Aviso de privacidad

• Quién lo lleva — Jaime Andrés López Rendón, controlador de datos individual, basado en Singapur.
• Qué recolecto — nombre y email cuando me contactas o comentas, email cuando te suscribes, país opcional, contenido del mensaje, y (solo con tu consent) analytics anónimos.
• Con quién comparto — cinco procesadores (Sanity, Resend, Google Analytics, Slack, ipapi.co). Sin anunciantes. Sin data brokers.
• Tus derechos — acceso, corrección, eliminación, portabilidad, oposición, retirar consent. Usa el formulario enlazado en "Tus derechos" abajo.

Jaime Andrés López Rendón, individuo basado en Singapur, es el controlador de los datos personales recolectados a través de jaimelopez.me. Actúa como Data Protection Officer (DPO) bajo la Personal Data Protection Act 2012 de Singapur (PDPA).

Todo contacto sobre privacidad pasa por el formulario en /privacy/request — ese canal me llega y deja registro. Por favor no escribas a un email personal para estos temas; el formulario nos facilita el seguimiento a ambos.

Solo recolecto datos personales por los cuatro canales de abajo. Cada uno detalla los datos, el propósito, la base legal bajo GDPR UE/UK, y cuánto los conservo.

Enviado desde /contact. Recolecto: tu nombre, email, nombre de empresa opcional, contenido del mensaje, el tema que seleccionaste, tu país detectado (código ISO-2), y el idioma de la página.

Propósito: responderte y, si aplica, evaluar si hay base para trabajar juntos.

Base legal bajo GDPR UE/UK: Artículo 6(1)(b) (medidas precontractuales a tu solicitud) si preguntas por una asesoría, o Artículo 6(1)(f) (interés legítimo en responder mensajes entrantes). Bajo PDPA: consent implícito por tu envío voluntario, con aviso del propósito en la página de contacto.

Retención: 24 meses desde el envío, luego se elimina. Las conversaciones que se convierten en una asesoría pagada migran a registros de engagement, regidos por el engagement letter.

Destinatarios: almacenado en Sanity (CMS), enviado a mi email vía Resend, y una notificación corta a mi workspace de Slack.

Enviado desde el footer o los formularios in-page. Recolecto: tu email, tu país detectado o seleccionado (ISO-2), el locale de la página desde la que te suscribiste, y la etiqueta de fuente (footer, blog, etc.). Opcionalmente, un primer nombre si respondes al email de bienvenida.

Propósito: enviar un email de confirmación (double opt-in), luego notas editoriales ocasionales (típicamente una vez al mes).

Base legal bajo GDPR UE/UK: Artículo 6(1)(a) (consent), evidenciado por el double opt-in. El "soft opt-in" de ePrivacy/PECR no aplica porque no hay relación comercial previa. Bajo PDPA: consent expreso vía el mismo double opt-in.

Retención: hasta que te des de baja, más 30 días en estado soft-deleted para evitar re-altas accidentales. Después solo conservo un hash unidireccional de tu email en una lista de supresión para honrar tu unsubscribe permanentemente.

Destinatarios: almacenado en Sanity, enviado vía Resend. Las campañas actualmente incluyen tracking de aperturas y clics que me ayuda a entender qué posts resonaron; el enlace de unsubscribe en cada email te permite optar fuera en cualquier momento, incluyendo el header RFC 8058 list-unsubscribe que soporta one-click unsubscribe en clientes de email modernos.

Enviados en posts individuales del blog. Recolecto: tu nombre, tu email (privado, nunca se muestra), el cuerpo del comentario, tu dirección IP, tu user agent, y tu país detectado.

Propósito: publicar el comentario tras moderación, contactarte sobre tu comentario si es necesario, y detectar spam/abuso.

Base legal bajo GDPR UE/UK: Artículo 6(1)(a) (consent) para publicar el nombre y cuerpo público, y Artículo 6(1)(f) (interés legítimo en moderar spam y abuso) para retener IP, user agent y email. Bajo PDPA: consent implícito para el flujo de publicación, junto con aviso en el formulario. Bajo LGPD: interés legítimo bajo Artículo 7, VII para moderación.

Retención: los comentarios aprobados permanecen publicados mientras el post esté en línea. Las direcciones IP se conservan 90 días, luego se anulan manteniendo el cuerpo del comentario. Los comentarios pendientes se purgan automáticamente a los 30 días. Los marcados como spam se conservan hasta 6 meses para detección de patrones cross-comment, luego se purgan.

Destinatarios: almacenado en Sanity, con email de notificación a mí vía Resend.

Uso Google Analytics 4 (GA4) para contar páginas vistas y entender qué posts se leen. GA4 solo carga si haces clic en "Aceptar analytics" en el banner de cookies, o si tu navegador ya tiene un registro de consent guardado de una visita anterior.

Antes de que cualquier script de analytics cargue, la página establece las cuatro señales de Google Consent Mode v2 como denegadas por defecto en UE, Reino Unido, Suiza, Islandia, Liechtenstein y Noruega. Fuera de esas regiones aplica el mismo default hasta que tomes una decisión. Las señales publicitarias (ad_storage, ad_user_data, ad_personalization) permanecen denegadas incluso si aceptas analytics — no corro ninguna etiqueta publicitaria.

