Acuerdo de Encargado de Tratamiento
Versión: 2026-05-17
Última actualización: 17 de mayo de 2026
Este Acuerdo de Encargado de Tratamiento ("DPA") formaliza la relación entre NICHOWEB, S.L. (Encargado) y cada agencia cliente (Responsable) conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD). Al completar el registro en Inmoly la Agencia acepta los términos de este Acuerdo mediante el flujo de aceptación expresa (clickwrap).
Para contratos con ARR superior a €2.000/año se recomienda revisión jurídica previa (Atico34 / LegalDPO.es, presupuesto orientativo ~€400–600 única vez).
Partes
Encargado del Tratamiento ("Inmoly")
- Razón social: NICHOWEB, S.L.
- NIF: B88673991
- Domicilio social: C/ Vasco de Gama 2, 1º 1, 29014 Málaga, España
- Registro Mercantil: Registro Mercantil de Málaga — Tomo 0, Folio 0, Sección GNE, Hoja 198332
- Representante legal: Juan Ramón Ansio Ríder
Responsable del Tratamiento ("la Agencia")
La agencia inmobiliaria cuyos datos identificativos constan en el formulario de registro de la plataforma Inmoly.
Exponen
- (A) El Responsable es una agencia inmobiliaria que actúa como Responsable del Tratamiento de los datos personales de sus clientes (compradores, arrendatarios, propietarios y contactos).
- (B) El Responsable desea subcontratar a NICHOWEB, S.L. el alojamiento, procesamiento y gestión de dichos datos a través de la plataforma SaaS Inmoly.
- (C) Las Partes desean formalizar un acuerdo de encargo del tratamiento conforme al artículo 28 RGPD y la LOPDGDD.
1. Definiciones
- "Datos Personales": cualquier información que identifique o permita identificar a una persona física (Art. 4.1 RGPD).
- "Tratamiento": cualquier operación o conjunto de operaciones efectuadas sobre datos personales (Art. 4.2 RGPD).
- "Violación de seguridad": violación que ocasione destrucción, pérdida, alteración o acceso no autorizado a datos personales (Art. 4.12 RGPD).
- "Subencargado": cualquier persona contratada por NICHOWEB, S.L. para tratar datos personales en nombre del Responsable.
- "AEPD": Agencia Española de Protección de Datos.
2. Objeto, naturaleza y duración del tratamiento
NICHOWEB, S.L. tratará los datos personales exclusivamente para la prestación de los servicios de la plataforma Inmoly contratada por la Agencia:
| Objeto | Alojamiento, procesamiento y gestión de datos inmobiliarios y de contactos |
| Naturaleza | Almacenamiento, organización, recuperación, visualización, exportación |
| Finalidad | Prestación del servicio SaaS de gestión inmobiliaria según instrucciones del Responsable |
| Tipos de datos | Datos identificativos, de contacto, datos de propiedades, registros de visitas, datos financieros relacionados con operaciones inmobiliarias |
| Categorías de interesados | Compradores, arrendatarios, propietarios, contactos de la agencia |
| Duración | Mientras esté vigente la suscripción al servicio Inmoly |
NICHOWEB, S.L. no tratará los datos para fines propios distintos de la prestación del servicio, salvo obligación legal.
3. Obligaciones del Encargado del Tratamiento
NICHOWEB, S.L. se compromete a:
3.1 Instrucciones documentadas. Tratar los datos personales únicamente según las instrucciones documentadas del Responsable, incluyendo las relativas a transferencias internacionales de datos. Si NICHOWEB, S.L. considera que una instrucción infringe el RGPD o la normativa española aplicable, lo notificará al Responsable.
3.2 Confidencialidad. Garantizar que las personas autorizadas a tratar los datos personales se han comprometido a mantener la confidencialidad o están sujetas a una obligación legal de confidencialidad.
3.3 Medidas de seguridad (Art. 32 RGPD). Aplicar las medidas técnicas y organizativas descritas en el Anexo I de este Acuerdo.
3.4 Subencargados. No contratar a ningún subencargado sin autorización previa del Responsable. La autorización general de los subencargados listados en el Anexo II es concedida mediante la aceptación del presente Acuerdo. NICHOWEB, S.L. notificará al Responsable con 30 días de antelación cualquier incorporación o sustitución de subencargados.
3.5 Derechos de los interesados. Asistir al Responsable mediante las medidas técnicas y organizativas apropiadas para el cumplimiento de las solicitudes de ejercicio de derechos (acceso, rectificación, supresión, portabilidad, limitación, oposición) de los interesados.
3.6 Asistencia al Responsable. Ayudar al Responsable a garantizar el cumplimiento de las obligaciones relativas a seguridad (Art. 32), notificación de violaciones (Arts. 33-34), evaluaciones de impacto (Art. 35) y consultas previas (Art. 36).
