Acuerdo de Tratamiento de Datos

A los efectos del presente Acuerdo, serán de aplicación las siguientes definiciones:

• Conforme al art. 4(7) RGPD, el Responsable del Tratamiento es la entidad que, sola o conjuntamente con otros, determina los fines y medios del tratamiento de datos personales.
• Conforme al art. 4(8) RGPD, el Encargado del Tratamiento es la persona física o jurídica, autoridad, institución u otro organismo que trate datos personales por cuenta del Responsable.
• Conforme al art. 4(1) RGPD, son datos personales toda información sobre una persona física identificada o identificable (el "Interesado"); se considera identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
• Son datos personales que requieren protección especial los datos del art. 9 RGPD que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical; los datos del art. 10 RGPD sobre condenas e infracciones penales o medidas de seguridad conexas; así como los datos genéticos (art. 4(13)), biométricos (art. 4(14)) y de salud (art. 4(15)) RGPD, y los datos relativos a la vida sexual o la orientación sexual de una persona física.
• Conforme al art. 4(2) RGPD, el tratamiento es cualquier operación o conjunto de operaciones realizadas sobre datos personales, automatizadas o no, como la recogida, el registro, la organización, la estructuración, la conservación, la adaptación o modificación, la extracción, la consulta, la utilización, la comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, el cotejo o la interconexión, la limitación, la supresión o la destrucción.
• Conforme al art. 4(21) RGPD, la autoridad de control es la autoridad pública independiente establecida por un Estado miembro con arreglo al art. 51 RGPD.

Objeto

El Encargado del Tratamiento presta los servicios especificados en el Contrato Principal por cuenta del Responsable. En el marco de dicha prestación, el Encargado accede a datos personales que trata para el Responsable exclusivamente por cuenta de este y conforme a sus instrucciones. El alcance y la finalidad del tratamiento se establecen en el Contrato Principal y en las descripciones de servicio asociadas. El Responsable es el único responsable de evaluar la licitud del tratamiento.

Las Partes celebran el presente Acuerdo para concretar sus derechos y obligaciones mutuos en materia de protección de datos. En caso de duda, prevalecerá lo dispuesto en el presente Acuerdo sobre lo dispuesto en el Contrato Principal. El Acuerdo se aplica a todas las actividades vinculadas al Contrato Principal en las que el Encargado y sus empleados o las personas por él autorizadas entren en contacto con datos personales procedentes del Responsable o recabados por cuenta de este. La vigencia del presente Acuerdo se regirá por la vigencia del Contrato Principal salvo que las disposiciones siguientes establezcan obligaciones o derechos de resolución adicionales.

Poder de instrucción

El Encargado solo podrá recabar, tratar o utilizar datos en el marco del Contrato Principal y conforme a las instrucciones del Responsable. Si una norma de la Unión o del Estado miembro a la que esté sujeto le exige llevar a cabo un tratamiento adicional, lo notificará al Responsable con carácter previo al tratamiento.

Las instrucciones del Responsable quedan inicialmente determinadas por el presente Acuerdo. Con posterioridad podrán ser modificadas, completadas o sustituidas por el Responsable por escrito o en formato de texto mediante instrucciones individuales. El Responsable podrá impartir tales instrucciones en cualquier momento, incluidas las relativas a la rectificación, supresión o bloqueo de los datos. Todas las instrucciones impartidas serán documentadas por el Responsable. Las instrucciones que excedan del servicio acordado en el Contrato Principal se tratarán como una solicitud de modificación del servicio.

Si el Encargado considera que una instrucción del Responsable infringe las disposiciones de protección de datos, lo notificará al Responsable sin dilación indebida. El Encargado tendrá derecho a suspender la ejecución de la instrucción afectada hasta que el Responsable la confirme o modifique. El Encargado podrá negarse a ejecutar una instrucción manifiestamente ilícita.

En el marco de la ejecución del Contrato Principal, el Encargado del Tratamiento accede a las siguientes categorías de datos personales (Anexo 1 del contrato subyacente):

Datos personales y de contacto

• Nombres: nombre del vendedor (cuando figure publicado), nombre del comprador (facilitado por el agente inmobiliario), nombre del agente.
• Datos de contacto: números de teléfono (incluidos números de WhatsApp), direcciones de correo electrónico (cuando figuren en un anuncio público o sean facilitadas por el usuario).