Base legal bajo GDPR UE/UK: Artículo 6(1)(a) (consent), capturado vía el banner de cookies. Bajo PDPA y LGPD: lo mismo — consent opt-in.

Retención: los datos de usuario y eventos en GA4 están configurados a 14 meses en el admin de GA4 (la configuración sensata más estricta). Reportes agregados no personales pueden conservarse más tiempo.

Destinatarios: Google Ireland Limited para tráfico desde EEE/UK; Google LLC en otros casos. Las Cláusulas Contractuales Estándar y el Data Privacy Framework UE-US cubren las transferencias a EE.UU.

Detalle: las cookies establecidas bajo consent incluyen _ga y _ga_78XP4JW78P. Consulta la política de cookies para la tabla completa.

Cuando cargas una página o envías un formulario, detecto tu país a partir de headers de la petición (headers geo de Cloudflare, Vercel o Google Cloud Load Balancer dependiendo del edge) o, como fallback, consultando ipapi.co con tu IP. Solo se almacena el código ISO-2 del país — nunca tu IP cruda, salvo en moderación de comentarios como se describe arriba.

Propósito: mostrar la pre-selección correcta de país en el newsletter, segmentar campañas de newsletter por país (p. ej. APAC vs LATAM vs UE), y analytics agregados en vistas de admin.

Base legal: Artículo 6(1)(f) (interés legítimo en el funcionamiento básico del sitio). Bajo PDPA: razonable para un sitio que ofrece contenido bilingüe a una audiencia global.

Cuando inicio sesión en el panel admin, el sitio emite una cookie de sesión firmada llamada jl_admin (HttpOnly, TTL 30 días). Esta cookie nunca se establece en el navegador de un visitante normal. La actividad de login (timestamp, IP, user agent) se registra durante 12 meses para monitoreo de seguridad.

Si estás en el EEE, Reino Unido o Suiza, tus datos pueden transferirse a Estados Unidos y Singapur. Las transferencias a EE.UU. se basan en una combinación del EU-US Data Privacy Framework (cuando el destinatario está certificado) y Cláusulas Contractuales Estándar con medidas técnicas suplementarias.

Bajo la Sección 26 de la PDPA de Singapur, tomo medidas razonables para asegurar que los destinatarios fuera de Singapur estén obligados a un estándar de protección comparable — vía DPAs, SCCs y compromisos de procesador.

Tienes derecho a saber qué datos guardo sobre ti, a pedir una copia, a corregir inexactitudes, a pedir eliminación, a oponerte al tratamiento basado en interés legítimo, a retirar tu consent, y a recibir una copia portable de los datos que proporcionaste. Los derechos exactos dependen de la ley que te aplique:

• Singapur PDPA — acceso, corrección, retirar consent.
• GDPR UE / GDPR UK — acceso, rectificación, supresión, restricción, portabilidad, oposición, retirar consent, derecho a presentar reclamo ante una autoridad de control.
• Brasil LGPD — confirmación de tratamiento, acceso, corrección, anonimización/bloqueo/eliminación de datos innecesarios, portabilidad, información sobre compartición, revocación de consent. Respuesta en 15 días.
• México LFPDPPP, Colombia Ley 1581, Argentina PDP, y otros regímenes LATAM — los derechos ARCO equivalentes se honran sobre la misma base.
• California CCPA/CPRA — no cumplo los thresholds de business de la CCPA, no vendo ni comparto información personal, y no opero un programa Do Not Sell or Share. Los derechos arriba se honran para residentes de California sobre una base comparable.

Para ejercer cualquiera de estos derechos, usa el formulario en /privacy/request. Acuso recibo en 7 días y respondo en 30 (15 para LGPD). La verificación de identidad se hace respondiendo a la confirmación que envío al email que proporciones. No hay costo por solicitudes legítimas.

Si no estás satisfecho con cómo manejé tu solicitud, puedes presentar un reclamo ante la autoridad de control de tu país. Algunos contactos primarios:

• Singapur PDPC — https://www.pdpc.gov.sg/
• European Data Protection Board (lista de autoridades UE) — https://www.edpb.europa.eu/about-edpb/about-edpb/members_en
• ICO Reino Unido — https://ico.org.uk/make-a-complaint/
• Brasil ANPD — https://www.gov.br/anpd/

El sitio se sirve por TLS. La cookie de sesión admin es firmada y HttpOnly. Las APIs tienen rate-limit por IP. Los envíos de comentarios pasan por checks de honeypot, antigüedad del form y conteo de enlaces antes de almacenarse.

Ningún sistema es invulnerable. Si una brecha de datos personales te afecta, te notificaré y avisaré a la autoridad de control correspondiente como exija la ley.

Este sitio no está dirigido a niños menores de 16 años. No recolecto a sabiendas datos personales de menores de 16. Si crees que un niño envió datos personales, usa el formulario en /privacy/request y los eliminaré.

Si hago un cambio material — añadir un procesador, cambiar la base legal, expandir los datos que recolecto, o reducir tus derechos — la fecha de "Última actualización" cambiará y el banner de consent reabrirá la pregunta de analytics. Las ediciones cosméticas no disparan re-prompt.

Mantengo internamente un historial de versiones; la versión actual de este aviso se muestra junto a la fecha.