3.7 Supresión o devolución de datos. A elección del Responsable y en el plazo de 10 días hábiles desde la fecha de cese del servicio: (a) devolver al Responsable todos los datos personales en formato JSON/CSV exportable, o (b) suprimir todos los datos y certificar dicha supresión por escrito, salvo que el Derecho de la Unión o de los Estados miembros exija la conservación de los datos.
3.8 Auditorías. Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 RGPD, y permitir y contribuir a la realización de auditorías.
3.9 Notificación de violaciones de seguridad. Notificar al Responsable sin dilación indebida (y en todo caso en el plazo máximo de 72 horas) tras tener conocimiento de una violación de seguridad de los datos personales que afecte a datos del Responsable, indicando: naturaleza de la violación, categorías y número aproximado de interesados y registros afectados, consecuencias probables y medidas adoptadas.
4. Obligaciones del Responsable del Tratamiento
La Agencia se compromete a:
4.1 Garantizar que dispone de la base jurídica adecuada para introducir datos personales de sus clientes en la plataforma Inmoly y que ha cumplido con sus obligaciones de información hacia los interesados (incluyendo la existencia de este DPA).
4.2 Notificar a NICHOWEB, S.L. cualquier cambio en las instrucciones de tratamiento.
4.3 No instruccionar a NICHOWEB, S.L. para que realice tratamientos que infrinjan el RGPD o la normativa española de protección de datos.
5. Transferencias internacionales de datos
5.1 NICHOWEB, S.L. no transferirá datos personales a países fuera del EEE sin autorización previa del Responsable, salvo en los casos de los subencargados listados en el Anexo II, para los que el Responsable otorga autorización general mediante la aceptación de este Acuerdo.
5.2 Las transferencias a subencargados fuera del EEE se realizarán amparadas por las Cláusulas Contractuales Estándar adoptadas por la Comisión Europea o decisiones de adecuación vigentes.
6. Ley aplicable y jurisdicción
El presente Acuerdo se rige por la legislación española. Para la resolución de cualquier controversia, las Partes se someten a los Juzgados y Tribunales de Málaga.
7. Vigencia
Este Acuerdo entra en vigor en la fecha de aceptación por parte de la Agencia en el formulario de registro y permanece vigente mientras la Agencia mantenga una suscripción activa a los servicios de Inmoly. La expiración del Acuerdo no afecta a las obligaciones relativas a la supresión o devolución de datos (cláusula 3.7) ni a las obligaciones de confidencialidad.
Anexo I — Medidas de Seguridad (Art. 32 RGPD)
NICHOWEB, S.L. aplica las siguientes medidas técnicas y organizativas:
Medidas técnicas
| Medida | Implementación |
|---|---|
| Cifrado en tránsito | HTTPS obligatorio en todas las comunicaciones (TLS 1.2+); sin fallback HTTP |
| Cifrado en reposo | AES-256 gestionado por Neon (proveedor de base de datos) |
| Aislamiento multi-tenant | tenantId obligatorio en todas las consultas de base de datos; sin acceso cruzado entre tenants |
| Autenticación de usuarios | Plataforma (L3): JWT de corta duración con renovación automática. Portal (L2): cookies HttpOnly firmadas, expiración 24 horas por defecto, ampliable a 30 días con «Recuérdame». |
| Control de acceso por roles | ADMIN / AGENT / VIEWER — permisos verificados en servidor y en UI |
| Registro de auditoría | Log inmutable de todos los cambios de estado con userId, entityId, before/after |
| Exposición de red | Sin puertos TCP públicos — únicamente HTTPS a través de Cloudflare Tunnel |
| Monitorización de errores | Sentry con datos de sesión anonimizados (retención conforme a la configuración del plan vigente del proveedor; tipicamente 90 días) |
| Gestión de vulnerabilidades | Dependencias actualizadas con alertas automáticas de GitHub Dependabot |
Medidas organizativas
| Medida | Descripción |
|---|---|
| Acceso con necesidad de conocer | Acceso a sistemas de producción restringido al equipo técnico mínimo necesario |
| Confidencialidad del personal | Compromisos de confidencialidad con todo el personal con acceso a datos de producción |
| Evaluación de subencargados | Verificación del cumplimiento RGPD y existencia de DPA antes de contratar nuevos subencargados |
| Plan de respuesta a incidentes | Procedimiento documentado para la gestión de violaciones de seguridad |
Anexo II — Lista de Subencargados Autorizados
El Responsable autoriza la contratación de los siguientes subencargados del tratamiento:
| Subencargado | Finalidad | Datos tratados | Ubicación | Base de transferencia |
|---|---|---|---|---|
| Neon, Inc. | Base de datos PostgreSQL | Todos los datos de la plataforma | EEE (EU West) | EEE; DPA disponible |
| Vercel, Inc. | Alojamiento web y CDN frontend | Sin datos personales (activos estáticos) | EEE + CDN global | CCE |
