Política de Privacidad
Última actualización: marzo 2026
1. Responsable del tratamiento
| Campo | Información |
|---|---|
| Razón social | [NOMBRE DE LA EMPRESA] |
| CIF | [CIF] |
| Domicilio social | [DIRECCIÓN] |
| Correo electrónico del DPD/contacto | [EMAIL_DPO] |
[NOMBRE DE LA EMPRESA] (en adelante, "el Responsable") es la entidad responsable del tratamiento de los datos personales que usted nos facilite a través de la plataforma Subastas SaaS (en adelante, "el Servicio"), de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (en adelante, "RGPD"), y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, "LOPDGDD").
2. Datos que recopilamos
2.1 Datos de cuenta
Cuando usted se registra en el Servicio, recopilamos:
- Dirección de correo electrónico — necesaria para la creación de la cuenta y las comunicaciones del servicio.
- Nombre — utilizado para la identificación del usuario dentro de la plataforma.
- Contraseña — almacenada exclusivamente en formato hash (cifrado irreversible); el Responsable no tiene acceso a la contraseña en texto claro.
2.2 Datos de uso del servicio
Durante la utilización de la plataforma, recopilamos:
- Alertas configuradas — criterios de búsqueda guardados por el usuario para recibir notificaciones sobre subastas.
- Expedientes creados — notas y seguimiento que el usuario asocia a subastas concretas.
- Búsquedas realizadas — historial de consultas efectuadas en la plataforma.
Estos datos se generan como resultado de la interacción del usuario con el Servicio y son necesarios para la prestación de las funcionalidades contratadas.
2.3 Datos técnicos
Con fines de seguridad y mantenimiento del servicio, recopilamos de forma automática:
- Dirección IP de acceso — registrada en los logs del servidor.
- User-Agent del navegador — registrado en los logs del servidor.
Estos datos técnicos se conservan durante un periodo máximo de 30 días y se utilizan exclusivamente para la detección de incidentes de seguridad y la resolución de problemas técnicos.
2.4 Datos que NO recopilamos
El Servicio agrega y presenta datos públicos del Portal de Subastas del BOE (subastas.boe.es). No recopilamos datos personales de terceros involucrados en las subastas, tales como:
- Nombres o datos identificativos de deudores.
- Nombres o datos identificativos de pujadores.
- Números de DNI/NIE de las partes.
- Datos bancarios de terceros.
3. Finalidades del tratamiento
Los datos personales se tratan para las siguientes finalidades:
| Finalidad | Descripción |
|---|---|
| Prestación del Servicio | Gestión de la cuenta de usuario, configuración de alertas, creación de expedientes y acceso a la información de subastas. |
| Seguridad del Servicio | Detección y prevención de accesos no autorizados, ataques informáticos y uso abusivo de la plataforma. |
| Mejora del Servicio | Análisis agregado y anónimo del uso de la plataforma para mejorar sus funcionalidades. |
| Comunicaciones del servicio | Envío de notificaciones operativas relacionadas con la cuenta del usuario (confirmación de registro, alertas configuradas, cambios en las condiciones del servicio). |
| Comunicaciones comerciales | Únicamente previo consentimiento expreso del usuario, envío de información sobre nuevas funcionalidades o promociones del Servicio. |
4. Base jurídica del tratamiento
De conformidad con el artículo 6 del RGPD, las bases jurídicas que legitiman el tratamiento de sus datos personales son las siguientes:
4.1 Ejecución del contrato (Art. 6.1.b RGPD)
El tratamiento de los datos de cuenta (sección 2.1) y los datos de uso del servicio (sección 2.2) es necesario para la ejecución del contrato de prestación del Servicio. Sin estos datos, no es posible proporcionarle las funcionalidades contratadas.
4.2 Interés legítimo del Responsable (Art. 6.1.f RGPD)
El tratamiento de los datos técnicos (sección 2.3) se basa en el interés legítimo del Responsable en garantizar la seguridad de la plataforma, prevenir el uso fraudulento y mantener la calidad del Servicio. Se ha realizado una ponderación conforme al artículo 6.1.f del RGPD, concluyendo que dicho interés legítimo no prevalece sobre los derechos y libertades del usuario, dado el carácter limitado de los datos recogidos y su corto periodo de conservación (30 días).
4.3 Consentimiento (Art. 6.1.a RGPD)
El envío de comunicaciones comerciales (si las hubiera) se basará en el consentimiento previo y expreso del usuario, que podrá ser revocado en cualquier momento sin que ello afecte a la licitud del tratamiento realizado con anterioridad a la revocación.
5. Destinatarios de los datos
Los datos personales podrán ser comunicados a los siguientes destinatarios, exclusivamente en la medida necesaria para la prestación del Servicio:
| Proveedor | Servicio | Ubicación |
|---|---|---|
| Vercel Inc. | Alojamiento del frontend (aplicación web) | Región UE/EEE |
| Railway Corp. | Alojamiento del backend, base de datos y servicios auxiliares | Región UE/EEE |
No se ceden datos personales a terceros con fines comerciales, publicitarios ni de ninguna otra índole ajena a la prestación del Servicio.
6. Transferencias internacionales
A la fecha de esta política, no se realizan transferencias internacionales de datos personales fuera del Espacio Económico Europeo. Toda la infraestructura del Servicio se encuentra alojada en servidores ubicados en la UE/EEE.
En caso de que fuera necesario realizar transferencias internacionales en el futuro, se adoptarán las garantías adecuadas previstas en los artículos 46 y 47 del RGPD (cláusulas contractuales tipo, decisiones de adecuación de la Comisión Europea u otros mecanismos reconocidos) y se informará previamente a los usuarios.
