Acuerdo de procesamiento de datos

(DPA — art. 28 RGPD) · Última actualización: 2026-07-13.

Este Acuerdo de procesamiento de datos (en adelante, el “Acuerdo” o “DPA”) regula el tratamiento de datos personales que [POR DEFINIR — Razón social] ([POR DEFINIR — NIF/CIF]) (el “Encargado” o “Guardesa”) realiza por cuenta del Cliente (el “Responsable”) cuando éste utiliza el Servicio para gestionar datos personales de terceros (inquilinos, propietarios, profesionales, contactos). Forma parte integrante de las Condiciones de uso y entra en vigor en el momento del alta de la cuenta.

1. Objeto

El Encargado tratará los datos personales del Responsable conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD) y a la LOPDGDD, con la finalidad exclusiva de prestar las funcionalidades contratadas en el Servicio.

2. Naturaleza, finalidad y duración

  • Naturaleza: almacenamiento, consulta, modificación, envío, generación documental (contratos, recibos), envío de notificaciones (email, WhatsApp), procesamiento mediante asistente IA y copia de seguridad.
  • Finalidad: permitir al Responsable gestionar inmuebles, contratos, pagos, incidencias, comunicación con inquilinos y demás operaciones propias del Servicio.
  • Duración: mientras dure la relación contractual y el Responsable mantenga datos en la plataforma. Tras la finalización, el Encargado los suprimirá o anonimizará en un plazo máximo de 30 días, salvo obligación legal de conservación.

3. Tipo de datos y categorías de interesados

Los datos tratados son los que el Responsable o sus usuarios introducen en el Servicio. Pueden incluir, a título enunciativo:

  • Categorías de interesados: inquilinos, propietarios, profesionales (proveedores), contactos comerciales, miembros del equipo del Responsable.
  • Categorías de datos: identificativos (nombre, apellidos, DNI/NIE/pasaporte, dirección), de contacto (email, teléfono), económicos (rentas, fianzas, pagos, facturas), datos del inmueble, mensajes intercambiados con el Cliente.

4. Obligaciones del Encargado

El Encargado se obliga a:

  • Tratar los datos siguiendo exclusivamente las instrucciones documentadas del Responsable, contenidas en este DPA y en la configuración del Servicio.
  • Implantar las medidas técnicas y organizativas adecuadas para garantizar la seguridad del tratamiento (art. 32 RGPD): cifrado en tránsito (TLS) y reposo, control de acceso por roles, aislamiento multi-tenant, RLS en base de datos, registro de auditoría y copias de seguridad.
  • Garantizar que el personal autorizado se compromete a la confidencialidad o esté sometido a obligación legal de secreto.
  • No transferir los datos a terceros distintos de los subprocesadores autorizados.
  • Asistir al Responsable, en la medida de lo posible, para responder a ejercicios de derechos de los interesados (acceso, rectificación, supresión, portabilidad, etc.) y para realizar evaluaciones de impacto cuando proceda.
  • Notificar al Responsable sin dilación indebida (en un plazo máximo de 72 horas desde su conocimiento) cualquier brecha de seguridad que afecte a sus datos, con la información razonablemente disponible.
  • A elección del Responsable, suprimir o devolver los datos al finalizar la relación, salvo obligación legal de conservación.
  • Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento del art. 28 RGPD, así como permitir auditorías razonables (con al menos 15 días de preaviso, en horario laboral y bajo deber de confidencialidad).

5. Obligaciones del Responsable

  • Disponer de base jurídica adecuada para introducir datos personales en el Servicio y haber informado a los interesados conforme al RGPD.
  • Configurar correctamente el Servicio (roles, permisos, accesos por grupo de inmuebles) y mantener seguras sus credenciales.
  • Atender directamente los ejercicios de derechos que reciba de los interesados, en su calidad de Responsable.
  • No introducir categorías especiales de datos (salud, ideología, biometría, etc.) salvo en los casos en los que esté legalmente habilitado y haya valorado la necesidad.

6. Subprocesadores

El Responsable autoriza expresamente al Encargado a recurrir a los siguientes subprocesadores para prestar el Servicio:

SubprocesadorFinalidadUbicación
Supabase, Inc.Autenticación y base de datos (PostgreSQL gestionado).UE (Frankfurt — eu-west-1)
Google Cloud EMEA Limited (Cloud Run + Cloud Storage)Hosting de la aplicación (Cloud Run) y almacenamiento de archivos de las conversaciones (imágenes, PDFs y audios de WhatsApp/Telegram) en Cloud Storage.UE — europe-west1 (Bélgica); DPA de Google Cloud.
Google Cloud EMEA Limited (Vertex AI — Gemini)Modelos de lenguaje y multimodales: chat IA, análisis de documentos, visión de imágenes/PDF y transcripción de audio.UE — Vertex AI en región europea (residencia de datos en la Unión Europea; DPA de Google Cloud; los datos no se usan para entrenar modelos de uso general).
Stripe Payments Europe, Ltd.Procesamiento de pagos y suscripciones.UE (Irlanda)
Meta Platforms Ireland Ltd.Mensajería de WhatsApp (WhatsApp Business Platform) para comunicación con inquilinos.UE (Irlanda), con transferencias a EE. UU. bajo cláusulas contractuales tipo
Resend, Inc.Envío de emails transaccionales.EE. UU. (con cláusulas tipo de la UE)

El Encargado informará al Responsable de cualquier incorporación o sustitución de subprocesadores con al menos 30 días de antelación, a través de email o desde la propia aplicación. El Responsable podrá oponerse por motivos razonados; en ese caso, ambas partes negociarán de buena fe una solución y, de no alcanzarse, el Responsable podrá resolver el contrato sin penalización.

7. Transferencias internacionales

Cuando algún subprocesador esté ubicado fuera del Espacio Económico Europeo, el Encargado garantiza que la transferencia se realiza con garantías adecuadas: decisión de adecuación, cláusulas contractuales tipo (SCC) o medidas técnicas equivalentes (cifrado, seudonimización).

8. Asistente IA y datos del Cliente

El módulo de inteligencia artificial integra proveedores externos (Google Cloud — Vertex AI, en región europea de la UE). El Encargado mantiene cláusulas contractuales con estos proveedores que prohíben el uso de los datos del Cliente para entrenar modelos de uso general. Los archivos enviados al chat se utilizan exclusivamente para devolver la respuesta solicitada.

9. Brechas de seguridad

Ante una brecha de seguridad que afecte a datos del Responsable, el Encargado proporcionará: descripción del incidente, categorías y número aproximado de interesados y registros afectados, posibles consecuencias y medidas adoptadas o propuestas para mitigarlo.

10. Responsabilidad y resolución

Cada parte responderá frente a la otra y frente a los interesados por los daños y perjuicios causados por su incumplimiento del DPA o del RGPD. Las limitaciones de responsabilidad de las Condiciones de uso resultan aplicables salvo que la normativa imperativa disponga otra cosa.

11. Aceptación

Mediante la creación de la cuenta y la aceptación de las Condiciones de uso, el Responsable acepta también el presente DPA. Si necesita firma específica o adendas adicionales (por ejemplo, para cumplir políticas internas), puede solicitarlo a [POR DEFINIR — privacidad@rent2rent.example].