforma y la capacidad de mantener sesión iniciada.

---

## 9. ALMACENAMIENTO Y RETENCIÓN DE DATOS

### 9.1 Período de Retención

Bandify conservará los datos personales durante el tiempo que sea necesario para cumplir con las finalidades descritas en este Aviso de Privacidad, y posteriormente durante los plazos legalmente exigidos.

**Datos de cuenta activa:**

Los datos personales se conservarán mientras la cuenta del usuario permanezca activa en la plataforma.

**Datos después del cierre de cuenta:**

Una vez que el usuario cierre su cuenta o solicite la cancelación de sus datos:

- Los datos personales identificables serán eliminados o anonimizados dentro de los treinta (30) días siguientes
- Ciertos datos se conservarán en forma anonimizada o agregada para análisis estadísticos
- Algunos registros se conservarán durante diez (10) años en cumplimiento de la NOM-151-SCFI-2016

**Obligación legal de conservación (NOM-151-SCFI-2016):**

De conformidad con la Norma Oficial Mexicana NOM-151-SCFI-2016 sobre conservación de mensajes de datos, Bandify está obligada a conservar por un período de diez (10) años los siguientes registros:

- Registro de creación de cuenta
- Aceptación de Términos y Condiciones
- Aceptación de Aviso de Privacidad
- Bookings enviados y aceptados
- Comunicaciones relevantes relacionadas con transacciones
- En versiones futuras: registros de transacciones de pago

Estos registros se conservarán de manera segura y accesible únicamente para fines de cumplimiento legal, auditorías, resolución de disputas, y prevención de fraude.

### 9.2 Datos Después de Inactividad Prolongada

Si una cuenta permanece inactiva (sin inicio de sesión) durante más de trescientos sesenta y cinco (365) días consecutivos:

- Bandify enviará una notificación al correo electrónico registrado advirtiendo sobre la posible suspensión
- Si el usuario no responde dentro de los treinta (30) días siguientes, la cuenta podrá ser suspendida
- Los datos personales podrán ser eliminados o anonimizados después de treinta y seis (36) meses de inactividad total
- Los registros obligatorios por NOM-151 se conservarán durante el plazo legal de diez (10) años

---

## 10. DERECHOS DEL TITULAR

Además de los derechos ARCO descritos en la Sección 5, el titular de datos personales tiene los siguientes derechos:

### 10.1 Derecho a la Información

El titular tiene derecho a conocer qué datos personales trata Bandify y la finalidad de dicho tratamiento. Este derecho se satisface mediante el presente Aviso de Privacidad.

### 10.2 Derecho a la Limitación de Uso o Divulgación

El titular puede solicitar que Bandify limite el uso o divulgación de sus datos personales mediante el procedimiento establecido en la Sección 5.

### 10.3 Derecho a la Portabilidad (Futuro)

Cuando la legislación mexicana establezca obligaciones de portabilidad de datos (actualmente no contempladas en la LFPDPPP pero sí en regulaciones como GDPR europeo), Bandify implementará mecanismos para que los usuarios puedan obtener sus datos en formato estructurado, de uso común y lectura mecánica.

### 10.4 Derecho a No Ser Objeto de Decisiones Automatizadas

Bandify NO realiza toma de decisiones automatizadas que produzcan efectos jurídicos sobre el titular o le afecten significativamente de modo similar (por ejemplo, negación automática de acceso, precios dinámicos discriminatorios, perfilamiento invasivo).

Las recomendaciones o sugerencias de músicos basadas en preferencias son meramente orientativas y el usuario siempre tiene control total sobre sus decisiones.

---

## 11. MENORES DE EDAD

Bandify NO está dirigida a menores de dieciocho (18) años de edad.

Los servicios de la plataforma están diseñados y destinados exclusivamente para personas mayores de edad según la legislación mexicana.

Bandify NO recaba a sabiendas datos personales de menores de edad. Si Bandify descubre que ha recabado datos personales de un menor sin consentimiento parental verificable, tomará medidas inmediatas para eliminar dicha información de sus servidores.

Si un padre, madre o tutor tiene conocimiento de que un menor ha proporcionado datos personales a Bandify, debe contactar inmediatamente a [CORREO_PRIVACIDAD] para que procedamos con la eliminación de los datos.

---

## 12. CAMBIOS AL AVISO DE PRIVACIDAD

Bandify se reserva el derecho de modificar o actualizar este Aviso de Privacidad en cualquier momento para reflejar:

- Cambios en la legislación aplicable
- Nuevas funcionalidades de la plataforma
- Cambios en las prácticas de tratamiento de datos
- Mejoras en medidas de seguridad
- Incorporación de nuevos proveedores de servicios

### 12.1 Notificación de Cambios

Los cambios al Aviso de Privacidad se notificarán mediante:

1. Publicación de la nueva versión en la plataforma con fecha de actualización claramente visible
2. Envío de correo electrónico a la dirección registrada en la cuenta del usuario
3. Banner informativo en la plataforma durante al menos treinta (30) días
4. Para cambios materiales significativos: solicitud de re-aceptación mediante checkbox

### 12.2 Fecha de Entrada en Vigor

Las modificaciones al Aviso de Privacidad entrarán en vigor treinta (30) días después de su publicación y notificación, salvo que por disposición legal deban aplicarse de manera inmediata.

### 12.3 Versiones Históricas

Todas las versiones anteriores del Aviso de Privacidad quedarán archivadas con sus fechas de vigencia y estarán disponibles para consulta en [URL_HISTORIAL_PRIVACIDAD].

