Privacidad.

DROP. es un sistema operativo para DJs independientes: CRM de contactos, calendario de gigs, press kit público, integraciones con Gmail y Calendar, y herramientas de crecimiento. Operamos desde Santiago, Chile.

Esta política describe qué datos personales recolectamos, para qué los usamos, en qué base legal nos apoyamos y cómo los proteges.

Para cualquier consulta sobre privacidad o ejercer tus derechos: hola@dropgigs.com.

Tratamos tus datos personales con las siguientes bases legales, según la finalidad (anticipando la Ley 21.719 de Protección de Datos Personales, vigente desde el 1 de diciembre de 2026):

• Ejecución de contrato: los datos necesarios para que la app funcione (email, perfil, contactos, calendario, integraciones).
• Consentimiento: datos opcionales que decides compartir (perfil público en /dj, notificaciones de DJs que sigues, integraciones con Google).
• Interés legítimo: métricas agregadas de uso para mejorar el producto, prevención de fraude y abuso.
• Obligación legal: facturación electrónica, registros tributarios, respuesta a requerimientos de autoridades.

Datos de cuenta: tu email (para login y comunicaciones), nombre artístico, ciudad, géneros, redes sociales que decidiste cargar. Estos datos los ingresas tú voluntariamente en tu perfil.

Datos de tu actividad en la app: contactos que cargas en tu CRM, eventos del calendario, tracklists, métricas de crecimiento, notas privadas. Todo esto vive en tu cuenta y solo lo ves tú (más detalle abajo en “Cómo protegemos tus datos”).

Datos públicos en tu press kit: si activas tu perfil público en /p/tu-slug, la información que marques como visible (bio, géneros, ciudad, foto, redes) queda disponible públicamente vía URL. Los bookers pueden verla sin necesidad de tener cuenta.

Datos técnicos: guardamos eventos de uso (qué páginas visitas, qué acciones haces) para entender qué funcionalidad sirve y dónde mejorar. No vendemos estos datos a terceros y no usamos cookies de tracking de terceros.

Datos de pago: cuando te suscribas, MercadoPago procesa el cobro y nos comunica el resultado (exitoso/fallido/ reembolso) más un ID de transacción. No almacenamos directamente tu número de tarjeta — eso vive en MercadoPago bajo estándares PCI-DSS.

Integración con Google (Gmail / Calendar): si conectas tu Google, guardamos un token OAuth para acceder a los scopes que autorizaste. Los emails y eventos que sincronizamos viven en tu cuenta de DROP. Puedes desconectar Google en cualquier momento desde Configuración.

• Hacer funcionar la app (mostrarte tu CRM, calendario, press kit, etc.).
• Mandarte emails transaccionales (invites, recordatorios, notificaciones de DJs que sigues si activaste avisos, confirmaciones de pago).
• Mejorar el producto basándonos en métricas agregadas de uso (sin identificarte personalmente en reportes internos).
• Cumplir obligaciones legales y de facturación cuando aplique.

No vendemos tus datos a terceros. No usamos tu información para entrenar modelos externos. No compartimos tu CRM con otros DJs.

Para que la app funcione contratamos a los siguientes proveedores como encargados de tratamiento de datos. Cada uno tiene su política propia y firmamos los DPAs (Data Processing Agreements) correspondientes para asegurar que cumplan estándares equivalentes a los nuestros:

Al usar DROP. también aceptas las políticas de privacidad de estos proveedores.

Algunos de nuestros encargados (Supabase, Vercel, Resend, Google) tienen servidores fuera de Chile. Tomamos las medidas técnicas y contractuales razonables (DPAs, cifrado en tránsito y reposo, controles de acceso) para asegurar que tus datos viajen y se almacenen con el mismo nivel de protección que aplicamos localmente.

Toda la transmisión va por HTTPS forzado. Los datos están en Supabase (Postgres + Storage) con Row Level Security activado en todas las tablas: a nivel base de datos, solo tu sesión puede leer tus filas. Las queries que cruzan datos (directorio público de DJs, analytics agregadas) van por funciones server-side controladas que filtran lo que sale.

Los tokens OAuth de Google y las API keys de pago se almacenan cifrados en variables de entorno del servidor, nunca en el cliente. El bucket de screenshots de bug reports es privado y solo accesible por URLs firmadas con expiración de 1 hora.

Para el correo, autenticamos cada envío con SPF + DKIM + DMARC (política quarantine), así nadie puede mandar emails haciéndose pasar por dropgigs.com.

Tienes los siguientes derechos sobre tus datos personales (derechos ARCO + portabilidad, anticipando la Ley 21.719):

• Acceso: puedes ver todos tus datos en la app. Si quieres un export estructurado (JSON), pídenos vía email.
• Rectificación: editas cualquier campo de tu perfil en /perfil y /configuracion.
• Cancelación (borrado): puedes pedir borrar tu cuenta entera escribiéndonos a hola@dropgigs.com y procesamos el borrado en máximo 7 días hábiles.
• Oposición: puedes oponerte al tratamiento de tus datos para finalidades específicas. En cada email tienes un link de unsubscribe que te saca de futuras comunicaciones automáticas.
• Portabilidad: puedes pedir tus datos en un formato estructurado y legible para llevarlos a otra plataforma.

En caso de detectar una violación de seguridad que afecte tus datos personales, te notificaremos por email en el plazo más breve posible (en cualquier caso dentro de las 72 horas desde la detección, alineado con estándares internacionales y la futura Ley 21.719) con: qué pasó, qué datos pueden estar afectados, qué medidas estamos tomando, y qué te recomendamos hacer.

Mantenemos tus datos mientras tu cuenta esté activa. Si pides el borrado, eliminamos tu perfil + datos asociados de la DB de producción en un máximo de 7 días hábiles. Los backups automáticos de Supabase pueden retener copias hasta 30 días por recuperación de desastre, después se purgan automáticamente.

Los registros de facturación (boletas/facturas electrónicas) se conservan por el plazo legal exigido por el SII (6 años) incluso si cierras tu cuenta.

El responsable del tratamiento de datos personales recolectados por DROP. es el mismo identificado como proveedor en nuestros Términos de servicio. Cualquier solicitud relacionada con tus datos puede dirigirse al contacto de privacidad arriba indicado.

Si actualizamos esta política, te notificamos vía email y cambiamos la fecha de “última actualización” arriba. Si los cambios afectan derechos importantes, vas a tener que aceptar de nuevo antes de seguir usando la app.