Política de Privacidad

Última actualización: 2 de mayo de 2026

Monoid está construido sobre un único principio: recopilar solo lo necesario, minimizar los identificadores de inmediato y evitar los perfiles de visitantes. Esta política explica qué datos procesamos, por qué y cómo.

1. Quiénes somos

Monoid es operado por Izac Cavalheiro ([email protected]), establecido en Brasil. Para preguntas sobre esta política, contáctanos en esa dirección.

Monoid no mantiene actualmente un establecimiento en la UE, el Reino Unido o el EEE, y no ha designado un representante según el Art. 27 del RGPD o el UK GDPR. Esta exención se aplica porque el tratamiento de datos de interesados de la UE/RU/EEE no es a gran escala, no involucra categorías especiales de datos y no es probable que resulte en un alto riesgo para las personas. Supervisamos mensualmente el volumen de interesados de la UE/EEE tratados. Si el tratamiento supera consistentemente los 5.000 interesados distintos de la UE/EEE por mes natural, designaremos un representante en la UE conforme al Art. 27 del RGPD (y, de forma separada, un representante en el Reino Unido según el Art. 27 del UK GDPR y un representante suizo según el Art. 14 de la nFADP) antes de que ese umbral se mantenga de forma sostenida.

2. Datos de visitantes que recopilamos en tu nombre

Cuando los visitantes cargan una página en un sitio instrumentado con Monoid, el rastreador JavaScript envía una solicitud de página vista que contiene:

  • El site ID configurado en la etiqueta de script
  • La ruta de la página, como /precios
  • El hostname del referente, cuando está disponible
  • El ancho de pantalla reportado por el navegador
  • Un código de país derivado de metadatos edge aproximados
  • Un tipo de dispositivo amplio derivado de una coincidencia de patrón de User-Agent y ancho de pantalla aproximado
  • Un hash diario de un solo sentido usado únicamente para contar visitantes únicos
  • Nombres de eventos personalizados y valores numéricos opcionales, cuando tu sitio llama a window.monoid('event', ...) o activa el rastreo automático de interacciones
  • Duración de página en milisegundos en cambios de ruta o al salir de la página, usada para calcular el tiempo promedio en el sitio

Lo que no almacenamos: Direcciones IP, strings de User-Agent completos, cookies, huellas digitales de dispositivos, ubicación precisa o identificadores de visitantes persistentes entre días.

El hash de visitante único se calcula como SHA-256(IP + User-Agent + SALT + YYYY-MM-DD). El componente de fecha significa que el hash cambia cada medianoche UTC. El SALT secreto hace que la reversión sea impráctica a partir de las filas de analíticas almacenadas. El hash se usa como señal de conteo diario, no como perfil de visitante persistente.

3. Datos de cuenta que recopilamos

Cuando creas o usas una cuenta de Monoid, recopilamos:

  • Tu dirección de email (para login y emails transaccionales)
  • Una contraseña almacenada como hash unidireccional con salt si te registras con email/contraseña
  • Identificadores de proveedores OAuth si usas inicio de sesión social (Google, GitHub, Microsoft o Facebook, cuando esté habilitado) — nunca recibimos tus contraseñas de OAuth
  • Tus nombres de dominio registrados
  • Preferencias del panel, como rangos de fechas, tipos de gráficos y paneles visibles
  • Tokens de restablecimiento de contraseña en forma hasheada mientras un enlace de restablecimiento es válido
  • Mensajes de contacto y soporte que nos envías
  • Información de facturación procesada completamente por Stripe — nunca vemos ni almacenamos números de tarjeta

4. Cookies y almacenamiento

El script del rastreador no usa cookies, ni localStorage, ni sessionStorage.

El panel de Monoid usa una cookie de sesión httpOnly (user_token) para mantener tu login hasta 30 días. Estas cookies son estrictamente necesarias para la aplicación y no te rastrean en otros sitios web.

5. Cómo usamos tus datos

  • Datos de visitantes — para proporcionar analíticas agregadas en tu panel.
  • Email de cuenta — para enviar emails de bienvenida, activación de sitio, restablecimiento de contraseña y servicio.
  • Preferencias del panel — para recordar tu diseño de panel seleccionado y configuración de gráficos.
  • Mensajes de contacto y soporte — para responder a tus solicitudes.
  • Datos de facturación — para procesar pagos a través de Stripe y cumplir con los requisitos de mantenimiento de registros financieros.

No usamos tus datos para publicidad, perfilado de visitantes, ni para ningún propósito más allá de operar el Servicio.

6. Compartir datos

Compartimos datos con:

  • Infraestructura edge administrada — recopilación de datos y hosting de la aplicación.
  • Stripe — para procesamiento de pagos.
  • Resend — para entrega de email transaccional y entrega de mensajes de contacto/soporte.
  • Proveedores OAuth — solo cuando eliges el inicio de sesión social, para completar la autenticación.

No vendemos datos. No compartimos datos con anunciantes, corredores de datos ni terceros fuera de los proveedores de servicios necesarios para operar Monoid.

6a. Transferencias internacionales de datos

Cloudflare, Stripe y Resend son empresas con sede en EE.UU. Las transferencias de datos personales a estos proveedores están cubiertas por las Cláusulas Contractuales Estándar de la UE (SCCs) y el Marco de Privacidad de Datos UE–EE.UU., el Marco Suizo–EE.UU. (para residentes en Suiza) y el Acuerdo de Transferencia Internacional de Datos del Reino Unido o el Addendum del Reino Unido a las SCCs de la UE (para residentes en el Reino Unido). Puedes consultar los mecanismos de transferencia de cada proveedor: Cloudflare (cloudflare.com/trust-hub/gdpr/), Stripe (stripe.com/legal/dpa), Resend (resend.com/legal/dpa).

