Protección de datos personales (GDPR)

1. Roles de las partes

La plataforma distingue dos roles de protección de datos:

• Para clientes de promot.app, como promotoras, agencias y usuarios autorizados de la plataforma, David Monreal actúa como responsable del tratamiento para la operación del sitio web y de la plataforma: cuentas, soporte, seguridad, administración del servicio y cumplimiento legal.
• Para clientes o potenciales clientes de las promotoras, la promotora inmobiliaria responsable de la promoción normalmente actúa como responsable del tratamiento de la relación comercial.
• David Monreal actúa como encargado o subencargado, según corresponda, para esas conversaciones comerciales y trata los datos siguiendo las instrucciones documentadas de la promotora.

Si no sabes qué promotora es responsable de una conversación concreta, puedes escribir a gdpr@monreal.net y ayudaremos a dirigir la solicitud al responsable adecuado.

2. Canal dedicado de WhatsApp

promot.app utiliza números de WhatsApp dedicados, aprovisionados a través de Twilio, para conversaciones asistidas por bot. Estos números pueden estar conectados o configurados para la WhatsApp Business Account (WABA) de la promotora correspondiente y se destinan exclusivamente a conversaciones con el bot de promot.app y seguimiento comercial relacionado dentro de la aplicación.

La plataforma no está diseñada para ingerir, replicar, monitorizar o interceptar conversaciones que tengan lugar en números ordinarios de WhatsApp Business de la promotora fuera de este canal dedicado. Esta separación ayuda a limitar el tratamiento a las conversaciones gestionadas mediante promot.app.

La promotora correspondiente puede acceder a las conversaciones generadas a través de estos números dedicados dentro de la aplicación, sujeto a controles de acceso por roles, obligaciones de confidencialidad y los periodos de conservación descritos en esta información.

3. Categorías de datos personales

En relación con clientes de promot.app, las categorías principales son:

• Datos de cuenta, acceso, permisos, organización y soporte.
• Datos técnicos, de seguridad y administración del servicio.

En relación con clientes o potenciales clientes de las promotoras, las categorías principales son:

• Datos identificativos y de contacto, como teléfono y, cuando proceda, nombre y email.
• Contenido de comunicaciones, incluyendo texto, audio transcrito y metadatos de mensajería.
• Preferencias comerciales, necesidades de vivienda e intereses inmobiliarios facilitados o inferidos durante la conversación, como promociones, viviendas o documentos consultados.
• Datos técnicos y operativos, como logs, estados de entrega e identificadores de mensajes.

4. Finalidades del tratamiento

Para clientes de promot.app, las finalidades principales son operar la plataforma, administrar cuentas, prestar soporte, proteger el servicio y cumplir obligaciones legales.

Para clientes o potenciales clientes de las promotoras, las finalidades principales son:

• Gestionar consultas y conversaciones comerciales sobre cada promoción.
• Enviar información sobre viviendas, documentación y seguimiento comercial relacionado.
• Ofrecer a la promotora contexto útil sobre la conversación, incluyendo qué viviendas, documentos o promociones han interesado al usuario.
• Operar técnicamente el canal: entrega de mensajes, seguridad, trazabilidad y soporte.

5. Inicio de conversación y reglas de WhatsApp

Las promotoras usan promot.app para publicar puntos de entrada, como códigos QR o enlaces de WhatsApp, para sus promociones activas. Los usuarios inician voluntariamente la conversación usando esos puntos de entrada, enviando un primer mensaje a un número dedicado del bot o enviando una solicitud en la que el canal de WhatsApp esté claramente identificado.

La mensajería de WhatsApp Business está sujeta a las normas de Meta. Cuando un usuario envía un mensaje de WhatsApp a una promotora a través de la plataforma, se abre una ventana de atención de 24 horas desde el último mensaje entrante. Durante esa ventana, la plataforma puede enviar respuestas libres relacionadas con la consulta inmobiliaria y la conversación comercial.

Las respuestas automáticas ayudan a gestionar la conversación, pero el usuario puede pedir asistencia humana en cualquier momento solicitando hablar con una persona en el chat o contactando con la promotora por las vías indicadas para la promoción correspondiente.

Una vez cerrada la ventana de 24 horas, la plataforma no envía actualmente mensajes libres de WhatsApp al usuario. Si en el futuro se habilita seguimiento fuera de ventana, deberá usar plantillas aprobadas por Meta y solo podrá utilizarse cuando la promotora tenga base jurídica adecuada, opt-in cuando sea necesario e instrucción válida para ese seguimiento concreto.

Iniciar una conversación de WhatsApp para una consulta inmobiliaria concreta no autoriza por sí solo mensajes de marketing no relacionados ni comunicaciones futuras sin límite. El usuario puede pedir la baja respondiendo con una instrucción clara como "STOP", "BAJA" o "UNSUBSCRIBE".

6. Bases jurídicas

Para operar la plataforma, gestionar cuentas, prestar soporte, mantener la seguridad y cumplir obligaciones legales, David Monreal puede basarse en la ejecución de un contrato, el interés legítimo o la obligación legal, según la actividad de tratamiento.

En las consultas inmobiliarias y conversaciones comerciales, la base jurídica la determina la promotora que actúa como responsable del tratamiento en su propia información de privacidad. Normalmente puede tratarse de medidas precontractuales, interés legítimo o consentimiento, según el caso.

7. Proveedores y subencargados

Para prestar el servicio se utilizan proveedores con funciones específicas. No todos tienen el mismo rol legal: algunos tratan datos bajo un acuerdo de encargo de tratamiento y otros prestan una función técnica limitada.