### 12.4 Aceptación de Cambios

El uso continuado de la plataforma después de la entrada en vigor de las modificaciones constituye aceptación del nuevo Aviso de Privacidad.

Si el usuario no está de acuerdo con las modificaciones, deberá dejar de utilizar la plataforma y podrá cerrar su cuenta antes de la fecha de entrada en vigor de los cambios.

---

## 13. AUTORIDAD COMPETENTE

A partir de la entrada en vigor de la nueva LFPDPPP en marzo de 2025, la autoridad competente para la protección de datos personales en posesión de particulares es:

**Secretaría Anticorrupción y Buen Gobierno**  
Insurgentes Sur 1735, Guadalupe Inn  
Álvaro Obregón, 01020  
Ciudad de México, CDMX

La Secretaría Anticorrupción y Buen Gobierno sustituyó al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), el cual fue disuelto.

Si el titular considera que ha sido vulnerado su derecho a la protección de datos personales, puede interponer una queja o denuncia ante la autoridad competente.

---

## 14. LEY APLICABLE

Este Aviso de Privacidad se rige por las siguientes disposiciones legales de los Estados Unidos Mexicanos:

- Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) publicada en el Diario Oficial de la Federación el 20 de marzo de 2025
- Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (publicado en 2011, vigente en lo que no se oponga a la nueva ley)
- Lineamientos del Aviso de Privacidad emitidos por la autoridad competente
- Norma Oficial Mexicana NOM-151-SCFI-2016 sobre conservación de mensajes de datos
- Código de Comercio (aplicación supletoria)
- Código Civil Federal (aplicación supletoria)

---

## 15. CONSENTIMIENTO

### 15.1 Consentimiento Tácito para Finalidades Primarias

Al crear una cuenta en Bandify, proporcionar datos personales a través de la plataforma, y hacer uso de las funcionalidades del servicio, el usuario otorga su **consentimiento tácito** para el tratamiento de sus datos personales para las **finalidades primarias** descritas en la Sección 4.1.

Este consentimiento tácito es válido según el Artículo 8 de la LFPDPPP, que establece que el consentimiento puede ser tácito cuando habiéndose puesto a disposición del titular el aviso de privacidad, éste no manifieste su oposición.

### 15.2 Consentimiento Expreso para Finalidades Secundarias

Para las **finalidades secundarias** descritas en la Sección 4.2 (marketing, investigación, personalización), el usuario otorga su consentimiento mediante:

- Marcado de casillas de aceptación durante el registro o en configuración de cuenta
- No ejercer su derecho de oposición según los mecanismos descritos en la Sección 4.2

El usuario puede revocar este consentimiento en cualquier momento sin que ello afecte el uso de la plataforma para finalidades primarias.

### 15.3 Consentimiento Expreso para Datos Financieros (Versión Futura)

**NOTA: Esta sección NO está activa en la versión actual de la plataforma (v1.0).**

Cuando Bandify implemente procesamiento de pagos, los datos financieros y patrimoniales requieren **consentimiento expreso** del titular de acuerdo con el Artículo 9 de la LFPDPPP.

Dicho consentimiento se obtendrá mediante:

- Checkbox obligatorio y destacado antes de ingresar información de pago
- Texto claro que indique: "Autorizo expresamente a Bandify a recabar y procesar mis datos de pago a través de [Procesador] para completar esta transacción"
- Registro de timestamp, IP y aceptación en base de datos

---

## 16. INFORMACIÓN DE CONTACTO PARA PRIVACIDAD

Para cualquier duda, aclaración, o ejercicio de derechos relacionados con la protección de datos personales, puede contactar a:

**Responsable de Protección de Datos:**  
[NOMBRE_RESPONSABLE_DATOS]

**Correo Electrónico:**  
[CORREO_PRIVACIDAD]

**Domicilio:**  
[DOMICILIO_COMPLETO]  
[CIUDAD], [ESTADO], México  
C.P. [CÓDIGO_POSTAL]

**Teléfono:**  
[TELÉFONO]

**Horario de Atención:**  
[HORARIO_ATENCION]

---

## 17. ACEPTACIÓN DEL AVISO DE PRIVACIDAD

Al marcar la casilla "He leído y acepto el Aviso de Privacidad" y hacer clic en "Registrarse" o "Aceptar", el usuario declara que:

- Ha leído, comprendido y acepta el contenido del presente Aviso de Privacidad Integral
- Otorga su consentimiento para el tratamiento de sus datos personales conforme a lo establecido en este aviso
- Reconoce que puede ejercer sus derechos ARCO en cualquier momento según los procedimientos establecidos
- Está de acuerdo con las transferencias y remisiones de datos descritas
- Acepta recibir comunicaciones de Bandify al correo electrónico y/o teléfono proporcionado

---

**VERSIÓN:** 1.0  
**FECHA DE ÚLTIMA ACTUALIZACIÓN:** [FECHA_EFECTIVA]  
**FECHA DE ENTRADA EN VIGOR:** [FECHA_EFECTIVA]

---

*Este Aviso de Privacidad ha sido elaborado en cumplimiento con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) publicada en el Diario Oficial de la Federación el 20 de marzo de 2025, su Reglamento, y demás disposiciones aplicables en materia de protección de datos personales en México.*

*Para consultas sobre este Aviso de Privacidad, contacte a [CORREO_PRIVACIDAD].*