¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.

MongoDB

¿Qué hace MongoDB?

MongoDB es una base de datos NoSQL orientada a documentos que almacena datos personales de aplicaciones web, móviles y plataformas SaaS.

¿Qué es MongoDB?

MongoDB es una base de datos NoSQL orientada a documentos que almacena la información en formato BSON, similar a JSON. Se utiliza en aplicaciones web, móviles, plataformas IoT y sistemas en tiempo real para gestionar contenidos, perfiles de usuario y datos transaccionales. MongoDB puede autoalojarse (Community Edition, Enterprise) o consumirse como servicio gestionado a través de MongoDB Atlas, la plataforma cloud del editor MongoDB Inc., con sede en Estados Unidos.

¿Qué datos procesa MongoDB?

MongoDB almacena exclusivamente lo que la aplicación escribe. En aplicaciones web típicas se trata de cuentas, perfiles de usuario, historiales de pedidos, tokens de sesión y registros de actividad. MongoDB Atlas genera además logs operativos (métricas del clúster, registros de auditoría, direcciones IP de las conexiones administrativas) que se conservan en servidores de MongoDB Inc. Estos datos operativos también están sujetos al RGPD si contienen información personal.

Obligaciones RGPD al utilizar MongoDB

Como MongoDB no instala cookies en el cliente, no se requiere consentimiento del usuario final conforme al artículo 22.2 de la LSSI. El tratamiento de los datos almacenados sí necesita una base jurídica del artículo 6 del RGPD. El responsable debe aplicar medidas técnicas y organizativas conforme al artículo 32: autenticación SCRAM o x.509, control de acceso basado en roles, TLS, Field Level Encryption, copias de seguridad periódicas y registros de auditoría disponibles en la edición Enterprise y en Atlas.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

MongoDB Atlas y transferencias internacionales

MongoDB Inc. es una empresa estadounidense. Aunque seleccione una región europea (Fráncfort, Irlanda, Estocolmo) para el clúster, los logs operativos y los datos de soporte pueden transferirse a Estados Unidos. MongoDB está certificada en el marco EU US Data Privacy Framework y ofrece cláusulas contractuales tipo en su DPA. El responsable debe realizar una evaluación de impacto de la transferencia (TIA) y elegir cuidadosamente la región de hosting para minimizar los riesgos derivados de Schrems II.

Pasos prácticos de cumplimiento

Firme un Data Processing Addendum (DPA) con MongoDB Inc., active el cifrado en reposo y el Client Side Field Level Encryption para los campos sensibles, y restrinja las conexiones mediante listas de IP permitidas y VPC Peering. Use los registros de auditoría de Atlas para trazar los accesos y defina plazos de conservación con índices TTL. Documente el tratamiento en el registro de actividades y complete la política de privacidad indicando ubicación del hosting, destinatarios y garantías para las transferencias internacionales.

GDPR consent category

Otros

Websites using MongoDB must obtain user consent under GDPR regulations.

Legal basisContract performance for database service provision (Art. 6(1)(b)), legitimate interest for security, monitoring, and infrastructure operations (Art. 6(1)(f)), consent required for Atlas web console analytics cookies (Art. 6(1)(a))

Risk levelmedium

Applicable regulationsGDPR, ePrivacy Directive, UK GDPR, CCPA/CPRA, HIPAA (Atlas with BAA), PCI DSS, SOC 2 Type II, ISO 27001, ISO 27017, ISO 27018

DPIA considerations

MongoDB es infraestructura de backend, no un servicio de seguimiento. Una EIPD será necesaria si los datos almacenados implican un alto riesgo, por ejemplo datos de salud, geolocalización o elaboración de perfiles a gran escala. Si usa MongoDB Atlas, evalúe la región de hosting, las cláusulas contractuales tipo y el cifrado en reposo.

Sample consent text

MongoDB no instala cookies ni requiere consentimiento del usuario final. Los datos personales se tratan sobre la base de la ejecución de un contrato o un interés legítimo conforme al artículo 6 del RGPD. Si utiliza MongoDB Atlas en Estados Unidos es necesario un acuerdo de tratamiento de datos con MongoDB Inc.

