Política de Privacidad

Política de Privacidad

Última actualización: 10 de abril de 2026

Somos Museum App Inc. ("Museum App", "nosotros", "nuestro"), una compañía registrada en el Estado de Texas, Estados Unidos.

Oficina administrativa:
5900 Balcones Drive Ste 100
Austin, TX 78731
Estados Unidos

1. Quiénes somos y a quién aplica esta Política

Esta Política de Privacidad aplica a nuestro sitio web (https://museum.app), aplicaciones móviles (iOS y Android), y todos los servicios relacionados que ofrecemos a nuestros usuarios.

Al utilizar Museum App, aceptas las prácticas descritas en esta Política de Privacidad. Si no estás de acuerdo, por favor no uses nuestros servicios.

2. Definiciones clave

  • Datos personales: Información que identifica o puede identificar a una persona física.
  • Tratamiento: Cualquier operación realizada sobre datos personales (recopilación, uso, almacenamiento, transferencia, eliminación, etc.).
  • Controlador / Responsable del tratamiento: Entidad que determina los fines y medios del tratamiento (normalmente, Museum App Inc.).
  • Encargado / Procesador: Entidad que trata datos por cuenta del responsable (por ejemplo, proveedores de hosting, email, pagos).

3. Datos que recopilamos

3.1 Información que nos proporcionas directamente

Registro y cuenta:

  • Nombre completo y nombre de usuario
  • Dirección de correo electrónico
  • Contraseña (almacenada mediante hash criptográfico, nunca en texto plano)
  • País de residencia
  • Idioma preferido
  • Fecha de nacimiento (para verificación de edad y personalización de experiencia)
  • Género (opcional)

Perfil público y contenido:

  • Foto de perfil o avatar
  • Biografía y descripción pública
  • País (visible en tu perfil público)
  • Enlaces a redes sociales o sitios web personales
  • Preferencias de categorías de coleccionismo
  • Fotos y descripciones de objetos coleccionables
  • Posts, comentarios, mensajes públicos y privados
  • Museos virtuales, secciones y contenido organizado
  • Listas de búsqueda/deseos de coleccionables

Información de contacto y preferencias:

  • Número de teléfono y código de país (opcional)
  • Preferencias de privacidad (cuenta pública/privada, ocultar última conexión, mostrar/ocultar cajón de coleccionables)
  • Preferencias de sistema: moneda, sistema de medición, sistema de peso, formato de fecha y hora, separadores decimales
  • Configuración de notificaciones y alertas

Suscripciones y facturación:

  • Plan de suscripción contratado (Free, Premium, Premium Max)
  • Historial de pagos y facturas
  • ID de cliente en Stripe (nuestro procesador de pagos)
  • Últimos 4 dígitos de tarjeta e información de transacción (proporcionada por Stripe; <strong>no almacenamos datos completos de tarjetas</strong>)
  • Moneda preferida para facturación

Soporte y comunicaciones:

  • Mensajes enviados a soporte técnico
  • Archivos adjuntos, capturas de pantalla y comprobantes
  • Metadatos de comunicación (fecha, hora, asunto)
  • Reportes de contenido inapropiado o usuarios

3.2 Información recopilada automáticamente

Cuando utilizas Museum App, recopilamos automáticamente cierta información técnica y de uso:

Datos técnicos y de dispositivo:

  • Dirección IP (con truncado parcial cuando proceda por motivos de privacidad)
  • Geolocalización aproximada (país y ciudad) derivada de tu dirección IP mediante la base de datos MaxMind GeoLite2 (consulta local; la base de datos se descarga periódicamente de MaxMind, Inc., EE. UU. — las direcciones IP no se transfieren por petición)
  • Identificadores únicos de dispositivo
  • Sistema operativo y versión
  • Tipo de dispositivo (móvil, tablet, escritorio)
  • Navegador web y versión (user agent)
  • Versión de la aplicación móvil
  • Idioma del navegador o sistema operativo
  • Configuración de zona horaria
  • Resolución de pantalla

Datos de uso y actividad:

  • Páginas visitadas y tiempo de permanencia
  • Acciones realizadas en la aplicación (publicar, comentar, dar like, guardar, compartir, seguir usuarios)
  • Eventos de interacción (clics, desplazamientos, búsquedas)
  • Duración de sesiones activas
  • Última conexión y estado de actividad (lastSeen)
  • Vistas de posts, collectibles y secciones de museos (con métricas de duración)
  • Historial de navegación dentro de la plataforma
  • Errores técnicos, crashes y rendimiento de la aplicación

Seguridad y autenticación:

  • Historial de inicio de sesión (LoginHistory): dispositivo, ubicación geográfica aproximada, fecha y hora de acceso
  • Tokens de sesión y cookies de autenticación (gestionados por NextAuth)
  • Cambios en datos sensibles de la cuenta (email, contraseña, nombre de usuario, biografía) con registro histórico para seguridad
  • Intentos de acceso fallidos o sospechosos

Cookies y tecnologías similares:

Utilizamos cookies y tecnologías similares (localStorage, sessionStorage) para mejorar tu experiencia. Para más información, consulta nuestra Política de Cookies.

