Política de Privacidad
1. Quiénes somos y cómo contactarnos
1.1 Responsable del tratamiento
Flatmaters OÜ, sociedad constituida en Estonia bajo el régimen de e-residency y operando bajo la denominación comercial Flatmaters, es la responsable del tratamiento de todos los datos personales tratados a través del sitio web, la plataforma y los servicios de Flatmaters.
Como sociedad inscrita en Estonia, Estado miembro de la Unión Europea, Flatmaters cumple con el Reglamento General de Protección de Datos (UE) 2016/679 ("RGPD") y con todas las leyes aplicables en materia de protección de datos.
1.2 Autoridad de control principal
La autoridad de control principal para Flatmaters OÜ es la Inspección de Protección de Datos de Estonia (Andmekaitse Inspektsioon):
- Sitio web: www.aki.ee
- Dirección: Tatari 39, 10134 Tallinn, Estonia
- Correo electrónico: info@aki.ee
Los usuarios residentes en otros Estados miembros de la UE/EEE también tienen derecho a presentar una reclamación ante la autoridad de control de su país de residencia habitual.
1.3 Contacto
Para cualquier pregunta, solicitud o preocupación relativa a esta Política de Privacidad o al tratamiento de sus datos personales, póngase en contacto con nosotros en contact@flatmaters.com.
1.4 Responsables independientes
Flatmaters OÜ actúa como responsable del tratamiento independiente respecto de todos los datos personales tratados a través de la Plataforma. Cuando los Propietarios reciben datos personales de Estudiantes en relación con una Reserva confirmada, actúan como responsables del tratamiento independientes para esos datos y son los únicos responsables de garantizar su propio cumplimiento de las leyes aplicables en materia de protección de datos.
1.5 Delegado de Protección de Datos
Actualmente no hemos designado un Delegado de Protección de Datos (DPD), ya que nuestras actividades principales no consisten en una observación habitual y sistemática a gran escala de personas, ni en el tratamiento a gran escala de categorías especiales de datos, según lo definido en el artículo 37 del RGPD. Si nuestras actividades de tratamiento cambiaran de manera que se cumplan los criterios de designación obligatoria, nombraremos un DPD y actualizaremos esta Política en consecuencia.
2. Datos personales que recopilamos
2.1 Estudiantes
Cuando se registra como Estudiante o realiza una Reserva, recopilamos y tratamos las siguientes categorías de datos personales:
| Categoría | Datos | Finalidad |
|---|---|---|
| Identidad | Nombre completo, nacionalidad, número de identificación cuando sea estrictamente necesario para el tratamiento de la Reserva o para el cumplimiento de obligaciones legales aplicables | Creación de cuenta, generación del Contrato de Alquiler, coordinación del acceso al alojamiento |
| Contacto | Dirección de correo electrónico, número de teléfono | Gestión de la cuenta, comunicaciones relativas a la Reserva, notificaciones de la plataforma |
| Académicos | Nombre de la universidad o institución, estado de inscripción o admisión | Verificación de elegibilidad, confirmación de la Reserva |
| Reserva | Fechas de estancia deseadas, alojamiento seleccionado, Período Semestral | Tratamiento de la Reserva, generación del Contrato de Alquiler |
| Financieros | Método de pago, referencias de transacción (Flatmaters no almacena los datos completos de la tarjeta) | Procesamiento de pagos a través de proveedores externos |
| Contractuales | Contrato de Alquiler firmado, correspondencia relacionada con la Reserva | Gestión contractual, resolución de disputas |
| Técnicos | Dirección IP, tipo de dispositivo, navegador, datos de sesión, origen del registro (registro directo o intento de Reserva) | Seguridad de la plataforma, metadatos de creación de cuenta, prevención del fraude |
| Comunicaciones | Mensajes intercambiados a través de WhatsApp, correos electrónicos entrantes o formularios de contacto del sitio (cuando estos canales estén activos) | Seguimiento comercial, atención al cliente, trazabilidad de la relación con el usuario |
2.2 Propietarios
Cuando se registra como Propietario o publica un Anuncio, recopilamos y tratamos:
| Categoría | Datos | Finalidad |
|---|---|---|
| Identidad | Nombre completo, nacionalidad, número de identificación cuando sea estrictamente necesario, documentos de autorización equivalentes cuando se requieran | Creación de cuenta, Condiciones de Publicación, verificación de identidad y prevención del fraude, generación del Contrato de Alquiler |
| Contacto | Dirección de correo electrónico, número de teléfono, dirección postal | Gestión de la cuenta, coordinación operativa, procesamiento de pagos |
| Inmueble | Dirección del inmueble, fotografías, descripción, precios, disponibilidad, normas internas | Publicación del Anuncio, generación del Contrato de Alquiler, promoción en la Plataforma |
| Financieros | Datos bancarios (para transferencias mediante Wise o transferencia bancaria) | Pago de los alquileres |
| Contractuales | Condiciones de Publicación, Contratos de Alquiler generados, correspondencia | Gestión contractual, cálculo de la comisión, resolución de disputas |
| Técnicos | Dirección IP, tipo de dispositivo, navegador, datos de sesión, origen del registro | Seguridad de la plataforma, metadatos de creación de cuenta, prevención del fraude |
| Comunicaciones | Mensajes intercambiados a través de WhatsApp, correos electrónicos entrantes o formularios de contacto del sitio (cuando estos canales estén activos) | Seguimiento comercial, coordinación operativa, trazabilidad de la relación con el usuario |
2.3 Documentos de identidad
Flatmaters no almacena de forma sistemática copias de documentos de identidad. La verificación de identidad se realiza en el momento del registro; los números de identificación solo se registran cuando son estrictamente necesarios para el tratamiento de la Reserva o el cumplimiento de obligaciones legales aplicables. Cuando la ley local o la normativa del edificio exijan expresamente que Flatmaters o el Propietario conserven una copia del documento de identidad para una Reserva específica, dicho requisito se documenta por escrito y la copia se conserva únicamente durante el período estrictamente requerido por dicha ley o normativa.
