Acuerdo de Tratamiento de Datos (DPA)

Partes

Encargado del Tratamiento: KIDO TECHNOLOGIES S.L.U., con CIF B26672170 y domicilio en Calle Aviador Zorita 6, 28020 Madrid, España (en adelante, Vesta).

Responsable del Tratamiento: el cliente que ha contratado los servicios de Vesta CRM y cuya cuenta administrativa se encuentra activa (en adelante, Cliente).

Este DPA se considera aceptado por el Cliente en el momento de activar su suscripción a Vesta CRM y forma parte integrante de las Condiciones del Servicio. Si el Cliente requiere una copia firmada manualmente, puede solicitarla en privacy@vesta-crm.com.

1. Objeto y duración

Vesta tratará datos personales por cuenta del Cliente, exclusivamente para la prestación del servicio de CRM inmobiliario contratado. El tratamiento se prolongará mientras el contrato de servicio esté vigente, más los plazos legales aplicables tras su terminación.

2. Naturaleza y finalidad del tratamiento

Vesta tratará los datos para las siguientes finalidades:

• Gestión de contactos (prospects, propietarios, inquilinos, compradores).
• Gestión de propiedades y publicación en portales inmobiliarios.
• Gestión de comunicaciones (email, WhatsApp, SMS, voz).
• Asistencia mediante inteligencia artificial (clasificación, redacción asistida, transcripción) con las salvaguardas descritas en la Sección 7.
• Generación, firma y archivado de contratos.
• Facturación y cobro.
• Soporte, auditoría y seguridad del servicio.

3. Tipo de datos personales y categorías de interesados

Datos: identificadores (nombre, NIF, email, teléfono), datos de contacto y postales, datos económicos (IBAN, BIC), contenido de comunicaciones, grabaciones y transcripciones de llamadas, preferencias inmobiliarias, documentos contractuales.

Interesados: empleados del Cliente, prospects, propietarios, inquilinos, compradores y demás contactos que el Cliente introduzca en la plataforma.

4. Obligaciones de Vesta como Encargado

• Tratar los datos únicamente conforme a las instrucciones documentadas del Cliente.
• Garantizar que las personas autorizadas para tratar los datos se comprometen a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad.
• Aplicar las medidas técnicas y organizativas descritas en la Sección 8.
• Asistir al Cliente para que pueda cumplir con su obligación de responder a las solicitudes de los interesados (Arts. 15–22 RGPD).
• Notificar al Cliente sin dilación indebida y, en cualquier caso, dentro de las 72 horas, cualquier violación de seguridad de los datos personales (Art. 33).
• Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento del Art. 28 RGPD y permitir auditorías razonables.
• A elección del Cliente, suprimir o devolver todos los datos personales al finalizar la prestación del servicio, salvo obligación legal de conservación.

5. Sub-encargados

El Cliente autoriza con carácter general a Vesta a recurrir a los sub-encargados publicados en /sub-procesadores.

Vesta notificará al Cliente cualquier cambio previsto que implique la incorporación o sustitución de sub-encargados con al menos 30 días de antelación, dando al Cliente la posibilidad de oponerse a dichos cambios. Vesta impondrá a sus sub-encargados las mismas obligaciones de protección de datos a través de un contrato.

6. Transferencias internacionales

Cuando un sub-encargado se encuentre fuera del Espacio Económico Europeo, Vesta garantizará la transferencia mediante las Cláusulas Contractuales Tipo de la Comisión Europea (Decisión 2021/914, Módulo 2 Responsable→Encargado), complementadas, cuando proceda, con la adhesión al EU-US Data Privacy Framework, residencia europea de los datos y políticas de cero retención (ZDR). La lista detallada de mecanismos por sub-encargado se publica en /sub-procesadores.

7. Tratamiento con inteligencia artificial

Las funciones de IA de Vesta operan bajo los siguientes principios:

• Sin entrenamiento: ningún proveedor de IA utilizará los datos del Cliente para entrenar modelos.
• Cero retención: los proveedores de IA contratados no almacenan los prompts ni las respuestas en reposo.
• Residencia europea habilitada cuando el proveedor la ofrece (Anthropic EU, OpenAI EU Project).
• Humano en el bucle: ninguna decisión con efecto jurídico o significativamente similar sobre el interesado se toma exclusivamente de forma automatizada (Art. 22 RGPD).
• Estado «restringido»: el Cliente puede activar el estado «restringido» en cualquier contacto para excluirlo completamente del tratamiento por IA.

Detalles completos en la Política de Privacidad y en la Evaluación de Impacto (DPIA) disponible bajo NDA.

8. Medidas técnicas y organizativas (Art. 32)

• Cifrado en tránsito (TLS 1.2+) en todas las comunicaciones.
• Cifrado en reposo (Supabase, S3 SSE-KMS).
• Cifrado a nivel de campo (AES-256-GCM) para NIF, IBAN, BIC, transcripciones, cuerpos de email y WhatsApp.
• Control de acceso basado en roles (RBAC) y MFA obligatorio para administradores.
• Row-Level Security en la base de datos.
• Registro de auditoría (pgaudit) en tablas sensibles.
• Registro de accesos a fichas de contacto.
• Backups cifrados y plan de recuperación documentado.
• Monitorización de seguridad (Sentry, alertas Vercel).
• Rotación de claves API trimestral.
• Procedimiento documentado de respuesta a brechas con notificación en <72h.

9. Derechos de los interesados

Vesta asiste al Cliente para responder a las solicitudes de acceso, rectificación, supresión, limitación, oposición y portabilidad mediante:

• Endpoint /api/gdpr/access que genera un ZIP con todos los datos personales de un interesado (JSON + CSV portable).
• Operación anonymizeContact() que satisface el derecho de supresión sin perder el historial operativo.
• Estado restringido que detiene todo procesamiento automatizado, incluido el tratamiento por IA.
• Edición inline para rectificación inmediata.

10. Devolución y supresión al término del contrato

Al término del contrato, el Cliente dispondrá de 30 días para exportar sus datos. Transcurrido ese plazo, Vesta procederá a la supresión segura de los datos del Cliente, salvo las copias que deba conservar por obligación legal (registros fiscales 6 años, contratos inmobiliarios 6 años conforme a la normativa española).

11. Auditoría

El Cliente podrá auditar el cumplimiento de este DPA con un preaviso de 30 días, una vez al año, durante horario laboral, y comprometiéndose a la confidencialidad. Vesta podrá ofrecer certificaciones SOC 2, ISO 27001 u otros informes de terceros como alternativa a una auditoría in-situ.

12. Ley aplicable y jurisdicción

Este DPA se rige por la legislación española y, en lo no previsto, por el RGPD y la LOPDGDD. Las partes se someten a los Juzgados y Tribunales de Madrid.