Política de privacidad
Última actualización: 2026-04-18
Esta página explica qué datos personales recopilamos, por qué los recopilamos, cuánto tiempo los conservamos y qué derechos tienes. Queremos un lenguaje claro — sin lenguaje legal enrevesado.
Quiénes somos
Este servicio lo opera pingtoren. Para cualquier consulta sobre privacidad, escribe a:
Contacto: privacy@pingtoren.com
Datos que tratamos
Solo recopilamos lo necesario para prestar el servicio:
- Información de cuenta — tu correo y un hash unidireccional de tu contraseña. Si decides entrar con GitHub, también guardamos tu nombre de usuario de GitHub, el correo primario verificado, el nombre a mostrar y la URL del avatar, importados con tu autorización explícita en la pantalla de consentimiento de GitHub.
- Contenido del servicio — las URL, nombres, calendarios, destinatarios de alerta y ajustes de los monitors que creas.
- Datos operativos — los resultados de cada check que corremos para ti (estado, tiempo de respuesta, error si lo hubo), incidentes y estadísticas diarias agregadas.
- Metadatos técnicos — dirección IP de la petición y user agent, conservados brevemente en logs de servidor por seguridad y depuración.
Por qué los tratamos y con qué base legal
Cada finalidad se apoya en una única base legal del artículo 6 del RGPD:
- Prestar el servicio de monitorización (ejecutar checks, enviar alertas, mostrar tus datos).Ejecución de un contrato — art. 6(1)(b).
- Mantener el servicio seguro y evitar abusos (rate limits, fraude, protección de cuenta).Interés legítimo — art. 6(1)(f).
- Diagnosticar errores y mantener la fiabilidad (logs de servidor).Interés legítimo — art. 6(1)(f).
- Cumplir obligaciones legales (p. ej. responder a requerimientos de autoridades).Obligación legal — art. 6(1)(c).
Quién recibe tus datos
Tus datos los tratamos nosotros y un pequeño grupo de proveedores que actúan siguiendo nuestras instrucciones:
- AWS Europe S.à r.l. (Luxemburgo) — nuestro proveedor de infraestructura cloud. Lo usamos para hosting, inicio de sesión, almacenamiento de datos y envío de notificaciones por correo. Todo corre en Fráncfort. Otras regiones pueden ejecutar tus checks de monitorización solo si las activas explícitamente — detalles en la sección «Infraestructura» más abajo.
- Plausible Insights OÜ (Estonia) — analítica web respetuosa con la privacidad. Detalles en la sección «Analítica» más abajo.
- GitHub, Inc. (Estados Unidos) — solo si decides entrar con tu cuenta de GitHub. Leemos tu nombre de usuario, el correo primario verificado, el nombre a mostrar y la URL del avatar para autenticarte. GitHub, Inc. está certificado bajo el EU–US Data Privacy Framework, que cubre esta transferencia.
Dónde se almacenan los datos y transferencias internacionales
Todos los datos de cuenta, monitors y datos operativos se almacenan en el Espacio Económico Europeo (Fráncfort, Alemania).
Por defecto no transferimos datos fuera del EEE. Dos cosas pueden cambiar eso, ambas bajo tu control explícito: iniciar sesión con GitHub (tu autenticación llega a GitHub, Inc. en EE. UU., cubierta por la certificación EU–US Data Privacy Framework de GitHub) y activar checks de monitorización desde regiones no europeas. El cuadro completo está en la sección «Infraestructura» más abajo.
Infraestructura y residencia de datos
Dónde viven tus datos
Tu cuenta, tus monitors, los resultados de checks que recopilamos para ti y tu historial de incidentes se almacenan en un único sitio: Fráncfort, Alemania. Ninguna otra región guarda copia de tus datos.
Los datos en reposo están cifrados con AES-256, usando una clave que tenemos y controlamos nosotros — rotada según nuestro calendario, auditable en cada uso y revocable en cualquier momento. Los datos en tránsito van siempre por HTTPS con TLS moderno (1.2 o superior).
Monitorización desde otras regiones
Cuando configuras un monitor para correr checks desde EE. UU. o Asia-Pacífico, el check se ejecuta en esa región y el resultado se registra de vuelta en Fráncfort. Durante cada check, los ajustes del monitor que hayas definido — URL objetivo, método HTTP, headers, cuerpo de la petición y credenciales de basic-auth si las usas — se usan en esa región para ese único check y se descartan cuando termina. Nada sobre tus datos se conserva fuera de Fráncfort.
Los nuevos monitors corren solo desde Europa. Las regiones adicionales se añaden únicamente cuando las activas explícitamente por monitor.
- Europa — Fráncfort e Irlanda
- EE. UU. — Norte de Virginia y Oregón
- Asia-Pacífico — Singapur y Tokio
Entidad contratante y salvaguardas transfronterizas
Nuestra infraestructura cloud opera bajo contrato con AWS Europe S.à r.l. (Luxemburgo), regida por el AWS EU Data Processing Addendum con Cláusulas Contractuales Tipo. Si inicias sesión con GitHub, esa autenticación la gestiona GitHub, Inc. (EE. UU.), cubierta por su certificación del EU–US Data Privacy Framework.
Soberanía de datos y la CLOUD Act de EE. UU.