2.4 Visitantes del sitio web
Cuando visita el sitio web de Flatmaters sin registrarse, podemos recopilar: dirección IP, tipo y versión de navegador, sistema operativo, URL de procedencia, páginas visitadas, fecha, hora y duración de la visita, y datos de cookies. Estos datos se recopilan automáticamente mediante registros estándar del servidor web y herramientas de analítica (véase la Sección 10).
2.5 Prospectos y leads comerciales
Cuando se pone en contacto con nosotros a través de los formularios de contacto de la Plataforma, las páginas de aterrizaje públicas, el flujo de intento de Reserva, o canales de mensajería externos (como mensajes entrantes de WhatsApp o chat del sitio) sin completar el registro, registramos los siguientes datos para realizar un seguimiento comercial:
- nombre, dirección de correo electrónico, número de teléfono (en formato internacional E.164 cuando proceda);
- país de origen (código ISO), idioma preferido;
- ciudad de destino deseada y semestre de interés, cuando se faciliten;
- origen del registro (nombre del formulario, URL de la página, parámetros UTM cuando proceda);
- marca de tiempo del primer contacto y registro de actividad posterior;
- contenido de los mensajes o consultas que envía.
No enriquecemos estos datos a través de fuentes externas o intermediarios de datos de terceros.
3. Cómo recopilamos los datos personales
Recopilamos los datos personales por los siguientes medios:
- Directamente de usted: cuando crea una cuenta, completa un formulario de registro o de Reserva, firma unas Condiciones de Publicación o un Contrato de Alquiler, se comunica con nosotros por correo electrónico o a través de la plataforma, o aporta documentación con fines de verificación.
- De forma automática: cuando accede o utiliza nuestro sitio web y plataforma, mediante cookies, registros del servidor web y herramientas de analítica (véase la Sección 10).
- De terceros: en casos limitados, mediante procesadores de pagos, servicios de verificación de identidad u otros usuarios que comunican sus datos en relación con una Reserva (por ejemplo, cuando un Propietario o un Estudiante facilita sus datos de contacto).
Los usuarios son responsables de garantizar que los datos personales que faciliten sean exactos, completos y estén actualizados. Cuando un usuario facilite datos personales relativos a un tercero (por ejemplo, un compañero de piso), garantiza que dispone del derecho legal a compartir tales datos y que las personas afectadas han sido informadas de esta Política de Privacidad y de las finalidades para las que se tratarán sus datos.
Flatmaters aplica el principio de minimización de datos conforme al artículo 5(1)(c) del RGPD: solo recopilamos y tratamos los datos personales adecuados, pertinentes y limitados a lo necesario en relación con las finalidades para las que se tratan. Cuando es posible, utilizamos datos anonimizados o agregados en lugar de datos personales.
