Contrato de Encargo de Tratamiento (DPA) - InmoNPL

Contrato de Encargo de Tratamiento

Data Processing Agreement (DPA)

Última actualización: Abril 2026 · Conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD)

Ámbito de aplicación

Este Contrato de Encargo de Tratamiento regula el tratamiento de datos personales que el Cliente (Responsable del tratamiento) encarga a InmoNPL (Encargado del tratamiento) en el marco de los servicios prestados a través de la Plataforma. Se aplica cuando el Cliente carga en la Plataforma ficheros o conjuntos de datos que contienen datos personales de personas físicas identificadas o identificables (por ejemplo, ficheros Excel con datos de deudores, titulares de inmuebles, etc.).

1. PARTES Y OBJETO

1.1 Responsable del tratamiento (Cliente)

La persona física o jurídica que ha suscrito un contrato de servicio o plan de suscripción con InmoNPL para el uso de la Plataforma y que, en el ejercicio de sus actividades, carga, importa o procesa datos personales de terceros a través de la misma.

1.2 Encargado del tratamiento (InmoNPL)

InmoNPL, S.L., en su condición de proveedor tecnológico, que trata los datos personales por cuenta y bajo las instrucciones documentadas del Cliente, con la única finalidad de prestar los servicios contratados.

1.3 Objeto

El presente Contrato de Encargo de Tratamiento tiene por objeto regular las condiciones en las que InmoNPL tratará los datos personales que el Cliente le comunique o ponga a su disposición a través de la Plataforma, de conformidad con lo exigido por el artículo 28 del RGPD.

2. DESCRIPCIÓN DEL TRATAMIENTO

Elemento Descripción
Naturaleza del tratamiento Recogida, almacenamiento, organización, estructuración, análisis, modificación, consulta, comunicación, extracción y eliminación de datos
Finalidad del tratamiento Prestación de los servicios de la Plataforma: importación y normalización de datos, análisis de carteras inmobiliarias, generación de scoring e informes, gestión de activos
Duración del tratamiento Mientras se encuentre vigente el contrato de servicios. Tras su terminación, los datos serán devueltos o eliminados en un plazo máximo de 30 días
Categorías de interesados Deudores, titulares de inmuebles, compradores, vendedores, fiadores u otras personas físicas cuyos datos figuren en los ficheros cargados por el Cliente
Categorías de datos personales Datos identificativos (nombre, DNI/NIE/NIF, domicilio), datos de contacto, datos económicos y financieros (importes de deuda, estado de procedimientos), referencias catastrales y registrales
Transferencias internacionales Los datos se procesan y almacenan en la Unión Europea. En caso de utilizar subencargados fuera del EEE, se garantizan las salvaguardas adecuadas conforme al artículo 46 del RGPD

3. OBLIGACIONES DE INMONPL (ENCARGADO)

InmoNPL se compromete a:

  1. 3.1 Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Cliente, salvo que una norma de Derecho de la Unión o de los Estados miembros le obligue a actuar de otra manera.
  2. 3.2 Garantizar que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.
  3. 3.3 Adoptar todas las medidas técnicas y organizativas de seguridad requeridas conforme al artículo 32 del RGPD (incluyendo, entre otras, cifrado, control de acceso, copias de seguridad, gestión de incidentes).
  4. 3.4 No subcontratar el tratamiento de datos personales sin autorización previa del Cliente. InmoNPL cuenta con subencargados de confianza (proveedores de infraestructura cloud) cuya lista actualizada está disponible previa solicitud a [email protected].
  5. 3.5 Asistir al Cliente en el cumplimiento de sus obligaciones de atender solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, portabilidad, limitación u oposición).
  6. 3.6 Asistir al Cliente en la realización de evaluaciones de impacto relativas a la protección de datos (EIPD) cuando sea necesario.
  7. 3.7 Notificar al Cliente, sin demora indebida y en todo caso en un plazo máximo de 72 horas desde su conocimiento, cualquier violación de la seguridad de los datos personales.
  8. 3.8 Eliminar o devolver al Cliente todos los datos personales una vez finalizado el contrato de servicios, a elección del Cliente, y eliminar las copias existentes salvo que concurra obligación de conservación legal.
  9. 3.9 Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD y para permitir y contribuir a la realización de auditorías.
  10. 3.10 No utilizar los datos del Cliente para finalidades distintas a la prestación del servicio contratado, en especial, no los utilizará para entrenar modelos de inteligencia artificial ni para fines propios de marketing o análisis de negocio, salvo autorización expresa del Cliente.

