Aviso de Privacidad Integral

Banderos+ (en adelante, "el Responsable" o "la Plataforma"), operadora del sitio web banderosplus.com y de los servicios digitales que en él se prestan, es el responsable del tratamiento de los datos personales que recaba del Titular y, en consecuencia, está obligada a observar los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad previstos en la LFPDPPP.

Para el ejercicio de derechos, atención de dudas y notificaciones relacionadas con el tratamiento de datos personales, el Titular podrá dirigirse al Departamento de Datos Personales del Responsable a través del correo electrónico banderek033@gmail.com. El domicilio para oír y recibir notificaciones se proporcionará oportunamente al Titular que lo solicite por dicha vía, conforme a la legislación aplicable.

Para el cumplimiento de las finalidades descritas en el presente Aviso, el Responsable podrá recabar y tratar las siguientes categorías de datos personales, ya sea de forma directa del Titular, a través de los formularios y herramientas de la Plataforma, o de forma indirecta cuando otro usuario lo registre con su consentimiento informado (por ejemplo, integrantes de banda inscritos por su director, jueces designados por un organizador, contactos de facturación):

• Datos de identificación: nombre completo, fecha de nacimiento (cuando aplique), género (opcional), fotografía de perfil, pseudónimo o nombre artístico.
• Datos de contacto: correo electrónico, número telefónico fijo y móvil, domicilio para envío de productos, ciudad y estado.
• Datos de autenticación: contraseña cifrada (no se almacena en texto plano), tokens de sesión, registros de inicio de sesión, dirección IP, identificadores de dispositivo y navegador.
• Datos transaccionales: historial de compras, contrataciones, inscripciones, importes pagados, métodos de pago (tokenizados por el procesador autorizado; la Plataforma no almacena datos completos de tarjeta), facturas emitidas y registros de envío.
• Datos fiscales: Registro Federal de Contribuyentes (RFC), razón social, código postal del domicilio fiscal, régimen fiscal, uso de CFDI, correo para envío de comprobantes y datos extraídos de la Constancia de Situación Fiscal cargada por el Titular.
• Datos académicos y de desempeño: progreso de visualización en clases, lecciones completadas, calificaciones obtenidas en concursos, reseñas y comentarios.
• Datos de participación en concursos: nombre y categoría de la banda, integrantes registrados por el director o tutor, documentos de inscripción, imagen y voz capturadas durante la transmisión pública del evento.
• Datos de verificación de identidad de Vendedores (KYC): identificación oficial (anverso y reverso), fotografía de confronta o selfie con identificación, comprobante de domicilio y, en su caso, constancia de situación fiscal y carátula bancaria, recabados para validar la identidad del Vendedor antes de habilitarlo en el Marketplace.
• Datos de la tienda y de pagos del Vendedor: nombre comercial, descripción, logotipo y banner de la tienda, domicilio de origen para envíos, datos fiscales (RFC y régimen) y los datos de identificación de su cuenta en el procesador de pagos (identificador, alias y correo de MercadoPago) necesarios para acreditar los cobros directamente al Vendedor.
• Datos de navegación: páginas visitadas, tiempos de sesión, eventos clic, referencia de origen, parámetros UTM, dispositivo y geolocalización aproximada por IP.
• Contenido aportado por el Titular:logotipos, fotografías, materiales audiovisuales, comentarios, reseñas y cualquier archivo que el Titular cargue a la Plataforma.

Banderos+ no recaba datos personales sensibles en el sentido del artículo 3, fracción VI de la LFPDPPP (origen racial o étnico, estado de salud, información genética, creencias religiosas, filosóficas o morales, afiliación sindical, opiniones políticas o preferencia sexual). En caso de que en el futuro fuese estrictamente necesario recabar este tipo de datos, se requerirá el consentimiento expreso y por escrito del Titular conforme al artículo 9 de la LFPDPPP, mediante un aviso específico que detalle finalidades y medidas reforzadas de seguridad.