6b. Base legal para el tratamiento

Tratamos los datos personales sobre las siguientes bases legales (Art. 6 del RGPD UE/RU; Art. 6 de la nFADP suiza):

  • Analíticas de visitantes (hasheadas, sin cookies, rotación diaria) — Interés legítimo (Art. 6(1)(f)): proporcionar analíticas de audiencia con privacidad a los propietarios de sitios web es nuestro servicio principal, y el diseño minimiza el impacto en los interesados individuales.
  • Registro de cuenta y prestación del servicio — Ejecución de un contrato (Art. 6(1)(b)).
  • Emails transaccionales — Ejecución de un contrato (Art. 6(1)(b)).
  • Registros de facturación — Obligación legal (Art. 6(1)(c)): las regulaciones financieras requieren la retención de registros de pago.
  • Registros de seguridad y datos de límite de tasa — Interés legítimo (Art. 6(1)(f)): proteger la plataforma contra el abuso y el acceso no autorizado.

7. Retención de datos

  • Datos de páginas vistas y eventos personalizados — los informes del panel se limitan a rangos de 90 días; las filas más antiguas de 90 días son eliminadas por el proceso de limpieza.
  • Datos de cuenta, sitios, preferencias del panel, enlaces OAuth, registros pendientes, páginas vistas asociadas y eventos personalizados — eliminados de la base de datos activa cuando eliminas tu cuenta.
  • Tokens de restablecimiento de contraseña — válidos por 1 hora y eliminados o invalidados cuando son reemplazados o usados.
  • Estado de inicio de sesión OAuth — válido por 10 minutos y eliminado después de que el callback sea procesado.
  • Registros de facturación — retenidos según lo requerido por las regulaciones financieras aplicables (típicamente 7 años).

8. Tus derechos

Dependiendo de tu jurisdicción, puedes tener el derecho a:

  • Acceder a los datos personales que tenemos sobre ti
  • Corregir datos inexactos
  • Eliminar tu cuenta y todos los datos asociados
  • Exportar tus datos de analíticas en formato estructurado
  • Oponerte al tratamiento basado en intereses legítimos (Art. 21 RGPD / UK GDPR)
  • Presentar una reclamación ante tu autoridad nacional supervisora de protección de datos

Para las analíticas de visitantes, nos basamos en el Interés Legítimo (Art. 6(1)(f)). Nuestra Evaluación de Interés Legítimo (LIA) aplica el test de tres fases del CEPD: (1) Test de finalidad — proporcionar analíticas de audiencia que respetan la privacidad es un interés legítimo tanto de Monoid como de sus clientes; (2) Test de necesidad — cada campo almacenado (ruta de página, nombre de dominio del referrer, código de país, categoría de dispositivo, familia de navegador, hash diario del visitante, fecha) es individualmente necesario y no se guarda nada más preciso; las direcciones IP y las cadenas completas de User-Agent se usan solo en memoria y nunca se escriben en almacenamiento; (3) Test de ponderación — el hash SHA-256 de rotación diaria es prácticamente irreversible sin acceso simultáneo a la IP del visitante, el User-Agent y nuestra clave secreta; no es posible crear perfiles entre días; se respetan las señales DNT; no se establecen cookies ni identificadores persistentes en el dispositivo del visitante. En conjunto, el tratamiento impone un riesgo mínimo para las personas mientras habilita una función esencial del servicio. Puedes solicitar una copia del documento LIA completo enviando un correo a [email protected].

Los residentes de la UE/EEE pueden contactar a su autoridad nacional de protección de datos (lista en edpb.europa.eu). Los residentes del Reino Unido pueden contactar al ICO (ico.org.uk). Los residentes suizos pueden contactar al FDPIC (fdpic.ch). Para los titulares de cuentas de Monoid, puedes eliminar tu cuenta y todos los datos directamente desde la página de configuración de la cuenta.

Para solicitudes de acceso, corrección, portabilidad u objeción, envía un email a [email protected]. Respondemos dentro de los 30 días.

8b. Procesamiento automatizado y aplicación de límites del plan

Monoid aplica automáticamente los límites del plan: si un sitio supera su límite mensual de páginas vistas, no se registran filas adicionales hasta el próximo período de facturación. Esta decisión se toma automáticamente basándose en el conteo agregado de páginas vistas de tu cuenta, no en ningún perfil de los visitantes individuales del sitio web. No constituye una decisión automatizada con efectos jurídicos significativos en el sentido del Art. 22 del RGPD o el Art. 22 del UK GDPR. Si usas los datos analíticos de Monoid para tomar decisiones automatizadas sobre tus propios usuarios, debes informarlo por separado en tu propia política de privacidad.

9. Seguridad

Todos los datos se transmiten por HTTPS. Las contraseñas nunca se almacenan en texto plano; se almacenan usando hashing de contraseñas unidireccional con salt. Las cookies de sesión son httpOnly, y las solicitudes autenticadas de API están restringidas por verificaciones de origen. Registramos eventos relevantes de seguridad como intentos fallidos de inicio de sesión, restablecimientos de contraseña y confirmaciones de eliminación de cuenta.

10. Privacidad de los niños

El Servicio no está dirigido a niños menores de 16 años. No recopilamos datos de niños a sabiendas. Si crees que un niño ha creado una cuenta, contáctanos y la eliminaremos de inmediato.

11. Cambios a esta política

Los cambios materiales se comunicarán por email al menos 14 días antes de que entren en vigor. La fecha de "última actualización" arriba siempre reflejará la versión actual.

12. Contacto

Preguntas sobre privacidad, solicitudes de datos o inquietudes: [email protected]