4. OBLIGACIONES DEL CLIENTE (RESPONSABLE)

El Cliente, en su condición de Responsable del tratamiento, se compromete a:

  1. 4.1 Contar con base legal suficiente para el tratamiento de datos personales que carga en la Plataforma, garantizando que dicho tratamiento cumple con el RGPD y normativa aplicable.
  2. 4.2 Informar a los interesados sobre el tratamiento de sus datos, incluyendo, en su caso, la cesión al Encargado, en los términos exigidos por los artículos 13 y 14 del RGPD.
  3. 4.3 No cargar en la Plataforma categorías especiales de datos (artículo 9 RGPD) sin comunicarlo previamente a InmoNPL y obtener las garantías adicionales necesarias.
  4. 4.4 Impartir instrucciones lícitas y documentadas a InmoNPL respecto del tratamiento de datos personales.
  5. 4.5 Aplicar las medidas de seguridad adecuadas en su propio entorno (credenciales de acceso, control de acceso interno) para evitar accesos no autorizados.

5. MEDIDAS DE SEGURIDAD

InmoNPL aplica, entre otras, las siguientes medidas técnicas y organizativas de seguridad:

  • Cifrado de datos en tránsito mediante TLS 1.2 o superior
  • Cifrado de datos en reposo en la base de datos
  • Control de acceso basado en roles (RBAC)
  • Autenticación multifactor disponible para usuarios
  • Registro de auditoría (audit log) de todas las operaciones sobre datos
  • Copias de seguridad diarias con retención mínima de 30 días
  • Entorno de producción aislado con separación lógica entre clientes (multi-tenancy)
  • Pruebas periódicas de los procedimientos de seguridad
  • Gestión de parches y actualizaciones de seguridad

Para más información técnica sobre seguridad, consulte nuestra política de seguridad.

6. SUBENCARGADOS DE TRATAMIENTO

El Cliente autoriza a InmoNPL a subcontratar con los subencargados de tratamiento necesarios para la prestación del servicio. InmoNPL se compromete a:

  • Notificar al Cliente con antelación suficiente cualquier cambio de subencargado previsto, permitiéndole oponerse a dicho cambio.
  • Imponer a los subencargados las mismas obligaciones de protección de datos recogidas en el presente Contrato.
  • Mantener una lista actualizada de subencargados disponible bajo solicitud ([email protected]).

7. TRANSFERENCIAS INTERNACIONALES

Con carácter general, los datos personales se almacenan y procesan en centros de datos ubicados en la Unión Europea. En el supuesto excepcional de que algún subencargado procese datos fuera del Espacio Económico Europeo, InmoNPL garantizará que dicha transferencia se realice con las garantías adecuadas previstas en el artículo 46 del RGPD, tales como Cláusulas Contractuales Tipo adoptadas por la Comisión Europea.

8. VIOLACIONES DE SEGURIDAD

En caso de violación de la seguridad de los datos personales, InmoNPL:

  • Notificará al Cliente sin demora indebida y, en todo caso, en un plazo máximo de 72 horas desde el conocimiento de la violación.
  • Facilitará al Cliente toda la información necesaria para que este pueda notificar a la autoridad de control competente (AEPD) y, en su caso, a los interesados afectados.
  • Adoptará las medidas de contención y remediación necesarias.

El Canal de contacto para notificación de brechas de seguridad es: [email protected]

9. TERMINACIÓN Y DEVOLUCIÓN DE DATOS

A la terminación del contrato de servicios, InmoNPL:

  • Habilitará al Cliente una ventana de 30 días para exportar y descargar todos sus datos.
  • Procederá a la eliminación segura de los datos personales del Cliente de todos sus sistemas, salvo obligación legal de conservación.
  • Emitirá, a petición del Cliente, un certificado de eliminación de datos.

10. AUDITORÍAS Y DEMOSTRABILIDAD

InmoNPL pondrá a disposición del Cliente, previa solicitud motivada y en un plazo razonable, la información necesaria para verificar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD. Las auditorías presenciales podrán realizarse como máximo una vez al año, con preaviso de al menos 30 días, y los costes correrán a cargo del Cliente.

11. RESPONSABILIDAD

Cada parte será responsable frente a los interesados y las autoridades de control por el incumplimiento de sus propias obligaciones derivadas del RGPD. InmoNPL no asumirá responsabilidad alguna derivada del tratamiento de datos personales realizado por el Cliente sin base legal, ni de la carga de datos cuya obtención no sea conforme a la normativa vigente.

12. LEY APLICABLE

El presente Contrato se rige por la legislación española y el Reglamento (UE) 2016/679. Para cualquier controversia, las partes se someten a los Juzgados y Tribunales de Barcelona, con renuncia a cualquier otro fuero que pudiera corresponderles.

Contacto DPA

Para cuestiones relacionadas con la protección de datos y el cumplimiento del RGPD:

Responsable de Protección de Datos: [email protected]

Autoridad de control competente: Agencia Española de Protección de Datos (AEPD) — www.aepd.es