Última actualización: abril de 2026
El responsable del tratamiento en el sentido del Reglamento General de Protección de Datos (RGPD) y demás legislación aplicable en materia de protección de datos es: HeyFlats Düsseldorf, Alemania Correo electrónico: info@heyflats.com Si tiene alguna pregunta sobre el tratamiento de sus datos personales, sus derechos como interesado o esta política de privacidad, póngase en contacto con nosotros en la dirección de correo electrónico indicada. Responderemos a su consulta dentro del plazo exigido por la legislación aplicable.
Recogemos y tratamos datos personales únicamente en la medida necesaria para proporcionar una plataforma funcional, cumplir nuestras obligaciones contractuales y cumplir los requisitos legales. Cuando el tratamiento no esté amparado por una base contractual o legal, obtendremos su consentimiento expreso antes del tratamiento. Los datos personales, según se definen en el artículo 4 del RGPD, incluyen cualquier información relativa a una persona física identificada o identificable, como su nombre, dirección de correo electrónico, número de teléfono, dirección IP o datos de ubicación. Nuestras actividades de tratamiento se llevan a cabo de conformidad con el RGPD, la Ley Federal alemana de Protección de Datos (BDSG), la Ley alemana de Telemedios (TMG) y cualquier otra legislación aplicable en materia de protección de datos. Las bases jurídicas de nuestras actividades de tratamiento incluyen: • Artículo 6(1)(a) del RGPD: consentimiento del interesado. • Artículo 6(1)(b) del RGPD: ejecución de un contrato o medidas precontractuales. • Artículo 6(1)(c) del RGPD: cumplimiento de una obligación legal. • Artículo 6(1)(f) del RGPD: intereses legítimos del responsable, siempre que no prevalezcan los intereses o derechos fundamentales del interesado. Cuando nos basamos en el interés legítimo como base jurídica, nuestros intereses incluyen el funcionamiento, la mejora y la seguridad de nuestra plataforma, la prevención del fraude y el marketing directo de nuestros propios servicios.
Cuando accede a nuestro sitio web, nuestros servidores recogen y almacenan automáticamente la información técnica transmitida por su navegador. Estos datos son necesarios para la entrega técnica del sitio web y para garantizar la estabilidad, seguridad y rendimiento de nuestros sistemas. Los siguientes datos se recogen automáticamente: • Tipo y versión del navegador. • Sistema operativo. • Proveedor de servicios de Internet (ISP). • Dirección IP (anonimizada tras el tratamiento). • Fecha y hora de la solicitud al servidor. • URL de referencia (la página desde la que llegó). • Páginas visitadas y recursos consultados. • Volumen de datos transferidos. Estos datos se almacenan en archivos de registro del servidor durante un máximo de siete (7) días y posteriormente se eliminan o anonimizan. Los datos de los archivos de registro no se vinculan a cuentas de usuario individuales ni se combinan con otras fuentes de datos. La base jurídica de este tratamiento es el artículo 6(1)(f) del RGPD (interés legítimo en garantizar el funcionamiento seguro y eficiente de nuestra plataforma).
Nuestra plataforma está alojada por proveedores de infraestructura de terceros que tratan los datos por cuenta nuestra de acuerdo con el artículo 28 del RGPD. Hemos celebrado contratos de encargo de tratamiento (Auftragsverarbeitungsverträge) con todos los socios de alojamiento e infraestructura para garantizar un nivel adecuado de protección de datos. Las imágenes de las propiedades y los archivos multimedia se almacenan utilizando Cloudflare R2, un servicio de almacenamiento de objetos en la nube. Cloudflare trata los datos de conformidad con las normas aplicables en materia de protección de datos y mantiene medidas técnicas y organizativas de seguridad apropiadas. Nuestros servidores y sistemas de almacenamiento se encuentran en el Espacio Económico Europeo (EEE). En caso de que los datos se transfieran a países fuera del EEE, garantizamos que se aplican las salvaguardas adecuadas de conformidad con el Capítulo V del RGPD, como Cláusulas Contractuales Tipo o decisiones de adecuación.