3.3 Información de terceros

Autenticación mediante terceros (Single Sign-On):

  • Nombre y apellido
  • Dirección de correo electrónico
  • Foto de perfil (Google) o email relay (Apple)
  • ID de usuario del proveedor externo

Procesamiento de pagos (Stripe):

  • ID de cliente (Stripe Customer ID)
  • Estado de la suscripción (activa, cancelada, expirada)
  • Últimos 4 dígitos de la tarjeta y tipo de tarjeta (Visa, Mastercard, etc.)
  • Historial de transacciones (montos, fechas, estados de pago)
  • Eventos de facturación (renovaciones, fallos de pago, reembolsos)

Publicidad y analítica:

  • Solicitamos tu consentimiento previo cuando sea legalmente requerido
  • Recibimos métricas agregadas de impresiones, clics y conversiones
  • Los proveedores utilizan cookies y tecnologías de seguimiento según tus preferencias de consentimiento
  • Los usuarios con suscripción Premium no ven anuncios publicitarios

3.4 Categorías especiales de datos personales y datos sensibles

Museum App NO solicita ni recopila intencionalmente categorías especiales de datos personales conforme al GDPR/UK GDPR (origen racial o étnico, opiniones políticas, convicciones religiosas, información de salud, orientación sexual, datos genéticos o biométricos).

Prohibimos expresamente que los usuarios carguen, publiquen o procesen a través del Servicio cualquier contenido que contenga:

  • Datos biométricos (reconocimiento facial, huellas dactilares, escaneos de iris, geometría facial, etc.) sin base legal adecuada y consentimiento explícito
  • Categorías especiales de datos personales de terceros
  • Información médica, financiera o de menores sin autorización

El contenido que viole esta prohibición podrá ser eliminado sin previo aviso, y la cuenta responsable podrá ser suspendida o eliminada permanentemente. Para más información, consulta nuestros Términos y Condiciones.

4. Para qué usamos tus datos personales

4.1 Prestación y gestión del servicio

  • Crear, gestionar y autenticar tu cuenta de usuario
  • Permitir la publicación, edición y gestión de collectibles, posts y museos virtuales
  • Habilitar funcionalidades sociales: seguir usuarios, dar likes, comentar, guardar contenido, compartir publicaciones, crear reposts
  • Mensajería privada en tiempo real (chat 1-a-1) mediante WebSocket/Socket.io
  • Gestionar listas de búsqueda/deseos de coleccionables
  • Personalizar tu experiencia según tus preferencias (idioma, tema, moneda, formatos)
  • Recordar tus configuraciones de privacidad y cuenta

4.2 Seguridad y protección

  • Autenticación segura y prevención de accesos no autorizados
  • Detección y prevención de fraude, spam, abuso y actividad maliciosa
  • Moderación de contenido y revisión de reportes de usuarios
  • Proteger la integridad y seguridad de la plataforma
  • Enviar notificaciones de seguridad por email: nuevos dispositivos detectados, cambios de contraseña, cambios de dirección de correo electrónico, intentos de acceso sospechosos
  • Mantener registros de auditoría (LoginHistory, cambios en datos sensibles) para investigaciones de seguridad

4.3 Mejora del producto y desarrollo

  • Analítica agregada y estadísticas de uso (sin identificación individual)
  • Corrección de errores técnicos y mejora de rendimiento
  • Pruebas A/B para optimizar funcionalidades
  • Desarrollo de nuevas características y mejoras
  • Investigación y análisis de tendencias de coleccionismo

4.4 Comunicaciones

  • <strong>Comunicaciones transaccionales (obligatorias):</strong> confirmaciones de registro, restablecimiento de contraseña, notificaciones de cambios en cuenta, alertas de seguridad, confirmaciones de pago
  • <strong>Notificaciones del servicio:</strong> actividad social (nuevos seguidores, likes, comentarios, menciones, mensajes privados), actualizaciones de contenido guardado
  • <strong>Soporte técnico:</strong> respuestas a consultas y asistencia
  • <strong>Avisos importantes:</strong> cambios en Términos y Condiciones, Política de Privacidad, mantenimientos programados
  • <strong>Comunicaciones de marketing (opcionales, con opt-in):</strong> newsletters, novedades de producto, promociones, contenido educativo sobre coleccionismo

4.5 Facturación y suscripciones

  • Procesar pagos de suscripciones Premium y Premium Max
  • Gestionar renovaciones automáticas, upgrades, downgrades y cancelaciones
  • Emitir facturas y recibos electrónicos
  • Proporcionar soporte relacionado con facturación y cobros
  • Cumplir con obligaciones fiscales y contables

4.6 Herramientas y funcionalidades especiales

  • <strong>Calculadora de valor de colección:</strong> estimar el valor total de tu colección basándose en datos que proporcionas (sin constitutir tasación profesional)
  • <strong>Calculadora de precio de lote:</strong> calcular el precio pagado por lote de artículos
  • <strong>Métricas de contenido:</strong> vistas de posts y collectibles, duración de visualización, engagement
  • <strong>Recomendaciones:</strong> sugerir usuarios, categorías o contenido relevante basado en tus intereses