Nuestro proveedor de infraestructura cloud tiene una matriz en EE. UU. (Amazon.com, Inc.), lo que significa que sus filiales extranjeras están sujetas a la legislación estadounidense, incluida la CLOUD Act. Hemos diseñado el servicio teniendo esa realidad en cuenta:
- Tus datos no salen de Europa. Fráncfort es el único sitio donde viven — no replicamos, no cacheamos ni hacemos backup en ningún otro sitio.
- Todo lo que está en reposo va cifrado con una clave que tenemos y controlamos nosotros. La rotamos, auditamos su uso y podemos invalidarla por completo si alguna vez fuera necesario.
- Solo recopilamos los datos personales que el servicio realmente necesita para funcionar. Sin perfilado, sin identificadores publicitarios, sin tracking de comportamiento.
Si operas en un sector regulado, en el sector público o en un contexto de infraestructura crítica donde necesitas una postura plenamente soberana en la UE, podemos evaluar un despliegue dedicado en un proveedor cloud europeo (por ejemplo, Hetzner o Scaleway) bajo contrato. Escríbenos a privacy@pingtoren.com para hablarlo.
Cuánto tiempo conservamos tus datos
Conservamos los datos solo el tiempo necesario para la finalidad:
- Cuenta (correo, hash de contraseña, perfil) — hasta que elimines tu cuenta.
- Configuraciones de monitors e incidentes — hasta que elimines el monitor o tu cuenta.
- Resultados brutos de checks — 7 días (rolling).
- Estadísticas diarias agregadas — 400 días.
- Logs de peticiones del servidor — 14 días.
Tus derechos
Bajo el RGPD tienes los siguientes derechos sobre tus datos personales:
- Acceso — obtener una copia de los datos que tenemos sobre ti.
- Rectificación — corregir datos inexactos.
- Supresión («derecho al olvido») — pedirnos que eliminemos tus datos.
- Limitación — restringir cómo tratamos tus datos.
- Portabilidad — recibir tus datos en un formato procesable por máquina.
- Oposición — oponerte al tratamiento basado en interés legítimo.
- Retirar el consentimiento — en cualquier momento, para cualquier cosa basada en el consentimiento.
Para ejercer cualquiera de estos derechos, escribe a privacy@pingtoren.com. Respondemos en un plazo de 30 días.
Si crees que hemos tratado mal tus datos, puedes presentar una reclamación ante tu Autoridad de Protección de Datos nacional (en España, la AEPD). El listado de APDs de la UE/EEE está en edpb.europa.eu.
Cookies
Nosotros no colocamos ninguna cookie. La aplicación es una SPA sin cookies de tracking ni scripts publicitarios. Nuestro proveedor de analítica (ver la sección «Analítica» más abajo) es cookieless por diseño. Durante el inicio de sesión con GitHub, el endpoint de autenticación puede colocar una cookie de sesión de vida corta en su propio subdominio; es estrictamente necesaria para completar el redirect de OAuth y no llega al dominio de la aplicación.
No se muestra banner de cookies porque este sitio no coloca cookies que requieran consentimiento bajo el RGPD o la Directiva ePrivacy.
Analítica
Para ver qué páginas se visitan y cómo crece el tráfico usamos Plausible — una herramienta de analítica web respetuosa con la privacidad, cookieless, operada por Plausible Insights OÜ (Estonia) sobre infraestructura europea. Nos da solo conteos agregados; no usa cookies, no recopila datos personales y no identifica a los visitantes. Por eso no se requiere banner de consentimiento bajo el RGPD o la Directiva ePrivacy.
Cualquier bloqueador de trackers a nivel de navegador (incluidos los de Firefox, Brave y Safari) bloqueará Plausible como cualquier otro script de terceros. El sitio sigue funcionando con normalidad.
Almacenamiento del navegador
Usamos almacenamiento del navegador para unos pocos elementos necesarios para operar el servicio. Bajo ePrivacy y RGPD están exentos de consentimiento («estrictamente necesarios» o preferencias iniciadas por el usuario):
- Tokens de sesión — mantienen tu sesión abierta y la refrescan automáticamente. Se borran al cerrar sesión.
- Preferencias de visualización — el idioma, la zona horaria y el tema claro/oscuro que elijas.
- Código de seguridad de inicio de sesión — de vida corta, se coloca solo durante un intento de login con GitHub y se borra al volver.
Seguridad
Los datos van cifrados en tránsito (HTTPS/TLS) y en reposo con una clave que tenemos y controlamos. El acceso a los sistemas en producción está muy restringido y auditado. Las contraseñas se guardan solo como hashes unidireccionales — nunca las vemos. Seguimos prácticas de seguridad modernas y seguimos reforzando el servicio a medida que evolucionan las amenazas.
Menores
Este servicio no va dirigido a menores de 16 años. No recopilamos conscientemente datos personales de menores. Si crees que un menor se ha registrado, escribe a privacy@pingtoren.com y eliminaremos la cuenta.
Cambios en esta política
Podemos actualizar esta política cuando cambien nuestras prácticas. La fecha «Última actualización» arriba refleja el cambio más reciente. Los cambios materiales (p. ej. un nuevo encargado del tratamiento o una nueva finalidad de recopilación) se anunciarán también en el propio servicio, no solo aquí.
Contacto
Para cualquier consulta, solicitud o reclamación sobre privacidad, escribe a: