Aviso de Privacidad

Femayuda (el "Sitio") es una iniciativa independiente y sin fines de lucro. Opera dos servicios complementarios: (1) un directorio público de organizaciones de apoyo a mujeres en situación de violencia en México y (2) un canal SOS verificado que conecta a personas que solicitan ayuda con organizaciones del directorio. No estamos afiliadas a ningún partido, gobierno, agencia ni donante institucional.

Solo recabamos datos cuando una persona u organización decide enviarlos:

• Organizaciones que se registran: nombre de la organización, Instagram, sitio web, teléfono, WhatsApp, estado, categorías de apoyo, descripción, persona de contacto, correo de contacto, y consentimiento explícito para recibir solicitudes SOS (opt-in).
• Personas que envían un SOS (función próxima): correo de contacto, teléfono (solo para verificación por SMS), estado declarado, categorías solicitadas y el cifrado opaco del mensaje. El contenido del mensaje viaja cifrado de extremo a extremo: Femayuda recibe únicamente el cifrado, nunca la clave de descifrado.

• Publicar la información de las organizaciones en el directorio público.
• Enviar a las organizaciones las solicitudes de apoyo (SOS) de personas que coincidan con las categorías que ofrecen, únicamente cuando la organización haya dado su consentimiento previo y explícito.
• Verificar la autenticidad de las solicitudes (SMS OTP) para prevenir abuso del canal SOS.
• Aplicar límites de uso (rate limits) por número, correo e IP para proteger el servicio.
• Atender reportes de spam, incidentes y solicitudes de derechos ARCO.

El contenido del mensaje SOS se cifra en el navegador de la persona antes de salir de su dispositivo, con una clave AES-256 generada al vuelo. La clave nunca llega al servidor de Femayuda. Cada organización destinataria recibe un enlace seguro cuyo fragmento URL contiene la clave; los fragmentos URL, por especificación de HTTP, nunca se envían al servidor.

Consecuencia jurídica: Femayuda no puede leer ni entregar el contenido del mensaje, ni siquiera ante una orden judicial, porque estructuralmente no lo tiene. Solo puede entregar metadatos (correo, hash irreversible del teléfono, categorías, estado) cuando una orden específica y fundamentada lo exige.

No vendemos ni alquilamos datos. Compartimos datos únicamente con los proveedores estrictamente necesarios para operar el sitio (envío de correos, verificación SMS, hosting, storage efímero). Estos proveedores procesan los datos conforme a sus propias políticas y solo para los fines indicados.

Transferencias internacionales: nuestros proveedores (Vercel para hosting, Resend para correo, Twilio para SMS, Upstash para storage efímero) pueden procesar datos en servidores ubicados fuera de México, principalmente en Estados Unidos y la Unión Europea. Esta transferencia se realiza bajo las garantías de protección equivalente que establece la LFPDPPP, y al usar Femayuda aceptas dicha transferencia. Elegimos proveedores con políticas de privacidad robustas y reportes públicos de transparencia.

No compartimos datos con autoridades salvo por orden judicial específica y fundamentada. Si recibiéramos una orden, avisamos a la persona involucrada en cuanto la ley lo permita.

• Registros de organizaciones: mientras la organización permanezca en el directorio.
• Hash del teléfono (HMAC-SHA256, irreversible): hasta 24 horas en el registro detallado de rate limit; después solo persiste el contador agregado del día.
• Correo de personas que enviaron SOS: hasta 30 días para resolución de incidentes y prevención de abuso. Después se elimina.
• Cifrado opaco del mensaje SOS: hasta 7 días para entrega y eventual relectura por la organización destinataria. Después se elimina automáticamente. Lo que guardamos es ininteligible sin la clave de descifrado, y esa clave nunca pasa por nuestro servidor.
• Hash del contenido reportado como spam: hasta 90 días para detección de patrones de abuso. No incluye el contenido en sí.

Tienes derecho a acceder, rectificar, cancelar y oponerte al tratamiento de tus datos personales, así como a revocar el consentimiento que hayas otorgado. Durante la fase de validación, para ejercer cualquiera de estos derechos contáctanos por el mismo medio por el cual recibiste tu invitación al proyecto. Respondemos en un plazo máximo de 20 días hábiles.

Tráfico cifrado en tránsito mediante HTTPS. Teléfonos almacenados únicamente como HMAC-SHA256 con pimienta del servidor (irreversible). Mensajes SOS cifrados de extremo a extremo en el navegador antes de salir. No usamos cookies de terceros, no incorporamos analytics, no enviamos referrers a otros sitios. No registramos direcciones IP más allá de los logs estrictamente necesarios para anti-fraude.

Si modificamos este aviso, publicaremos la nueva versión en esta misma página con la fecha de actualización. Te recomendamos revisarla periódicamente.