Contrato de Encargado del Tratamiento (DPA)

1. Aceptación

La suscripción al servicio appinmosoft.es y la introducción por parte de la INMOBILIARIA de cualquier dato personal de sus clientes finales en el CRM del software implican la plena aceptación de las cláusulas del presente Contrato de Encargado del Tratamiento, sin necesidad de firma adicional.

Si la INMOBILIARIA requiriera una versión firmada del presente DPA, puede solicitarla en admin@miappdelalquiler.es y se le facilitará en formato PDF.

2. Identificación de las partes

RESPONSABLE: la inmobiliaria suscriptora del servicio, cuyos datos identificativos figuran en su cuenta y en la facturación.

ENCARGADO: María Dolores González Heredia, DNI 75069204X, con domicilio en C/ San Marcos, 32 esc. 7 1B, 23400 Úbeda (Jaén), titular del software y servicio appinmosoft.es. Contacto en materia de protección de datos: admin@miappdelalquiler.es.

3. Objeto del encargo

El ENCARGADO tratará por cuenta del RESPONSABLE los datos personales que la INMOBILIARIA introduzca en el servicio (clientes finales del CRM, propietarios, leads de contacto desde la web pública, etc.) con la finalidad exclusiva de prestar las funcionalidades contratadas (almacenamiento, gestión, búsqueda, generación de documentos, comunicación a portales instalados por la propia INMOBILIARIA, envío de emails operativos).

El ENCARGADO no utilizará los datos para finalidades propias distintas de las anteriores ni los cederá a terceros salvo en los casos expresamente previstos en este contrato o por imperativo legal.

4. Duración

El presente encargo estará vigente mientras dure la suscripción al servicio appinmosoft.es. Tras la baja, el ENCARGADO conservará los datos durante un máximo de 30 días para permitir reactivación y, posteriormente, los suprimirá o devolverá al RESPONSABLE si éste así lo solicita por escrito antes del plazo, salvo conservación obligatoria por imperativo legal.

5. Obligaciones del Encargado

a) Tratar los datos siguiendo exclusivamente las instrucciones documentadas del RESPONSABLE, incluyendo las relativas a transferencias internacionales.

b) Garantizar que las personas autorizadas para tratar los datos se comprometen a respetar la confidencialidad.

c) Aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (Anexo I).

d) Asistir al RESPONSABLE, en la medida de lo posible, para responder a las solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, oposición, limitación, portabilidad).

e) Asistir al RESPONSABLE en el cumplimiento de sus obligaciones de seguridad, notificación de brechas y evaluaciones de impacto.

f) Suprimir o devolver los datos al final de la prestación, salvo conservación legal obligatoria.

g) Poner a disposición del RESPONSABLE la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 RGPD.

6. Subencargados (sub-procesadores)

El RESPONSABLE autoriza al ENCARGADO a recurrir a los siguientes subencargados, comprometiéndose éste a imponerles obligaciones análogas a las del presente contrato:

– Proveedor de infraestructura cloud y bases de datos (hosting del servicio).

– Stripe Payments Europe Ltd. (procesador de pagos, UE).

– Resend Inc. (envío de emails transaccionales).

– Plataforma miappdelalquiler.es (cuando se publiquen anuncios de alquiler).

– Idealista y/o Fotocasa, EXCLUSIVAMENTE si la INMOBILIARIA ha instalado activamente esas pasarelas con sus propias credenciales.

El ENCARGADO informará al RESPONSABLE con preaviso razonable de cualquier cambio en la lista de subencargados, pudiendo el RESPONSABLE oponerse motivadamente y, en su caso, resolver el contrato.

7. Transferencias internacionales

Cuando alguno de los subencargados se ubique fuera del Espacio Económico Europeo, el ENCARGADO velará por que la transferencia se realice con las garantías adecuadas previstas en el art. 46 RGPD (cláusulas contractuales tipo, decisiones de adecuación, etc.).

8. Notificación de brechas de seguridad

El ENCARGADO notificará al RESPONSABLE, sin dilación indebida y como máximo en un plazo de 48 horas desde su conocimiento, cualquier violación de la seguridad de los datos personales, facilitando la información necesaria para que el RESPONSABLE pueda cumplir su obligación de notificación a la AEPD (art. 33 RGPD) si procede.

9. Ejercicio de derechos por los interesados

Cuando los clientes finales de la INMOBILIARIA ejerzan sus derechos directamente ante el ENCARGADO, éste informará al RESPONSABLE en un plazo máximo de 5 días hábiles para que sea el propio RESPONSABLE quien atienda la solicitud.

10. Auditoría

El RESPONSABLE podrá auditar el cumplimiento del presente contrato con un preaviso mínimo de 15 días hábiles, en jornada laboral y sin perjudicar la operativa del ENCARGADO. Las auditorías podrán realizarse mediante cuestionario escrito o, en casos justificados, mediante inspección presencial o telemática.

11. Responsabilidad

Cada parte responderá frente al otro y frente a los interesados de las consecuencias del incumplimiento de sus respectivas obligaciones derivadas del RGPD y del presente contrato. Las indemnizaciones que correspondan se distribuirán en función de la responsabilidad efectiva de cada parte.

ANEXO I — Medidas técnicas y organizativas

a) Cifrado en tránsito de todas las comunicaciones (HTTPS / TLS 1.2+).

b) Hashing irreversible (bcrypt) de las contraseñas de usuario.

c) Cifrado en reposo de credenciales sensibles (API keys de pasarelas).

d) Control de accesos por roles (administrador, agencia, usuario).

e) Tokens JWT con expiración y refresco controlado.

f) Copias de seguridad periódicas de la base de datos.

g) Registros de actividad (logs) con conservación mínima de 6 meses.

h) Política de mínimo privilegio para el acceso al servidor y la BD.

i) Procedimiento documentado de respuesta a incidentes de seguridad.

ANEXO II — Categorías de interesados y datos tratados

Categorías de interesados: clientes finales de la INMOBILIARIA (potenciales compradores e inquilinos), propietarios de inmuebles, contactos recibidos a través del formulario público de la web de la inmobiliaria.

Categorías de datos: datos identificativos (nombre, apellidos, DNI/NIE), datos de contacto (email, teléfono, dirección), datos económicos (presupuesto, importe del alquiler/compra), preferencias de búsqueda, histórico de visitas a inmuebles y opiniones tras las visitas, fotografías de inmuebles, contenido de los mensajes de contacto.

No se tratan habitualmente categorías especiales de datos. En caso de que la INMOBILIARIA introdujera datos de esta naturaleza, lo haría bajo su exclusiva responsabilidad y garantizando las bases legales necesarias.