Nuestra plataforma utiliza cookies y tecnologías similares (como el almacenamiento local) para garantizar la funcionalidad básica, mantener las sesiones de usuario y mejorar su experiencia. Las cookies son pequeños archivos de texto que su navegador coloca en su dispositivo. Utilizamos las siguientes categorías de cookies: • Cookies estrictamente necesarias: son esenciales para el funcionamiento de la plataforma, incluidas la autenticación, la gestión de sesiones y la seguridad. No pueden desactivarse sin mermar la funcionalidad de la plataforma. Base jurídica: artículo 6(1)(f) del RGPD. • Cookies funcionales: recuerdan sus preferencias, como la configuración de idioma y las opciones de visualización, para ofrecerle una experiencia personalizada. Base jurídica: artículo 6(1)(f) del RGPD. • Cookies analíticas: nos ayudan a entender cómo interactúan los visitantes con nuestra plataforma mediante estadísticas de uso anonimizadas. Utilizamos estos datos para identificar áreas de mejora y optimizar la experiencia del usuario. Base jurídica: artículo 6(1)(a) del RGPD (consentimiento). Puede gestionar, desactivar o eliminar las cookies en cualquier momento desde los ajustes de su navegador. Tenga en cuenta que desactivar las cookies puede afectar al funcionamiento de determinadas funciones de la plataforma. Para más información sobre la gestión de cookies, consulte la documentación de ayuda de su navegador.
Cuando crea una cuenta en nuestra plataforma, recogemos y tratamos los siguientes datos personales: • Nombre (nombre y apellidos). • Dirección de correo electrónico. • Información de perfil aportada voluntariamente (p. ej., número de teléfono). La autenticación y la gestión de identidades son proporcionadas por Clerk, un proveedor externo de servicios de identidad. Clerk trata los datos de autenticación (incluidos direcciones de correo electrónico, tokens de sesión y metadatos de inicio de sesión) de acuerdo con su propia política de privacidad y nuestro contrato de encargo de tratamiento. No almacenamos contraseñas ni credenciales de autenticación directamente en nuestros servidores. Para los inquilinos que participan en el proceso de verificación, podemos recoger y tratar adicionalmente, con su consentimiento expreso: • Fecha de nacimiento y nacionalidad. • Información laboral (nombre del empleador, puesto, ingresos mensuales). • Tipo y número de documento de identidad (pasaporte, DNI o permiso de residencia). • Resultados de la comprobación de solvencia (puntuación y resultado de la SCHUFA-BonitätsCheck). • Información de contacto de emergencia. Estos datos se recogen únicamente con fines de verificación del inquilino y se comparten con los propietarios solo en la medida necesaria para respaldar las decisiones de reserva. La base jurídica para el tratamiento de los datos de verificación del inquilino es el artículo 6(1)(a) del RGPD (consentimiento expreso) y el artículo 6(1)(b) del RGPD (ejecución de medidas precontractuales). Para los propietarios, podemos recoger adicionalmente: • Denominación social y número de registro (para propietarios corporativos). • IBAN e información financiera para la liquidación de comisiones. • Número de identificación fiscal a efectos del IVA. • Dirección de facturación. Estos datos se tratan con fines de ejecución del contrato y liquidación de comisiones. La base jurídica es el artículo 6(1)(b) del RGPD.
Nuestra plataforma utiliza tecnologías de inteligencia artificial (IA) y aprendizaje automático para ofrecer funcionalidad de búsqueda, hacer corresponder a inquilinos con propiedades adecuadas y generar descripciones de propiedades. Estos servicios se prestan a través de proveedores de IA de terceros, incluidos Anthropic y OpenAI, accedidos a través de la pasarela API OpenRouter. Cuando utiliza la función de búsqueda, sus consultas son tratadas por modelos de IA para entender sus preferencias y devolver resultados relevantes. Las consultas de búsqueda pueden convertirse en representaciones matemáticas (embeddings) y compararse con los anuncios de propiedades mediante similitud semántica. Estos embeddings se almacenan en nuestra base de datos para permitir operaciones de búsqueda eficientes. El tratamiento por IA está diseñado para ayudar a los usuarios a encontrar propiedades adecuadas y no produce efectos jurídicos o análogamente significativos sobre el interesado en el sentido del artículo 22 del RGPD. Todas las decisiones de reserva son adoptadas por partes humanas (propietarios e inquilinos). Las consultas de búsqueda y las interacciones con la IA pueden conservarse con el fin de mejorar la calidad de la búsqueda y el rendimiento de la plataforma. Estos datos se anonimizan o seudonimizan siempre que sea posible. La base jurídica es el artículo 6(1)(f) del RGPD (interés legítimo en la prestación y mejora del servicio de búsqueda).
