Política de privacidad
Cómo BirdSings recopila, trata y protege tus datos personales — aplica en todo el mundo, con derechos adicionales para residentes en la UE/EEE, Reino Unido, Suiza, California, Brasil y otros países.
Última actualización: 2026-06-29
1. Quiénes somos
BirdSings («nosotros») opera la tienda en https://birdsings.com. Responsable del tratamiento: privacy@birdsings.com. Las solicitudes al representante UE/UK y al DPO emplean la misma dirección.
2. Qué recopilamos
- Datos del pedido: correo, nombre de facturación, país, IDs de sonidos comprados, ID de transacción. Base jurídica: ejecución del contrato (art. 6.1.b RGPD).
- Datos operativos: idioma, tema, carrito (en el
localStorage del navegador, no en nuestros servidores salvo que inicies sesión). Base jurídica: interés legítimo (art. 6.1.f). - Newsletter: correo más casilla de consentimiento expreso. Base jurídica: consentimiento (art. 6.1.a). Revocable en cualquier momento.
- Analítica (solo si aceptas todas las cookies): visitas pseudónimas vía Google Analytics 4 con anonimización de IP (
anonymizeIp: true). Sin demografía ni personalización publicitaria. - Señales anti-fraude: IP hasheada, país derivado de la IP, User-Agent en el checkout. Base jurídica: interés legítimo en la prevención del fraude (Cdo. 47 RGPD).
3. Lo que NO recopilamos
- No almacenamos datos de tarjeta — Stripe gestiona todas las tarjetas en su entorno PCI-DSS Nivel 1.
- No vendemos, alquilamos ni cedemos tus datos. (Para California: ni «sale» ni «share» en términos de CCPA/CPRA.)
- No te rastreamos en otros sitios ni usamos rastreadores publicitarios.
- No recopilamos a sabiendas datos de menores de 16 años. Si fuese el caso, escríbenos para eliminarlos.
4. Cookies
Tres categorías:
- Necesarias (siempre activas): carrito, idioma, tema. La web no funciona sin ellas — sin opt-out.
- Analítica (opt-in): GA4 con anonimización IP. Desactivada por defecto en UE/EEE, Reino Unido y Suiza.
- Marketing: por ahora ninguna. Si se introducen, requerirán consentimiento expreso.
Puedes cambiar tu elección cuando quieras borrando la cookie de consentimiento o escribiéndonos.
5. Tokens anti-piratería
En cada compra emitimos un token de descarga ligado a tu pedido. El token registra la primera dirección IP y el User-Agent que descargan con éxito, para evitar uso compartido de cuenta. La IP se procesa solo para prevención de fraude y se borra 30 días después de la expiración del token.
6. Tus derechos
Si resides en la UE, EEE, Reino Unido o Suiza (RGPD / UK GDPR / FADP):
- Acceso — copia de tus datos.
- Rectificación.
- Supresión («derecho al olvido»).
- Portabilidad.
- Limitación y oposición a tratamientos basados en interés legítimo.
- Retirar el consentimiento de la newsletter en cualquier momento.
- No estar sujeto a decisiones únicamente automatizadas (no las tomamos).
Si resides en California (CCPA/CPRA): derechos a conocer, suprimir, corregir, opt-out de venta/intercambio (no vendemos ni compartimos) y no discriminación.
Si resides en Brasil (LGPD), Türkiye (KVKK) u otra jurisdicción comparable: derechos equivalentes de acceso, rectificación, supresión, portabilidad y oposición.
Solicitudes a privacy@birdsings.com. Respondemos en 30 días (45 para California cuando se admite prórroga).
7. Conservación
- Documentación de pedidos: 10 años (la mayor obligación fiscal entre los países de venta; los mínimos locales son menores). Después, supresión o anonimización.
- Tokens de descarga: 12 horas activos + 30 días de registro de auditoría.
- Suscriptores: hasta la baja, luego anonimización.
- Señales anti-fraude: 90 días; en disputa de chargeback confirmada, 24 meses.
8. Transferencias internacionales
Tus datos pueden tratarse fuera de tu país, incluyendo EE. UU. Nos apoyamos en las Cláusulas contractuales tipo de la UE (2021/914), el UK International Data Transfer Addendum, las cláusulas suizas (FDPIC) y — para destinatarios EE. UU. certificados — en el EU-US Data Privacy Framework. Stripe, Resend, Netlify y Google están certificados DPF.
9. Encargados del tratamiento
- Stripe (pagos) — Irlanda/EE. UU. CCT + DPF.
- Cloudflare R2 (almacenamiento) — región UE.
- Resend (correos transaccionales) — EE. UU. CCT + DPF.
- Netlify (hosting) — EE. UU. CCT + DPF.
- Google Analytics 4 (opcional) — IP anonimizada, sin remarketing. DPF.
10. Seguridad
TLS 1.3 en tránsito, AES-256 en reposo. Stripe gestiona las tarjetas. Acceso a producción limitado a personal autorizado bajo confidencialidad escrita. Notificamos a los afectados y a la autoridad competente en un plazo de 72 horas desde el conocimiento de una violación, cuando proceda.
11. Reclamación
Puedes presentar reclamación ante tu autoridad de control. Ejemplos:
12. Cambios
Podemos actualizar la política. Los cambios sustanciales se anuncian en el banner del sitio al menos 30 días antes de su entrada en vigor, salvo que la ley exija plazo menor.