4. Finalidades y bases legales del tratamiento
Solo tratamos datos personales cuando disponemos de una base legal válida en virtud del artículo 6 del RGPD. La tabla siguiente expone nuestras actividades de tratamiento y sus bases legales correspondientes:
| Finalidad | Base legal (Art. 6 RGPD) |
|---|---|
| Creación y gestión de cuentas de usuario | Art. 6(1)(b) – ejecución de un contrato |
| Tratamiento de Reservas y generación de Contratos de Alquiler | Art. 6(1)(b) – ejecución de un contrato |
| Procesamiento de pagos y gestión de transacciones financieras | Art. 6(1)(b) – ejecución de un contrato |
| Compartición de la identidad del Estudiante y datos universitarios con el Propietario al confirmarse la Reserva | Art. 6(1)(b) – ejecución de un contrato; necesario para la coordinación del acceso y los requisitos locales de registro |
| Registro del origen del alta (registro directo vs intento de Reserva) como metadato de la cuenta | Art. 6(1)(b) – ejecución de un contrato (creación de cuenta) |
| Tratamiento de datos de prospectos y leads (consultas comerciales recibidas sin registro completo) | Art. 6(1)(b) – medidas precontractuales tomadas a petición del interesado, cuando el prospecto inicia el contacto; complementado por el Art. 6(1)(f) – intereses legítimos en el mantenimiento del pipeline comercial y el seguimiento de prospectos, sujeto al derecho de oposición en cualquier momento |
| Comunicaciones operativas mediante WhatsApp, correo electrónico y otros canales de mensajería (seguimiento comercial, atención al cliente, coordinación de Reservas) | Art. 6(1)(b) – ejecución de un contrato (para usuarios con Reservas activas o pendientes); Art. 6(1)(f) – intereses legítimos (para comunicaciones operativas generales), sujeto al derecho de oposición |
| Verificaciones de identidad y controles de prevención del fraude | Art. 6(1)(f) – intereses legítimos en la prevención del fraude, la seguridad de la plataforma y la verificación de identidad; complementado por el Art. 6(1)(c) cuando se aplique una obligación legal específica |
| Conservación de registros contractuales y financieros | Art. 6(1)(c) – cumplimiento de obligaciones legales (contables, fiscales, civiles) |
| Detección del fraude y seguridad de la plataforma | Art. 6(1)(f) – intereses legítimos de Flatmaters y de sus usuarios en mantener una plataforma segura y fiable |
| Analítica de la plataforma (Google Analytics) | Art. 6(1)(a) – su consentimiento, obtenido a través del banner de consentimiento de cookies presente en la Plataforma |
| Atención al cliente y resolución de disputas | Art. 6(1)(b) – ejecución de un contrato; Art. 6(1)(f) – intereses legítimos |
| Envío de comunicaciones relativas al servicio (confirmaciones de Reserva, actualizaciones operativas) | Art. 6(1)(b) – ejecución de un contrato |
| Cumplimiento de obligaciones legales y reglamentarias y respuesta a requerimientos legítimos de las autoridades | Art. 6(1)(c) – cumplimiento de obligaciones legales |
4.1 Evaluación de intereses legítimos
Cuando nos basamos en intereses legítimos (Art. 6(1)(f)), Flatmaters ha realizado una ponderación y ha determinado que dicho tratamiento es necesario y proporcionado y no prevalece sobre los derechos y libertades fundamentales de los usuarios. En particular: la prevención del fraude y la seguridad de la plataforma protegen a todos los usuarios por igual; la analítica de la plataforma se realiza únicamente sobre la base del consentimiento del usuario, con la anonimización de IP activada, y no da lugar a perfiles individuales ni a decisiones automatizadas; y la resolución de disputas es necesaria para hacer valer los derechos que ambas partes tienen en virtud de sus contratos. Los usuarios conservan el derecho a oponerse en cualquier momento al tratamiento basado en intereses legítimos (véase la Sección 8). Estas evaluaciones se documentan internamente y pueden facilitarse a las autoridades de control a petición.
4.2 Retirada del consentimiento
Cuando el tratamiento se basa en su consentimiento (en particular, las cookies no esenciales y cualquier comunicación de marketing futura), puede retirar su consentimiento en cualquier momento sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada. Para retirar el consentimiento, póngase en contacto con nosotros en contact@flatmaters.com o utilice el mecanismo de exclusión presente en cualquier comunicación de marketing futura.
4.3 Aceptación a través del flujo de Reserva
Al crear una cuenta, publicar un Anuncio o continuar con el flujo de Reserva (incluyendo el paso de confirmación Before You Book), reconoce haber leído y aceptado esta Política de Privacidad. El uso continuado de la Plataforma constituye una aceptación continua.
5. Con quién compartimos sus datos
5.1 Compartición con otros usuarios
Al confirmarse una Reserva, Flatmaters comparte con el Propietario correspondiente los siguientes datos del Estudiante, en la medida necesaria para la relación de alquiler:
- nombre completo;
- nacionalidad;
- nombre de la universidad o institución;
- datos de contacto necesarios para coordinar la llegada;
- número de identificación cuando sea estrictamente requerido por la ley local o la normativa del edificio aplicable.
Cuando la ley local o la normativa del edificio exijan expresamente una copia del documento de identidad para una Reserva específica, dicho documento se comparte directamente entre el Estudiante y el Propietario a la llegada, en lugar de almacenarse de forma sistemática por Flatmaters.