Integramos los siguientes servicios de terceros en nuestra plataforma. Cada servicio puede tratar datos personales de acuerdo con su propia política de privacidad: • Clerk (clerk.com): autenticación, gestión de usuarios y manejo de sesiones. Clerk trata direcciones de correo electrónico, metadatos de inicio de sesión e información de sesión. • Google Maps (Google LLC): visualización de ubicaciones de propiedades en mapas interactivos. Google puede recoger direcciones IP, información del dispositivo y datos de ubicación cuando se cargan los mapas. Base jurídica: artículo 6(1)(f) del RGPD. • Cloudflare (Cloudflare, Inc.): red de distribución de contenido (CDN), protección frente a DDoS y almacenamiento de imágenes (R2). Cloudflare puede tratar direcciones IP y metadatos de solicitud. • Anthropic / OpenAI (a través de OpenRouter): búsqueda impulsada por IA, correspondencia semántica y procesamiento de lenguaje natural. Las consultas de búsqueda y los datos de la propiedad pueden transmitirse a estos proveedores para su tratamiento. Las consultas a la IA no incluyen datos de identificación personal más allá del propio texto de búsqueda. Cuando estos servicios impliquen la transferencia de datos personales a países fuera del Espacio Económico Europeo (EEE), incluidos los Estados Unidos, garantizamos que se aplican las salvaguardas adecuadas de conformidad con el Capítulo V del RGPD. Estas salvaguardas pueden incluir Cláusulas Contractuales Tipo (CCT), normas corporativas vinculantes o la invocación de decisiones de adecuación adoptadas por la Comisión Europea. Hemos celebrado contratos de encargo de tratamiento con todos los proveedores terceros cuando así lo exige el artículo 28 del RGPD.
Cuando se pone en contacto con nosotros por correo electrónico, a través de la página de contacto de la plataforma o por cualquier otro canal de comunicación, tratamos los datos personales que nos facilita (normalmente su nombre, dirección de correo electrónico y el contenido de su mensaje) con la finalidad de responder a su consulta. Estos datos se almacenan durante la duración de la conversación y, en su caso, para el cumplimiento de cualesquiera obligaciones contractuales o legales resultantes. Los datos relativos a consultas concluidas sin mayor relevancia contractual se eliminan a los seis (6) meses, salvo que se apliquen requisitos legales de conservación. La base jurídica para el tratamiento de los datos de contacto es el artículo 6(1)(b) del RGPD (medidas precontractuales o ejecución del contrato) o el artículo 6(1)(f) del RGPD (interés legítimo en responder a las consultas).
Conservamos los datos personales únicamente durante el tiempo necesario para cumplir los fines para los que fueron recogidos o según lo exijan las obligaciones legales de conservación aplicables. Se aplican los siguientes plazos de conservación: • Datos de la cuenta (nombre, correo electrónico, información del perfil): se conservan mientras dure la relación de cuenta. Se eliminan en un plazo de 30 días desde la solicitud de eliminación de la cuenta, sujeto a los plazos de conservación siguientes. • Datos de reserva y arrendamiento: se conservan durante la duración del arrendamiento y durante un periodo de tres (3) años posterior con el fin de resolver posibles controversias. • Datos financieros y fiscalmente relevantes (facturas, registros de comisiones, información de pago): se conservan durante diez (10) años de conformidad con el artículo 147 del Código Fiscal alemán (Abgabenordnung) y el artículo 257 del Código Mercantil alemán (Handelsgesetzbuch). • Archivos de registro del servidor: se conservan un máximo de siete (7) días. • Consultas de búsqueda a la IA y embeddings: se conservan hasta doce (12) meses con fines de mejora del servicio y, a continuación, se anonimizan o eliminan. • Registros de comunicación (correos electrónicos, consultas de soporte): se conservan durante seis (6) meses tras su resolución, salvo que se requiera una conservación más larga por motivos legales o contractuales. Al vencimiento del plazo de conservación aplicable, los datos personales se eliminan de forma segura o se anonimizan de manera irreversible. Cuando la eliminación no sea técnicamente posible (p. ej., en sistemas de copia de seguridad), los datos se marcan para su eliminación y se excluyen de cualquier tratamiento posterior.