La Plataforma está dirigida a personas mayores de 18 años. Cuando un menor de edad participe indirectamente (integrante de una banda inscrita por su director o tutor, alumno representado por padre o madre), se entiende que el padre, madre, tutor o representante legal otorga consentimiento informado para el tratamiento de los datos del menor (nombre, edad, fotografía, voz, desempeño y participación pública), bajo su exclusiva responsabilidad legal frente al menor representado.

El Responsable adopta medidas técnicas reforzadas para limitar la exposición pública de datos de menores, evitando publicación de datos identificadores precisos cuando ello no sea indispensable para la operación del servicio.

Los datos personales se tratarán para las siguientes finalidades, las cuales son necesarias para la existencia, mantenimiento y cumplimiento de la relación jurídica entre el Titular y el Responsable; sin estos datos, la Plataforma no podría prestar los servicios contratados:

1. Crear, autenticar y gestionar la Cuenta del Titular en la Plataforma.
2. Procesar compras, contrataciones, inscripciones a concursos y adquisiciones de clases.
3. Facilitar la cotización y generación de guías de envío y compartir con el Vendedor y la paquetería los datos necesarios para el despacho, seguimiento y atención de incidencias del pedido.
4. Habilitar el acceso a contenidos digitales adquiridos (clases, productos descargables, plantillas).
5. Administrar el módulo de gestión de concursos: inscripción de bandas, asignación de jueces, captura de calificaciones, transmisión pública en vivo, emisión de resultados y registro probatorio del evento.
6. Procesar pagos a través de los procesadores autorizados.
7. Operar el Marketplace de Vendedores: verificar la identidad de los Vendedores (KYC), aprobar y administrar sus tiendas y catálogos, intermediar el cobro y calcular, retener y liquidar la Comisión del Marketplace.
8. Compartir con el Vendedor los datos del Comprador estrictamente necesarios para surtir, enviar y entregar el pedido, así como para atender cambios, devoluciones y garantías.
9. Gestionar y, en su caso, mediar las disputas que surjan entre Compradores y Vendedores.
10. Emitir Comprobantes Fiscales Digitales por Internet (CFDI) versión 4.0 a través del Proveedor Autorizado de Certificación (PAC) contratado, así como elaborar la factura global al público en general conforme a las disposiciones del SAT.
11. Comunicar al Titular notificaciones transaccionales, operativas y de seguridad (confirmaciones, recordatorios, alertas, restablecimiento de contraseña, avisos legales).
12. Brindar soporte técnico y atender solicitudes, quejas, devoluciones, reclamaciones y reportes de incidencias.
13. Prevenir, detectar e investigar fraudes, abusos, vulneraciones de seguridad, contracargos indebidos y cualquier uso contrario a los Términos y Condiciones.
14. Cumplir obligaciones legales, fiscales, contables, regulatorias y, en su caso, requerimientos de autoridad competente.
15. Conservar registros probatorios y evidencia electrónica de las operaciones por los plazos exigidos por la legislación aplicable.

Adicionalmente, y siempre que el Titular no manifieste su oposición conforme al procedimiento descrito en el numeral 11, el Responsable podrá tratar los datos personales para las siguientes finalidades secundarias, las cuales no son necesarias para la prestación del servicio contratado:

• Envío de comunicaciones comerciales, promocionales, boletines, novedades y campañas de fidelización a través de correo electrónico, SMS, notificaciones push o redes sociales.
• Realización de estudios de mercado, análisis estadísticos, métricas de uso y encuestas para mejorar la experiencia y los productos.
• Elaboración de perfiles de consumo agregados y anonimizados con fines analíticos y de inteligencia de negocio.
• Personalización de recomendaciones de productos, clases o concursos en función del historial de navegación y de compra.
• Realización de programas de afiliados, referidos y embajadores cuando el Titular decida participar.
• Difusión de testimonios, reseñas, fotografías o videos enviados voluntariamente por el Titular en materiales promocionales del Responsable, conforme a la licencia otorgada en los Términos y Condiciones.