Esta compartición es necesaria para la ejecución del Contrato de Alquiler (coordinación del acceso, requisitos de registro inmobiliario en el país del inmueble) y se limita a lo estrictamente necesario. Los Propietarios que reciben datos personales de Estudiantes actúan como responsables del tratamiento independientes para esos datos y son los únicos responsables de garantizar su propio cumplimiento de las leyes aplicables en materia de protección de datos. Los Propietarios solo pueden tratar dichos datos estrictamente para los requisitos legales y administrativos relacionados con la relación de alquiler y para ningún otro fin. Flatmaters exige a los Propietarios que mantengan medidas adecuadas de confidencialidad y seguridad para cualquier dato de Estudiante recibido.
De igual modo, se informa a los Estudiantes de que el nombre y los datos de contacto de su Propietario les serán comunicados como parte del Contrato de Alquiler y del proceso de Reserva.
Cuando se comunica con Flatmaters mediante WhatsApp u otros canales de mensajería operados por Meta, Meta actúa como responsable del tratamiento respecto de la propia infraestructura de mensajería (almacenamiento, transmisión y metadatos básicos del canal). Flatmaters actúa como responsable del tratamiento respecto del contenido de las comunicaciones recibidas y enviadas en el contexto del servicio Flatmaters. El uso de estos canales es voluntario; siempre puede optar por comunicarse con nosotros a través de la plataforma Flatmaters o por correo electrónico. Le recomendamos consultar la Política de Privacidad de WhatsApp en relación con el tratamiento a nivel de canal realizado por Meta.
5.2 Proveedores de servicios (encargados del tratamiento)
Flatmaters recurre a las siguientes categorías de proveedores externos que tratan datos personales por cuenta nuestra en el marco de contratos de encargo del tratamiento:
| Proveedor / Categoría | Finalidad | Ubicación |
|---|---|---|
| Hostinger | Hosting del sitio web y la plataforma | UE / internacional |
| Amazon Web Services (SES + S3) | Correos transaccionales (verificación, restablecimiento de contraseña, notificaciones); almacenamiento de documentos (Contratos de Alquiler firmados, inventarios, documentos de identidad cuando sean estrictamente requeridos) | EE. UU. (Marco de Privacidad de Datos UE-EE. UU. cuando aplique, y/o Cláusulas Contractuales Tipo) |
| Google (Sign in, Maps, Places, Analytics) | Autenticación OAuth, geocodificación y autocompletado de direcciones, analítica del sitio | EE. UU. (Marco de Privacidad de Datos UE-EE. UU. cuando aplique, y/o Cláusulas Contractuales Tipo) |
| Wise | Procesamiento y transferencia de pagos internacionales | Reino Unido / UE / internacional |
| Discord (canal webhook privado) | Notificaciones internas del equipo (creación de cuenta, solicitudes de Reserva, alertas críticas) — metadatos operativos limitados | EE. UU. (Cláusulas Contractuales Tipo) |
| WhatsApp Business / Meta | Comunicaciones entrantes y salientes con los usuarios para seguimiento comercial, atención al cliente y coordinación operativa de Reservas | EE. UU. / internacional (Meta es el responsable del canal de mensajería; Flatmaters trata el contenido de las comunicaciones recibidas y enviadas) |
| Proveedores de servicios de correo (actuales y futuros) | Comunicaciones transaccionales y operativas | Variable |
| Asesores legales y de cumplimiento | Asesoramiento legal, revisión contractual, cumplimiento normativo | Variable |
Flatmaters no vende, alquila ni intercambia datos personales con terceros con fines comerciales.
5.3 Divulgaciones legales
Podemos divulgar datos personales a autoridades, tribunales o reguladores competentes cuando lo exija la ley, en respuesta a un requerimiento legal válido, o cuando sea necesario para proteger los derechos, la seguridad o los bienes de Flatmaters, sus usuarios o terceros. Esto incluye las divulgaciones exigidas por la legislación aplicable en materia de prevención del blanqueo de capitales y financiación del terrorismo.
5.4 Transmisiones empresariales
En caso de fusión, adquisición, reestructuración o venta de Flatmaters o de sus activos, los datos personales podrán transferirse en el marco de dicha operación. Se notificará a los usuarios cualquier transferencia de este tipo, así como cualquier modificación de esta Política de Privacidad que se derive de ella.
