← Volver al inicio

Legal

Acuerdo de Procesamiento de Datos

Este acuerdo regula cómo Moodinary trata los datos personales en nombre de las instituciones educativas que usan el servicio. Aplica en conjunto con los Términos y Condiciones.

Última actualización: 18 de febrero de 2026

Introducción

Este Acuerdo de Procesamiento de Datos ("DPA") forma parte integrante de los Términos y Condiciones de Moodinary y aplica cuando la institución educativa ("Responsable del Tratamiento") utiliza el servicio de Moodinary ("Encargado del Tratamiento") para recolectar y procesar datos en el contexto de su actividad educativa.

Este DPA está diseñado para cumplir con los requisitos de la Ley 25.326 de Protección de Datos Personales de Argentina y, cuando aplique, con el Reglamento General de Protección de Datos (RGPD) de la Unión Europea y otras normativas de protección de datos relevantes.

Al aceptar los Términos y Condiciones de Moodinary, la institución acepta también este DPA. Si la institución requiere un DPA firmado por separado, puede solicitarlo a mail@moodinary.com.

Definiciones

A los efectos de este DPA, los siguientes términos tienen el significado indicado:

  • Datos personales: cualquier información que identifique o permita identificar a una persona física.
  • Tratamiento: cualquier operación sobre datos personales, incluyendo recolección, almacenamiento, análisis y eliminación.
  • Responsable del Tratamiento: la institución educativa que determina los fines y medios del tratamiento de datos.
  • Encargado del Tratamiento: Moodinary (operado por Ironmantle), que trata datos en nombre de la institución.
  • Interesado: la persona física cuyos datos son tratados. En el contexto de Moodinary, los administradores institucionales.
  • Subencargado: tercero que trata datos en nombre de Moodinary para prestar el servicio.
  • Brecha de seguridad: incidente que resulta en acceso no autorizado, pérdida o alteración de datos personales.

Nota importante: los alumnos que envían pulsos emocionales no son "interesados" en el sentido técnico de este DPA, ya que Moodinary no recolecta ningún dato personal de ellos. Los pulsos son completamente anónimos por diseño arquitectónico.

Roles en el tratamiento

La institución como Responsable

La institución educativa actúa como Responsable del Tratamiento respecto de los datos de sus administradores y del uso que hace del servicio. Determina los fines del tratamiento (medir el bienestar emocional de su comunidad) y las condiciones generales de uso.

Moodinary como Encargado

Moodinary actúa como Encargado del Tratamiento: procesa los datos únicamente según las instrucciones de la institución y para prestar el servicio contratado. No toma decisiones autónomas sobre los fines del tratamiento.

Datos sin titular identificable

Los pulsos emocionales enviados por los alumnos no constituyen datos personales en el sentido legal, ya que no contienen información que permita identificar a ninguna persona. Moodinary los trata como datos anónimos agregados.

Instrucciones de tratamiento

Moodinary trata los datos personales de la institución únicamente según las instrucciones documentadas de esta, que se expresan a través de:

  • Los Términos y Condiciones del servicio
  • Este DPA
  • Las configuraciones realizadas por la institución en el panel de administración
  • Instrucciones específicas comunicadas por escrito al equipo de soporte

Si Moodinary considera que una instrucción infringe la normativa de protección de datos aplicable, lo comunicará a la institución de inmediato y podrá negarse a ejecutarla.

Moodinary no tratará los datos para fines propios distintos a la prestación del servicio, salvo que la ley lo exija.

Subencargados

Moodinary utiliza subencargados para prestar el servicio. Al aceptar este DPA, la institución otorga autorización general para que Moodinary contrate subencargados, sujeto a las siguientes condiciones:

  • Los subencargados están sujetos a obligaciones de protección de datos equivalentes a las de este DPA
  • Moodinary mantiene una lista actualizada de subencargados disponible bajo solicitud
  • Moodinary notificará a las instituciones con 30 días de antelación ante cambios significativos en subencargados
  • Moodinary es responsable ante la institución por el cumplimiento de los subencargados

Categorías de subencargados

Moodinary trabaja con subencargados en las siguientes categorías:

  • Infraestructura cloud: almacenamiento y procesamiento de datos
  • Servicios de correo electrónico: comunicaciones del servicio
  • Procesamiento de pagos: facturación de planes pagos
  • Monitoreo y seguridad: detección de incidentes y disponibilidad

