Acuerdo de Procesamiento de Datos

Última actualización: 23 de mayo de 2026

Este Acuerdo de Procesamiento de Datos ("APD") se celebra entre Monoid ("Procesador") y el propietario del sitio web que utiliza el servicio de analíticas de Monoid ("Controlador"). Forma parte de los Términos de Uso y rige el procesamiento de datos personales llevado a cabo por Monoid en nombre del Controlador.

1. Definiciones

"Datos Personales", "Controlador", "Procesador", "Interesado", "Tratamiento" y "Autoridad de Control" tienen los significados del Reglamento General de Protección de Datos (RGPD) de la UE 2016/679. "Subprocesador" significa cualquier tercero contratado por el Procesador para tratar Datos Personales en virtud de este APD.

2. Objeto y naturaleza del tratamiento

El Procesador proporciona analíticas web con enfoque en privacidad. El tratamiento consiste en: recibir señales de páginas vistas anonimizadas de los visitantes del sitio web del Controlador, calcular un hash de visitante SHA-256 de rotación diaria (IP + User-Agent + sal del servidor + fecha), almacenar datos de analíticas agregados (rutas de páginas, hostnames de referentes, códigos de país, tipos de dispositivos, familias de navegadores, recuentos diarios de visitantes) y poner estadísticas agregadas a disposición en el panel del Controlador. Las direcciones IP sin procesar y las cadenas User-Agent se usan solo en memoria para calcular el hash y nunca se almacenan.

3. Duración

Este APD está en vigor mientras el Controlador mantenga una cuenta de Monoid. Termina automáticamente al eliminar la cuenta.

4. Obligaciones del Procesador (Art. 28(3) RGPD)

El Procesador deberá:

  • Tratar los Datos Personales únicamente siguiendo las instrucciones documentadas del Controlador, salvo cuando lo exija la ley aplicable.
  • Garantizar que las personas autorizadas a tratar los Datos Personales se hayan comprometido con la confidencialidad o estén sujetas a una obligación legal adecuada de confidencialidad.
  • Implementar medidas técnicas y organizativas adecuadas (Art. 32 RGPD) — incluyendo transmisión solo por HTTPS, hash de contraseña PBKDF2-SHA256, cookies de sesión httpOnly, validación de solicitudes Zod y limitación de tasa en todos los endpoints sensibles.
  • No contratar a un Subprocesador sin autorización previa por escrito del Controlador (la autorización se otorga al aceptar estos Términos y APD; los Subprocesadores listados en la Sección 6 están preautorizados).
  • Asistir al Controlador en el cumplimiento de las solicitudes de los interesados (acceso, supresión, portabilidad, oposición) mediante las herramientas a nivel de cuenta documentadas en /privacy y, donde sea técnicamente imposible, respondiendo a las solicitudes por email en 30 días.
  • Asistir al Controlador en sus obligaciones conforme a los Art. 32–36 del RGPD, incluyendo la provisión de información necesaria para demostrar el cumplimiento, el apoyo a las Evaluaciones de Impacto sobre la Protección de Datos y la cooperación con las autoridades de control.
  • Eliminar o devolver todos los Datos Personales al Controlador al final del servicio, y eliminar las copias existentes, salvo que el almacenamiento sea requerido por la ley aplicable. La eliminación de la cuenta activa la eliminación en cascada inmediata de todos los datos de analíticas.
  • Poner a disposición toda la información necesaria para demostrar el cumplimiento de este APD y permitir y contribuir a las auditorías e inspecciones realizadas por el Controlador o un auditor designado por él.

5. Obligaciones del Controlador

El Controlador deberá: (a) garantizar que tiene una base legal para instruir al Procesador a tratar Datos Personales; (b) garantizar que el script del rastreador se implemente solo en sitios web de su propiedad o control; (c) incluir una divulgación adecuada del servicio de analíticas en su propia política de privacidad; y (d) notificar al Procesador con prontitud cualquier cambio en las instrucciones de tratamiento.

6. Subprocesadores

El Controlador autoriza los siguientes Subprocesadores:

  • Cloudflare, Inc. (EE.UU.) — infraestructura de cómputo edge y base de datos D1. Mecanismo de transferencia: Cláusulas Contractuales Estándar (SCCs) de la UE, Marco de Privacidad de Datos UE–EE.UU., DPF Suizo–EE.UU., IDTA del Reino Unido. APD: cloudflare.com/trust-hub/gdpr/
  • Resend, Inc. (EE.UU.) — entrega de email transaccional. Mecanismo de transferencia: SCCs de la UE. APD: resend.com/legal/dpa
  • Stripe, Inc. (EE.UU.) — procesamiento de pagos (solo facturación del Controlador; ningún dato de analíticas de visitantes se comparte con Stripe). Mecanismo de transferencia: SCCs de la UE, DPF UE–EE.UU., IDTA del Reino Unido. APD: stripe.com/legal/dpa

El Procesador proporcionará al menos 30 días de aviso previo por escrito (a través del email de cuenta registrado) de cualquier cambio previsto en los Subprocesadores, dando al Controlador la oportunidad de oponerse.

7. Transferencias internacionales

Los Datos Personales pueden transferirse a Estados Unidos a través de los Subprocesadores listados en la Sección 6. Cada transferencia está cubierta por una salvaguarda adecuada (SCCs de la UE, Marco de Privacidad de Datos UE–EE.UU., DPF Suizo–EE.UU. o IDTA del Reino Unido) según se indica arriba. No se producen otras transferencias a terceros países.

8. Seguridad y notificación de brechas

El Procesador notificará al Controlador sin demora indebida, y en todo caso dentro de las 24 horas, tras tomar conocimiento de una brecha de Datos Personales que afecte a datos tratados en virtud de este APD. La notificación se realizará al email de cuenta registrado del Controlador e incluirá: la naturaleza de la brecha, categorías y número aproximado de interesados y registros afectados, consecuencias probables y medidas adoptadas o propuestas.

9. Derechos de auditoría

El Controlador puede solicitar un resumen escrito de las medidas de seguridad del Procesador una vez por año calendario. Cuando un requisito regulatorio exija una auditoría in situ, las partes acordarán previamente el calendario, el alcance y las obligaciones de confidencialidad.

10. Ley aplicable

Este APD se rige por las leyes de Brasil, salvo cuando la legislación obligatoria de protección de datos de la UE, el Reino Unido o Suiza otorgue al Controlador derechos adicionales que no puedan renunciarse.

11. Contacto

Preguntas sobre este APD: [email protected]