Política de privacidad

Última actualización: 8 de julio de 2026

1. Responsable del tratamiento

Fanset es operado por Huascar (persona natural, Colombia), responsable del tratamiento de datos personales conforme a la Ley 1581 de 2012 (Colombia) y, cuando corresponda, al Reglamento General de Protección de Datos (GDPR) de la Unión Europea.

Contacto de privacidad: privacy@smartplaylist.app (activar con el dominio del producto). Respondemos solicitudes en un plazo máximo de 30 días naturales.

2. Datos que recopilamos

  • Uso anónimo: dirección IP hasheada con sal (SHA-256) para cuotas; identificador de invitado (cookie/localStorage); eventos técnicos agregados.
  • Cuenta registrada (opcional): email, nombre, avatar (login Google), historial de playlists (nombre, fecha, enlace Spotify, lista de canciones en tracks_json).
  • Feedback: puntuación CSAT y comentario opcional tras crear una playlist.
  • v1 Canal: no pedimos OAuth Spotify del fan para crear playlists; publicamos en el Canal Fanset server-side.
  • YouTube (opcional, futuro): likes vía scope youtube.readonly; refresh token cifrado en servidor.
  • No almacenamos audio ni ofrecemos streaming.

3. Finalidad y base legal

CategoríaFinalidadBase legal
IP hasheada / guest idCuotas freemium y prevención de abusoInterés legítimo / ejecución del servicio
Cuenta e historialPrestación del servicio y retención de playlistsEjecución del contrato / consentimiento
CSATMejora del productoInterés legítimo
Analytics (PostHog EU)Funnel de producto y erroresConsentimiento (cookies no esenciales)
Publicidad (Google AdSense)Monetización displayConsentimiento (CMP en EEA/UK/CH)
Logs técnicosSeguridad y diagnósticoInterés legítimo

4. Conservación

  • IP hasheada para cuotas: hasta 90 días desde el último uso.
  • Historial de playlists (cuenta registrada): mientras la cuenta exista; borrado a solicitud.
  • Caché de APIs de terceros (Setlist/Spotify): periodos breves (por defecto 1 hora; máximo 24 h).
  • Tokens OAuth (Canal Fanset / YouTube): mientras sean necesarios; refresh cifrado cuando aplique.
  • Logs técnicos: hasta 30 días, sin tokens ni contraseñas.
  • CSAT: mientras sea necesario para análisis agregado; comentarios pueden anonimizarse.

5. Subprocesadores y transferencias

ProveedorServicioUbicación
Spotify ABCatálogo, creación de playlists (Canal Fanset)UE/EE.UU.
Google LLCOAuth, AdSense, CMP (Privacy & Messaging)EE.UU./global
PostHog Inc.Analytics de producto (cloud EU)UE
Neon Tech Inc.Base de datos PostgresUE/EE.UU.
Railway Corp.Hosting APIEE.UU.
Cloudflare Inc.DNS, CDN, Pagesglobal

No vendemos datos personales. No compartimos datos de Spotify ni de YouTube con redes publicitarias para targeting. Las transferencias internacionales se amparan en cláusulas contractuales tipo (SCC) o decisiones de adecuación cuando corresponda.

6. Cookies y tecnologías similares

Usamos cookies esenciales (sesión, preferencias de tema e idioma, guest id) sin consentimiento previo. Analytics, publicidad y cookies no esenciales requieren tu consentimiento. En EEA, Reino Unido y Suiza mostramos un banner CMP certificado (Google Privacy & Messaging o equivalente) antes de activar cookies no esenciales.

Detalle de cookies: ver Política de cookies. Puedes cambiar preferencias en cualquier momento desde el enlace «Gestionar cookies» en el pie de la app.

7. Tus derechos

  • Acceso, rectificación, supresión, portabilidad y oposición al tratamiento.
  • Retirar el consentimiento de analytics/ads sin afectar la licitud del tratamiento previo.
  • Usuarios EEA/UK: derecho a reclamar ante la autoridad de protección de datos de tu país.
  • Colombia: derecho de Habeas Data ante la Superintendencia de Industria y Comercio (SIC).
  • Argentina: derechos Ley 25.326 ante la Agencia de Acceso a la Información Pública.

Para ejercer derechos, escribe a privacy@smartplaylist.app indicando tu email de cuenta o identificador de invitado.

8. Menores

El servicio no está dirigido a menores de 13 años (16 en el EEE cuando la ley local lo exija). Si detectamos datos de menores sin consentimiento parental verificable, los eliminaremos.

9. Seguridad

Aplicamos HTTPS, hashing de IP, cookies httpOnly para sesión, cifrado Fernet para tokens sensibles (YouTube), rate limiting y validación de secretos en staging/producción. Los incidentes de seguridad con riesgo para derechos se notificarán conforme a la ley aplicable (p. ej. GDPR 72 h ante autoridad).

10. Cambios

Podemos actualizar esta política. Publicaremos la fecha de «Última actualización» y, si el cambio es sustancial, un aviso visible en la app.

11. Descargo de afiliación

Fanset usa la API de Spotify; no está afiliado ni respaldado por Spotify AB, Live Nation, setlist.fm, Deezer ni YouTube/Google.