6. Transferencias internacionales de datos
Flatmaters está constituida en Estonia (UE) y sus operaciones implican la transferencia de datos personales a países situados fuera del Espacio Económico Europeo (EEE). Garantizamos que existen las garantías adecuadas para todas estas transferencias del siguiente modo:
6.1 Transferencias a Chile
Chile no cuenta actualmente con una decisión de adecuación de la UE en virtud del RGPD. Cuando se transfieren datos personales a Chile (por ejemplo, cuando se comparten datos de un Estudiante con un Propietario situado en Chile, o cuando los datos son tratados por proveedores con sede en dicho país), Flatmaters se basa en las Cláusulas Contractuales Tipo (CCT) adoptadas por la Comisión Europea (Decisión 2021/914/UE) como mecanismo de transferencia. Los Propietarios situados en Chile que reciban datos personales de Estudiantes deberán tratarlos conforme a los términos establecidos en las Condiciones de Publicación y en el Contrato de Alquiler.
6.2 Transferencias a Argentina
Argentina ha sido reconocida como país que ofrece un nivel adecuado de protección de datos en virtud de la Decisión 2003/490/CE de la Comisión Europea. Cuando se transfieren datos personales a Argentina (por ejemplo, cuando Estudiantes o Propietarios argentinos interactúan con la Plataforma, o cuando las operaciones se basan en Argentina), tales transferencias están permitidas en virtud del artículo 45 del RGPD sobre la base de esta decisión de adecuación.
6.3 Transferencias a otros terceros países
Para las transferencias a otros terceros países (incluyendo EE. UU., donde tienen sede proveedores como Amazon Web Services, Google, Discord y Meta/WhatsApp), Flatmaters se basa en: (a) el Marco de Privacidad de Datos UE-EE. UU. (DPF), adoptado por la Comisión Europea el 10 de julio de 2023, cuando el proveedor en cuestión esté certificado bajo el DPF; y/o (b) las Cláusulas Contractuales Tipo (CCT) adoptadas por la Comisión Europea (Decisión 2021/914/UE), complementadas por medidas técnicas y organizativas adecuadas cuando se requiera, conforme a los requisitos establecidos por el Tribunal de Justicia de la Unión Europea en el asunto C-311/18 (Schrems II).
6.4 Cómo obtener documentación sobre las transferencias
Puede solicitar una copia de las Cláusulas Contractuales Tipo o de otras garantías de transferencia aplicables a sus datos personales contactándonos en contact@flatmaters.com.
7. Cuánto tiempo conservamos sus datos
Conservamos los datos personales únicamente durante el tiempo necesario para cumplir las finalidades para las que fueron recopilados o para cumplir con las obligaciones legales aplicables. Se aplican los siguientes períodos de conservación:
| Categoría de datos | Período de conservación | Base |
|---|---|---|
| Datos de cuenta (nombre, correo electrónico, datos de contacto, origen del registro) | Duración de la cuenta + 3 años después de la última actividad o del cierre de la cuenta | Intereses legítimos; plazos de prescripción de las acciones contractuales |
| Datos de Reserva y Contrato de Alquiler (incluyendo los números de identificación compartidos en el momento de la Reserva) | Duración de la relación de alquiler + 5 años cuando se requiera para el cumplimiento legal o la resolución de disputas | Obligación legal (plazos de prescripción civil); intereses legítimos (resolución de disputas) |
| Registros financieros y de pago | 7 años desde la fecha de la transacción | Obligación legal (legislación contable y fiscal en Estonia; legislación fiscal local aplicable) |
| Datos de verificación de identidad y prevención del fraude | 5 años desde el final de la relación comercial cuando se requiera para la prevención del fraude, la resolución de disputas o las obligaciones legales aplicables | Art. 6(1)(f) – intereses legítimos; Art. 6(1)(c) cuando se aplique una obligación legal específica |
| Registros de consentimiento de marketing (en su caso, en el futuro) | Hasta la retirada del consentimiento + 3 años (prueba del consentimiento) | Obligación legal (responsabilidad proactiva conforme al Art. 7(1) RGPD) |
| Registros técnicos (direcciones IP, datos de sesión) | 12 meses desde la recopilación | Intereses legítimos (seguridad, prevención del fraude) |
| Datos de Google Analytics | 14 meses (configuración de conservación por defecto de Google Analytics) | Consentimiento |
| Comunicaciones y tickets de soporte (correo electrónico, formularios de contacto, mensajes internos de la plataforma) | 3 años desde la última comunicación | Intereses legítimos (resolución de disputas) |
| Mensajes de WhatsApp y comunicaciones a través de canales externos de mensajería | 3 años desde la última comunicación; sujeto a las políticas de conservación del proveedor del canal subyacente (Meta) para el almacenamiento en su infraestructura | Intereses legítimos (continuidad operativa, resolución de disputas); ejecución del contrato cuando se relacione con Reservas activas |
| Datos de prospectos y leads (consultas sin registro completado) | 3 años desde la última actividad, tras lo cual el lead se elimina o anonimiza definitivamente | Medidas precontractuales e intereses legítimos (pipeline comercial) |
Al final del período de conservación aplicable, los datos personales se eliminan o anonimizan de forma segura. Cuando los datos se anonimizan, podrán conservarse sin límite de tiempo con fines estadísticos o analíticos, ya que dejan de permitir la identificación de cualquier persona.
8. Sus derechos
En virtud del RGPD, dispone de los siguientes derechos en relación con sus datos personales. Para ejercer cualquiera de estos derechos, póngase en contacto con nosotros en contact@flatmaters.com. Le responderemos en un plazo de 30 días naturales desde la recepción de su solicitud. En casos complejos o múltiples, podremos prorrogar dicho plazo otros 60 días, en cuyo caso le informaremos dentro del plazo inicial de 30 días.
| Derecho | Significado |
|---|---|
| Acceso (Art. 15) | Puede solicitar una copia de los datos personales que conservamos sobre usted e información sobre cómo los tratamos. |
| Rectificación (Art. 16) | Puede solicitar la corrección o la complementación de datos inexactos o incompletos. |
| Supresión (Art. 17) | Puede solicitar la supresión de sus datos cuando ya no sean necesarios, cuando retire el consentimiento, o cuando el tratamiento sea ilícito. Este derecho está sujeto a las obligaciones legales de conservación. |
| Limitación (Art. 18) | Puede solicitar que limitemos temporalmente el tratamiento de sus datos en determinadas circunstancias (por ejemplo, mientras se verifica una rectificación). |
| Portabilidad (Art. 20) | Cuando el tratamiento se base en el consentimiento o en un contrato y se realice por medios automatizados, podrá recibir sus datos personales en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable del tratamiento. |
| Oposición (Art. 21) | Puede oponerse al tratamiento basado en intereses legítimos o realizado con fines de marketing directo. Si se opone al marketing directo, cesaremos inmediatamente el tratamiento. |
| Retirada del consentimiento (Art. 7(3)) | Cuando el tratamiento se base en su consentimiento, podrá retirarlo en cualquier momento sin que ello afecte a la licitud del tratamiento previo. |
| Presentar una reclamación (Art. 77) | Tiene derecho a presentar una reclamación ante la Inspección de Protección de Datos de Estonia (Andmekaitse Inspektsioon, www.aki.ee) o ante la autoridad de control de su país de residencia habitual. |
El ejercicio de determinados derechos (como la supresión o la limitación) mientras una Reserva esté activa o un Depósito de Garantía no esté liquidado puede no ser posible cuando los datos sean necesarios para la ejecución del contrato o para el cumplimiento de una obligación legal.
9. Decisiones automatizadas y elaboración de perfiles
9.1 Sin decisiones totalmente automatizadas
Flatmaters no realiza decisiones totalmente automatizadas que produzcan efectos jurídicos para los usuarios o que les afecten significativamente de modo similar, en el sentido del artículo 22 del RGPD.
Aunque algunos procesos de la Plataforma están parcialmente automatizados —en particular, el rechazo automático de una Solicitud de Reserva cuando el Propietario no la acepta dentro de la ventana de 24 horas, así como el correspondiente reembolso automático de la Tarifa de Reserva—, estos procesos siempre implican la participación activa de las partes correspondientes. El Propietario conserva el derecho a aceptar activamente cualquier Solicitud de Reserva dentro de la ventana aplicable. El resultado por defecto (rechazo por falta de respuesta) es favorable al Estudiante, que recibe un reembolso íntegro. En consecuencia, estos procesos no constituyen una decisión automatizada con efectos jurídicos o similarmente significativos en el sentido del artículo 22 del RGPD.
9.2 Controles de fraude y seguridad
Flatmaters puede utilizar herramientas automatizadas para señalar actividades potencialmente sospechosas o cuestiones de verificación de identidad con fines de prevención del fraude y seguridad de la plataforma. Cualquier señal de este tipo da lugar a una revisión manual por parte del personal de Flatmaters antes de adoptar cualquier medida. No se aplica ninguna suspensión de cuenta, bloqueo de transacción u otra medida significativa basándose únicamente en un tratamiento automatizado sin valoración humana.
Si considera que un proceso automatizado ha producido un resultado erróneo que le afecta, puede contactar con nosotros en contact@flatmaters.com para solicitar una revisión manual.
10. Cookies y analítica
10.1 Cookies que utilizamos
El sitio web de Flatmaters utiliza cookies conforme a la Directiva ePrivacy de la UE (2002/58/CE en su versión modificada) y a las leyes nacionales de aplicación. Las cookies son pequeños archivos de texto almacenados en su dispositivo que nos ayudan a operar la plataforma, recordar sus preferencias y analizar el uso. Actualmente utilizamos:
- Cookies estrictamente necesarias: cookies de sesión (token de autenticación, rol, cookies temporales del flujo OAuth, protección CSRF) necesarias para el funcionamiento de la plataforma. No requieren su consentimiento.
- Cookie de preferencia (NEXT_LOCALE): una única cookie que memoriza el idioma elegido para entregar el contenido en la localización correcta. No requiere su consentimiento conforme a la Directiva ePrivacy, ya que es estrictamente necesaria para prestar el servicio solicitado por el usuario.
- Cookies analíticas (Google Analytics): se utilizan para recopilar información sobre cómo los visitantes usan nuestro sitio (páginas visitadas, tiempo invertido, fuentes de tráfico). Estas cookies solo se activan con su consentimiento mediante nuestro banner de consentimiento de cookies.
Actualmente no utilizamos cookies de marketing. Si se introdujeran en el futuro, requerirán su consentimiento previo.
Puede gestionar sus preferencias de cookies en cualquier momento mediante el banner de consentimiento de nuestro sitio o ajustando la configuración de su navegador. La retirada del consentimiento para las cookies analíticas no afecta a las cookies estrictamente necesarias o de preferencia.
10.2 Google Analytics
Utilizamos Google Analytics, un servicio de analítica web prestado por Google LLC (EE. UU.). Google Analytics recopila datos como su dirección IP (anonimizada por defecto), tipo de navegador, páginas visitadas y duración de la sesión. Estos datos son tratados por Google por cuenta nuestra en el marco de un Contrato de Encargado del Tratamiento y se utilizan exclusivamente para analizar el uso de la plataforma y mejorar nuestros servicios. La anonimización de la IP está activada, lo que significa que su dirección IP completa no es almacenada por Google.
Para más información sobre cómo Google trata estos datos, consulte la Política de Privacidad de Google. Puede oponerse al seguimiento de Google Analytics instalando el complemento del navegador para la inhabilitación de Google Analytics. En su caso, Google actúa como responsable del tratamiento independiente respecto de determinadas actividades realizadas en el marco de Google Analytics.
10.3 Direcciones IP
Recopilamos y registramos automáticamente las direcciones IP cuando accede a la plataforma o al sitio web de Flatmaters. Las direcciones IP se utilizan para: la seguridad de la plataforma y la detección del fraude; el diagnóstico de problemas técnicos; y, en forma anonimizada, con fines analíticos. Las direcciones IP se conservan durante 12 meses desde la fecha de recopilación y no se utilizan para identificarle individualmente más allá de las finalidades de seguridad y prevención del fraude.
11. Seguridad
Flatmaters implementa medidas técnicas y organizativas apropiadas para proteger los datos personales frente al acceso no autorizado, pérdida, uso indebido, alteración o divulgación. Estas medidas incluyen:
- transmisión cifrada de datos (HTTPS/TLS) para todos los datos en tránsito;
- cifrado en reposo y seudonimización cuando proceda para los datos almacenados;
- controles de acceso restringidos y permisos basados en roles para los sistemas internos;
- autenticación multifactor exigida para la administración de la plataforma;
- almacenamiento seguro con proveedores de infraestructura reputados sujetos a obligaciones de confidencialidad;
- procedimientos internos de gestión de datos y medidas de concienciación del personal;
- pruebas, evaluaciones y valoraciones periódicas de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento, conforme al artículo 32 del RGPD.
Ningún método de transmisión por Internet o de almacenamiento electrónico es completamente seguro. Aunque nos esforzamos por proteger sus datos personales, no podemos garantizar una seguridad absoluta.
En caso de violación de la seguridad de datos personales que pueda suponer un riesgo para sus derechos y libertades, Flatmaters notificará a la Inspección de Protección de Datos de Estonia sin dilación indebida y, cuando se requiera, informará directamente a las personas afectadas. Mantenemos un registro interno de violaciones de datos de conformidad con nuestras obligaciones de responsabilidad proactiva en virtud del RGPD.
12. Menores
La plataforma Flatmaters está destinada exclusivamente a personas mayores de 18 años. No recopilamos ni tratamos a sabiendas datos personales de menores de 18 años. Si tomáramos conocimiento de que los datos personales de un menor han sido recopilados sin el consentimiento requerido, adoptaremos las medidas necesarias para eliminarlos. Si cree que pudimos haber recopilado por error datos de un menor, póngase en contacto con nosotros en contact@flatmaters.com.
13. Actividades de tratamiento futuras
Flatmaters podrá, en el futuro, introducir actividades de tratamiento adicionales para mejorar la Plataforma, la experiencia del usuario o reforzar la seguridad. Las categorías que figuran a continuación describen actividades de tratamiento que actualmente no están activas pero que prevemos poder introducir. Se enumeran aquí con fines de transparencia. Cada una solo se activará sobre la base legal indicada y, cuando se requiera consentimiento, únicamente tras obtenerlo de forma explícita mediante mecanismos adecuados.