Datos del inmueble y de localización

• Localización: dirección completa del inmueble, barrio o coordenadas.
• Datos del anuncio: URL o ID del anuncio en línea.
• Características del inmueble: superficie, número de habitaciones, precio, año de construcción, estado y características específicas.

Contenidos facilitados por el usuario

• Archivos multimedia: fotografías del inmueble subidas por el usuario.
• Documentos opcionales: capturas de documentos subidos por el usuario (p. ej. recibo del IBI / impuesto sobre bienes inmuebles).

Datos de comunicación y consentimiento

• Contenido de las comunicaciones: historial de mensajes (p. ej. mensajes de WhatsApp con nuestros asistentes); fichas de lead o mensajes enviados a los agentes.
• Consentimiento y preferencias: estado del consentimiento (p. ej. opt-in "SÍ", opt-out "STOP"); solicitudes presentadas (p. ej. tasación del inmueble); plazo indicado de intención de venta.

Datos técnicos de registro y metadatos internos

• Identificadores: ID de usuario de WhatsApp, direcciones IP (cuando proceda).
• Registros: marcas temporales, registros de eventos y de auditoría.
• Gestión de leads: identificadores internos de lead, estado del lead (abierto, contactado, cerrado), fuente del lead (p. ej. portal de origen).
• Puntuación de leads: puntuación o ranking interno (p. ej. escala 0–100, clasificación caliente/neutro/frío).
• Métricas de rendimiento del agente: tasa de respuesta, frecuencia de contacto y resultados (almacenados exclusivamente de forma agregada y anonimizada).

Categorías de Interesados (Anexo 2)

• Agentes inmobiliarios.
• Vendedores.
• Compradores.

Transferencias a terceros países

Toda transferencia de datos personales a un tercer país solo podrá producirse en las condiciones del art. 44 y siguientes del RGPD, en particular sobre la base de una decisión de adecuación con arreglo al art. 45 RGPD o, en su defecto, de garantías adecuadas conforme al art. 46 RGPD —incluidas las Cláusulas Contractuales Tipo adoptadas por la Comisión Europea con arreglo al art. 46(2)(c) RGPD— junto con las medidas suplementarias que se requieran tras una evaluación de impacto de la transferencia.

El Encargado del Tratamiento observará las disposiciones legales en materia de protección de datos y no revelará a terceros la información obtenida del ámbito del Responsable ni la expondrá a su acceso. Los documentos y datos se protegerán frente al acceso de personas no autorizadas teniendo en cuenta el estado de la técnica.

El Encargado organizará su estructura interna de manera que se cumplan los requisitos específicos de la protección de datos. Ha implementado las medidas técnicas y organizativas especificadas en el Anexo 3 para proteger adecuadamente los datos del Responsable conforme al art. 32 RGPD, medidas que el Responsable reconoce como adecuadas. El Encargado se reserva el derecho a modificar las medidas de seguridad adoptadas siempre que no se rebaje el nivel de protección contractualmente acordado.

Las personas empleadas por el Encargado en el tratamiento de datos tienen prohibido recabar, tratar o utilizar datos personales sin autorización. El Encargado obligará a todas las personas a las que confíe el tratamiento y la ejecución de este Acuerdo (los "Empleados") en consecuencia (obligación de confidencialidad, art. 28(3)(b) RGPD) y velará con la debida diligencia por el cumplimiento de esta obligación.

El Encargado ha designado un delegado de protección de datos. El delegado de protección de datos del Encargado es heyData GmbH, Schützenstraße 5, 10117 Berlín, datenschutz@heydata.eu, www.heydata.eu.

Medidas técnicas y organizativas (Anexo 3)

El Encargado implementa medidas técnicas y organizativas adecuadas conforme al art. 32(1) RGPD, que abarcan los siguientes ámbitos:

• Confidencialidad — control de entrada (sistemas de cierre, videovigilancia de accesos cuando proceda, prácticas seguras de teletrabajo); control de admisión (autenticación con usuario y contraseña, antivirus, cortafuegos, bloqueo automático de escritorio, cifrado de portátiles y tabletas, gestión de permisos de usuario, reglas centrales de contraseñas, autenticación de dos factores, política corporativa de contraseñas seguras); control de acceso (registro de accesos a aplicaciones, concepto de autorización, número mínimo de administradores, gestión de derechos por administradores de sistemas); control de separación (separación de entornos de producción y prueba, cifrado de conjuntos de datos, separación lógica de clientes, derechos de base de datos definidos, anonimización/seudonimización cuando sea posible).
• Integridad — control de transmisión (conexiones cifradas SFTP/HTTPS, registro de accesos y recuperaciones); control de entrada de datos (registro de altas, modificaciones y supresiones, trazabilidad por nombres de usuario individuales, asignación de derechos por concepto de autorización, responsabilidades claras de borrado).
• Disponibilidad y resiliencia — copias de seguridad periódicas, almacenamiento externalizado y seguro de las copias, alojamiento profesional al menos para los datos más importantes.
• Procedimientos de revisión, evaluación y valoración periódicas (art. 32(1)(d); art. 25(1) RGPD) — uso de la plataforma heyData para la gestión de protección de datos; designación de heyData como delegado de protección de datos; obligación de secreto de los empleados; formación periódica del personal; registro de actividades de tratamiento (art. 30 RGPD); gestión de incidencias con procesos documentados de notificación conforme a los arts. 33/34 RGPD; participación del delegado de protección de datos en los incidentes de seguridad y brechas.
• Protección de datos desde el diseño y por defecto (art. 25(2) RGPD) — formación de los empleados en "privacy by design" y "privacy by default"; minimización de datos; control de encargos con instrucciones por escrito, confirmaciones de destrucción, compromisos de confidencialidad de los contratistas y revisión continua de los mismos.

El Encargado informará al Responsable de cualquier cambio significativo en las medidas de seguridad.

En caso de incidencias, sospechas de infracciones en materia de protección de datos o de incumplimiento de las obligaciones contractuales del Encargado, sospechas de incidentes de seguridad u otras irregularidades en el tratamiento de datos personales por el Encargado, por personas empleadas por él en el marco del contrato o por terceros, el Encargado informará al Responsable sin dilación indebida. Lo mismo se aplicará a las auditorías al Encargado por parte de la autoridad de control. La notificación de una violación de la seguridad de los datos personales contendrá, como mínimo, la siguiente información:

• una descripción de la naturaleza de la violación, incluidas, en la medida de lo posible, las categorías y el número de Interesados afectados y las categorías y el número de registros de datos personales afectados;
• una descripción de las medidas adoptadas o propuestas por el Encargado para abordar la violación y, en su caso, las medidas para mitigar sus posibles efectos adversos;
• una descripción de las consecuencias probables de la violación.

El Encargado adoptará de forma inmediata las medidas necesarias para asegurar los datos y mitigar cualquier posible consecuencia adversa para los Interesados, informará al Responsable y solicitará instrucciones adicionales.

Asimismo, el Encargado estará obligado a facilitar al Responsable información en cualquier momento en la medida en que los datos del Responsable se vean afectados por una violación. El Encargado informará también al Responsable de cualquier cambio significativo en las medidas de seguridad conforme a la Cláusula 4.

El Responsable podrá comprobar las medidas técnicas y organizativas del Encargado antes del inicio del tratamiento y, posteriormente, con periodicidad anual. A tal efecto, el Responsable podrá, por ejemplo, recabar información del Encargado, obtener certificados de expertos, certificaciones o informes de auditoría interna o —previa coordinación oportuna— inspeccionar personalmente las medidas del Encargado en horario laboral, o hacer que las inspeccione un tercero competente que no se halle en relación de competencia con el Encargado. El Responsable realizará las comprobaciones únicamente en la medida necesaria y no perturbará desproporcionadamente las operaciones del Encargado.

El Encargado se compromete a facilitar al Responsable, previa solicitud verbal o escrita y en un plazo razonable, toda la información y las pruebas necesarias para llevar a cabo una comprobación de sus medidas técnicas y organizativas.

El Responsable documentará los resultados de la inspección y los notificará al Encargado. En caso de detectar errores o irregularidades durante la inspección, el Responsable informará al Encargado sin dilación indebida. Si durante el control se constatan hechos cuya prevención futura requiere modificar el procedimiento contratado, el Responsable notificará al Encargado sin demora los cambios procedimentales necesarios.

Los servicios contratados se prestarán con la intervención de los subencargados enumerados en el Anexo 4 (los "Subencargados"). El Responsable otorga al Encargado su autorización general en el sentido del art. 28(2) frase 1 RGPD para incorporar subencargados adicionales en el marco de sus obligaciones contractuales o para sustituir a los subencargados ya designados.