El Titular puede manifestar su negativa al tratamiento para finalidades secundarias en el momento del registro, en cualquier momento posterior desde su perfil, o escribiendo al correo del Departamento de Datos Personales. La negativa a finalidades secundarias no será motivo para negar la prestación de los servicios contratados.

Para el cumplimiento de las finalidades primarias y, en su caso, las secundarias, el Responsable transfiere o remite datos personales a los siguientes terceros, los cuales actúan como encargados en términos del artículo 36 de la LFPDPPP o como destinatarios conforme al artículo 37, bajo obligaciones contractuales o legales de confidencialidad y seguridad:

Las transferencias a autoridades fiscales, judiciales o administrativas, así como a sociedades del mismo grupo corporativo del Responsable, a terceros adquirentes en caso de reestructuración corporativa, fusión o venta de activos, y a aquéllas necesarias para cumplir obligaciones legales, no requieren el consentimiento del Titular conforme al artículo 37 de la LFPDPPP.

Cuando un Organizador acceda a los datos de las bandas inscritas en su evento, o cuando un Vendedor del Marketplace acceda a los datos del Comprador necesarios para surtir y entregar un pedido, lo harán como responsables autónomos de dichos datos para los fines de su respectiva operación (organización del concurso o cumplimiento de la compraventa), asumiendo la totalidad de las obligaciones de la LFPDPPP frente a los titulares; el Responsable no controla ni supervisa los tratamientos que el Organizador o el Vendedor realicen fuera de la Plataforma.

Conforme a los artículos 22 a 35 de la LFPDPPP, el Titular tiene en todo momento los siguientes derechos sobre sus datos personales:

• Acceso: conocer qué datos personales posee el Responsable, su origen, las finalidades del tratamiento y las transferencias realizadas.
• Rectificación: solicitar la corrección de datos inexactos, incompletos o desactualizados.
• Cancelación: solicitar la supresión de los datos cuando considere que no se requieren para alguna finalidad legítima, o hayan dejado de ser necesarios.
• Oposición: oponerse al tratamiento de sus datos para fines específicos, cuando exista causa legítima para ello.

Procedimiento. Para ejercer cualquiera de estos derechos, el Titular deberá enviar una solicitud al correo electrónico banderek033@gmail.com indicando lo siguiente:

1. Nombre completo del Titular y correo electrónico registrado en la Cuenta.
2. Documentos que acrediten la identidad del Titular o, en su caso, la personalidad o representación de quien promueve a su nombre (identificación oficial vigente).
3. Descripción clara y precisa de los datos personales sobre los que ejerce su derecho y el derecho que pretende ejercer.
4. Cualquier elemento que facilite la localización de los datos (fechas, operaciones, eventos relevantes).
5. Medio para recibir la respuesta (correo electrónico es preferente).

Plazos. El Responsable comunicará al Titular la respuesta en un plazo máximo de 20 días hábiles contados a partir de la recepción de la solicitud completa. En caso de proceder, hará efectivo el derecho dentro de los 15 días hábiles siguientes a la comunicación de la respuesta. Los plazos podrán ampliarse por una sola vez por un periodo igual, cuando las circunstancias del caso lo justifiquen, notificando al Titular dicha ampliación.

Gratuidad. El ejercicio de los derechos ARCO es gratuito. Únicamente podrán cobrarse los gastos justificados de envío o reproducción en formatos distintos al electrónico, conforme al artículo 35 de la LFPDPPP.

Excepciones. El Responsable podrá negar el ejercicio de los derechos ARCO cuando el solicitante no acredite ser titular o representante legal; cuando los datos no obren en bases del Responsable; cuando se lesionen derechos de terceros; cuando exista impedimento legal o resolución de autoridad competente; cuando la rectificación, cancelación u oposición ya se haya realizado previamente; o cuando la cancelación impida cumplir obligaciones legales o contractuales vigentes.