4.7 Publicidad (web y aplicaciones móviles)

Museum App puede mostrar publicidad mediante redes como Google AdSense (web) y Google AdMob (aplicaciones móviles). La disponibilidad de publicidad puede variar según tu ubicación geográfica y configuración de cuenta. Cuando la publicidad esté activa en tu región:

  • En la UE/EEE y Reino Unido: Solicitamos tu consentimiento explícito antes de usar cookies/SDKs no esenciales o personalizar anuncios. Si no otorgas consentimiento, mostramos anuncios no personalizados y aplicamos Limited Ads cuando proceda
  • En Estados Unidos: Respetamos señales de privacidad como Global Privacy Platform (GPP) y Global Privacy Control (GPC), y ofrecemos controles de opt-out de "venta/compartición" donde apliquen leyes estatales (CCPA/CPRA, Virginia, Colorado, Connecticut, Texas)
  • Utilizamos una Plataforma de Gestión de Consentimiento (CMP) compatible con estándares IAB TCF 2.2 para gestionar tus preferencias de publicidad y cookies
  • Ofrecemos anuncios contextuales (no personalizados) como alternativa cuando no otorgas consentimiento para publicidad personalizada
  • Los detalles completos sobre categorías de partners, finalidades publicitarias y duraciones de cookies están disponibles en nuestra Política de Cookies

Base legal en EEE/Reino Unido: La base legal para el uso de cookies/SDKs publicitarios y anuncios personalizados es tu consentimiento (art. 6.1.a GDPR). Si lo denigas o lo retiras, solo serviremos anuncios no personalizados y limitaremos los identificadores conforme a las políticas de Limited Ads.

4.8 Cumplimiento legal

  • Cumplir con solicitudes válidas de autoridades competentes
  • Defender nuestros derechos legales en procedimientos judiciales o administrativos
  • Hacer cumplir nuestros Términos y Condiciones
  • Prevenir actividades ilegales o perjudiciales

4.9 Análisis y herramientas predictivas (futuro)

En el futuro, Museum App podría desarrollar herramientas de análisis de mercado y predicción de valores utilizando datos de precios de collectibles de forma completamente anonimizada.

  • Estimación de valores de mercado para collectibles similares
  • Tendencias históricas de precios en el mercado de coleccionismo
  • Herramientas predictivas basadas en datos agregados del mercado
  • Todos estos análisis se realizarían exclusivamente con datos completamente anonimizados, sin posibilidad de identificar usuarios o collectibles individuales

5. Bases legales para el tratamiento (GDPR/UK GDPR)

5.1 Consentimiento

Obtenemos tu consentimiento explícito e informado para:

  • Cookies no esenciales y publicidad personalizada (mediante CMP compatible con TCF 2.2)
  • Comunicaciones de marketing por email (puedes darte de baja en cualquier momento)
  • Compartir datos con ciertos terceros fuera del ámbito estrictamente operativo

5.2 Ejecución de contrato

El tratamiento es necesario para cumplir el contrato que tienes con nosotros (Términos y Condiciones):

  • Crear y gestionar tu cuenta
  • Prestar las funcionalidades del servicio (posts, collectibles, museos, chat, listas de búsqueda)
  • Procesar suscripciones y pagos
  • Proporcionar soporte técnico

5.3 Obligación legal

El tratamiento es necesario para cumplir con obligaciones legales aplicables:

  • Retención de datos financieros y de facturación por plazos legales (ej. 7 años)
  • Respuesta a solicitudes legítimas de autoridades competentes
  • Cumplimiento de normativas fiscales y contables

5.4 Intereses vitales

En casos excepcionales, podríamos procesar datos para proteger la vida o la integridad física de una persona.

5.5 Intereses legítimos

El tratamiento es necesario para nuestros intereses legítimos, siempre que no prevalezcan tus derechos y libertades:

  • Seguridad de la plataforma y prevención de fraude/abuso
  • Moderación de contenido y cumplimiento de políticas
  • Analítica agregada no intrusiva para mejorar el producto
  • Detección de errores técnicos y mejora de rendimiento
  • Notificaciones de seguridad (nuevos dispositivos, cambios en cuenta)
  • Defensa de nuestros derechos en procedimientos legales

6. Con quién compartimos tus datos personales

Museum App no vende tus datos personales a terceros en el sentido tradicional del término. Sin embargo, compartimos cierta información con proveedores de servicios y en las circunstancias descritas a continuación:

6.1 Proveedores de servicios (encargados del tratamiento)

Compartimos datos con terceros que prestan servicios en nuestro nombre, bajo contratos que los obligan a proteger tus datos y usarlos solo para los fines especificados:

