Sentinela.

Legal · LGPD

Política de Privacidad

Última actualización: 12 de mayo de 2026 · Versión 1.0

Esta es una traducción de conveniencia. El documento jurídicamente vinculante es la versión en portugués (PT-br), regida por la ley brasileña (LGPD). En caso de divergencia, prevalece el texto en portugués.

Lectura corta: recolectamos solo lo necesario para correr el servicio (email, hash de contraseña, preferencias, datos de tus monitores). No vendemos a nadie. Alojamos en Brasil. Puedes pedir acceso, corrección o eliminación en cualquier momento.

1. Controlador

El controlador de tus datos personales es M2HP TECNOLOGIA LTDA, inscrita en el CNPJ 48.498.639/0001-75, con sede en Av. Osvaldo Reis, nº 3385, Sala 2004, Ed. Riviera Concept, Praia Brava, Itajaí/SC, Brasil.

2. Encargado (DPO)

Encargado de Protección de Datos (DPO) — art. 41 de la LGPD:

3. Datos que recolectamos

Registro:

  • Nombre y email
  • Contraseña (almacenada solo como hash bcrypt — no tenemos acceso al texto)
  • Idioma preferido y zona horaria
  • Configuración de 2FA cuando se activa (secreto TOTP cifrado)

Uso del servicio:

  • Datos de los monitores que registras (URLs, intervalos, configuraciones)
  • Resultados de las comprobaciones (estado, tiempo de respuesta, certificados observados)
  • Hallazgos de las auditorías de seguridad y sus objetivos
  • Canales de notificación configurados (webhooks, tokens Telegram, etc.)

Operacional:

  • Logs de autenticación (fecha, IP, user-agent) — para auditoría de seguridad
  • Pista de auditoría interna de acciones relevantes (crear/editar/eliminar recursos)

Lo que NO recolectamos: datos de navegación de tus visitantes en tus páginas de estado (sin analytics de terceros), datos de quién accede a tus monitores, datos financieros de tarjeta (procesados por un gateway certificado cuando se implemente).

4. Finalidades del tratamiento

  • Proveer el servicio contratado (ejecutar monitores, generar alertas, correr auditorías)
  • Comunicación operacional (notificaciones de incidente, informes solicitados)
  • Soporte técnico
  • Cumplimiento de obligaciones legales y fiscales
  • Detección de fraude y abuso (rate limits, patrones anómalos de uso)

5. Bases legales (art. 7º LGPD)

  • Ejecución de contrato (art. 7º, V): datos necesarios para proveer el Servicio contratado
  • Cumplimiento de obligación legal (art. 7º, II): datos fiscales y contables
  • Interés legítimo (art. 7º, IX): logs de seguridad y detección de fraude
  • Consentimiento (art. 7º, I): comunicaciones de marketing (siempre opcionales; opt-out claro)

6. Compartición

No vendemos datos. Compartimos solo con:

  • Operadores estrictamente necesarios: proveedor de hosting, gateway de email transaccional, futuro gateway de pago. Cada uno bajo contrato con cláusulas LGPD
  • Autoridades públicas: solo mediante orden judicial o requisición legal válida

Cuando usas integraciones que involucran terceros (Telegram, Slack, PagerDuty, webhooks), los datos que les enviamos quedan también sujetos a la política de privacidad de cada uno.

7. Cookies y tracking

Sentinela usa solo cookies estrictamente necesarias y funcionales. No usamos analytics, no usamos trackers de terceros, no compartimos con redes de anuncios. Practicamos lo que predicamos.

Cookies en uso:

  • sentinela_session · esencial · Identifica tu sesión autenticada. Sin ella, no puedes seguir conectado. Base legal: ejecución de contrato (art. 7º, V de la LGPD).
  • XSRF-TOKEN · esencial · Token CSRF que protege contra ataques cross-site. Sin él, los formularios quedan vulnerables. Base legal: interés legítimo de seguridad (art. 7º, IX).
  • localStorage sentinela.cookie-banner.dismissed · funcional · Recuerda que ya descartaste el banner de cookies, para no mostrarlo de nuevo. Es local en tu navegador, no va a nuestro servidor.
  • Preferencia de idioma (vía query string + sesión) · funcional · Recuerda si elegiste PT-br, EN o ES.

Lo que NO usamos:

  • Google Analytics, GA4, Tag Manager
  • Meta Pixel, Facebook Conversions API
  • Hotjar, FullStory o cualquier session replay
  • Cookies de remarketing o de redes de anuncios
  • Fingerprinting de dispositivo

Para fuentes web, usamos fonts.bunny.net, alternativa privacy-friendly a Google Fonts que no usa cookies ni registra IP más allá de lo necesario para entregar el archivo.

Como nuestras cookies son todas esenciales o funcionales, la LGPD no nos obliga a pedir consentimiento previo. Aun así, mostramos un banner discreto a cada nuevo visitante por transparencia — porque creemos que la confianza se construye explicando, no escondiendo.

8. Retención

  • Datos de la cuenta: mantenidos mientras la cuenta esté activa
  • Tras cancelación: 30 días de retención en modo read-only para exportación, luego eliminación
  • Logs de auditoría interna: retenidos hasta 12 meses con fines de seguridad
  • Datos fiscales (notas, facturas): retenidos por el plazo legal (5 años)

9. Derechos del titular (art. 18 LGPD)

Puedes, en cualquier momento, solicitar:

  • Confirmación del tratamiento de tus datos
  • Acceso a los datos que tenemos sobre ti
  • Corrección de datos incompletos, inexactos o desactualizados
  • Anonimización, bloqueo o eliminación de datos innecesarios o excesivos
  • Portabilidad de los datos a otro proveedor
  • Eliminación de los datos tratados con base en tu consentimiento
  • Información sobre con quién compartimos tus datos
  • Revocación del consentimiento

Para ejercer cualquier derecho, escribe a dpo@m2hp.com.br. Responderemos en hasta 15 días.

10. Seguridad

Adoptamos medidas técnicas y organizativas razonables:

  • Contraseñas almacenadas con bcrypt
  • Secreto de 2FA y tokens de recovery cifrados en reposo
  • Comunicación cliente-servidor siempre vía HTTPS (TLS 1.2+)
  • Headers de seguridad (HSTS, CSP, X-Frame-Options, etc.)
  • 2FA TOTP opcional disponible en todos los planes
  • Pista de auditoría interna de acciones relevantes
  • Aislamiento multi-tenant a nivel de query (cada usuario solo ve sus propios datos)

En caso de un incidente de seguridad que pueda causar riesgo relevante a los titulares, comunicaremos a la ANPD y a los titulares afectados conforme al art. 48 de la LGPD.

11. Transferencia internacional

Nuestro servicio está alojado en Brasil. Eventuales transferencias internacionales (ej.: proveedor de email transaccional) ocurren solo a países que ofrecen un grado adecuado de protección de datos conforme al art. 33 de la LGPD, o mediante cláusulas contractuales específicas.

12. Cambios en esta política

Podemos actualizar esta política. Los cambios relevantes se comunicarán por email con 30 días de antelación. La versión actual siempre está disponible en /legal/privacidade con fecha y número de versión.

13. ANPD

Si entiendes que tus derechos fueron violados, también puedes contactar a la Autoridad Nacional de Protección de Datos — ANPD (gov.br/anpd).

Aviso: recomendamos validación periódica de las bases legales y operadores listados con un abogado especializado en LGPD, especialmente cuando la relación con nuevos proveedores (gateway de pago, hosting, email transaccional) cambie.