Política de privacidad

Fecha de entrada en vigor: 2026-05-08 / Última actualización: 2026-05-08

1. Descripción general

32personas (en adelante, el "Servicio") trata con cuidado los datos personales de las personas usuarias y cumple con la Ley de Protección de Datos Personales (PIPA) y la normativa aplicable. Esta política detalla las categorías de datos personales que el Servicio recopila, utiliza, comunica y elimina, así como los métodos de tratamiento.

2. Datos recopilados (principio de minimización)

Dirección de correo electrónico — al crear una cuenta, suscribirse al boletín, guardar resultados o recibir atención al cliente
Resultado del tipo de personalidad — tipos del 16 al 32 basados en MBTI, tratados de forma anonimizada
Rango de edad, género y país — entrada opcional, con fines de análisis estadístico
Información de pago — tratada por Polar (procesador de pagos externo); el Servicio solo conserva el ID de cliente de Polar

3. Finalidad del tratamiento y plazo de conservación

Categoría	Finalidad	Plazo de conservación
Correo electrónico de la cuenta	Gestión de la membresía + prestación del servicio	Eliminación inmediata al darse de baja (Ley de Protección de Datos Personales, art. 21)
Consultas de atención al cliente	Atención + gestión de reclamaciones	3 años (Reglamento de la Ley Marco de los Consumidores, art. 8)
Información de pago	Procesamiento de pagos + contabilidad	5 años (Ley de Comercio Electrónico, art. 6; delegado en Polar)
Resultados del cuestionario (tipo de personalidad)	Mejora de la calidad del servicio	Al darse de baja, se conserva anonimizado (no identificable)
Datos de vinculación de inicio de sesión externo (oauth_identities)	Asignación de identificadores de inicio de sesión externo, como Google	Eliminación permanente inmediata al desvincular o eliminar la cuenta

Categoría: Correo electrónico de la cuenta
Finalidad: Gestión de la membresía + prestación del servicio
Plazo de conservación: Eliminación inmediata al darse de baja (Ley de Protección de Datos Personales, art. 21)

Categoría: Consultas de atención al cliente
Finalidad: Atención + gestión de reclamaciones
Plazo de conservación: 3 años (Reglamento de la Ley Marco de los Consumidores, art. 8)

Categoría: Información de pago
Finalidad: Procesamiento de pagos + contabilidad
Plazo de conservación: 5 años (Ley de Comercio Electrónico, art. 6; delegado en Polar)

Categoría: Resultados del cuestionario (tipo de personalidad)
Finalidad: Mejora de la calidad del servicio
Plazo de conservación: Al darse de baja, se conserva anonimizado (no identificable)

Categoría: Datos de vinculación de inicio de sesión externo (oauth_identities)
Finalidad: Asignación de identificadores de inicio de sesión externo, como Google
Plazo de conservación: Eliminación permanente inmediata al desvincular o eliminar la cuenta

4. Derechos de la persona interesada

De conformidad con la Ley de Protección de Datos Personales, las personas usuarias pueden ejercer los siguientes derechos, que se atienden en un plazo de 30 días desde la solicitud. Puedes hacer la solicitud directamente en la página /account/data/request, o también por correo electrónico a support@monday.red.

Derecho de acceso — consultar el estado y el contenido del tratamiento de los datos personales recopilados
Derecho de rectificación — solicitar la corrección de información inexacta o incompleta
Derecho de supresión — solicitar la eliminación de los datos personales
Derecho a la limitación del tratamiento — solicitar el cese del tratamiento de los datos personales (marketing, etc.)
Derecho a oponerse a las decisiones automatizadas y a exigir una explicación (Ley de Protección de Datos Personales, §37-2) — el Servicio realiza dos tipos de tratamiento automatizado: (a) el algoritmo de puntuación de personalidad SLOAN y (b) la narrativa de interpretación de saju basada en un LLM externo. Si no estás de acuerdo con el resultado o deseas una explicación, contacta con support@monday.red. En caso de oposición, el resultado automatizado correspondiente se elimina y su consulta se desactiva de inmediato. Las cuestiones relacionadas con los pagos se rigen por la política de reembolsos independiente (/legal/refund-policy).

5. Comunicación a terceros y transferencia internacional (Ley de Protección de Datos Personales de Corea, arts. 17, 26 y 28-8)

El Servicio no comunica los datos personales de las personas usuarias a terceros con fines publicitarios. Los datos personales se transfieren internacionalmente a los siguientes encargados; consulta la política de privacidad de cada uno. (1) Supabase, Inc. — Estados Unidos, almacenamiento de bases de datos, desde el registro inmediato hasta la eliminación de la cuenta + 30 días (los 5 años de registros de pago según la Ley de Comercio Electrónico §6 se gestionan aparte) — método de transferencia: API por HTTPS. (2) Polar Software Inc. — Estados Unidos, procesamiento de pagos, desde el momento del pago durante el plazo necesario para cumplir las obligaciones de registros de pago/reembolso y obligaciones fiscales/contables — método de transferencia: API por HTTPS. (3) PostHog Inc. — Estados Unidos y UE, telemetría de análisis (distinct_id, $pageview, eventos de clic), de 30 a 365 días (según el tipo de evento), con posibilidad de rechazo — método de transferencia: API por HTTPS. (4) Vercel Inc. — Estados Unidos, alojamiento de recursos estáticos + ejecución de funciones, en el momento de la solicitud; la conservación de los registros de edge/funciones por parte de Vercel se rige por su política — método de transferencia: HTTPS. (5) Resend — Estados Unidos, envío de correos transaccionales (verificación de cuenta, exportación de datos, avisos de reembolso), desde el momento del envío y conservados según la política de Resend — método de transferencia: API por HTTPS. (6) DeepSeek (Hangzhou DeepSeek) — China, generación de la narrativa de interpretación de saju (fecha de nacimiento, hora de nacimiento, género), desde el momento de la llamada y conservados según la política pública de DeepSeek — método de transferencia: API por HTTPS + registro en audit_logs.input_hash. Derecho de oposición: si envías tu oposición a support@monday.red, suspenderemos el uso de las funciones opcionales que requieren llamadas a esos encargados (por ejemplo, interpretación de saju con IA — DeepSeek; análisis — PostHog; correos transaccionales — Resend). En el caso de los encargados imprescindibles para el funcionamiento del Servicio (base de datos Supabase, alojamiento Vercel, pagos Polar), oponerse implica la interrupción del propio uso del Servicio.