  • Hosting e infraestructura: Digital Ocean (servidores y alojamiento web)
  • CDN (Content Delivery Network): Cloudflare (distribución global de contenido estático, protección DDoS)
  • Procesamiento de pagos: Stripe Inc. (procesamiento seguro de tarjetas de crédito, gestión de suscripciones, facturación)
  • Email transaccional: Amazon Simple Email Service (Amazon Web Services Inc., EE. UU.) — envío de emails de verificación, notificaciones de seguridad, facturas, soporte
  • Email transaccional (fallback): Resend (Resend Inc., EE. UU.) — solo se usa cuando AWS SES no está disponible temporalmente, para que tus emails de verificación y seguridad sigan llegándote. Mismo alcance de datos que la ruta principal: dirección del destinatario y contenido del mensaje que enviamos.
  • Autenticación: NextAuth (gestión de sesiones), Google OAuth (inicio de sesión con Google) y Apple Sign-In (inicio de sesión con Apple ID)
  • Chat en tiempo real: Socket.io (WebSocket autoalojado en nuestros servidores, sin transferencia a terceros)
  • Procesamiento de imágenes: Sharp (procesamiento local de imágenes en nuestros servidores, sin transferencia externa)
  • Geolocalización: MaxMind GeoLite2 (consulta local de IP a ubicación geográfica aproximada; la base de datos GeoLite2 se descarga periódicamente de MaxMind, Inc., EE. UU. — las direcciones IP no se transfieren por petición)
  • Reporte de errores y APM: Sentry (Functional Software Inc., EE. UU.) — captura de errores y métricas de rendimiento de la aplicación móvil. Las cabeceras de autorización, JWTs y parámetros sensibles se censuran antes de transmitirlos; los usuarios se identifican únicamente por ID numérico, nunca por nombre de usuario o correo.

6.2 Redes publicitarias y medición

Cuando la publicidad esté habilitada en tu región, podemos compartir información con redes publicitarias (como Google AdSense, Google AdMob) de acuerdo con tus preferencias de consentimiento y las leyes aplicables. La información compartida puede incluir:

  • Identificadores de dispositivo o publicidad (ID de anuncios, cookies publicitarias)
  • Datos de navegación y uso (páginas visitadas, interacciones, eventos en la app), siempre con controles de privacidad regionales
  • Métricas de impresiones, clics, conversiones y rendimiento publicitario
  • Información demográfica aproximada (edad, género, ubicación general) cuando hayas dado consentimiento

En la UE/EEE y Reino Unido, esta compartición solo ocurre tras obtener tu consentimiento explícito mediante nuestra CMP. En Estados Unidos, reconocemos automáticamente señales de opt-out (GPC/GPP) y cumplimos con leyes estatales aplicables.

Nota para residentes en ciertos estados de EE. UU.: Algunas leyes estatales (CCPA/CPRA de California, Virginia VCDPA, Colorado CPA, Connecticut CTDPA, Texas TDPSA) pueden considerar esta compartición como "venta" o "intercambio para publicidad conductual". Ofrecemos controles de opt-out mediante señales de privacidad del navegador (GPC/GPP) y desde tu configuración de cuenta (Configuración → Privacidad → Preferencias de publicidad). Para más información, consulta la Sección 14 de esta Política.

6.3 Autoridades legales y cumplimiento normativo

Podemos divulgar tus datos personales cuando lo requiera la ley o cuando creamos de buena fe que es necesario para:

  • Cumplir con órdenes judiciales, citaciones, solicitudes gubernamentales válidas
  • Hacer cumplir nuestros Términos y Condiciones
  • Proteger nuestros derechos, propiedad o seguridad, así como los de nuestros usuarios o el público
  • Prevenir fraude, abuso o actividades ilegales
  • Cooperar con investigaciones de fuerzas del orden

6.4 Cesiones corporativas

En caso de fusión, adquisición, venta de activos o reestructuración corporativa, tus datos personales pueden ser transferidos a la entidad sucesora. Te notificaremos mediante aviso destacado antes de que tus datos sean transferidos y queden sujetos a una Política de Privacidad diferente.

6.5 Visibilidad de perfiles y distinción entre datos públicos y privados

Museum App es una red social diseñada para conectar coleccionistas y compartir contenido. Por su naturaleza como plataforma social, los perfiles de usuario son públicos por diseño y visibles para cualquier persona en internet, incluyendo usuarios no registrados y motores de búsqueda.

Datos personales que son públicos:

  • Tu nombre de usuario, nombre de perfil y biografía
  • Tu foto de perfil y museo virtual
  • Los collectibles que publiques en tu colección pública
  • Los posts, comentarios y contenido que compartas públicamente
  • Tus listas de seguidores y cuentas que sigues
  • Tus interacciones públicas (likes, comentarios públicos, reposts)

Base legal: Al crear una cuenta en Museum App, otorgas tu consentimiento expreso para que esta información sea pública y accesible para cualquier persona, conforme a lo establecido en nuestros Términos de Servicio (Sección 8.4).

Cajón de Colección Privado (Característica Premium): Los usuarios con suscripción Premium o Premium Max tienen acceso a un cajón de colección privado que les permite almacenar y organizar collectibles de forma privada sin que sean visibles para otros usuarios. Esta funcionalidad está exclusivamente disponible para suscriptores activos de planes premium.

