Política de Privacidad
Última actualización: 3 de junio de 2026
1. Responsable del Tratamiento
En cumplimiento del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), se informa de los siguientes datos del Responsable del Tratamiento:
- Razón social: NICHOWEB, S.L.
- NIF/CIF: B88673991
- Registro Mercantil: Registro Mercantil de Málaga — Tomo 0, Folio 0, Sección GNE, Hoja 198332
- Representante legal: Juan Ramón Ansio Ríder
- Domicilio social: C/ Vasco de Gama 2, 1º 1, 29014 Málaga, España
- Correo electrónico: legal@inmoly.es
2. Doble rol de NICHOWEB, S.L. como responsable y encargado del tratamiento
NICHOWEB, S.L. actúa en dos roles distintos bajo el RGPD según la actividad de tratamiento:
- Responsable del tratamiento (Art. 4.7 RGPD): para los datos personales recogidos directamente a través de inmoly.es, tales como datos de cuenta de las agencias, datos de facturación y suscripción, comunicaciones de soporte y datos de uso de la plataforma.
- Encargado del tratamiento (Art. 4.8 RGPD): para los datos personales que las agencias inmobiliarias clientes (responsables del tratamiento) introducen en la plataforma Inmoly, como datos de contacto de compradores/ arrendatarios, registros de visitas y datos de propiedades. Esta relación se formaliza mediante el Acuerdo de Encargado de Tratamiento (DPA) que las agencias aceptan en el momento del registro.
La presente Política de Privacidad cubre únicamente el tratamiento en calidad de Responsable. El tratamiento como Encargado se rige por el DPA suscrito con cada agencia cliente.
3. Leyes aplicables
Esta política se adapta a la normativa española y europea vigente:
- Reglamento (UE) 2016/679 (RGPD)
- Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)
- Ley 34/2002, de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI-CE)
4. Información que recopilamos
Información proporcionada directamente:
- Datos de cuenta: nombre, email corporativo, contraseña, nombre de la agencia
- Datos de facturación: NIF/CIF de la agencia, dirección fiscal, datos de pago procesados por Stripe
- Comunicaciones: mensajes de soporte y contacto
Información recopilada automáticamente:
- Datos de uso: páginas visitadas, acciones realizadas, funcionalidades utilizadas
- Información técnica: navegador, sistema operativo, dirección IP, tipo de dispositivo
- Cookies y tecnologías similares (véase la Política de Cookies)
5. Finalidades y bases legales (Art. 6 RGPD)
| Finalidad | Base legal |
|---|---|
| Gestión de cuenta y prestación del servicio | Art. 6.1.b — ejecución del contrato |
| Facturación y obligaciones fiscales/contables | Art. 6.1.b y 6.1.c — contrato + obligación legal |
| Seguridad, prevención de fraude y monitorización de errores | Art. 6.1.f — interés legítimo |
| Mejora del servicio y analítica de uso | Art. 6.1.f — interés legítimo |
| Comunicaciones comerciales y novedades del producto | Art. 6.1.a — consentimiento explícito |
| Funcionalidades de inteligencia artificial | Art. 6.1.b — ejecución del contrato (funcionalidad suscrita) |
6. Destinatarios y subencargados del tratamiento
No vendemos tus datos personales. Para la prestación del servicio, compartimos datos estrictamente necesarios con los siguientes subencargados del tratamiento, con quienes existen los correspondientes contratos de encargo (Art. 28 RGPD):
| Proveedor | Finalidad | Datos tratados | Ubicación |
|---|---|---|---|
| Neon, Inc. | Base de datos PostgreSQL | Todos los datos de cuenta y plataforma | EEE (EU West) |
| Vercel, Inc. | Alojamiento web y CDN | Activos estáticos; sin datos personales | EEE + CDN global (CCE) |
| Cloudflare, Inc. | CDN y túnel de seguridad | Metadatos de solicitudes, IPs | EEE + global (CCE) |
| OVH SAS | Alojamiento del servidor de aplicación (VPS) | Datos en tránsito durante el procesamiento de cada petición | EEE — Francia |
| Stripe, Inc. | Procesamiento de pagos | Datos de facturación únicamente | EEE (CCE) |
| Resend, Inc. | Email transaccional | Nombre y email para notificaciones | EEE (CCE) |
| Sentry, Inc. | Monitorización de errores | Trazas de error anonimizadas, datos de sesión | EEE (CCE) |
| Google LLC (Analytics) | Analítica web | Datos de uso anonimizados (solo con consentimiento) | EEE (CCE) |
| Meta Platforms Ireland, Ltd. | Procesamiento de mensajería WhatsApp Business Cloud API en nombre de las agencias suscritas (cuando la agencia conecta su número de WhatsApp Business a la Bandeja de Entrada Unificada de Inmoly) | Contenido y metadatos de los mensajes que el cliente final envía/recibe a través del número de WhatsApp Business de la agencia | EEE (Irlanda) + EE.UU. para infraestructura de respaldo (CCE) |
CCE = Cláusulas Contractuales Estándar adoptadas por la Comisión Europea. EEE = Espacio Económico Europeo.
