Acuerdo de Tratamiento de Datos (DPA)

Última actualización: 18 de junio de 2026

1. Definiciones

Los términos "datos personales", "tratamiento", "responsable del tratamiento", "encargado del tratamiento", "interesado", "subencargado", "violación de la seguridad de los datos personales" (brecha) y "autoridad de control" tienen el significado que les atribuye el RGPD. "Datos del Cliente" son los datos personales de terceros (entre otros, los compradores, vendedores, arrendadores y demás leads y clientes inmobiliarios de la Agencia) que la Agencia introduce, recaba o trata a través del Servicio y respecto de los cuales la Agencia es el Responsable.

2. Roles de las partes

• La Agencia es el responsable del tratamiento de los Datos del Cliente. Determina los fines y medios del tratamiento y garantiza disponer de una base jurídica válida para su recogida y uso.
• IMPACTO GROUP LLC es el encargado del tratamiento de los Datos del Cliente y los trata únicamente por cuenta y siguiendo las instrucciones documentadas de la Agencia, en los términos de este DPA.
• Respecto de los datos de la propia Agencia y de sus usuarios autorizados (datos de cuenta, facturación y soporte), IMPACTO GROUP LLC actúa como responsable del tratamiento, conforme a su Política de Privacidad.

3. Objeto, naturaleza, finalidad y duración

• Objeto y naturaleza: alojamiento, almacenamiento, organización, análisis y comunicación de los Datos del Cliente mediante operaciones automatizadas, con el fin de prestar el Servicio (valorador, captación y gestión de leads, comunicaciones multicanal y asistentes de inteligencia artificial).
• Finalidad: exclusivamente la prestación del Servicio contratado por la Agencia conforme a los Términos de Servicio.
• Duración: mientras esté vigente el contrato de Servicio, sin perjuicio de la conservación posterior estrictamente necesaria para cumplir obligaciones legales.

El detalle de las categorías de interesados y de datos figura en el Anexo I.

4. Obligaciones del Encargado

IMPACTO GROUP LLC, como encargado del tratamiento, se compromete a:

• Tratar los Datos del Cliente únicamente conforme a las instrucciones documentadas de la Agencia (materializadas en los Términos de Servicio, este DPA y las configuraciones del Servicio), incluidas las transferencias internacionales, salvo que el Derecho aplicable obligue a otra cosa, en cuyo caso lo informará a la Agencia salvo prohibición legal.
• No utilizar los Datos del Cliente para fines propios ni para entrenar modelos de inteligencia artificial de uso general, ni cederlos a terceros salvo a los subencargados autorizados o por obligación legal.
• Garantizar que las personas autorizadas para tratar los Datos del Cliente se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad.
• Aplicar las medidas técnicas y organizativas apropiadas conforme al artículo 32 del RGPD descritas en el Anexo II.
• Respetar las condiciones para recurrir a otros subencargados (sección 6).
• Asistir a la Agencia, mediante medidas técnicas y organizativas apropiadas y en la medida de lo posible, para que pueda responder a las solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, oposición, limitación y portabilidad).
• Asistir a la Agencia en el cumplimiento de sus obligaciones de seguridad, notificación de brechas y, en su caso, evaluaciones de impacto y consultas previas (artículos 32 a 36 del RGPD).
• Poner a disposición de la Agencia la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 del RGPD (sección 8).

5. Borrado y derecho de supresión

El Servicio permite a la Agencia eliminar de forma permanente los Datos del Cliente. La eliminación de un lead desde el panel ejecuta un borrado físico del registro y de sus datos personales asociados en la base de datos (incluidas valoraciones, comunicaciones, notas, actividades y transcripciones vinculadas). Dicho borrado es definitivo, sin perjuicio de las copias de seguridad cifradas, que se sobrescriben o eliminan en su ciclo ordinario de rotación. Este mecanismo permite a la Agencia atender el derecho de supresión de sus interesados de forma efectiva.

6. Subencargados

La Agencia otorga al Encargado una autorización general para recurrir a subencargados en la prestación del Servicio (alojamiento en la nube, procesamiento de pagos, inteligencia artificial, cartografía, envío de correo y mensajería, entre otros). La lista actualizada de subencargados, con su finalidad y ubicación, se mantiene en la Política de Privacidad y se resume en el Anexo III. El Encargado impondrá a cada subencargado, mediante contrato, obligaciones de protección de datos equivalentes a las de este DPA. El Encargado informará a la Agencia de la incorporación o sustitución de subencargados con antelación razonable, y la Agencia podrá oponerse por motivos razonables de protección de datos; si la objeción no puede resolverse, la Agencia podrá resolver el Servicio afectado.