En todo momento el Titular podrá revocar el consentimiento otorgado para el tratamiento de sus datos personales, en aquellos casos en que la ley no establezca lo contrario. La solicitud de revocación se presentará por la misma vía y con los mismos requisitos previstos para el ejercicio de derechos ARCO.

El Responsable advierte que la revocación del consentimiento podrá implicar la imposibilidad de continuar prestando los servicios contratados (por ejemplo, no será posible procesar una compra sin tratamiento de datos de envío), sin que ello genere responsabilidad alguna para el Responsable y sin perjuicio del derecho del Titular a obtener los reembolsos que en su caso procedan conforme a los Términos y Condiciones.

Cierta información deberá conservarse después de la revocación por imperativo legal, fiscal o probatorio (por ejemplo, facturas emitidas, registros contables, evidencias antifraude), durante los plazos mínimos exigidos por la legislación aplicable.

El Titular podrá limitar el uso o divulgación de sus datos personales escribiendo al correo del Departamento de Datos Personales. Adicionalmente, el Responsable pone a disposición los siguientes mecanismos:

• Panel del Titular: desde la sección de perfil podrá actualizar preferencias de comunicación, dar de baja boletines y modificar configuraciones de privacidad.
• Cancelación de comunicaciones comerciales: todo correo de carácter promocional incluye un enlace para darse de baja con un clic, conforme al artículo 18 de la LFPDPPP.
• Listado de exclusión interno: el Titular podrá solicitar su inscripción en el listado de exclusión del Responsable para no ser contactado con fines mercadotécnicos o publicitarios.

Si el Titular no desea que sus datos personales sean tratados para las finalidades secundarias listadas en el numeral 6, deberá manifestarlo enviando un correo a banderek033@gmail.com con el asunto "Oposición a finalidades secundarias", indicando nombre completo, correo electrónico registrado y las finalidades a las que se opone.

La negativa a las finalidades secundarias no afectará la prestación de los servicios contratados ni los derechos del Titular como consumidor o usuario.

La Plataforma utiliza cookies y tecnologías de almacenamiento local del navegador (incluyendo localStorage y sessionStorage) con las siguientes finalidades:

• Estrictamente necesarias: autenticación, mantenimiento de sesión, integridad del carrito de compras, prevención de fraude (CSRF/XSRF), preferencias de idioma e interfaz.
• Funcionales: recordar la última lección vista en una clase, conservar el progreso del jueceo en concursos, mostrar banners informativos una sola vez.
• Analíticas: medición agregada de tráfico, páginas vistas, fuentes de origen y comportamiento de uso para optimizar la Plataforma.
• Publicitarias: en su caso, atribución de campañas mediante parámetros UTM y píxeles de redes publicitarias.

El Titular podrá deshabilitar o eliminar las cookies desde la configuración de su navegador. Lo anterior podrá afectar la funcionalidad de la Plataforma, particularmente la autenticación y el mantenimiento de sesión.

El Responsable implementa medidas administrativas, técnicas y físicas razonables y proporcionales a la sensibilidad de los datos para protegerlos contra daño, pérdida, alteración, destrucción, uso, acceso o tratamiento no autorizado, entre las que se encuentran:

• Cifrado en tránsito mediante TLS 1.2 o superior en toda la Plataforma.
• Cifrado de contraseñas en reposo y almacenamiento en proveedores con certificaciones de seguridad reconocidas internacionalmente.
• Políticas de Row Level Security (RLS) en la base de datos, con segregación de acceso por rol y validación server-authoritative en endpoints sensibles.
• Validación de webhooks externos mediante firmas HMAC con comparación en tiempo constante y verificación de frescura temporal.
• Tokens de acceso de corta duración (signed URLs con TTL) para archivos privados.
• Bitácoras de auditoría y dedup de eventos críticos.
• Revisiones periódicas de permisos administrativos y principio de mínimo privilegio.