Nota sobre el alcance: esta tabla recoge los subencargados que tratan datos de los que NICHOWEB, S.L. es responsable del tratamiento (datos de cuenta de las agencias suscritas y datos de visitantes de www.inmoly.es). Los subencargados que tratan datos de los clientes finales de las agencias (leads, propietarios, compradores cuyos datos las agencias introducen en su CRM y en el sitio web público proporcionado por la plataforma Inmoly — accesible vía el subdominio asignado por defecto {slug}.inmoly.es o vía un dominio propio del cliente conectado a la plataforma) se enumeran en el Anexo II del Acuerdo de Encargado de Tratamiento (DPA), donde NICHOWEB, S.L. actúa como encargado del tratamiento. Algunos subencargados (Neon, Vercel, Cloudflare, OVH, Resend, Sentry) aparecen en ambas listas porque sus servicios soportan ambos contextos.
Mensajería WhatsApp Business y procesamiento por IA. Cuando una agencia cliente conecta su número de WhatsApp Business a la Bandeja de Entrada Unificada de Inmoly, los mensajes intercambiados con sus clientes finales circulan a través de la API WhatsApp Business Cloud de Meta Platforms Ireland, Ltd., que actúa como subencargado del tratamiento bajo las instrucciones de la agencia (responsable del tratamiento). Adicionalmente, los mensajes pueden ser procesados por modelos de inteligencia artificial alojados por Google LLC (Vertex AI) con la finalidad de extraer intenciones y resumir conversaciones para uso interno de la agencia. Todo el procesamiento por IA se realiza con un humano supervisor en el flujo: ningún mensaje se envía al cliente final sin revisión explícita del agente. El detalle de este flujo, las garantías aplicables, los plazos y los derechos de los interesados se desarrollan en el Anexo II del DPA.
Datos de Google Workspace (Gmail y Google Calendar) y Uso Limitado. Cuando una agencia cliente conecta su cuenta de Gmail y/o Google Calendar a Inmoly, los mensajes de correo, los eventos y las citas obtenidos a través de las API de Google se utilizan exclusivamente para proporcionar y mejorar funciones visibles para el usuario dentro de la plataforma —la Bandeja de Entrada Unificada, los resúmenes de conversación, la extracción de intenciones y el briefing diario del agente— y pueden ser procesados con esa misma finalidad por modelos de inteligencia artificial alojados por Google LLC (Vertex AI) en la región de la Unión Europea. El uso y la transferencia por parte de Inmoly de la información recibida de las API de Google se ajustarán a la Política de Datos de Usuario de los Servicios de API de Google (Google API Services User Data Policy), incluidos sus requisitos de Uso Limitado (Limited Use). En particular, dichos datos nunca se emplean para desarrollar, entrenar ni mejorar modelos de inteligencia artificial o de aprendizaje automático generalizados o no personalizados, ni se transfieren a terceros salvo en los supuestos expresamente permitidos por dicha Política.
También podremos comunicar datos a autoridades competentes cuando lo exija la ley o una orden judicial.
7. Plazos de conservación
| Datos | Plazo | Fundamento |
|---|---|---|
| Datos de cuenta activa | Durante la vigencia del contrato | Ejecución del contrato |
| Datos de cuenta tras baja | 30 días (exportación) + purga en 60 días | Derecho de portabilidad |
| Registros de facturación | 10 años | Ley 58/2003 General Tributaria |
| Datos de cuenta bloqueados tras baja | 5 años | Art. 1473 Código Civil (responsabilidades contractuales) |
| Tickets de soporte | 3 años | Plazo general de prescripción |
| Datos analíticos (GA4) | 26 meses | Configuración GA4 por defecto; interés legítimo |
| Logs de monitorización (Sentry) | 90 días | Interés legítimo (seguridad) |
| Registros de consentimiento (cookies/ToS) | Duración del contrato + 3 años | Art. 7.1 RGPD (carga de la prueba del consentimiento) |
8. Tus derechos
Conforme al RGPD y la LOPDGDD tienes derecho a:
- Acceso (Art. 15 RGPD): obtener confirmación y copia de tus datos personales
- Rectificación (Art. 16 RGPD): corregir datos inexactos o incompletos
- Supresión / derecho al olvido (Art. 17 RGPD): solicitar la eliminación cuando ya no sean necesarios
- Limitación del tratamiento (Art. 18 RGPD): restringir el tratamiento en determinadas circunstancias
- Portabilidad (Art. 20 RGPD): recibir tus datos en formato estructurado y de uso común
- Oposición (Art. 21 RGPD): oponerte al tratamiento basado en interés legítimo
- No ser objeto de decisiones automatizadas (Art. 22 RGPD)
- Retirada del consentimiento: en cualquier momento, sin efecto retroactivo
Para ejercer cualquiera de estos derechos, envía un email a legal@inmoly.es indicando el derecho que deseas ejercer, adjuntando copia de tu documento de identidad y con la referencia RGPD-www.inmoly.es. Responderemos en el plazo máximo de un mes (Art. 12 RGPD).
