Política de privacidad
Última actualización: 2026-07-13.
Esta Política de privacidad describe cómo [POR DEFINIR — Razón social] (en adelante, el “Responsable” o “Guardesa”) trata los datos personales de los usuarios y de los terceros (inquilinos, propietarios, profesionales) cuyos datos los Clientes incorporen al servicio, conforme al Reglamento (UE) 2016/679 (RGPD), a la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y demás normativa aplicable.
1. Responsable del tratamiento
- Identidad: [POR DEFINIR — Razón social] ([POR DEFINIR — NIF/CIF])
- Domicilio: [POR DEFINIR — domicilio fiscal completo], [POR DEFINIR — ciudad], [POR DEFINIR — España]
- Contacto privacidad: [POR DEFINIR — privacidad@rent2rent.example]
2. Doble rol: Responsable y Encargado
Guardesa actúa con dos roles distintos según el origen de los datos:
- Responsable respecto a los datos de las personas que se registran como usuarios profesionales (Clientes), gestores o empleados del Cliente: nombre, email, teléfono, datos de autenticación, datos de facturación y de uso del servicio.
- Encargado del tratamiento respecto a los datos personales que el Cliente introduce en la plataforma sobre terceros (inquilinos, propietarios, profesionales, contactos), dado que esos datos los aporta y los gestiona el propio Cliente bajo su responsabilidad. Las condiciones específicas de este encargo se regulan en el Acuerdo de procesamiento de datos.
3. Datos que tratamos
- Datos de identificación y contacto: nombre, apellidos, email, teléfono, idioma, foto de perfil opcional.
- Datos de cuenta y uso: credenciales de acceso (a través de Supabase Auth), historial de mensajes con el asistente IA, archivos subidos, registros de eventos y estadísticas agregadas.
- Datos económicos: plan contratado, datos de pago (procesados por Stripe — Guardesa no almacena datos de tarjeta).
- Datos aportados sobre terceros: nombre, contacto, DNI/NIE, contratos de arrendamiento, justificantes de pago, incidencias, mensajería con inquilinos. Estos datos se tratan en calidad de Encargado por cuenta del Cliente.
- Datos técnicos: dirección IP, navegador, sistema operativo, identificadores de sesión.
Categorías especiales: aunque la app permite subir imágenes/PDFs de documentos de identidad (DNI/NIE/pasaporte), el tratamiento se limita estrictamente a la finalidad de gestión contractual. No se realiza extracción ni análisis biométrico de los documentos.
4. Finalidades y bases jurídicas
- Prestar el servicio (alta de cuenta, autenticación, gestión de inmuebles, generación de contratos, comunicaciones con inquilinos): art. 6.1.b RGPD — ejecución de un contrato.
- Procesar pagos y facturación de la suscripción al SaaS: art. 6.1.b y 6.1.c RGPD — contrato y obligaciones legales tributarias.
- Asistente IA (procesar mensajes y archivos enviados al chat para responder y orquestar acciones): art. 6.1.b RGPD — ejecución de un contrato.
- Cumplir obligaciones legales (fiscales, contables, requerimientos de autoridades): art. 6.1.c RGPD.
- Mejora del servicio y seguridad (logs, detección de fraude, métricas agregadas): art. 6.1.f RGPD — interés legítimo.
- Comunicaciones comerciales sobre nuestro propio servicio: art. 6.1.f RGPD para clientes existentes (servicios similares) o consentimiento expreso (art. 6.1.a) en el resto de casos. Puedes oponerte en cualquier momento.
5. Plazos de conservación
- Mientras la cuenta esté activa, los datos se conservan en la plataforma. Tras la baja, se eliminan o anonimizan en un plazo razonable (máximo 30 días), salvo obligación legal de conservación.
- Datos contables y fiscales: 6 años (art. 30 Código de Comercio).
- Logs de seguridad: 12 meses como máximo.
- Mensajes del chat IA: mientras la cuenta esté activa o hasta que el usuario los elimine.
6. Destinatarios y subprocesadores
Para prestar el servicio recurrimos a proveedores que tratan datos por cuenta del Responsable bajo contrato de encargo (art. 28 RGPD):
| Proveedor | Finalidad | Región |
|---|---|---|
| Supabase, Inc. | Autenticación y base de datos (PostgreSQL gestionado). | UE (Frankfurt — eu-west-1) |
| Google Cloud EMEA Limited (Cloud Run + Cloud Storage) | Hosting de la aplicación (Cloud Run) y almacenamiento de archivos de las conversaciones (imágenes, PDFs y audios de WhatsApp/Telegram) en Cloud Storage. | UE — europe-west1 (Bélgica); DPA de Google Cloud. |
| Google Cloud EMEA Limited (Vertex AI — Gemini) | Modelos de lenguaje y multimodales: chat IA, análisis de documentos, visión de imágenes/PDF y transcripción de audio. | UE — Vertex AI en región europea (residencia de datos en la Unión Europea; DPA de Google Cloud; los datos no se usan para entrenar modelos de uso general). |
| Stripe Payments Europe, Ltd. | Procesamiento de pagos y suscripciones. | UE (Irlanda) |
| Meta Platforms Ireland Ltd. | Mensajería de WhatsApp (WhatsApp Business Platform) para comunicación con inquilinos. | UE (Irlanda), con transferencias a EE. UU. bajo cláusulas contractuales tipo |
| Resend, Inc. | Envío de emails transaccionales. | EE. UU. (con cláusulas tipo de la UE) |
No se ceden datos a terceros con fines comerciales. Los datos solo se comparten con autoridades cuando exista obligación legal.
7. Transferencias internacionales
Algunos subprocesadores se ubican fuera del Espacio Económico Europeo (Reino Unido, EE. UU., Asia). Estas transferencias se amparan en decisiones de adecuación de la Comisión Europea, en cláusulas contractuales tipo (SCC) o en garantías equivalentes establecidas por el RGPD. Puedes solicitar copia de las garantías escribiendo a [POR DEFINIR — privacidad@rent2rent.example].
8. Derechos de las personas interesadas
Tienes derecho a:
- Acceder a tus datos y obtener una copia.
- Rectificar datos inexactos o completarlos.
- Suprimir los datos cuando ya no sean necesarios.
- Limitar u oponerte al tratamiento.
- Portabilidad de los datos a otro responsable.
- Retirar el consentimiento cuando ese sea la base jurídica, sin efectos retroactivos.
- Reclamar ante la Agencia Española de Protección de Datos (www.aepd.es).
Para ejercer estos derechos, escríbenos a [POR DEFINIR — privacidad@rent2rent.example] indicando el derecho que deseas ejercer y aportando documento que acredite tu identidad.
Si tus datos se han incorporado a la plataforma por un Cliente (por ejemplo, eres inquilino de un usuario de Guardesa), debes ejercer tus derechos directamente ante ese Cliente, que actúa como Responsable. Si no logras contactar con él, te ayudaremos a localizarlo.
9. Seguridad
Aplicamos medidas técnicas y organizativas adecuadas: cifrado en tránsito (TLS) y en reposo, control de acceso por roles (RBAC), aislamiento por organización (multi-tenant), políticas de seguridad a nivel de fila (RLS) en la base de datos, registro de auditoría y copias de seguridad periódicas.
10. Cambios en la política
Podemos actualizar esta política para reflejar cambios legales, técnicos u operativos. Cuando los cambios sean materiales, te lo notificaremos con antelación razonable por email o desde la propia aplicación.