1. Responsable del Tratamiento
De conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), se informa de los siguientes extremos:
- Responsable: Alejandro Argüelles Delgado
- NIF: 73595654R
- Domicilio: Av/ D'Alacant 42, 46460, Silla (Valencia)
- Email: [email protected]
- Teléfono: +34 639 51 05 91
- Delegado de Protección de Datos: No designado (no obligatorio según Art. 37 RGPD)
2. Finalidades del Tratamiento
Los datos personales que se recogen a través de la plataforma habitahogar.com serán tratados con las siguientes finalidades:
2.1. Gestión de la plataforma y servicios contractuales
- Base legal: Ejecución de contrato (Art. 6.1.b RGPD)
- Finalidad:
- Gestión de contratos de alquiler de viviendas y habitaciones
- Control de pagos mensuales y generación de facturas
- Gestión de fianzas y depósitos
- Comunicación entre propietarios/gestores e inquilinos
- Almacenamiento de documentación contractual (contratos firmados, DNI, justificantes de pago)
2.2. Autenticación y acceso a la plataforma
- Base legal: Consentimiento (Art. 6.1.a RGPD) y ejecución de contrato (Art. 6.1.b RGPD)
- Finalidad: Crear y gestionar cuentas de usuario mediante credenciales o Google OAuth, control de acceso según roles
2.3. Gestión de incidencias y comunicaciones
- Base legal: Ejecución de contrato (Art. 6.1.b RGPD)
- Finalidad: Atención de tickets de incidencias, mensajería interna y almacenamiento de archivos adjuntos (fotos, documentos)
2.4. Facturación y obligaciones fiscales
- Base legal: Obligación legal (Art. 6.1.c RGPD)
- Finalidad: Emisión de facturas de alquiler y cumplimiento de obligaciones tributarias según normativa española
2.5. Evaluación de solvencia de inquilinos (scoring)
- Base legal: Interés legítimo (Art. 6.1.f RGPD)
- Finalidad: Análisis del historial de pagos, evaluación de cumplimiento de contratos previos y prevención de impagos
2.6. Envío de comunicaciones relacionadas con el servicio
- Base legal: Ejecución de contrato (Art. 6.1.b RGPD)
- Finalidad: Notificaciones de pagos, recordatorios de vencimientos y avisos sobre cambios en contratos
3. Datos Personales Recogidos
La plataforma puede recoger y tratar las siguientes categorías de datos personales:
3.1. Datos de identificación
Nombre completo, Documento Nacional de Identidad (DNI/NIE), dirección de correo electrónico, número de teléfono, imagen de perfil (si se proporciona mediante Google OAuth), dirección postal (dirección del inmueble alquilado)
3.2. Datos económicos y financieros
Datos bancarios (solo si se almacenan justificantes de transferencias), importe de la renta mensual, importes de fianzas y depósitos, historial de pagos (fechas, importes, estado), métodos de pago utilizados, referencias de transferencias bancarias
3.3. Datos contractuales
Fechas de inicio y fin de contratos, condiciones contractuales, documentos contractuales firmados (PDF), motivos de rescisión o cancelación, estado de contratos (activo, finalizado, rescindido)
3.4. Datos de navegación
Dirección IP, cookies técnicas de sesión (necesarias para el funcionamiento de NextAuth), fecha y hora de accesos, actividad dentro de la plataforma
3.5. Datos de incidencias
Descripción de problemas o sugerencias, archivos adjuntos (fotografías, vídeos, documentos), historial de mensajes, prioridad y estado de tickets
4. Destinatarios y Cesiones de Datos
Los datos personales podrán ser comunicados a los siguientes destinatarios:
4.1. Prestadores de servicios tecnológicos (Encargados del Tratamiento)
Supabase (Supabase Inc.)
- Servicio: Base de datos PostgreSQL, almacenamiento de archivos y autenticación
- Ubicación: Región EU-WEST-2 (Londres, Reino Unido)
- Transferencia internacional: Sí (Reino Unido no pertenece al EEE tras Brexit). Se aplican las Standard Contractual Clauses (SCC) aprobadas por la Comisión Europea según Decisión 2021/914
- Garantías: Contrato de Encargado del Tratamiento conforme al Art. 28 RGPD
- Política de privacidad: https://supabase.com/privacy
Railway Corp.
- Servicio: Hosting y despliegue de la aplicación web
- Ubicación: EU-WEST (Ámsterdam, Países Bajos)
- Transferencia internacional: No (dentro del EEE)
- Garantías: Contrato de Encargado del Tratamiento conforme al Art. 28 RGPD
- Política de privacidad: https://railway.app/legal/privacy
Cloudflare Inc.