HeyFlats implementa medidas técnicas y organizativas apropiadas para proteger sus datos personales frente a accesos no autorizados, alteraciones, divulgación o destrucción. Estas medidas incluyen, entre otras: • Cifrado de los datos en tránsito mediante protocolos TLS/SSL. • Cifrado de los datos sensibles en reposo. • Controles de acceso y sistemas de permisos basados en roles. • Evaluaciones de seguridad periódicas y análisis de vulnerabilidades. • Formación del personal en protección de datos y seguridad de la información. • Prácticas de desarrollo seguro y procesos de revisión de código. A pesar de estas medidas, ningún método de transmisión o almacenamiento electrónico es completamente seguro. No podemos garantizar una seguridad absoluta de sus datos, pero nos comprometemos a abordar prontamente cualquier incidente de seguridad conforme a los requisitos de notificación aplicables del RGPD.
Con arreglo al Reglamento General de Protección de Datos (RGPD), le asisten los siguientes derechos respecto a sus datos personales: • Derecho de acceso (artículo 15 del RGPD): tiene derecho a obtener confirmación de si se están tratando sus datos personales y, en caso afirmativo, a recibir una copia de los mismos junto con información sobre las finalidades, categorías, destinatarios y plazos de conservación del tratamiento. • Derecho de rectificación (artículo 16 del RGPD): tiene derecho a solicitar la corrección de datos personales inexactos y la integración de datos personales incompletos. • Derecho de supresión (artículo 17 del RGPD): tiene derecho a solicitar la supresión de sus datos personales cuando ya no sean necesarios para los fines para los que fueron recogidos, cuando retire su consentimiento o cuando el tratamiento sea ilícito. Este derecho está sujeto a los requisitos legales de conservación y otras obligaciones legales. • Derecho a la limitación del tratamiento (artículo 18 del RGPD): tiene derecho a solicitar que se limite el tratamiento de sus datos personales en determinadas circunstancias, por ejemplo cuando impugne la exactitud de los datos o cuando el tratamiento sea ilícito pero se oponga a la supresión. • Derecho a la portabilidad de los datos (artículo 20 del RGPD): tiene derecho a recibir sus datos personales en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable sin impedimento. • Derecho de oposición (artículo 21 del RGPD): tiene derecho a oponerse al tratamiento de sus datos personales cuando este se base en intereses legítimos (artículo 6(1)(f) del RGPD), incluido el tratamiento con fines de marketing directo. • Derecho a retirar el consentimiento (artículo 7(3) del RGPD): cuando el tratamiento se base en su consentimiento, tiene derecho a retirarlo en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento realizado con anterioridad. • Derecho a presentar una reclamación: tiene derecho a presentar una reclamación ante una autoridad de control si considera que el tratamiento de sus datos personales infringe la legislación aplicable en materia de protección de datos. La autoridad de control competente para HeyFlats es la Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen. Para ejercer cualquiera de estos derechos, póngase en contacto con nosotros en info@heyflats.com. Responderemos a su solicitud en el plazo de un (1) mes, o dentro del plazo ampliado permitido por el RGPD si su solicitud es particularmente compleja.
HeyFlats se reserva el derecho a actualizar y modificar esta política de privacidad en cualquier momento para reflejar cambios en nuestras prácticas de tratamiento de datos, la introducción de nuevos servicios o funciones o cambios en la legislación aplicable en materia de protección de datos. Los cambios se publicarán en esta página con una fecha de revisión actualizada. Cuando los cambios sean materiales y afecten significativamente a sus derechos, proporcionaremos un aviso destacado en la plataforma y, cuando proceda, le notificaremos por correo electrónico. Le animamos a revisar esta política de privacidad periódicamente para mantenerse informado sobre cómo recogemos, tratamos y protegemos sus datos personales. El uso continuado de la plataforma tras la publicación de cualquier cambio constituye el reconocimiento de la política actualizada.