Datos privados que NUNCA compartimos ni hacemos públicos:

  • Precio de compra y fecha de adquisición de collectibles
  • Valor actual estimado de collectibles
  • Notas personales y documentación privada
  • Facturas y comprobantes de compra
  • Cualquier otra información sensible relacionada con adquisiciones
  • Mensajes privados y conversaciones directas
  • Configuración de privacidad y preferencias de cuenta

<strong>Garantía de privacidad:</strong> Estos datos privados están protegidos mediante medidas de seguridad técnicas y organizativas, y solo son accesibles por el propietario de la cuenta. <strong>Nunca serán visibles públicamente ni compartidos con otros usuarios en su forma identificable</strong>, independientemente de si el collectible es público o privado.

Posible uso futuro de datos de precios para herramientas predictivas:

En el futuro, Museum App <strong>podría desarrollar</strong> herramientas de predicción de precios y estimación de valor de mercado para beneficiar a la comunidad de coleccionistas. Si implementamos estas funcionalidades, <strong>podríamos utilizar</strong> datos de precios de compra y valor actual de collectibles de forma <strong>completamente anónima y agregada</strong> para:

  • Generar modelos predictivos de tendencias de mercado
  • Calcular estimaciones de valor para artículos similares
  • Proporcionar rangos de precios históricos y proyecciones futuras
  • Mejorar las herramientas de valoración y calculadoras de colección

Compromiso de anonimización:

Si en el futuro implementamos estas herramientas predictivas, garantizamos que:

  • Anonimización irreversible: Los datos serán procesados de manera que sea técnicamente imposible rastrearlos hasta un usuario específico o un collectible individual
  • Sin identificación: Ningún usuario, ni siquiera Museum App, podrá identificar de dónde provienen los datos utilizados en las predicciones
  • Agregación masiva: Los datos se combinarán con información de múltiples usuarios y collectibles antes de cualquier procesamiento
  • Sin precios individuales: Nunca se compartirán públicamente precios individuales ni información que pueda identificar al propietario
  • Cumplimiento legal: Estos datos anonimizados cumplirán con el concepto de "datos anónimos" bajo GDPR (Considerando 26), no constituirán "información personal" según CCPA §1798.140(o)(2), y no serán considerados "datos personales" bajo LGPD Art. 12

Base legal para procesamiento futuro:

  • GDPR/UK GDPR: Interés legítimo (Art. 6(1)(f)) - Los datos verdaderamente anonimizados no son datos personales y no requieren base legal bajo GDPR; adicionalmente, mejorar el servicio mediante análisis estadísticos beneficia a toda la comunidad
  • CCPA/CPRA: Los datos anonimizados están explícitamente excluidos de la definición de "información personal" (§1798.140(o)(2))
  • LGPD (Brasil): Datos anonimizados no constituyen datos personales y quedan fuera del ámbito de aplicación de la ley (Art. 12)
  • Transparencia: Te notificaremos mediante actualización de esta Política de Privacidad y aviso destacado en la aplicación si implementamos estas herramientas en el futuro, dándote la oportunidad de ejercer tus derechos de oposición antes de la implementación

Tus derechos: Puedes ejercer tu derecho de acceso, rectificación, eliminación, portabilidad, oposición y limitación del tratamiento en cualquier momento conforme a la sección 10 de esta Política. Puedes eliminar tu cuenta y todos tus datos personales desde la configuración de tu cuenta en cualquier momento.

<strong>Control de privacidad:</strong> Utiliza la configuración de privacidad disponible en <strong>Configuración → Privacidad</strong> para gestionar tus preferencias de visibilidad, consentimientos para marketing, analítica y publicidad personalizada.

7. Transferencias internacionales de datos

Museum App opera desde Estados Unidos. Alojamos y procesamos datos en Estados Unidos y otras ubicaciones según nuestros proveedores de servicios (Digital Ocean, Cloudflare, Stripe, Amazon Web Services, Sentry).

Para usuarios en la Unión Europea, el Espacio Económico Europeo y el Reino Unido:

Cuando transferimos datos personales fuera del EEE/Reino Unido a países que no cuentan con una decisión de adecuación de la Comisión Europea, aplicamos las siguientes salvaguardas:

  • Cláusulas Contractuales Tipo (Standard Contractual Clauses - SCCs): contratos aprobados por la Comisión Europea que garantizan protección adecuada
  • Reino Unido: Para transferencias sujetas al UK GDPR, utilizamos el International Data Transfer Agreement (UK IDTA) o las SCCs de la UE con el UK Addendum, según corresponda
  • Medidas técnicas y organizativas suplementarias: cifrado de datos en tránsito y en reposo, controles de acceso estrictos, minimización de datos
  • Evaluación de impacto en transferencias (Transfer Impact Assessment): análisis de riesgos y garantías adicionales cuando sea necesario

Puedes solicitar copias no confidenciales de las Cláusulas Contractuales Tipo, UK IDTA o UK Addendum que hemos implementado enviando un email a [email protected].

8. Cuánto tiempo conservamos tus datos

Conservamos tus datos personales solo durante el tiempo necesario para cumplir las finalidades para las que fueron recopilados, salvo que la ley requiera o permita un período de conservación más largo:

8.1 Cuenta activa

Mientras tu cuenta permanezca activa y utilices el servicio, conservamos tus datos personales para prestarte el servicio.

8.2 Contenido eliminado o cuenta cerrada

  • Eliminación operativa: Los datos son eliminados de nuestros sistemas de producción en un plazo de aproximadamente 90 días desde la eliminación de contenido o cierre de cuenta
  • Copias de seguridad: Los datos pueden permanecer en copias de seguridad (backups) automáticas durante un período adicional de hasta 90 días, tras lo cual son purgados definitivamente
  • Excepciones: Podemos retener ciertos datos por más tiempo si:
  • Es necesario para cumplir obligaciones legales (facturas, registros fiscales)
  • Existe una disputa legal pendiente o procedimiento de resolución
  • Son necesarios para investigaciones de seguridad, fraude o abuso
  • Usted ha solicitado específicamente su conservación

8.3 Datos de facturación y transacciones

Facturas, recibos, historial de pagos y datos relacionados con suscripciones: 5 a 10 años, según lo requieran las leyes fiscales y contables aplicables (IRS en Estados Unidos, regulaciones locales en otros países).

8.4 Logs de seguridad y auditoría

  • Historial de login (LoginHistory): 12 a 24 meses
  • Logs de acceso y eventos de seguridad: 12 meses
  • Registros de cambios en datos sensibles (email, contraseña, username): 24 meses

8.5 Registros de consentimiento y preferencias de privacidad

Conservamos el estado de consentimiento, opt-out y preferencias de privacidad (señales CMP, cadenas TCF 2.2, GPP/GPC, elecciones de cookies, preferencias de publicidad) durante 24 meses o el plazo mínimo exigido por ley, lo que sea mayor. Esta retención nos permite cumplir con requisitos de auditoría de redes publicitarias y demostrar la obtención de consentimiento válido cuando sea legalmente requerido.

8.6 Criterios de retención

Para determinar el período de retención apropiado, consideramos:

  • La naturaleza y sensibilidad de los datos
  • El riesgo potencial de daño por uso no autorizado o divulgación
  • Las finalidades del tratamiento
  • Si podemos cumplir las finalidades mediante otros medios menos invasivos
  • Obligaciones legales, regulatorias, fiscales o contables aplicables

Puedes solicitar información detallada sobre nuestros criterios y períodos de retención específicos enviando un email a [email protected].

9. Seguridad de tus datos

Museum App implementa medidas técnicas y organizativas razonables para proteger tus datos personales conforme a los estándares de la industria:

9.1 Medidas técnicas

  • Cifrado: Datos en tránsito mediante HTTPS/TLS; contraseñas almacenadas con hash criptográfico bcrypt (nunca en texto plano)
  • Autenticación segura: Tokens de sesión seguros gestionados por NextAuth, soporte para autenticación de dos factores (futuro)
  • Control de acceso: Acceso basado en roles, principio de menor privilegio
  • Monitoreo de seguridad: Detección de accesos no autorizados, intentos de intrusión, actividad sospechosa
  • Copias de seguridad: Backups automáticos regulares con cifrado y almacenamiento seguro
  • Segregación de entornos: Separación entre producción, desarrollo y testing
  • Protección DDoS: Cloudflare para mitigación de ataques de denegación de servicio

9.2 Medidas organizativas

  • Políticas de seguridad y protección de datos
  • Formación y concienciación del personal
  • Acuerdos de confidencialidad con empleados y proveedores
  • Auditorías de seguridad y revisiones periódicas
  • Plan de respuesta a incidentes de seguridad

9.3 Limitaciones

A pesar de nuestros esfuerzos, ningún sistema de seguridad es completamente infalible. No podemos garantizar que nuestros sistemas sean invulnerables a todos los tipos de ataques cibernéticos, hackeos o accesos no autorizados.

9.4 Notificación de brechas de seguridad

En caso de una brecha de seguridad que afecte a datos personales, Museum App cumplirá con todas las obligaciones de notificación establecidas por las leyes aplicables:

  • GDPR/UK GDPR: Notificación a la autoridad de control dentro de 72 horas; comunicación a los afectados sin dilación indebida cuando exista alto riesgo
  • Leyes estatales de EE. UU.: Notificación a residentes afectados según plazos de cada estado
  • Proporcionaremos información sobre la naturaleza de la brecha, datos afectados, medidas adoptadas y pasos que puedes tomar para protegerte

9.5 Tu responsabilidad

Tú eres responsable de:

  • Mantener la confidencialidad de tu contraseña y credenciales de acceso
  • No compartir tu cuenta con terceros
  • Notificarnos inmediatamente sobre cualquier uso no autorizado de tu cuenta enviando un email a [email protected]
  • Utilizar contraseñas seguras (mínimo 8 caracteres, combinación de letras, números y símbolos)
  • Mantener actualizado el software de tu dispositivo y navegador

Para más información sobre nuestras limitaciones de responsabilidad en caso de brechas de seguridad, consulta la Sección 8 de nuestros Términos y Condiciones.

10. Protección de menores

10.1 Estados Unidos (COPPA)

Museum App no permite el uso del servicio a usuarios por debajo de la edad mínima de consentimiento digital en su jurisdicción: 13 años en la mayoría de países (en cumplimiento de la Children's Online Privacy Protection Act, COPPA) y 16 años en el Espacio Económico Europeo, Reino Unido y Suiza (en cumplimiento del artículo 8 del RGPD).