- Servicio: Gestión DNS y Content Delivery Network (CDN)
- Ubicación: Estados Unidos (con servidores distribuidos globalmente)
- Transferencia internacional: Sí. Cloudflare está adherido al EU-U.S. Data Privacy Framework
- Garantías: Standard Contractual Clauses (SCC) + medidas técnicas adicionales
- Política de privacidad: https://www.cloudflare.com/privacypolicy/
Google LLC (Google OAuth)
- Servicio: Autenticación mediante cuenta de Google
- Ubicación: Estados Unidos
- Transferencia internacional: Sí. Google está adherido al EU-U.S. Data Privacy Framework
- Datos compartidos: Nombre, email, foto de perfil (solo si el usuario autoriza)
- Política de privacidad: https://policies.google.com/privacy
4.2. Cesiones por obligación legal
Los datos podrán ser comunicados a:
- Agencia Estatal de Administración Tributaria (AEAT): Para cumplimiento de obligaciones fiscales
- Juzgados y Tribunales: En caso de procedimientos judiciales por impagos o litigios contractuales
- Fuerzas y Cuerpos de Seguridad del Estado: Si existe requerimiento judicial o denuncia
5. Transferencias Internacionales de Datos
Algunos de los proveedores de servicios mencionados realizan transferencias de datos personales fuera del Espacio Económico Europeo (EEE):
5.1. Reino Unido (Supabase)
Tras el Brexit, el Reino Unido cuenta con una Decisión de Adecuación de la Comisión Europea desde el 28 de junio de 2021, que reconoce un nivel adecuado de protección de datos equivalente al RGPD.
5.2. Estados Unidos (Cloudflare y Google)
Estos proveedores están adheridos al EU-U.S. Data Privacy Framework, certificado por el Departamento de Comercio de EE.UU. y reconocido por la Comisión Europea como mecanismo válido de transferencia desde julio de 2023. Adicionalmente, se han suscrito Standard Contractual Clauses (SCC) aprobadas por la Comisión Europea para garantizar un nivel adecuado de protección.
6. Plazo de Conservación de los Datos
Los datos personales serán conservados durante los siguientes plazos:
6.1. Usuarios activos:
Mientras la cuenta esté activa y exista relación contractual
6.2. Contratos finalizados:
Mínimo 5 años desde la finalización del contrato (Art. 30 Código de Comercio) para cumplimiento de obligaciones fiscales, contables y posibles reclamaciones
6.3. Facturas y documentación fiscal:
Mínimo 4 años desde la emisión (Art. 29 Ley 58/2003, General Tributaria) para inspecciones tributarias y auditorías
6.4. Tickets e incidencias:
Mientras el contrato esté activo + 1 año tras su finalización para resolución de reclamaciones posteriores
6.5. Usuarios inactivos:
Se considerará inactivo un usuario que no haya accedido a la plataforma en 2 años. Se enviará notificación por email con plazo de 30 días para reactivar cuenta antes de proceder al borrado
Una vez transcurridos los plazos indicados, los datos serán eliminados de forma segura o anonimizados de manera irreversible.
7. Derechos de los Interesados
De conformidad con los artículos 15 a 22 del RGPD y la LOPDGDD, los usuarios pueden ejercer los siguientes derechos:
7.1. Derecho de Acceso (Art. 15 RGPD)
Obtener confirmación de si se están tratando sus datos personales y, en su caso, acceder a los mismos y recibir copia en formato legible.
7.2. Derecho de Rectificación (Art. 16 RGPD)
Solicitar la corrección de datos inexactos o incompletos.
7.3. Derecho de Supresión - "Derecho al Olvido" (Art. 17 RGPD)
Solicitar la eliminación de sus datos personales cuando:
- Ya no sean necesarios para los fines para los que fueron recogidos
- Se retire el consentimiento y no exista otra base legal
- Se opongan al tratamiento y no prevalezcan otros motivos legítimos
- Los datos hayan sido tratados ilícitamente
Limitación: No procederá la supresión cuando exista obligación legal de conservación (facturas, contratos) o para ejercer o defender reclamaciones.
7.4. Derecho de Oposición (Art. 21 RGPD)
Oponerse al tratamiento de sus datos por motivos relacionados con su situación particular, especialmente cuando la base legal sea el interés legítimo (scoring de inquilinos).
7.5. Derecho a la Limitación del Tratamiento (Art. 18 RGPD)
Solicitar que se suspendan operaciones de tratamiento (excepto conservación) en los siguientes casos:
- Se impugne la exactitud de los datos
- El tratamiento sea ilícito pero no se desee la supresión
- Ya no sean necesarios pero el interesado los necesite para reclamaciones
- Se haya ejercido oposición mientras se verifica la procedencia
7.6. Derecho a la Portabilidad (Art. 20 RGPD)
Recibir los datos personales facilitados en formato estructurado, de uso común y lectura mecánica (JSON, CSV) y transmitirlos a otro responsable cuando el tratamiento esté basado en el consentimiento o en un contrato y se efectúe por medios automatizados.