El Encargado informará al Responsable con carácter previo a cualquier cambio en la incorporación o sustitución de un subencargado. El Responsable podrá oponerse a la incorporación o sustitución de un subencargado por motivo importante en materia de protección de datos. La oposición deberá formularse en el plazo de dos (2) semanas desde la recepción de la información sobre el cambio. Si no se formula oposición, la incorporación o sustitución se considerará aprobada. Si concurre motivo importante en materia de protección de datos y no es posible alcanzar una solución amistosa entre las Partes, el Responsable dispondrá de un derecho especial de resolución con efectos al final del mes siguiente a la oposición.

Al recurrir a subencargados, el Encargado les impondrá obligaciones acordes con las disposiciones del presente Acuerdo.

No se considera subencargado, a los efectos de las presentes disposiciones, al tercero contratado por el Encargado para prestar servicios meramente accesorios. Quedan comprendidos, por ejemplo, los servicios postales, de transporte y mensajería, de limpieza, de telecomunicaciones sin referencia específica a los servicios prestados por el Encargado al Responsable, y los servicios de vigilancia. Los servicios de mantenimiento y de prueba constituyen relaciones de subencargado que requieren consentimiento en la medida en que se presten respecto de sistemas informáticos utilizados también en el marco de los servicios al Responsable.

La lista actualizada de subencargados (Anexo 4) se publica y mantiene en https://www.leonandvera.com/subprocessors. La lista especifica el nombre, la función y la ubicación de tratamiento de cada subencargado.

El Encargado del Tratamiento asistirá al Responsable, mediante medidas técnicas y organizativas apropiadas, en el cumplimiento de las obligaciones del Responsable conforme a los artículos 12 a 22 y 32 a 36 del RGPD.

Si un Interesado ejerce ante el Encargado, de forma directa, derechos como el derecho de acceso, rectificación o supresión, el Encargado no responderá por iniciativa propia, sino que remitirá al Interesado al Responsable y esperará las instrucciones de este.

En la relación interna entre las Partes, el Responsable responderá frente al Interesado por la indemnización del daño sufrido por este como consecuencia de un tratamiento inadmisible o incorrecto bajo la normativa de protección de datos o de un uso dentro del ámbito del tratamiento por encargo.

El Encargado responderá de forma ilimitada por los daños cuya causa esté basada en un incumplimiento doloso o gravemente negligente de sus deberes, los de su representante legal o los de sus auxiliares en el cumplimiento.

El Encargado solo responderá por conducta negligente en caso de incumplimiento de una obligación cuyo cumplimiento sea presupuesto para la correcta ejecución del contrato y cuya observancia el Responsable pueda y suela confiar, y con la limitación al daño típico del contrato. Por lo demás, se excluye la responsabilidad del Encargado, incluida la de sus auxiliares en el cumplimiento.

Las limitaciones anteriores no se aplicarán a las reclamaciones de daños derivadas de lesiones a la vida, el cuerpo o la salud, ni a las derivadas de la asunción de una garantía.

Terminación

Tras la terminación del Contrato Principal, el Encargado devolverá al Responsable todos los documentos, datos y soportes facilitados o —a petición del Responsable y salvo que exista una obligación de conservar los datos personales con arreglo al Derecho de la Unión u otro Derecho nacional aplicable— los suprimirá. Lo mismo se aplicará a las copias de seguridad de las que disponga el Encargado. El Encargado, previa solicitud, proporcionará prueba documentada de la correcta supresión de los datos.

El Responsable tendrá derecho a verificar de manera adecuada la devolución o supresión completa y contractual de los datos en poder del Encargado.

El Encargado estará obligado a mantener la confidencialidad sobre los datos de los que haya tenido conocimiento en relación con el Contrato Principal incluso después de la extinción de este. El presente Acuerdo seguirá vigente más allá del fin del Contrato Principal mientras el Encargado disponga de datos personales que le hayan sido transmitidos por el Responsable o que haya recabado por cuenta de este.

Disposiciones finales

En la medida en que el Encargado no preste expresamente las acciones de soporte previstas en este Acuerdo de forma gratuita, podrá facturar al Responsable una contraprestación razonable, salvo que las propias acciones u omisiones del Encargado hayan hecho directamente necesario dicho soporte.

Las modificaciones y complementos del presente Acuerdo deberán formalizarse por escrito. Lo mismo se aplicará a la renuncia a este requisito de forma. La prioridad de los acuerdos contractuales individuales no se verá afectada.

Si alguna disposición del presente Acuerdo es o llega a ser total o parcialmente nula o inexigible, ello no afectará a la validez de las restantes disposiciones.

El presente Acuerdo se rige por el Derecho alemán.