7. Transferencias internacionales

IMPACTO GROUP LLC está establecida en los Estados Unidos, por lo que el tratamiento de los Datos del Cliente comporta su transferencia a los Estados Unidos. Con carácter general, la infraestructura sobre la que se presta el Servicio está alojada en centros de datos situados en la Unión Europea.

Toda transferencia de Datos del Cliente a un país tercero se efectúa al amparo de alguno de los mecanismos previstos en el Capítulo V del RGPD (artículos 44 a 50), en particular las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea (Decisión 2021/914) y, cuando el importador esté certificado, el EU-US Data Privacy Framework (DPF) (Decisión de adecuación de 10 de julio de 2023), complementados con medidas adicionales como el cifrado de los datos en tránsito y en reposo.

8. Auditoría e información

El Encargado pondrá a disposición de la Agencia, previa solicitud razonable y con una periodicidad proporcionada, la información necesaria para demostrar el cumplimiento de este DPA (por ejemplo, descripción de medidas de seguridad, certificaciones o informes de los proveedores). Las auditorías se realizarán de forma que no comprometan la seguridad ni la confidencialidad de los datos de otros clientes y previo aviso razonable.

9. Notificación de violaciones de seguridad

El Encargado notificará a la Agencia sin dilación indebida desde que tenga conocimiento de una violación de la seguridad que afecte a los Datos del Cliente, con la antelación suficiente para que la Agencia pueda cumplir en plazo sus propias obligaciones, facilitando la información disponible para que la Agencia pueda cumplir, en su caso, sus obligaciones de notificación a la autoridad de control y a los interesados.

10. Devolución o supresión al finalizar

A la terminación del Servicio, y a elección de la Agencia, el Encargado devolverá o suprimirá los Datos del Cliente, así como las copias existentes, salvo que el Derecho aplicable exija su conservación. Durante un período transitorio razonable tras la terminación, la Agencia podrá exportar sus datos antes de su supresión definitiva.

11. Responsabilidad y ley aplicable

La responsabilidad de las partes en relación con este DPA se rige por las limitaciones de responsabilidad establecidas en los Términos de Servicio. Este DPA se rige por las leyes del Estado de Florida y las leyes federales de los Estados Unidos de América, sin perjuicio de las normas imperativas del RGPD y de la normativa de protección de datos aplicable al Responsable.

Anexo I. Detalles del tratamiento

Categorías de interesados: leads y clientes inmobiliarios de la Agencia (compradores, vendedores, arrendadores y otras personas que contactan o interactúan con la Agencia a través del Servicio), y, en su caso, usuarios de la Agencia.

Categorías de datos personales: datos identificativos y de contacto (nombre, correo electrónico, teléfono); datos sobre el inmueble y la operación (dirección, características, valoración estimada, preferencias); contenido de las comunicaciones (mensajes de chat multicanal, correos, notas); y datos técnicos y de navegación asociados a la captación (por ejemplo, dirección IP).

Finalidad y operaciones: recogida, alojamiento, organización, consulta, análisis automatizado, comunicación con los interesados y supresión, al servicio de la actividad de captación y gestión de la Agencia.

Anexo II. Medidas técnicas y organizativas (art. 32 RGPD)

• Cifrado: cifrado de los datos en tránsito (TLS) y en reposo.
• Control de acceso: autenticación de los usuarios, control de acceso basado en roles y aislamiento lógico de los datos por cliente (multi-tenant) para impedir accesos entre agencias.
• Confidencialidad: acceso al personal limitado al estrictamente necesario y sujeto a deber de confidencialidad.
• Resiliencia y respaldo: copias de seguridad y medidas para restaurar la disponibilidad y el acceso a los datos en caso de incidente.
• Seguridad del desarrollo y la infraestructura: proveedores de nube con certificaciones reconocidas, registros de actividad (logs), limitación de velocidad de peticiones (rate limiting) y protección frente a accesos no autorizados.
• Minimización: se trata únicamente la información necesaria para la prestación del Servicio y se ofrece a la Agencia el borrado permanente de los datos.

Anexo III. Subencargados

El Encargado recurre, entre otros, a subencargados para el alojamiento en la nube (infraestructura en la Unión Europea), el procesamiento de pagos, los servicios de inteligencia artificial, la cartografía y el envío de correo y mensajería multicanal. La lista detallada, con la identidad, finalidad y ubicación de cada subencargado, se mantiene actualizada en la Política de Privacidad, que forma parte de este DPA por referencia.

Contacto