Plazos de conservación. Los datos personales se conservarán durante el tiempo necesario para el cumplimiento de las finalidades para las que fueron recabados y, posteriormente, durante los plazos mínimos exigidos por la legislación fiscal, mercantil y civil aplicable (de manera enunciativa, cinco años para registros contables y fiscales, conforme al artículo 30 del Código Fiscal de la Federación). Vencidos dichos plazos, los datos serán bloqueados y posteriormente suprimidos conforme al procedimiento interno del Responsable.

Vulneraciones de seguridad. En caso de ocurrir una vulneración de seguridad que afecte significativamente los derechos patrimoniales o morales del Titular, el Responsable lo notificará por correo electrónico, sin demora injustificada, conforme al artículo 20 de la LFPDPPP.

El presente Aviso podrá ser modificado o actualizado en cualquier momento para atender novedades legislativas, jurisprudenciales, políticas internas, nuevos requerimientos para la prestación u ofrecimiento de servicios, o prácticas comerciales. La versión vigente se publicará permanentemente en esta misma URL, indicando la fecha de última actualización y el número de versión.

Cuando los cambios sean sustanciales y afecten derechos esenciales del Titular, el Responsable comunicará la modificación por correo electrónico a la dirección registrada o mediante aviso destacado en la Plataforma. El uso continuado del servicio después de publicada la modificación constituirá aceptación del Aviso actualizado, sin perjuicio del derecho del Titular a oponerse o revocar su consentimiento conforme a los procedimientos aquí descritos.

El Titular que considere que su derecho a la protección de datos personales ha sido lesionado por alguna conducta u omisión del Responsable, o presuma alguna violación a las disposiciones previstas en la LFPDPPP, su Reglamento y demás ordenamientos aplicables, podrá interponer la queja o denuncia correspondiente ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). Para mayor información, se sugiere visitar el portal oficial home.inai.org.mx.

Sin perjuicio de lo anterior, se invita al Titular a contactar previamente al Departamento de Datos Personales del Responsable para procurar una solución directa y expedita.

Cuando el Titular ingrese a la Plataforma datos personales de terceros (integrantes de banda, jueces, contactos de facturación, beneficiarios), declara y garantiza que cuenta con el consentimiento informado y previo de dichos titulares para el tratamiento que el Responsable realizará conforme a este Aviso, y se obliga a informarles del contenido del mismo, así como del medio para conocerlo en su versión integral. El Titular libera al Responsable de cualquier responsabilidad derivada de la falta de consentimiento o de la falta de información a los terceros cuyos datos haya aportado.

La Plataforma puede contener enlaces a sitios web de terceros. El Responsable no es responsable del contenido, las prácticas de privacidad ni los términos de uso de dichos sitios. Se recomienda al Titular revisar las políticas de privacidad de cada sitio que visite, las cuales podrán diferir significativamente del presente Aviso.

Al marcar la casilla de aceptación durante el registro, al utilizar la Plataforma o al continuar la navegación, el Titular manifiesta su consentimiento libre, específico, informado e inequívoco para el tratamiento de sus datos personales conforme a los términos del presente Aviso. El consentimiento se acredita mediante el registro electrónico que contiene fecha, hora, dirección IP, identificador de sesión y versión del Aviso vigente al momento de la aceptación.

Para cualquier solicitud relacionada con sus datos personales, ejercicio de derechos ARCO, revocación del consentimiento, limitación de uso, oposición a finalidades secundarias o reporte de incidentes, el Titular podrá contactar al Responsable a través de los siguientes medios:

• Correo electrónico: banderek033@gmail.com
• Asunto sugerido: "Datos personales — [tipo de solicitud]"
• Formulario alternativo: Sección de Contacto