Política de Privacidad

Última actualización: marzo 2026

1. Responsable del tratamiento

CampoInformación
Razón social[NOMBRE DE LA EMPRESA]
CIF[CIF]
Domicilio social[DIRECCIÓN]
Correo electrónico del DPD/contacto[EMAIL_DPO]

[NOMBRE DE LA EMPRESA] (en adelante, "el Responsable") es la entidad responsable del tratamiento de los datos personales que usted nos facilite a través de la plataforma Subastas SaaS (en adelante, "el Servicio"), de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (en adelante, "RGPD"), y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, "LOPDGDD").

2. Datos que recopilamos

2.1 Datos de cuenta

Cuando usted se registra en el Servicio, recopilamos:

  • Dirección de correo electrónico — necesaria para la creación de la cuenta y las comunicaciones del servicio.
  • Nombre — utilizado para la identificación del usuario dentro de la plataforma.
  • Contraseña — almacenada exclusivamente en formato hash (cifrado irreversible); el Responsable no tiene acceso a la contraseña en texto claro.

2.2 Datos de uso del servicio

Durante la utilización de la plataforma, recopilamos:

  • Alertas configuradas — criterios de búsqueda guardados por el usuario para recibir notificaciones sobre subastas.
  • Expedientes creados — notas y seguimiento que el usuario asocia a subastas concretas.
  • Búsquedas realizadas — historial de consultas efectuadas en la plataforma.

Estos datos se generan como resultado de la interacción del usuario con el Servicio y son necesarios para la prestación de las funcionalidades contratadas.

2.3 Datos técnicos

Con fines de seguridad y mantenimiento del servicio, recopilamos de forma automática:

  • Dirección IP de acceso — registrada en los logs del servidor.
  • User-Agent del navegador — registrado en los logs del servidor.

Estos datos técnicos se conservan durante un periodo máximo de 30 días y se utilizan exclusivamente para la detección de incidentes de seguridad y la resolución de problemas técnicos.

2.4 Datos que NO recopilamos

El Servicio agrega y presenta datos públicos del Portal de Subastas del BOE (subastas.boe.es). No recopilamos datos personales de terceros involucrados en las subastas, tales como:

  • Nombres o datos identificativos de deudores.
  • Nombres o datos identificativos de pujadores.
  • Números de DNI/NIE de las partes.
  • Datos bancarios de terceros.

3. Finalidades del tratamiento

Los datos personales se tratan para las siguientes finalidades:

FinalidadDescripción
Prestación del ServicioGestión de la cuenta de usuario, configuración de alertas, creación de expedientes y acceso a la información de subastas.
Seguridad del ServicioDetección y prevención de accesos no autorizados, ataques informáticos y uso abusivo de la plataforma.
Mejora del ServicioAnálisis agregado y anónimo del uso de la plataforma para mejorar sus funcionalidades.
Comunicaciones del servicioEnvío de notificaciones operativas relacionadas con la cuenta del usuario (confirmación de registro, alertas configuradas, cambios en las condiciones del servicio).
Comunicaciones comercialesÚnicamente previo consentimiento expreso del usuario, envío de información sobre nuevas funcionalidades o promociones del Servicio.

4. Base jurídica del tratamiento

De conformidad con el artículo 6 del RGPD, las bases jurídicas que legitiman el tratamiento de sus datos personales son las siguientes:

4.1 Ejecución del contrato (Art. 6.1.b RGPD)

El tratamiento de los datos de cuenta (sección 2.1) y los datos de uso del servicio (sección 2.2) es necesario para la ejecución del contrato de prestación del Servicio. Sin estos datos, no es posible proporcionarle las funcionalidades contratadas.

4.2 Interés legítimo del Responsable (Art. 6.1.f RGPD)

El tratamiento de los datos técnicos (sección 2.3) se basa en el interés legítimo del Responsable en garantizar la seguridad de la plataforma, prevenir el uso fraudulento y mantener la calidad del Servicio. Se ha realizado una ponderación conforme al artículo 6.1.f del RGPD, concluyendo que dicho interés legítimo no prevalece sobre los derechos y libertades del usuario, dado el carácter limitado de los datos recogidos y su corto periodo de conservación (30 días).

4.3 Consentimiento (Art. 6.1.a RGPD)

El envío de comunicaciones comerciales (si las hubiera) se basará en el consentimiento previo y expreso del usuario, que podrá ser revocado en cualquier momento sin que ello afecte a la licitud del tratamiento realizado con anterioridad a la revocación.

5. Destinatarios de los datos

Los datos personales podrán ser comunicados a los siguientes destinatarios, exclusivamente en la medida necesaria para la prestación del Servicio:

ProveedorServicioUbicación
Vercel Inc.Alojamiento del frontend (aplicación web)Región UE/EEE
Railway Corp.Alojamiento del backend, base de datos y servicios auxiliaresRegión UE/EEE

No se ceden datos personales a terceros con fines comerciales, publicitarios ni de ninguna otra índole ajena a la prestación del Servicio.

6. Transferencias internacionales

A la fecha de esta política, no se realizan transferencias internacionales de datos personales fuera del Espacio Económico Europeo. Toda la infraestructura del Servicio se encuentra alojada en servidores ubicados en la UE/EEE.

En caso de que fuera necesario realizar transferencias internacionales en el futuro, se adoptarán las garantías adecuadas previstas en los artículos 46 y 47 del RGPD (cláusulas contractuales tipo, decisiones de adecuación de la Comisión Europea u otros mecanismos reconocidos) y se informará previamente a los usuarios.