No recopilamos intencionalmente información personal de menores por debajo de este umbral. Si descubrimos que hemos recopilado datos de un usuario en esta situación sin el consentimiento verificable de los padres, eliminaremos esa información de nuestros sistemas lo antes posible.

10.2 Unión Europea y Reino Unido (GDPR/UK GDPR)

Se aplican las edades mínimas locales para consentimiento digital previstas por el artículo 8 del GDPR/UK GDPR (entre 13 y 16 años según el país miembro). Cuando sea legalmente requerido, Museum App implementará mecanismos razonables de verificación del consentimiento parental o del tutor legal.

10.3 Publicidad dirigida a menores

Museum App no utiliza anuncios personalizados ni identificadores para segmentación conductual dirigidos a usuarios que sabemos o inferimos razonablemente que son menores de edad.

Aplicamos políticas de contenido apto para familias y limitaciones de segmentación conforme a las políticas de redes publicitarias (Google AdSense/AdMob "Child-directed treatment").

10.4 Si eres padre, madre o tutor legal

Si crees que tu hijo/a menor de edad ha proporcionado datos personales a Museum App sin tu consentimiento, contáctanos inmediatamente en [email protected]. Tomaremos medidas para eliminar esa información lo antes posible.

11. Tus derechos de privacidad

Dependiendo de tu ubicación, tienes derechos sobre tus datos personales. Los más comunes incluyen:

  • Acceso: Obtener una copia de tus datos personales
  • Rectificación: Corregir datos inexactos o incompletos
  • Eliminación: Solicitar la eliminación de tus datos (con ciertas excepciones legales)
  • Portabilidad: Recibir tus datos en formato descargable
  • Oposición: Oponerte a ciertos tratamientos de datos
  • Retirar consentimiento: Cancelar consentimientos previamente otorgados
  • Opt-out de publicidad: Rechazar publicidad personalizada (cuando se implemente)

Leyes aplicables según tu ubicación

  • 🇪🇺 Unión Europea / EEE / Reino Unido: GDPR y UK GDPR otorgan derechos amplios incluyendo portabilidad, limitación de tratamiento. Además, tienes derecho a presentar una reclamación ante tu autoridad de control si consideras que hemos violado tus derechos de protección de datos, sin perjuicio de cualquier otro recurso administrativo o judicial. Puedes contactar directamente con autoridades como AEPD (España), ICO (Reino Unido), u otras autoridades UE/EEE en tu país de residencia.
  • 🇺🇸 Estados Unidos: CCPA/CPRA (California), VCDPA (Virginia), CPA (Colorado), CTDPA (Connecticut), TDPSA (Texas), y otras leyes estatales otorgan derechos de acceso, corrección, eliminación, portabilidad, y opt-out de venta/compartición de datos. Incluyen derecho a no discriminación y a apelar denegaciones.
  • 🇧🇷 Brasil: LGPD otorga derechos de confirmación, acceso, corrección, anonimización, eliminación, portabilidad, información sobre compartición, y revocación de consentimiento.
  • Otras jurisdicciones: Si resides en otro país con leyes de protección de datos, puedes tener derechos adicionales. Contáctanos en [email protected].

12. Cómo ejercer tus derechos

12.1 Desde tu cuenta

Accede a Configuración → Privacidad y seguridad para:

  • Ver y editar tu información personal
  • Descargar tus datos: Solicita una exportación completa que incluye posts, collectibles, mensajes, comentarios, historial de actividad, y más (ver proceso detallado abajo)
  • Eliminar tu cuenta permanentemente
  • Gestionar preferencias de privacidad, cookies y notificaciones

📥 Proceso de descarga de datos:

  1. Haz clic en "Descargar mis datos" en Configuración
  2. Recibirás un código de verificación en tu email
  3. Ingresa el código para confirmar tu solicitud
  4. Tus datos estarán disponibles en un plazo máximo de 30 días
  5. Recibirás un email con enlace de descarga (válido por 7 días)
  6. El archivo incluye todos tus datos en formato JSON descargable

Nota: Solo puedes tener una solicitud activa a la vez. Si ya tienes una en proceso, espera a que se complete antes de solicitar otra.

12.2 Por email

Para solicitudes especiales (corrección de datos específicos, eliminación parcial, portabilidad a otro servicio, etc.), envía un email a [email protected] indicando:

  • Tu nombre completo y nombre de usuario
  • Email asociado a tu cuenta
  • Derecho que deseas ejercer (acceso, rectificación, eliminación, portabilidad, oposición)
  • Descripción detallada de tu solicitud

Plazos de respuesta: 30-45 días según tu ubicación (GDPR: 30 días; CCPA: 45 días). Verificaremos tu identidad mediante código de email antes de procesar solicitudes sensibles.