13.1 Comunicaciones de marketing y promocionales Activable
Podremos, en el futuro, enviar comunicaciones de marketing tales como boletines, ofertas especiales o actualizaciones de servicio de carácter promocional. Tales comunicaciones se basarán en el Art. 6(1)(a) RGPD (consentimiento), obtenido mediante un opt-in explícito. Podrá retirar su consentimiento en cualquier momento mediante un enlace de baja presente en cualquier comunicación o contactándonos. No se enviarán comunicaciones de marketing basándose en intereses legítimos sin consentimiento previo.
13.2 Prevención reforzada del fraude Activable
Podremos, en el futuro, integrar herramientas adicionales de prevención del fraude (como servicios de scoring de riesgo, controles de reputación de IP o verificación basada en el dispositivo) para reforzar la seguridad de la plataforma. Cualquier tratamiento de este tipo se basará en el Art. 6(1)(f) RGPD (intereses legítimos), respaldado por una Evaluación de Intereses Legítimos documentada. No se realizará ninguna decisión automatizada que produzca efectos jurídicos o similarmente significativos conforme al Art. 22 RGPD sin revisión humana. Los usuarios conservarán el derecho a oponerse en cualquier momento al tratamiento basado en intereses legítimos.
13.3 Analítica avanzada Activable
Podremos, en el futuro, introducir herramientas analíticas adicionales más allá de Google Analytics (como herramientas de session replay, mapas de calor o plataformas de pruebas A/B) para mejorar la experiencia del usuario y la conversión. Tales herramientas solo se activarán con consentimiento previo a través del banner de consentimiento de cookies, con anonimización o seudonimización activada por defecto cuando sea técnicamente factible. Estas herramientas no se utilizarán para la elaboración de perfiles individuales.
13.4 Procesamiento de pagos con tarjeta Activable
Actualmente procesamos todos los pagos a través de Wise. Podremos, en el futuro, integrar un procesador adicional de pagos con tarjeta (como Stripe o un proveedor equivalente) para ampliar las opciones de pago y mejorar la experiencia del usuario. Cualquier integración de este tipo estará sujeta a un Contrato de Encargado del Tratamiento con el proveedor, con las garantías de transferencia adecuadas (DPF y/o CCT) cuando esté basado fuera del EEE. El tratamiento se basará en el Art. 6(1)(b) RGPD (ejecución del contrato de pago de las Tarifas de Reserva y del alquiler).
13.5 Notificación de activación
Cuando se active alguna de las actividades de tratamiento futuras descritas anteriormente, procederemos a: (i) actualizar esta Política de Privacidad indicando la fecha de efecto y la identificación clara del cambio; (ii) notificar a los usuarios registrados por correo electrónico o notificación en la plataforma; y (iii) cuando se requiera consentimiento, solicitar dicho consentimiento mediante mecanismos adecuados antes de iniciar la actividad.
14. Enlaces a sitios de terceros
La plataforma Flatmaters puede contener enlaces a sitios o servicios de terceros (por ejemplo, sitios de universidades, servicios de mapas o proveedores de pago). Flatmaters no se hace responsable de las prácticas de privacidad, el contenido o las políticas de protección de datos de los sitios de terceros. Le recomendamos consultar las políticas de privacidad de cualquier servicio de terceros antes de facilitar sus datos personales.
15. Modificaciones de esta Política de Privacidad
Flatmaters se reserva el derecho a actualizar esta Política de Privacidad en cualquier momento para reflejar cambios legales, técnicos u operativos. Las versiones actualizadas se publicarán en el sitio con la nueva fecha de efecto. Cuando los cambios sean sustanciales, notificaremos a los usuarios registrados por correo electrónico o mediante una notificación en la plataforma. Le animamos a consultar periódicamente esta Política de Privacidad. El uso continuado de la plataforma tras la publicación de una versión actualizada constituye la aceptación de los cambios.
16. Contacto
Para cualquier pregunta, solicitud o preocupación relativa a esta Política de Privacidad o al tratamiento de sus datos personales:
- Correo electrónico: contact@flatmaters.com
- Sitio web: www.flatmaters.com
Para ejercer sus derechos en virtud de la Sección 8, envíe su solicitud por escrito a contact@flatmaters.com, identificándose y especificando el derecho que desea ejercer. Le responderemos en un plazo de 30 días naturales.
Si no está conforme con nuestra respuesta, tiene derecho a presentar una reclamación ante la Inspección de Protección de Datos de Estonia (www.aki.ee) o ante la autoridad de control de su país de residencia habitual.