7. Plazo de conservación

Categoría de datosPlazo de conservación
Datos de cuentaMientras dure la relación contractual con el usuario. Tras la baja del servicio, se conservarán bloqueados durante el plazo legalmente exigible para el cumplimiento de obligaciones legales.
Datos de uso del servicioMientras dure la relación contractual. Se eliminarán junto con la cuenta del usuario.
Datos técnicos (logs)Máximo 30 días desde su recopilación.
Datos para comunicaciones comercialesHasta la revocación del consentimiento por parte del usuario.

Una vez transcurridos los plazos de conservación, los datos serán eliminados de forma segura o, en su caso, anonimizados de forma irreversible.

Los plazos de conservación obligatoria por ley incluyen, entre otros:

  • Ley 58/2003, General Tributaria — obligaciones fiscales: 4 años.
  • Código de Comercio, Art. 30 — documentación contable: 6 años.
  • Ley 34/2002 (LSSI-CE), Art. 12 — datos de tráfico: 12 meses (cuando sea de aplicación).

8. Derechos del usuario

De conformidad con los artículos 15 a 22 del RGPD y los artículos 13 a 18 de la LOPDGDD, usted tiene derecho a:

DerechoDescripciónBase legal
AccesoObtener confirmación de si se tratan sus datos y acceder a los mismos.Art. 15 RGPD
RectificaciónSolicitar la corrección de datos inexactos o incompletos.Art. 16 RGPD
SupresiónSolicitar la eliminación de sus datos personales ("derecho al olvido").Art. 17 RGPD
LimitaciónSolicitar la limitación del tratamiento en determinadas circunstancias.Art. 18 RGPD
PortabilidadRecibir sus datos en un formato estructurado, de uso común y lectura mecánica.Art. 20 RGPD
OposiciónOponerse al tratamiento de sus datos basado en interés legítimo.Art. 21 RGPD

Cómo ejercer sus derechos

Para ejercer cualquiera de los derechos indicados, puede utilizar nuestro canal de derechos en línea:

Solicitar la supresión de mis datos personales

Alternativamente, puede enviar un correo electrónico a [EMAIL_DPO] indicando:

  1. Su nombre completo y dirección de correo electrónico asociada a su cuenta.
  2. El derecho que desea ejercer.
  3. Una copia de su documento de identidad (DNI, NIE o pasaporte) para verificar su identidad.

El Responsable responderá a su solicitud en el plazo máximo de un mes (30 días naturales) desde su recepción, conforme al artículo 12.3 del RGPD. Dicho plazo podrá prorrogarse dos meses adicionales en caso de solicitudes especialmente complejas o numerosas, informándole de dicha prórroga dentro del primer mes.

Reclamación ante la autoridad de control

Si considera que el tratamiento de sus datos personales vulnera la normativa vigente, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD):

9. Medidas de seguridad

El Responsable ha implementado las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, de conformidad con el artículo 32 del RGPD. Entre ellas:

  • Cifrado en tránsito: todas las comunicaciones entre el usuario y la plataforma se realizan mediante protocolo TLS (Transport Layer Security).
  • Hash de contraseñas: las contraseñas de los usuarios se almacenan mediante algoritmos de hashing seguros (scrypt), impidiendo su recuperación en texto claro.
  • Aislamiento de datos por cuenta: la arquitectura multi-tenant del servicio garantiza que los datos de cada cuenta están lógicamente aislados del resto.
  • Control de acceso: el acceso a los datos está restringido al personal autorizado, mediante un sistema de control de acceso basado en roles (RBAC).
  • Copias de seguridad cifradas: se realizan copias de seguridad periódicas de la base de datos, almacenadas de forma cifrada.

10. Uso por menores

El Servicio está dirigido exclusivamente a profesionales del sector inmobiliario y de inversiones (personas mayores de 18 años). No recopilamos de forma intencionada datos personales de menores de edad.

Si tiene conocimiento de que un menor ha facilitado datos personales a través de la plataforma, le rogamos que nos contacte a [EMAIL_DPO] para proceder a su inmediata eliminación.

11. Cookies

El Servicio utiliza exclusivamente las siguientes cookies técnicas, necesarias para el funcionamiento de la plataforma:

CookieTipoFinalidadDuración
Cookie de sesión (NextAuth)Técnica / estrictamente necesariaMantener la sesión del usuario autenticado (JWT)7 días

No se utilizan cookies de análisis, publicidad ni seguimiento de terceros.

De conformidad con el artículo 22.2 de la LSSI-CE (Ley 34/2002), las cookies estrictamente necesarias para la prestación del servicio solicitado por el usuario están exentas del requisito de consentimiento. No obstante, se informa al usuario de su existencia a través del banner de cookies de la plataforma.

12. Modificaciones de esta política

El Responsable se reserva el derecho de modificar la presente Política de Privacidad para adaptarla a novedades legislativas o jurisprudenciales, así como a cambios en el Servicio.

En caso de modificaciones sustanciales, se notificará a los usuarios registrados por correo electrónico con un preaviso mínimo de 30 días antes de la entrada en vigor de los cambios. El uso continuado del Servicio tras la entrada en vigor de las modificaciones implicará la aceptación de las mismas.

13. Referencias legales

  • RGPD — Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
  • LOPDGDD — Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
  • LSSI-CE — Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico.
  • Ley 58/2003 — Ley General Tributaria.
  • Código de Comercio — Real Decreto de 22 de agosto de 1885.