12.3 Derechos adicionales

  • Agentes autorizados: Puedes designar un representante legal para presentar solicitudes en tu nombre (requiere poder notarial)
  • Apelaciones (EE. UU.): Si rechazamos tu solicitud, puedes apelar escribiendo a [email protected] con asunto "Apelación". Responderemos dentro de 45 días, o el plazo que exija la ley aplicable
  • Señales de privacidad: Reconocemos Global Privacy Control (GPC) y Global Privacy Platform (GPP) para opt-out automático de publicidad

13. Comunicaciones de marketing y promocionales

13.1 Opt-in (consentimiento previo)

Para usuarios en la Unión Europea, Espacio Económico Europeo, Reino Unido y otras jurisdicciones que lo requieran, solicitamos tu consentimiento explícito (opt-in) antes de enviarte comunicaciones de marketing, como:

  • Newsletters con novedades de producto
  • Promociones especiales y ofertas
  • Contenido educativo sobre coleccionismo
  • Encuestas y feedback de usuario

13.2 Opt-out (cancelar suscripción)

Puedes cancelar la suscripción a comunicaciones de marketing en cualquier momento mediante:

  • Enlace "Cancelar suscripción" en cada email de marketing
  • Configuración de cuenta: Configuración → Notificaciones → Desactivar "Emails promocionales"
  • Email: [email protected] con el asunto "Cancelar suscripción marketing"

13.3 Comunicaciones transaccionales (no cancelables)

Algunas comunicaciones son esenciales para el funcionamiento del servicio y no pueden ser canceladas mientras mantengas tu cuenta activa:

  • Confirmaciones de registro y verificación de email
  • Restablecimiento de contraseña
  • Notificaciones de seguridad (nuevo dispositivo, cambios en cuenta)
  • Confirmaciones de pago y facturas
  • Cambios en Términos y Condiciones o Política de Privacidad
  • Avisos de cierre de cuenta o suspensión

14. Venta y compartición de datos (EE. UU.)

Museum App no vende tus datos personales en el sentido tradicional. Sin embargo, ciertas leyes de EE. UU. (CCPA/CPRA, Virginia, Colorado, Connecticut, Texas, etc.) definen "venta" ampliamente, incluyendo compartir datos con redes publicitarias para publicidad conductual.

Dado que utilizamos publicidad que puede calificar como "venta" bajo estas leyes:

  • Opt-out automático: Reconocemos señales de preferencia de privacidad como Global Privacy Control (GPC) y Global Privacy Platform (GPP)
  • Control en cuenta: Podrás gestionar preferencias de publicidad desde Configuración → Privacidad → Preferencias de publicidad
  • No discriminación: No te negaremos el servicio ni cobraremos precios diferentes por ejercer tus derechos de privacidad

Puedes gestionar estas preferencias en Configuración → Privacidad → Preferencias de publicidad o mediante señales de navegador (GPC/GPP). También pondremos a tu disposición un enlace "No vender/compartir mi información personal" cuando sea exigido por la ley estatal aplicable.

15. Decisiones automatizadas y elaboración de perfiles

Museum App puede realizar perfilado básico para mejorar tu experiencia, incluyendo:

  • Clasificar tus preferencias temáticas de coleccionismo basándose en tu actividad
  • Recomendar usuarios, categorías o contenido relevante
  • Detectar y limitar spam, fraude o actividad sospechosa
  • Seleccionar anuncios contextuales o personalizados (solo con tu consentimiento cuando sea legalmente requerido)

NO adoptamos decisiones automatizadas que produzcan efectos jurídicos significativos sobre ti o te afecten de manera igualmente importante sin intervención humana, salvo que:

  • Sea necesario para la ejecución del contrato contigo
  • Esté autorizado por ley aplicable
  • Hayas dado tu consentimiento explícito

Si tienes preguntas sobre cómo utilizamos el perfilado o decisiones automatizadas, contáctanos en [email protected].

16. Cambios a esta Política de Privacidad

Museum App se reserva el derecho de actualizar o modificar esta Política de Privacidad en cualquier momento. Cuando realicemos cambios:

16.1 Notificación de cambios

Cambios menores: Actualizamos la fecha de "Última actualización" al inicio de esta Política

Cambios materiales: Te notificaremos mediante:

  • Email a tu dirección registrada
  • Notificación destacada en la aplicación (banner o pop-up)
  • Aviso en nuestro sitio web

16.2 Fecha de vigencia

Los cambios entrarán en vigor en la fecha indicada en la parte superior de esta Política ("Última actualización"). Tu uso continuado del servicio después de la fecha de vigencia constituye tu aceptación de los cambios.

16.3 Historial de versiones

Puedes solicitar versiones anteriores de esta Política de Privacidad enviando un email a [email protected].

16.4 Servicios de terceros - Geolocalización

Este sitio utiliza GeoLite2 Data creada por MaxMind, disponible en https://www.maxmind.com. Este servicio nos permite detectar tu país de origen para cumplir con las regulaciones de privacidad aplicables (GDPR, CCPA, LGPD).

17. Contacto

Si tienes preguntas, comentarios o inquietudes sobre esta Política de Privacidad o sobre cómo tratamos tus datos personales, contáctanos en:

Museum App Inc.

5900 Balcones Drive Ste 100

Austin, TX 78731

Estados Unidos

Email de contacto: [email protected]

Haremos todo lo posible para responder a tu consulta dentro de un plazo razonable (generalmente 5-10 días hábiles para consultas generales; plazos legales específicos para solicitudes de derechos de privacidad).