6. Medidas de seguridad

El Servicio protege los datos personales mediante Row Level Security (RLS) de Supabase, transmisión cifrada por HTTPS y auditorías de seguridad periódicas (comprobación semanal de la cobertura de RLS).

7. Cookies y dispositivos de recopilación automática (Ley de Protección de Datos Personales de Corea, art. 30)

El Servicio utiliza los siguientes dispositivos de recopilación automática. (1) pm_sid (cookie HTTP-Only) — finalidad: identificación de la sesión de inicio de sesión, conservación: 30 días, forma de rechazo: cerrar sesión o eliminar las cookies del navegador. (2) pm_consent (cookie firmada) — finalidad: almacenar el estado del consentimiento de análisis, conservación: 1 año, forma de rechazo: al eliminar la cookie, en la primera visita se vuelve a mostrar el banner de consentimiento. (3) NEXT_LOCALE (cookie) — finalidad: recordar la selección de idioma, conservación: 1 año, forma de rechazo: eliminar las cookies del navegador. (4) pm_variant (cookie) — finalidad: fijar la variante de la prueba A/B de la página de inicio, conservación: 30 días, forma de rechazo: eliminar las cookies del navegador. (5) Identificador de análisis de PostHog (localStorage + cookie) — finalidad: identificador de telemetría de análisis, conservación: 365 días, forma de rechazo: la vía de oposición indicada en estos términos o la configuración de bloqueo de rastreo del navegador. A las personas que visitan desde fuera de Corea se les solicita el consentimiento mediante un banner en la primera visita (si lo rechazan, se bloquean las llamadas a PostHog). A las personas que visitan desde Corea se les tratan los datos conforme a lo indicado en estos términos y en esta política, y quienes no deseen el uso del identificador de análisis pueden enviar su oposición en cualquier momento a support@monday.red. Las solicitudes de oposición se atienden en un plazo de 7 días hábiles.

8. Tratamiento de datos del inicio de sesión externo (Google OAuth)

Cuando usas la función de inicio de sesión con tu cuenta de Google, recibimos cierta información de Google. Los detalles concretos sobre el tratamiento de los datos de usuario de Google son los siguientes.

Recopilación: Durante el proceso de inicio de sesión con Google recibimos temporalmente de Google (a) la dirección de correo electrónico, (b) el identificador de la cuenta de Google (sub claim) y (c) el nombre de visualización del perfil y la URL del avatar (si existen). No obstante, los elementos que se almacenan de forma permanente se limitan a estos tres: la dirección de correo electrónico, el identificador de la cuenta de Google (sub) y la hora del último inicio de sesión. El nombre de visualización y la URL del avatar no se guardan en la base de datos. No solicitamos ni recibimos datos de otros servicios de Google como Gmail, Drive, Calendar o Contacts.
Uso: La información recibida se utiliza únicamente para la identificación de la cuenta y la autenticación del inicio de sesión. No se utiliza en absoluto para el envío de correos de marketing, la segmentación publicitaria, la elaboración de perfiles ni las decisiones automatizadas. El registro de la vinculación con el inicio de sesión de Google puede consultarse en la página de seguridad de la cuenta.
Comunicación: Los datos recibidos de Google no se venden, comparten ni comunican a terceros. No se transfieren a ningún lugar salvo a los encargados indicados en el §6 anterior (almacenamiento en la base de datos de Supabase).
Eliminación: Puedes desvincular tu cuenta de Google en cualquier momento desde la tarjeta "Vinculación de inicio de sesión externo" de la página de configuración de la cuenta (/account/security). Al desvincularla, la fila correspondiente de la tabla oauth_identities se elimina de inmediato. Si eliminas la cuenta en sí (/account/delete-request), los datos de vinculación también se eliminan de inmediato junto con ella.

9. Información de la empresa y contacto

Información del operador (aviso obligatorio según la Ley de Comercio Electrónico §10 + la Ley de Protección de Datos Personales §30)

Razón social: Project Monday · Número de registro mercantil: 106-68-00711

Canales de contacto

support@monday.red (ejercicio de derechos de datos personales / reembolsos / términos / soporte técnico · SLA de respuesta de 1 a 2 días hábiles)

El responsable de protección de datos (DPO) se designará por separado junto con la información de la empresa indicada arriba. Hasta su designación, support@monday.red actúa como canal provisional del DPO.