Encargo de tratamiento (DPA)
Este documento es el Acuerdo de Tratamiento de Datos (Data Processing Agreement) entre tu organización (responsable del tratamiento) y Alquilr (encargado del tratamiento), conforme al artículo 28 del RGPD. Se aplica automáticamente a todos los clientes que traten datos personales de residentes en la UE a través de Alquilr.
Última actualización: 1 de junio de 2026
1. Objeto
Alquilr trata datos personales por cuenta del cliente con la única finalidad de prestarle el servicio contratado. El alcance, la naturaleza y la finalidad del tratamiento son los descritos en las Condiciones del Servicio y en la Política de Privacidad.
2. Tipos de datos
Alquilr puede tratar: (a) datos identificativos de inquilinos, propietarios y contactos (nombre, DNI/NIF, dirección, email, teléfono); (b) datos económicos (renta, fianzas, recibos); (c) datos de uso de la plataforma. No se tratan categorías especiales de datos (salud, ideología, etc.) salvo que el cliente los introduzca voluntariamente, en cuyo caso es responsabilidad del cliente haber obtenido el consentimiento adecuado.
3. Obligaciones de Alquilr
Alquilr se obliga a: (a) tratar los datos solo para la finalidad del servicio; (b) garantizar la confidencialidad del personal con acceso; (c) implementar las medidas técnicas y organizativas descritas en el Anexo I; (d) notificar al cliente cualquier brecha de seguridad en menos de 48 horas; (e) ayudar al cliente a cumplir sus obligaciones de atención de derechos; (f) poner a disposición del cliente toda la información necesaria para demostrar el cumplimiento.
4. Sub-encargados
Alquilr utiliza los sub-encargados listados en alquilr.com/privacy/subprocessors. Cualquier cambio significativo (alta o sustitución) se comunicará al cliente con al menos 30 días de antelación, dándole la posibilidad de oponerse por motivos fundados.
5. Transferencias internacionales
Los datos se tratan en el Espacio Económico Europeo. Si un sub-encargado requiere una transferencia fuera del EEE, Alquilr garantiza que existe una base legal válida (decisión de adecuación, cláusulas contractuales tipo de la Comisión Europea, o Normas Corporativas Vinculantes).
6. Medidas de seguridad
Las medidas técnicas y organizativas implementadas incluyen: (a) encriptación TLS 1.3 en tránsito; (b) encriptación AES-256 en reposo; (c) autenticación multifactor disponible; (d) segmentación de red; (e) copias de seguridad cifradas diarias; (f) controles de acceso basados en rol; (g) audit log inmutable; (h) pruebas de penetración anuales por tercero independiente; (i) formación del personal en protección de datos.
7. Auditoría
El cliente puede solicitar una vez al año una auditoría de las medidas de seguridad, con 30 días de antelación. Alquilr puede sustituir la auditoría in situ por: (a) aportación de informes de auditoría independientes (SOC 2, ISO 27001 cuando estén disponibles); (b) respuesta a un cuestionario detallado. El coste de la auditoría corre por cuenta del cliente salvo que se demuestre incumplimiento.
8. Devolución y supresión
Al finalizar el servicio, Alquilr devolverá al cliente todos los datos personales en un formato estándar (CSV/JSON) o los suprimirá, a elección del cliente. La supresión se completará en un plazo máximo de 90 días, salvo que la ley exija conservación.
9. Responsabilidad
Cada parte es responsable de los daños que cause por incumplimiento de sus obligaciones en materia de protección de datos. La responsabilidad total de Alquilr bajo este DPA se regirá por los límites establecidos en las Condiciones del Servicio, salvo dolo o negligencia grave.
10. Ley aplicable
Este DPA se rige por el RGPD y por la ley española de protección de datos personales y garantía de los derechos digitales (LOPDGDD).
Documentos relacionados