7.7. Derecho a no ser objeto de decisiones automatizadas (Art. 22 RGPD)
No ser objeto de decisiones basadas únicamente en tratamiento automatizado (incluido perfiles) que produzcan efectos jurídicos o afecten significativamente.
7.8. Ejercicio de los derechos
Los derechos pueden ejercerse mediante comunicación dirigida a:
- Email: [email protected]
- Dirección postal: Av/ D'Alacant 42, 46460, Silla (Valencia)
La solicitud deberá incluir:
- Nombre completo y email registrado en la plataforma
- Fotocopia del DNI/NIE (para acreditar identidad)
- Descripción del derecho que desea ejercer
Plazo de respuesta: 1 mes desde la recepción de la solicitud (ampliable 2 meses más en casos complejos, con notificación previa)
8. Reclamaciones ante la Autoridad de Control
Si considera que el tratamiento de sus datos personales vulnera la normativa vigente, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD):
9. Medidas de Seguridad
Se han implementado las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al Art. 32 RGPD:
9.1. Medidas técnicas
- •
Cifrado en tránsito: Conexión HTTPS con certificado SSL/TLS
- •
Cifrado en reposo: Datos almacenados en Supabase con cifrado AES-256
- •
Autenticación segura: Hashing de contraseñas con bcrypt
- •
Row Level Security (RLS): Control de acceso a nivel de base de datos en Supabase
- •
Tokens JWT: Sesiones firmadas con secreto criptográfico
- •
Control de acceso basado en roles (RBAC): Segregación de permisos según rol de usuario
9.2. Medidas organizativas
- •
Acceso restringido: Solo personal autorizado puede acceder a datos personales
- •
Registro de actividad: Logs de accesos y operaciones críticas
- •
Copias de seguridad: Backups automáticos diarios de la base de datos
- •
Política de contraseñas: Requisitos mínimos de complejidad
- •
Revisiones de seguridad: Auditorías periódicas del código y configuraciones
10. Cookies y Tecnologías de Seguimiento
La plataforma habitahogar.com utiliza únicamente cookies técnicas estrictamente necesarias para el funcionamiento del servicio de autenticación (NextAuth.js), que no requieren consentimiento previo según el Art. 22.2 de la LSSI.
10.1. Cookies utilizadas
| Nombre | Propósito | Duración | Tipo |
|---|
| authjs.session-token | Mantener sesión de usuario autenticado | Sesión | Técnica |
| authjs.csrf-token | Protección contra ataques CSRF | Sesión | Técnica |
| authjs.callback-url | Redireccionamiento tras login | Sesión | Técnica |
No se utilizan:
- Cookies publicitarias
- Cookies de análisis (Google Analytics, etc.)
- Cookies de redes sociales
- Cookies de terceros para tracking
10.2. Configuración del navegador
Puede configurar su navegador para rechazar cookies, aunque esto impedirá el acceso a la plataforma. Para más información consulte:
- Chrome: chrome://settings/cookies
- Firefox: about:preferences#privacy
- Safari: Preferencias > Privacidad
- Edge: edge://settings/privacy
11. Menores de Edad
La plataforma está dirigida exclusivamente a mayores de 18 años con capacidad legal para firmar contratos de arrendamiento según el Código Civil español.
No se recogen intencionadamente datos de menores de edad. Si detectamos que se ha registrado un menor, procederemos a la eliminación inmediata de su cuenta y datos asociados.
12. Modificaciones de la Política de Privacidad
Esta Política de Privacidad puede ser modificada para adaptarla a cambios legislativos, jurisprudenciales o en la funcionalidad de la plataforma.
En caso de modificaciones sustanciales, se notificará a los usuarios con 15 días de antelación mediante:
- Email a la dirección registrada
- Aviso destacado en la plataforma tras el inicio de sesión
La versión actualizada indicará la fecha de última modificación en la parte superior del documento.
13. Consentimiento
El uso de la plataforma habitahogar.com implica la aceptación de esta Política de Privacidad.
Al crear una cuenta, el usuario declara:
- Haber leído y comprendido íntegramente esta Política
- Consentir el tratamiento de sus datos personales conforme a lo descrito
- Tener capacidad legal para formalizar contratos de arrendamiento
- Que los datos facilitados son veraces y están actualizados
14. Contacto
Para cualquier duda, consulta o ejercicio de derechos relacionados con la protección de datos personales:
Responsable: Alejandro Argüelles Delgado
Email: [email protected]
Teléfono: +34 639 51 05 91
Dirección: Av/ D'Alacant 42, 46460, Silla (Valencia)
Esta Política de Privacidad ha sido elaborada conforme al Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y la Ley 34/2002 (LSSI). Su contenido está sujeto a revisión y actualización periódica para garantizar el cumplimiento normativo vigente.