Contrato de Encargo del Tratamiento (DPA)

Este acuerdo concreta las obligaciones de protección de datos entre el cliente ("responsable" en el sentido del art. 4(7) RGPD) y RealPilot SL ("encargado" en el sentido del art. 4(8) RGPD) al utilizar la plataforma RealPilot. Complementa las Condiciones Generales y entra en vigor con el registro.

1. Objeto y duración

Este acuerdo regula el tratamiento de datos personales por parte del encargado por cuenta del responsable, en tanto en cuanto el responsable recopile, almacene o trate dichos datos a través de la plataforma RealPilot. El acuerdo dura mientras exista el contrato principal (CG) entre las partes.

2. Naturaleza y finalidad del tratamiento

El encargado proporciona una plataforma SaaS que permite al responsable: gestionar sus propios anuncios inmobiliarios; gestionar sus propios perfiles de clientes; buscar socios de cooperación (Community Hub); ejecutar cooperaciones entre intermediarios incluyendo la protección frente a la doble representación (Kundenschutz); chatear con socios de cooperación; recibir notificaciones transaccionales. El tratamiento se limita a la prestación de estas funciones.

3. Tipos de datos personales

Se tratan los siguientes tipos de datos: • Datos de los empleados del responsable (nombre, datos de contacto profesional, datos de acceso, idioma, rol) • Datos de los clientes finales del responsable (perfiles de búsqueda/venta incl. nombre interno; datos de contacto opcionales; hashes criptográficos de nombre, correo, teléfono para la protección frente a la doble representación) • Datos del inmueble (dirección, precio, descripción, imágenes) • Datos de cooperación (estado, historial de chat, registro de auditoría) • Datos técnicos (dirección IP, user-agent, marcas temporales de acceso)

4. Categorías de interesados

Empleados del responsable; clientes finales del responsable (compradores, vendedores, arrendatarios, arrendadores); intermediarios cooperantes y sus clientes finales en la medida en que se intercambien datos en el marco de una cooperación.

5. Obligaciones del encargado

El encargado se compromete a: • tratar los datos únicamente según las instrucciones documentadas del responsable • asegurar la confidencialidad mediante compromisos del personal • mantener las medidas técnicas y organizativas (MTO) del art. 32 RGPD • apoyar al responsable en el ejercicio de los derechos de los interesados (arts. 15–22 RGPD) • apoyar al responsable en las EIPD (art. 35 RGPD) y consultas previas (art. 36) • informar al responsable sin demora indebida, a más tardar en 24 horas, de cualquier violación de seguridad • borrar o devolver, a elección del responsable, todos los datos al finalizar el contrato, sin perjuicio de las obligaciones legales de conservación • proporcionar toda la información necesaria para el cumplimiento del art. 28 RGPD y permitir auditorías

6. Subencargados

El responsable consiente la contratación de los subencargados que figuran en nuestra Lista de Subencargados. Al añadir nuevos o reemplazar los existentes, el encargado informa al responsable con al menos 30 días de antelación por correo electrónico. El responsable puede oponerse dentro de ese plazo. El encargado garantiza que cada subencargado cumpla las mismas obligaciones de protección de datos establecidas en este acuerdo.

7. Transferencias internacionales

Solo se realizan transferencias a terceros países si se cumplen los requisitos del art. 44 y ss. RGPD. Para las transferencias a EE. UU. nos apoyamos en las Cláusulas Contractuales Tipo (Decisión 2021/914) y en la certificación de los proveedores bajo el EU-US Data Privacy Framework (Decisión de adecuación de 10/07/2023). Los datos de la plataforma en la base de datos de Supabase se almacenan físicamente en Frankfurt (eu-central-1).

8. Medidas técnicas y organizativas

El encargado mantiene las siguientes MTO conforme al art. 32 RGPD: TLS 1.2+ en todas las conexiones; Row Level Security (RLS) para acceso a base de datos aislado por inquilino; hashing bcrypt para contraseñas; hashes criptográficos para identificadores sensibles; copias de seguridad cifradas diarias (retención de 7 días); registro de auditoría para acciones críticas de seguridad; autenticación de dos factores para acceso administrativo; revisiones de seguridad periódicas. Documentación completa de las MTO disponible bajo petición.

9. Notificación de violaciones de seguridad

En caso de violación de seguridad de datos personales, el encargado informa al responsable sin demora indebida, a más tardar en 24 horas desde su conocimiento. La notificación incluye al menos: naturaleza de la violación, categorías y número aproximado de personas afectadas, consecuencias probables, medidas adoptadas o previstas.

10. Responsabilidad

Se aplica el art. 82 RGPD. Externamente, ambas partes responden conjunta y solidariamente frente al interesado. Internamente, cada parte responde proporcionalmente a su cuota de responsabilidad. Las limitaciones de responsabilidad acordadas en el contrato principal (CG) no se aplican a las reclamaciones derivadas de este acuerdo.

11. Finalización y supresión de datos

Al finalizar el contrato principal, el encargado — a elección del responsable — suprime o devuelve todos los datos tratados por su cuenta. La conservación más allá solo tiene lugar si las obligaciones legales de conservación lo requieren. En tal caso, el acceso a los datos se restringe de modo que solo pueda perseguirse la finalidad de conservación.