| Cloudflare, Inc. (CDN + Tunnel) | CDN y túnel de red | Metadatos de solicitudes, IPs | EEE + global | CCE |
| Cloudflare R2 (Cloudflare, Inc.) | Almacenamiento de objetos | Imágenes de propiedades y documentos adjuntos a leads (pueden contener datos personales) | EEE + global | CCE |
| Cloudflare Stream (Cloudflare, Inc.) | Hosting y transcodificación de vídeo | Vídeos de propiedades cargados por la agencia (típicamente sin datos personales) | EEE + global | CCE |
| OVH SAS | Alojamiento del servidor de aplicación (VPS) | Datos del Responsable en tránsito durante el procesamiento de cada petición | EEE — Francia | EEE; DPA disponible |
| Resend, Inc. | Email transaccional | Nombre y email (notificaciones de leads, etc.) | EEE | CCE |
| Google LLC (Vertex AI) | Funcionalidades IA: generación de descripciones de propiedades y metadatos SEO, traducción automática de fichas y plantillas de email, AI Insights (análisis automático de propiedades, leads, contactos y demandas) y Cross-matching IA (puntuación demanda↔propiedad) | Datos de propiedades, demandas, leads y contactos enviados al modelo en cada solicitud | EEE | CCE |
| Google LLC (Google Maps Platform) | Geolocalización de propiedades: autocompletado y geocodificación de direcciones (conversión de dirección a coordenadas geográficas) y visualización de mapas. | Direcciones postales de propiedades (pueden ser datos personales cuando se vinculan a un propietario, contacto o lead identificable); y, para las funciones de mapa y autocompletado, datos técnicos del usuario de la agencia (dirección IP, identificadores de navegador). | Global, incluido EE.UU. (Google Maps Platform no ofrece endpoint regional en la UE; las peticiones se procesan en infraestructura global de Google) | CCE (incorporadas en el Cloud Data Processing Addendum de Google) + Marco de Privacidad de Datos UE-EE.UU. (DPF) |
| Sentry, Inc. | Monitorización de errores | Trazas anonimizadas, datos de sesión | EEE | CCE |
| Meta Platforms Ireland, Ltd. (WhatsApp Business Cloud API) | Bandeja de Entrada Unificada: envío y recepción de mensajes WhatsApp entre la agencia y sus clientes finales a través del número de WhatsApp Business conectado por la agencia. Aplica únicamente cuando la agencia activa este canal. | Contenido de los mensajes, metadatos (números de teléfono, marcas de tiempo, estados de entrega), plantillas aprobadas y archivos adjuntos cuando los hubiera | Irlanda (sede europea) + EE.UU. (infraestructura de respaldo) | CCE + Decisión de adecuación EE.UU. (Data Privacy Framework) cuando aplique |
CCE = Cláusulas Contractuales Estándar adoptadas por la Comisión Europea. EEE = Espacio Económico Europeo.
Notas sobre el alcance del Anexo:
- Google Analytics 4 se utiliza exclusivamente en el sitio público www.inmoly.es para analizar el comportamiento de visitantes de la página de marketing. NICHOWEB actúa como responsable de ese tratamiento, no como encargado. No se ejecuta en los entornos donde se tratan los datos del Responsable (la agencia), por lo que no se incluye en este Anexo. Su tratamiento se rige por la Política de Privacidad.
- Stripe no se incluye en este Anexo porque no trata datos del Responsable. Stripe procesa exclusivamente los datos de facturación del Owner (administrador de la agencia que contrató Inmoly), respecto de los cuales NICHOWEB actúa como responsable conforme al Art. 6.1.b RGPD (ejecución contractual). Su tratamiento se rige por la Política de Privacidad.
Destinatarios y transferencias controlador-a-controlador
Adicionalmente a los subencargados arriba listados, cuando el Responsable activa determinadas integraciones, los datos pueden transmitirse a terceros que actúan como responsables independientes del tratamiento y no como subencargados de NICHOWEB. Estas transferencias se rigen por la relación contractual directa entre el Responsable y el destinatario, no por este DPA.
| Destinatario | Cuándo | Datos transmitidos | Clasificación |
|---|---|---|---|
| Idealista, S.A. | Cuando el Responsable activa la integración con el portal Idealista | Datos de contacto de la agencia + fichas de propiedades exportadas | Responsable independiente — no subencargado |
Otros portales inmobiliarios (Fotocasa, Habitaclia, etc.) podrán añadirse a esta tabla a medida que se incorporen como integraciones disponibles. La activación de cada integración requiere acción explícita del Responsable.
NICHOWEB, S.L. notificará al Responsable con 30 días de antelación cualquier modificación de esta lista. La ausencia de oposición escrita del Responsable durante ese plazo implica la aceptación del cambio.
Contacto
Para cualquier consulta relativa a este Acuerdo:
NICHOWEB, S.L. — NIF: B88673991
Email: legal@inmoly.es
Dirección: C/ Vasco de Gama 2, 1º 1, 29014 Málaga, España