Retirada del consentimiento de marketing (Art. 7.3 RGPD)
Conforme al Art. 7.3 del RGPD, retirar el consentimiento debe ser tan sencillo como otorgarlo. Si has aceptado recibir comunicaciones comerciales y quieres dejar de recibirlas, dispones de tres vías equivalentes:
- Hacer clic en el enlace «cancelar suscripción» presente al pie de cada comunicación comercial. El enlace lleva a inmoly.es/unsubscribe con un token único que confirma tu identidad sin necesidad de login.
- Escribir a legal@inmoly.es indicando «baja de comunicaciones comerciales» y el email a dar de baja.
- Si dispones de una cuenta de cliente, desactivar la opción en la configuración de comunicaciones de tu panel de control.
La retirada se procesa de inmediato. Pueden persistir, durante un máximo de 48 horas, envíos comerciales ya planificados; transcurrido ese plazo no se enviarán más comunicaciones de marketing. La retirada del consentimiento de marketing no afecta a los emails operativos legalmente obligatorios (avisos de seguridad, facturación, cambios contractuales).
Si consideras que el tratamiento no se ajusta a la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.
9. Seguridad
Aplicamos medidas técnicas y organizativas apropiadas conforme al Art. 32 RGPD:
- Cifrado SSL/TLS en todas las comunicaciones (HTTPS obligatorio)
- Cifrado de datos en reposo (AES-256 gestionado por Neon)
- Aislamiento multi-tenant lógico por
tenantIden todas las consultas - Autenticación con tokens JWT de corta duración y cookies HttpOnly
- Control de acceso por roles (ADMIN / AGENT / VIEWER)
- Registro de auditoría de todos los cambios de estado
- Sin puertos TCP expuestos públicamente (túnel Cloudflare)
9.1. Notificación de brechas de seguridad
Cumplimos estrictamente los plazos del RGPD ante incidentes que afecten a datos personales:
- Notificación a la AEPD (Art. 33 RGPD): en un plazo máximo de 72 horas desde que tengamos conocimiento de la brecha, salvo que sea improbable que constituya un riesgo para los derechos y libertades de las personas afectadas.
- Notificación a las personas afectadas (Art. 34 RGPD): cuando la brecha entrañe un alto riesgo para tus derechos y libertades, te informaremos sin dilación indebida por email a la dirección registrada en tu cuenta, incluyendo: naturaleza de la incidencia, categorías de datos afectados, número estimado de interesados, consecuencias probables y medidas adoptadas o propuestas para mitigarlas.
- En relaciones de encargado del tratamiento (clientes B2B): notificaremos al responsable (la agencia) en el mismo plazo de 72 horas conforme al Acuerdo de Encargado de Tratamiento (§3.9).
- Registro interno: documentamos todas las brechas conforme al Art. 33.5 RGPD aunque no sean notificables, incluyendo hechos, efectos y medidas correctoras.
10. Menores de edad
El Servicio está dirigido exclusivamente a profesionales del sector inmobiliario mayores de 18 años. No recopilamos intencionadamente datos de menores. Si tienes conocimiento de que un menor nos ha proporcionado datos, contacta con nosotros para proceder a su eliminación.
11. Cambios en esta Política
Podemos actualizar esta política para reflejar cambios normativos o en nuestras prácticas. Los cambios materiales (nueva base legal, nuevo subencargado, cambio en retenciones) serán notificados con al menos 30 días de antelación por email. Los cambios no materiales (correcciones, formato) se publicarán sin notificación previa.
12. Contacto
NICHOWEB, S.L. (operadora de Inmoly)
NIF: B88673991
Email: legal@inmoly.es
Dirección: C/ Vasco de Gama 2, 1º 1, 29014 Málaga, España