7. Plazo de conservación
| Categoría de datos | Plazo de conservación |
|---|---|
| Datos de cuenta | Mientras dure la relación contractual con el usuario. Tras la baja del servicio, se conservarán bloqueados durante el plazo legalmente exigible para el cumplimiento de obligaciones legales. |
| Datos de uso del servicio | Mientras dure la relación contractual. Se eliminarán junto con la cuenta del usuario. |
| Datos técnicos (logs) | Máximo 30 días desde su recopilación. |
| Datos para comunicaciones comerciales | Hasta la revocación del consentimiento por parte del usuario. |
Una vez transcurridos los plazos de conservación, los datos serán eliminados de forma segura o, en su caso, anonimizados de forma irreversible.
Los plazos de conservación obligatoria por ley incluyen, entre otros:
- Ley 58/2003, General Tributaria — obligaciones fiscales: 4 años.
- Código de Comercio, Art. 30 — documentación contable: 6 años.
- Ley 34/2002 (LSSI-CE), Art. 12 — datos de tráfico: 12 meses (cuando sea de aplicación).
8. Derechos del usuario
De conformidad con los artículos 15 a 22 del RGPD y los artículos 13 a 18 de la LOPDGDD, usted tiene derecho a:
| Derecho | Descripción | Base legal |
|---|---|---|
| Acceso | Obtener confirmación de si se tratan sus datos y acceder a los mismos. | Art. 15 RGPD |
| Rectificación | Solicitar la corrección de datos inexactos o incompletos. | Art. 16 RGPD |
| Supresión | Solicitar la eliminación de sus datos personales ("derecho al olvido"). | Art. 17 RGPD |
| Limitación | Solicitar la limitación del tratamiento en determinadas circunstancias. | Art. 18 RGPD |
| Portabilidad | Recibir sus datos en un formato estructurado, de uso común y lectura mecánica. | Art. 20 RGPD |
| Oposición | Oponerse al tratamiento de sus datos basado en interés legítimo. | Art. 21 RGPD |
Cómo ejercer sus derechos
Para ejercer cualquiera de los derechos indicados, puede utilizar nuestro canal de derechos en línea:
Solicitar la supresión de mis datos personales
Alternativamente, puede enviar un correo electrónico a [EMAIL_DPO] indicando:
- Su nombre completo y dirección de correo electrónico asociada a su cuenta.
- El derecho que desea ejercer.
- Una copia de su documento de identidad (DNI, NIE o pasaporte) para verificar su identidad.
El Responsable responderá a su solicitud en el plazo máximo de un mes (30 días naturales) desde su recepción, conforme al artículo 12.3 del RGPD. Dicho plazo podrá prorrogarse dos meses adicionales en caso de solicitudes especialmente complejas o numerosas, informándole de dicha prórroga dentro del primer mes.
Reclamación ante la autoridad de control
Si considera que el tratamiento de sus datos personales vulnera la normativa vigente, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD):
- Web: https://www.aepd.es
- Dirección: C/ Jorge Juan 6, 28001 Madrid
9. Medidas de seguridad
El Responsable ha implementado las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, de conformidad con el artículo 32 del RGPD. Entre ellas:
- Cifrado en tránsito: todas las comunicaciones entre el usuario y la plataforma se realizan mediante protocolo TLS (Transport Layer Security).
- Hash de contraseñas: las contraseñas de los usuarios se almacenan mediante algoritmos de hashing seguros (scrypt), impidiendo su recuperación en texto claro.
- Aislamiento de datos por cuenta: la arquitectura multi-tenant del servicio garantiza que los datos de cada cuenta están lógicamente aislados del resto.
- Control de acceso: el acceso a los datos está restringido al personal autorizado, mediante un sistema de control de acceso basado en roles (RBAC).
- Copias de seguridad cifradas: se realizan copias de seguridad periódicas de la base de datos, almacenadas de forma cifrada.
10. Uso por menores
El Servicio está dirigido exclusivamente a profesionales del sector inmobiliario y de inversiones (personas mayores de 18 años). No recopilamos de forma intencionada datos personales de menores de edad.
Si tiene conocimiento de que un menor ha facilitado datos personales a través de la plataforma, le rogamos que nos contacte a [EMAIL_DPO] para proceder a su inmediata eliminación.
11. Cookies
El Servicio utiliza exclusivamente las siguientes cookies técnicas, necesarias para el funcionamiento de la plataforma:
| Cookie | Tipo | Finalidad | Duración |
|---|---|---|---|
| Cookie de sesión (NextAuth) | Técnica / estrictamente necesaria | Mantener la sesión del usuario autenticado (JWT) | 7 días |
No se utilizan cookies de análisis, publicidad ni seguimiento de terceros.
De conformidad con el artículo 22.2 de la LSSI-CE (Ley 34/2002), las cookies estrictamente necesarias para la prestación del servicio solicitado por el usuario están exentas del requisito de consentimiento. No obstante, se informa al usuario de su existencia a través del banner de cookies de la plataforma.
12. Modificaciones de esta política
El Responsable se reserva el derecho de modificar la presente Política de Privacidad para adaptarla a novedades legislativas o jurisprudenciales, así como a cambios en el Servicio.
En caso de modificaciones sustanciales, se notificará a los usuarios registrados por correo electrónico con un preaviso mínimo de 30 días antes de la entrada en vigor de los cambios. El uso continuado del Servicio tras la entrada en vigor de las modificaciones implicará la aceptación de las mismas.
13. Referencias legales
- RGPD — Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
- LOPDGDD — Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
- LSSI-CE — Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico.
- Ley 58/2003 — Ley General Tributaria.
- Código de Comercio — Real Decreto de 22 de agosto de 1885.