01Responsable del tratamiento
Vestta (denominación social, NIF y domicilio pendientes de completar) es el responsable del tratamiento de los datos personales recabados a través del sitio web vestta.app y de la plataforma CRM accesible en el subdominio de aplicación.
Contacto del Delegado de Protección de Datos / responsable de privacidad: info@vestta.app
02Naturaleza del servicio
Vestta es una plataforma SaaS (Software as a Service) de gestión inmobiliaria y CRM destinada a agencias y profesionales del sector inmobiliario. Sus funcionalidades incluyen:
- Gestión de cartera de propiedades y captación automatizada desde portales públicos (Fotocasa, Idealista, Milanuncios, Habitaclia, Pisos.com, Trovimap).
- CRM de clientes/leads con seguimiento de estado, preferencias de búsqueda y oportunidades de negocio.
- Gestión de visitas, citas y documentación asociada.
- Canal de comunicación automatizado con clientes finales mediante la API de WhatsApp Business de Meta.
- Asistente de inteligencia artificial para gestión conversacional y automatización de tareas.
- Panel de analítica y control de actividad del equipo.
Vestta actúa como responsable del tratamiento respecto a los datos de los usuarios de la plataforma (agentes, administradores) y como encargado del tratamiento respecto a los datos de los clientes finales que cada agencia introduce o capta a través de la plataforma, cuya responsabilidad recae sobre el operador (la agencia inmobiliaria).
03Datos tratados
3.1 Usuarios de la plataforma (agentes y administradores)
| Categoría | Datos concretos |
|---|---|
| Identificación | Nombre, email, contraseña (hash), imagen de perfil, teléfono |
| Roles y permisos | Rol asignado, máscara de bits de permisos, configuración de acceso |
| Autenticación | Token de sesión, secreto TOTP para 2FA, estado de validación |
| Actividad | Logs de acceso: IP, navegador, sistema operativo, ubicación aproximada, acción realizada |
| Preferencias | Idioma, zona horaria, configuración de notificaciones |
3.2 Clientes/leads inmobiliarios (datos gestionados por el operador)
| Categoría | Datos concretos |
|---|---|
| Identificación | Nombre, DNI/NIE, email personal y profesional |
| Contacto | Teléfono principal y secundario, prefijo de área |
| Perfil inmobiliario | Tipo de búsqueda (compra/alquiler), zona, presupuesto, características deseadas (habitaciones, m², extras), urgencia, idioma preferido |
| Estado CRM | Estado del lead, categoría, etiquetas, valoración, fuente de captación, agente asignado, fechas de contacto y seguimiento |
| Comunicaciones | Historial de mensajes de WhatsApp, plantillas enviadas, estado de conversación, datos de sesión del bot |
| Documentación | Documentos adjuntos (con metadatos eliminados antes del almacenamiento) |
| Visitas | Citas registradas, propiedades visitadas, estado de la visita, notas |
3.3 Propiedades
La plataforma almacena información sobre inmuebles incluyendo dirección, precio, características, fotografías, vídeos y documentos. Esta información puede proceder de la introducción manual por parte del operador o de la captación automatizada desde portales inmobiliarios públicos. Las fotografías y vídeos se almacenan en Cloudflare R2 (almacenamiento en la nube compatible con S3).
3.4 Datos técnicos de la plataforma
Para el correcto funcionamiento del servicio se registran: logs de solicitudes HTTP, tiempos de respuesta, errores, métricas de uso y datos de presencia/actividad de los usuarios (estado online/ausente, última conexión).
04Finalidades y bases legales
| Finalidad | Base legal (RGPD) |
|---|---|
| Prestación del servicio CRM contratado | Ejecución de contrato (art. 6.1.b) |
| Gestión de accesos, autenticación y 2FA | Ejecución de contrato / interés legítimo (art. 6.1.b / 6.1.f) |
| Registro de actividad y auditoría de seguridad | Interés legítimo (art. 6.1.f) |
| Comunicaciones por WhatsApp con clientes finales del operador | Consentimiento del usuario final o interés legítimo del operador (art. 6.1.a / 6.1.f) |
| Procesamiento de mensajes mediante IA para respuestas automáticas | Ejecución de contrato / interés legítimo (art. 6.1.b / 6.1.f) |
| Captación de propiedades desde portales públicos | Interés legítimo (art. 6.1.f) — datos públicamente disponibles |
| Analítica interna y mejora del servicio | Interés legítimo (art. 6.1.f) |
| Cumplimiento de obligaciones legales | Obligación legal (art. 6.1.c) |
05WhatsApp Business API
Vestta integra la API de WhatsApp Business de Meta Platforms Ireland Ltd. para permitir a los operadores (agencias inmobiliarias) comunicarse con sus clientes finales a través de WhatsApp. En el contexto de esta integración:
- Se procesan el número de teléfono y el contenido de los mensajes de los usuarios que interactúan con el número de WhatsApp Business del operador.
- Los mensajes entrantes y salientes se registran en la base de datos del operador con fines de historial, seguimiento y gestión de conversaciones.