Medidas de seguridad

Moodinary implementa medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento. Estas medidas incluyen:

Medidas técnicas

  • Cifrado en tránsito mediante TLS 1.2 o superior para todas las comunicaciones
  • Cifrado en reposo para datos sensibles almacenados
  • Autenticación multifactor disponible para administradores institucionales
  • Control de acceso basado en roles con principio de mínimo privilegio
  • Registros de auditoría de acceso al panel de administración
  • Backups regulares con verificación de integridad
  • Monitoreo continuo de seguridad y disponibilidad

Medidas organizativas

  • Política interna de protección de datos para el equipo de Moodinary
  • Acceso a datos de producción restringido al personal estrictamente necesario
  • Acuerdos de confidencialidad con todo el personal con acceso a datos
  • Revisión periódica de medidas de seguridad

Moodinary revisa y actualiza estas medidas periódicamente para adaptarlas a la evolución del estado del arte en seguridad de la información.

Derechos de los interesados

Cuando un interesado (administrador institucional) ejerza sus derechos de acceso, rectificación, eliminación, portabilidad u oposición, Moodinary:

  • Notificará a la institución dentro de los 3 días hábiles si la solicitud corresponde a datos gestionados por la institución
  • Asistirá a la institución en dar respuesta a la solicitud en la medida de lo técnicamente posible
  • Procesará directamente las solicitudes que correspondan a datos de la cuenta de Moodinary

Dado que los pulsos emocionales de los alumnos son anónimos por diseño, no es posible ejercer derechos individuales sobre ellos. Esta limitación es inherente a la arquitectura de privacidad del sistema y no puede superarse técnicamente.

Notificación de brechas

En caso de detectar una brecha de seguridad que afecte datos personales de la institución, Moodinary:

  • Notificará a la institución dentro de las 72 horas de detectado el incidente
  • Proveerá información sobre la naturaleza de la brecha, los datos afectados y las medidas tomadas
  • Colaborará con la institución en la evaluación del impacto y las acciones de mitigación
  • Documentará el incidente y las medidas correctivas implementadas

La notificación inicial puede ser preliminar si no se dispone de toda la información. Moodinary complementará la información a medida que esté disponible.

La institución es responsable de notificar a las autoridades de control y a los interesados afectados cuando la normativa aplicable lo exija.

Transferencias internacionales

Moodinary puede procesar datos en servidores ubicados fuera de Argentina. Cuando esto ocurra, garantizamos que las transferencias se realizan con las salvaguardas adecuadas, incluyendo:

  • Cláusulas contractuales tipo aprobadas por autoridades de protección de datos
  • Transferencias a países con nivel de protección adecuado reconocido
  • Acuerdos específicos con subencargados que garantizan protección equivalente

La lista de países donde se procesan datos está disponible bajo solicitud a mail@moodinary.com.

Auditoría y cumplimiento

Moodinary pone a disposición de la institución la información necesaria para demostrar el cumplimiento de las obligaciones de este DPA. Esto incluye:

  • Documentación de las medidas de seguridad implementadas
  • Lista de subencargados y sus ubicaciones
  • Registros de incidentes de seguridad relevantes
  • Certificaciones de seguridad de terceros cuando estén disponibles

Las instituciones con planes Horizon pueden solicitar auditorías adicionales con notificación previa de 30 días y acuerdo sobre el alcance y los costos asociados.

Eliminación de datos

Al terminar la relación contractual, Moodinary eliminará o devolverá todos los datos personales de la institución según la elección de esta, dentro de los 30 días hábiles siguientes a la solicitud.

La institución puede exportar sus datos en cualquier momento desde el panel de administración antes de solicitar la eliminación. Una vez eliminados, los datos no pueden recuperarse.

Algunos datos pueden conservarse por períodos adicionales cuando la ley lo exija (por ejemplo, registros de facturación). En ese caso, Moodinary informará a la institución sobre qué datos se conservan y por cuánto tiempo.

Vigencia

Este DPA entra en vigencia al momento de la aceptación de los Términos y Condiciones y permanece vigente mientras la institución use el servicio de Moodinary.

Las obligaciones de confidencialidad y seguridad de datos sobreviven a la terminación del DPA por el período necesario para cumplir con las obligaciones legales aplicables.

Para consultas sobre este DPA o para solicitar una versión firmada, contactanos en mail@moodinary.com.