• Twilio (canal de WhatsApp y mensajería): Data Protection Addendum, subencargados.
• OpenAI (asistencia de IA y transcripción de audio): utilizado bajo los términos aplicables de negocio/API y, cuando proceda, Data Processing Addendum. Los datos enviados por API no se usan para entrenar modelos por defecto. OpenAI puede conservar registros de abuso por defecto durante periodos limitados salvo configuración aprobada de retención o excepción legal/de seguridad. Ver OpenAI Data Processing Addendum y OpenAI API data controls.
• Vercel (alojamiento serverless y Vercel Blob): Data Processing Addendum.
• Adobe PDF Services (extracción de texto de PDF): información sobre Data Processing Addendum.
• Prisma Postgres (infraestructura PostgreSQL gestionada): documentación de Prisma Postgres, política de privacidad de Prisma.
• Nominatim/OpenStreetMap (geocodificación limitada, cuando proceda): no se envían nombres, teléfonos, datos de contacto, cuerpos de mensaje ni identidad del usuario; solo cadenas de localización no identificativas necesarias para geocodificación. Ver política de uso de Nominatim, política de privacidad de OpenStreetMap Foundation.

8. Ubicación principal de almacenamiento

• Base de datos: Frankfurt (Alemania).
• Almacenamiento de archivos: Frankfurt (Alemania).

Esta ubicación describe el almacenamiento principal de la aplicación bajo nuestro control. Proveedores de mensajería, IA, alojamiento, soporte, seguridad o procesamiento de documentos pueden tratar o acceder a datos desde otras ubicaciones según se indica en la sección de transferencias internacionales.

9. Transferencias internacionales

Algunos proveedores pueden tratar o acceder a datos personales desde fuera del Espacio Económico Europeo, dependiendo del servicio, configuración, soporte o subencargado implicado. Las principales salvaguardas son:

• Twilio: Data Protection Addendum, Binding Corporate Rules, Data Privacy Framework y/o cláusulas contractuales tipo cuando proceda.
• OpenAI: OpenAI Ireland Ltd. para datos de clientes del EEE, con cláusulas contractuales tipo o mecanismos de adecuación para transferencias posteriores cuando sean necesarios.
• Vercel: Data Processing Addendum y cláusulas contractuales tipo o mecanismos equivalentes cuando proceda.
• Adobe: Data Processing Addendum y cláusulas contractuales tipo o mecanismos equivalentes cuando proceda.
• Prisma Postgres: términos de privacidad y contractuales de Prisma, incluidos los mecanismos aplicables al plan y región seleccionados.
• Nominatim/OpenStreetMap: uso limitado para geocodificación sin enviar identidad del usuario ni contenido de conversación.

10. Plazos de conservación

Los datos de conversación, contacto, preferencias e intereses inmobiliarios se conservan mientras la consulta comercial siga activa y, por defecto, hasta 24 meses desde la última interacción significativa. Este plazo refleja ciclos habituales de decisión inmobiliaria y evita una conservación indefinida de leads.

La promotora correspondiente puede instruir una supresión, anonimización o conservación distinta cuando exista una obligación legal o una necesidad documentada de preservación de reclamaciones. Los logs técnicos y operativos se conservan como máximo 12 meses. Los medios o audios enviados por usuarios, cuando se almacenen, se conservan solo durante el tiempo necesario para procesar la conversación o prestar soporte, y en todo caso no más de 90 días salvo obligación legal o plazo de proveedor más corto.

11. Decisiones automatizadas y perfilado

La plataforma no asigna puntuaciones de lead ni adopta decisiones exclusivamente automatizadas que produzcan efectos jurídicos o significativamente similares sobre los usuarios. La IA se usa para ayudar a responder preguntas, transcribir audio y organizar el contexto de la conversación. La plataforma puede mostrar a la promotora qué viviendas, documentos o promociones han interesado al usuario, de forma parecida a las notas que tomaría un agente comercial humano tras una conversación.

12. Derechos de las personas interesadas

Los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad deben ejercerse ante la promotora que actúe como responsable de la promoción correspondiente. Cuando el tratamiento se base en el consentimiento, este puede retirarse en cualquier momento. Las solicitudes se atenderán en el plazo legal aplicable, normalmente un mes desde su recepción.

Si David Monreal recibe directamente una solicitud, la trasladará sin dilación indebida a la promotora correspondiente y prestará asistencia conforme al acuerdo de tratamiento. Si no sabes a quién dirigirte, puedes escribir a gdpr@monreal.net. También puedes presentar una reclamación ante la Agencia Española de Protección de Datos en https://www.aepd.es.

13. Seguridad

Se aplican medidas técnicas y organizativas orientadas a garantizar un nivel de seguridad adecuado, incluyendo:

• Cifrado en tránsito (TLS) entre usuarios, plataforma y subencargados integrados.
• Cifrado en reposo para datos almacenados en sistemas bajo nuestro control y salvaguardas equivalentes de proveedores cuando estén disponibles.
• Controles de acceso por roles y acceso limitado a personal autorizado con necesidad de conocer.
• Restricción de acceso en texto claro a conversaciones, salvo cuando sea estrictamente necesario para operar, asegurar o prestar soporte al servicio.
• Revisión periódica de medidas de seguridad y compromisos contractuales de subencargados.
• Notificación sin dilación indebida al responsable correspondiente cuando promot.app tenga conocimiento de una brecha de datos personales que le afecte como encargado.

14. Soporte y consultas

Para consultas relacionadas con una promoción o conversación concreta, el primer punto de contacto debería ser la promotora responsable. Para consultas generales sobre privacidad de la plataforma, puedes contactar con David Monreal en gdpr@monreal.net.

15. Actualizaciones

Esta información puede actualizarse por cambios legales, técnicos o de proveedores.

Última actualización: 2 de junio de 2026