- Un asistente de IA puede responder automáticamente en nombre del operador (ver §6). El usuario puede interactuar con un agente humano en cualquier momento.
- Los agentes internos del operador pueden también interactuar con el bot de Vestta a través de WhatsApp para ejecutar acciones en el CRM (crear clientes, registrar visitas, etc.), previa autorización expresa del administrador de la cuenta.
- La transmisión de datos hacia/desde la API de Meta se rige adicionalmente por la Política de Privacidad de WhatsApp y las condiciones del servicio de Meta.
06Inteligencia Artificial
La plataforma puede hacer uso de modelos de lenguaje de terceros para proporcionar funcionalidades de IA, entre ellas el asistente conversacional de WhatsApp y la generación de descripciones de propiedades. Los proveedores de IA que pueden estar configurados son:
- OpenAI (OpenAI, Inc.) — Política de privacidad disponible en openai.com/policies/privacy-policy
- Anthropic (Anthropic, PBC) — Política de privacidad disponible en anthropic.com/privacy
- Google (Google LLC / Gemini API) — Política de privacidad disponible en policies.google.com/privacy
Los datos enviados a estos proveedores se limitan al texto necesario para generar la respuesta (contexto del cliente, mensajes de conversación, información de propiedades relevantes). Vestta no autoriza a estos proveedores a utilizar los datos transmitidos para entrenar sus modelos, conforme a las condiciones de uso de API aplicables.
07Conservación de datos
| Datos | Período |
|---|---|
| Datos de cuenta de usuario (agente/admin) | Mientras la cuenta esté activa + 30 días tras la baja |
| Logs de actividad y seguridad | 12 meses |
| Datos de leads y clientes | Mientras el operador los mantenga en la plataforma |
| Historial de conversaciones WhatsApp | Mientras el operador los mantenga en la plataforma |
| Datos de propiedades y documentos | Mientras el operador los mantenga en la plataforma |
| Sesiones (Redis) | Duración de la sesión activa (se invalidan al cerrar sesión) |
| Datos de facturación | 7 años (obligación fiscal) |
Una vez transcurridos los plazos indicados, los datos se eliminan de forma segura o se anonomizan de manera que no sea posible la reidentificación.
08Cesiones y encargados del tratamiento
Vestta no vende ni cede datos personales a terceros con fines comerciales. Los siguientes proveedores actúan como encargados del tratamiento bajo las garantías contractuales correspondientes:
| Proveedor | Servicio | Ubicación |
|---|---|---|
| Meta Platforms Ireland Ltd. | API de WhatsApp Business | UE / EEE |
| Cloudflare, Inc. | Almacenamiento de archivos (R2) y CDN | Internacional (datos replicados según configuración) |
| OpenAI / Anthropic / Google | Modelos de IA (según configuración del operador) | EE. UU. |
| Proveedor de infraestructura | Alojamiento de servidores, base de datos PostgreSQL y Redis | UE |
09Transferencias internacionales
Algunos de los encargados del tratamiento indicados (principalmente los proveedores de IA y Cloudflare) pueden transferir o procesar datos fuera del Espacio Económico Europeo (EEE). En estos casos, Vestta garantiza que dichas transferencias se realizan al amparo de alguna de las salvaguardas previstas en el RGPD:
- Decisión de adecuación de la Comisión Europea.
- Cláusulas contractuales tipo aprobadas por la Comisión Europea.
- Marcos de privacidad reconocidos (ej. Data Privacy Framework UE-EE. UU.).
10Tus derechos
De acuerdo con el RGPD y la LOPDGDD, puedes ejercer los siguientes derechos escribiendo a info@vestta.app:
Conocer qué datos tuyos tratamos y obtener una copia.
Corregir datos inexactos o incompletos.
Solicitar la eliminación de tus datos cuando ya no sean necesarios.
Oponerte al tratamiento basado en interés legítimo.
Solicitar que el tratamiento quede restringido en ciertos casos.
Recibir tus datos en formato estructurado y legible por máquina.
Responderemos en el plazo máximo de 30 días. Si consideras que tus derechos no han sido atendidos correctamente, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (aepd.es).
11Seguridad
Vestta aplica medidas de seguridad técnicas y organizativas acordes al estado de la técnica, entre ellas:
- Contraseñas almacenadas con hash (sin almacenamiento en claro).
- Autenticación de dos factores (2FA) disponible mediante TOTP y verificación por email.
- Sesiones únicas por usuario con invalidación automática.
- Comunicaciones cifradas mediante HTTPS/TLS.
- Eliminación de metadatos de documentos antes de su almacenamiento.
- Control de acceso basado en roles con máscaras de permisos granulares.
- Registro de auditoría de accesos y acciones críticas.
12Cambios en esta política
Podemos actualizar esta política para reflejar cambios en el servicio, nuevas funcionalidades o requisitos legales. Cuando los cambios sean relevantes, te informaremos mediante aviso en la plataforma o por email con antelación suficiente. La fecha de última actualización figura siempre al inicio del documento.