Technical details

Tracking methodserver side database engine (self hosted) or cloud managed service (Atlas) with cookies on web console, connection logging, audit trails

Server locationSelf hosted: customer controlled. Atlas: Global (AWS, Azure, GCP with configurable regions including EU)

Cookieless tracking availableYes

Data transferred outside the EUMongoDB Inc. is headquartered in New York, US. Self hosted MongoDB deployments keep data entirely on customer infrastructure. MongoDB Atlas (cloud service) offers configurable data regions including EU only deployments on AWS, Azure, or GCP. Atlas management plane metadata may be processed in the US. Transfers covered by SCCs via MongoDB's DPA.

Third-party domains contacted

cloud.mongodb.comaccount.mongodb.comwww.mongodb.comrealm.mongodb.comdata.mongodb-api.com

Cookies placed

Name	Type	Duration	Purpose
mdb_session	authentication	Session	Maintains the authenticated session for the MongoDB Atlas web management console.
mdb_csrf	security	Session	CSRF protection for Atlas console operations and account management actions.
_ga	analytics	2 years	Google Analytics cookie tracking visitor behaviour on the MongoDB website and Atlas console.
mdb_prefs	functionality	1 year	Stores user interface preferences for the Atlas console including cluster view mode and notification settings.

Este servicio puede recopilar datos de usuarios. Garantiza el cumplimiento del RGPD con FlowConsent.

Empezar gratis Escanear tu sitio

Preguntas frecuentes

¿MongoDB instala cookies?

No. MongoDB es una base de datos de backend sin componente de navegador. Las cookies solo las instala la aplicación web que la utiliza. MongoDB únicamente almacena los datos que la aplicación envía a la base de datos.

¿Es necesario el consentimiento?

No se requiere consentimiento conforme al artículo 22.2 de la LSSI. Sin embargo, el tratamiento de los datos personales almacenados sí requiere una base jurídica del artículo 6 del RGPD, normalmente la ejecución de un contrato o el interés legítimo.

¿Qué base jurídica aplica?

Para cuentas de cliente y pedidos suele aplicarse el artículo 6.1.b del RGPD (ejecución de contrato). Para logs, seguridad y prevención del fraude se utiliza el artículo 6.1.f (interés legítimo) tras realizar la oportuna ponderación de intereses.

¿Se transfieren datos a Estados Unidos?

Con MongoDB Atlas, los logs operativos y los datos de soporte pueden transferirse a Estados Unidos, incluso si el clúster está en una región europea. MongoDB Inc. está certificada en el EU US Data Privacy Framework y ofrece cláusulas contractuales tipo en su DPA.

¿Es necesaria una EIPD?

Una EIPD es necesaria si los datos almacenados implican un alto riesgo: salud, biométricos, geolocalización o elaboración de perfiles a gran escala. Las aplicaciones estándar de e commerce o CMS suelen requerir una evaluación de riesgos detallada pero no una EIPD completa.

¿Cómo operar MongoDB conforme al RGPD?

Active la autenticación SCRAM, TLS para todas las conexiones, Encryption at Rest y Field Level Encryption para los campos sensibles. Restrinja el acceso mediante listas de IP y endpoints privados, defina permisos basados en roles y registre los accesos en el log de auditoría.

¿Qué alternativas existen a MongoDB?

Existen alternativas como PostgreSQL con JSONB para cargas mixtas relacionales y documentales, CouchDB como base de datos orientada a documentos similar, o DynamoDB de AWS. Las soluciones autoalojadas evitan transferencias internacionales pero requieren medidas de seguridad propias.

¿Cómo actualizar la política de privacidad?

Mencione MongoDB como encargado del tratamiento si utiliza Atlas, indique la ubicación del hosting, las categorías de datos, los plazos de conservación y las garantías aplicadas a las transferencias internacionales (DPF, CCT, TIA).

Cumple la normativa — Prueba FlowConsent gratis

mobileCta.note