Política de Privacidad

Nemi, operadora de Shotflow (shotflow.lat), es responsable del tratamiento de los datos personales recopilados a través de la plataforma. Contacto: hola@shotflow.lat

De los fotógrafos (usuarios con cuenta):

• Email y contraseña (gestionados por Supabase Auth con hash bcrypt).
• Nombre de estudio, nombre de contacto, biografía y logo de perfil.
• URL de Instagram y sitio web (opcionales).
• Información de proyectos, servicios, clientes y pagos que el fotógrafo registra.
• Fotografías subidas a la plataforma.
• Dirección IP de acceso, fecha y hora de inicio de sesión.
• Dirección IP y user agent del navegador cuando se detecta un inicio de sesión desde un dispositivo o ubicación nueva — esta información se envía al fotógrafo por email como alerta de seguridad («Nuevo acceso a tu cuenta») para proteger su cuenta ante accesos no autorizados. No se comparte con terceros.
• Fecha y hora de aceptación de estos Términos e IP desde la que se aceptaron.

De los clientes de los fotógrafos (acceso por token, sin cuenta):

• Nombre y email (ingresados por el fotógrafo o por el cliente al firmar el contrato).
• Dirección IP y user agent del navegador al momento de firmar el contrato (audit trail legal).
• Dirección IP al momento de aprobar o rechazar una propuesta.
• Historial de acceso a galerías: fecha y conteo de accesos.
• Fotos marcadas como favoritas en la galería.

Nota: los clientes de los fotógrafos son clientes del fotógrafo, no de Shotflow. El fotógrafo es el responsable del tratamiento de sus datos. Shotflow actúa como encargado del tratamiento (procesador de datos) en nombre del fotógrafo.

• Prestación del servicio de gestión fotográfica y todas sus funcionalidades.
• Envío de emails transaccionales (bienvenida, propuestas, contratos firmados, galerías, recordatorios).
• Registro de audit trail para contratos y firmas digitales con validez probatoria.
• Prevención de fraude, abuso y rate limiting de solicitudes.
• Mejora y análisis del Servicio.
• Cumplimiento de obligaciones legales.

• Ejecución del contrato: tratamiento necesario para prestar el Servicio que el fotógrafo contrató.
• Consentimiento: aceptación de estos Términos al registrarse (con registro de IP y fecha).
• Interés legítimo: prevención de fraude, seguridad del servicio y mejora del producto.
• Obligación legal: conservación de registros de contratos firmados.

Los datos se procesan a través de los siguientes proveedores de infraestructura:

• Supabase — base de datos PostgreSQL y autenticación. Servidores en AWS us-east-1 (Virginia, EE.UU.)
• Cloudflare R2 — almacenamiento de fotografías en CDN global.
• Vercel — hosting de la aplicación web. Servidores en AWS.
• Resend — envío de emails transaccionales.
• Upstash Redis — rate limiting. No almacena datos personales identificables.

Todos los proveedores cuentan con medidas de seguridad adecuadas para el tratamiento de datos personales. Los datos pueden ser transferidos y procesados fuera de El Salvador en servidores ubicados en Estados Unidos.

El registro de auditoría (audit log) documenta eventos críticos del sistema (firma de contratos, registro de pagos). Para proteger la seguridad de los usuarios, está prohibido por política técnica incluir en estos registros:

• Contraseñas o hashes de contraseñas.
• Tokens de acceso a galerías, tokens de firma de contratos o tokens de sesión.
• Datos completos de tarjetas de pago (número, CVV, fecha de expiración).
• Claves secretas de API o variables de entorno.
• JWTs u otros tokens de autenticación.

Solo se registran metadatos del evento: qué acción ocurrió, cuándo, el ID del recurso afectado, el método de pago (efectivo, transferencia, etc.) y la IP del actor cuando tiene valor probatorio (ej: firma de contrato por el cliente).

• Datos de cuenta del fotógrafo: mientras la cuenta esté activa. Eliminados 30 días después de la cancelación.
• Fotografías en galerías: 90 días en Plan Starter (con aviso de 10 días antes de expirar).
• Registros de contratos firmados y audit log: conservados por 5 años por requerimientos legales probatorios.
• Logs de acceso e IP: 90 días.
• Emails transaccionales: registros de envío conservados 90 días.

Los fotógrafos tienen derecho a:

• Acceso: solicitar qué datos personales tenemos sobre ellos.
• Rectificación: corregir datos incorrectos o desactualizados.
• Eliminación («derecho al olvido»): solicitar la eliminación de su cuenta y datos, sujeto a obligaciones legales de conservación.
• Portabilidad: exportar sus datos en formato legible por máquina.
• Oposición: oponerse al tratamiento en determinadas circunstancias.
• Limitación: solicitar que se limite el tratamiento de sus datos.

Para ejercer cualquiera de estos derechos, escríbanos a: hola@shotflow.lat. Responderemos en un plazo máximo de 30 días hábiles.

Implementamos medidas técnicas y organizativas para proteger sus datos:

• Transmisión de datos cifrada mediante HTTPS/TLS 1.3.
• Fotografías almacenadas en Cloudflare R2 (bucket privado) con acceso exclusivo mediante Signed URLs temporales — no existen URLs públicas permanentes.
• Contraseñas gestionadas mediante Supabase Auth (hash bcrypt). Shotflow nunca almacena contraseñas en texto plano.
• Tokens de acceso a galerías y contratos generados con 256 bits de entropía criptográfica.
• Row Level Security (RLS) en toda la base de datos: ningún fotógrafo puede acceder a datos de otro.
• Refresh tokens con rotación automática. Sesiones con auto-cierre por inactividad.

Aunque adoptamos medidas razonables de seguridad, ningún sistema es completamente infalible. En caso de una brecha de seguridad que afecte sus datos, le notificaremos según lo exija la ley aplicable.

Shotflow utiliza únicamente cookies esenciales para la autenticación (httpOnly cookies de sesión de Supabase Auth). No utilizamos cookies de analytics, publicidad ni seguimiento de comportamiento. Para más detalles, véase nuestra Política de Cookies.

Shotflow es un servicio destinado exclusivamente a profesionales mayores de 18 años. No recopilamos conscientemente datos personales de menores. Si detectamos que una cuenta fue creada por un menor, la eliminaremos inmediatamente.

Notificaremos cambios significativos por correo electrónico con al menos 15 días de anticipación. El uso continuado de la plataforma tras la fecha de vigencia de la política actualizada implica su aceptación. La versión vigente siempre estará disponible en shotflow.lat/legal/privacy.

Para cualquier consulta sobre esta Política de Privacidad o el ejercicio de sus derechos: hola@shotflow.lat