Política de Privacidad

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales recabados a través de Yamevoy es:

• Denominación social: Nexalix Technologies S.L.U.
• NIF: B26841171
• Domicilio: Avenida Maisonnave 41, 3ºB, 03003 Alicante, España
• Correo electrónico de contacto: hola@yamevoy.app
• Delegado de Protección de Datos (DPO): dpo@yamevoy.app

En su condición de responsable, Nexalix Technologies S.L.U. determina los fines y los medios del tratamiento de los datos personales de los usuarios conforme al Reglamento (UE) 2016/679 (en adelante, «RGPD») y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, «LOPDGDD»).

2. Datos personales que tratamos

En función de la interacción del usuario con la Plataforma, podemos tratar las siguientes categorías de datos personales:

• Datos de cuenta: número de teléfono móvil utilizado para el alta y la verificación mediante código de un solo uso, nombre o alias mostrado en el perfil, dirección de correo electrónico (cuando el usuario decide facilitarla para comunicaciones), idioma preferido y, en su caso, fecha de nacimiento si el usuario opta por incluirla.
• Datos del anuncio de vivienda: ciudad, dirección aproximada, coordenadas geográficas, renta mensual, fecha de disponibilidad, motivos del traspaso, descripción y fotografías de la vivienda. Estos datos son introducidos voluntariamente por el inquilino saliente.
• Datos del mobiliario en venta: categoría, estado, descripción, precio, fotografías y, cuando proceda, datos sobre la entrega.
• Datos de los mensajes de chat: el contenido de los mensajes intercambiados entre los usuarios a través del chat 1:1 integrado en la Plataforma, así como sus metadatos (marcas temporales, indicadores de lectura, identificadores de la conversación).
• Datos de candidatura: mensaje de presentación, preguntas y respuestas asociadas al proceso de candidatura para una vivienda.
• Datos de pago: identificadores de las suscripciones, de las compras puntuales (impulso de anuncio, insignia de urgencia) y de las operaciones intermediadas en la compraventa de mobiliario. Los datos de la tarjeta o del medio de pago son tratados directamente por Stripe, Inc. y nunca son almacenados por Nexalix Technologies S.L.U..
• Datos técnicos y de uso: dirección IP, tipo de dispositivo, sistema operativo, identificador del dispositivo a efectos de notificaciones push, tokens de sesión, fechas y horas de acceso, registros de auditoría de seguridad y eventos de uso agregados.
• Datos de moderación: denuncias y reportes recibidos sobre un usuario, anuncio o conversación, así como las acciones adoptadas en su tratamiento.

No solicitamos ni almacenamos copia del DNI, NIE, pasaporte, nóminas, contratos de arrendamiento, recibos del depósito de la fianza ni ningún otro documento que pertenezca al ámbito propio de la relación entre el inquilino, el candidato y el arrendador. Estos documentos se intercambian, en su caso, de forma directa entre los usuarios y fuera de la Plataforma.

3. Finalidades del tratamiento

Los datos personales se tratan con las siguientes finalidades:

• Gestión de la cuenta: permitir el alta, la autenticación mediante código de un solo uso, la actualización del perfil, la baja y, en general, el ciclo de vida de la cuenta de usuario.
• Prestación del servicio principal: publicar y descubrir anuncios de vivienda y de mobiliario, gestionar candidaturas, habilitar la comunicación 1:1 entre los usuarios a través del chat, ordenar la lista de candidatos y mostrar los resultados de búsqueda geográfica.
• Gestión de pagos: tramitar las compras puntuales (impulso de anuncio, insignia de urgencia), las suscripciones, en su caso, y la intermediación técnica del cobro en las operaciones de compraventa de mobiliario, así como atender devoluciones y reclamaciones.
• Notificaciones de servicio: remitir comunicaciones transaccionales relacionadas con el uso de la Plataforma — por ejemplo, códigos de acceso, nuevos mensajes de chat, nuevas candidaturas o cambios de estado de un anuncio — por correo electrónico, notificación push o ambos canales.
• Seguridad, prevención del fraude y moderación: garantizar la integridad de la Plataforma, prevenir el uso abusivo, detectar e investigar conductas contrarias a los Términos y Condiciones (anuncios falsos, suplantación, conductas de acoso, estafas) y ejecutar las medidas correctoras correspondientes.
• Mejora del servicio: generar estadísticas agregadas y anonimizadas que permitan comprender los patrones de uso, depurar errores y orientar nuevas funcionalidades. No elaboramos perfiles publicitarios ni utilizamos los datos para publicidad comportamental.
• Cumplimiento de obligaciones legales: conservación de la facturación, atención de requerimientos de autoridades y cumplimiento de la normativa fiscal, mercantil y de prevención del blanqueo de capitales cuando proceda.

4. Base jurídica del tratamiento

• Ejecución de la relación contractual con el usuario (artículo 6.1.b RGPD) — para el alta y la autenticación de la cuenta, la publicación de anuncios, la gestión de candidaturas, el envío de mensajes de chat, el procesamiento de pagos y, en general, la prestación de las funcionalidades solicitadas por el usuario.
• Cumplimiento de obligaciones legales aplicables al responsable (artículo 6.1.c RGPD) — en particular, las obligaciones tributarias, contables y de conservación documental.
• Interés legítimo de Nexalix Technologies S.L.U. (artículo 6.1.f RGPD) — para garantizar la seguridad de la Plataforma, prevenir el fraude, moderar contenidos, realizar análisis estadísticos agregados, depurar errores y mantener la calidad del servicio. Antes de invocar esta base, hemos efectuado el correspondiente juicio de ponderación, que puede solicitarse al DPO.
• Consentimiento del interesado (artículo 6.1.a RGPD) — para el envío de comunicaciones que no tengan carácter estrictamente transaccional, para activar funcionalidades opcionales que impliquen un tratamiento adicional y para el uso de cookies o tecnologías equivalentes que requieran consentimiento. El consentimiento puede retirarse en cualquier momento, sin que ello afecte a la licitud del tratamiento previo.

5. Conservación de los datos

Los datos personales se conservarán durante el tiempo en que la cuenta permanezca activa y, una vez cerrada, durante los plazos siguientes:

• Los datos de cuenta, así como los anuncios y los mensajes de chat asociados, se anonimizan o eliminan en un plazo máximo de noventa (90) días desde la baja, salvo que su conservación resulte necesaria para atender una reclamación o cumplir una obligación legal.
• Los datos de facturación y, en su caso, los registros de las operaciones de pago se conservan durante los plazos legalmente exigidos por la normativa fiscal y mercantil (con carácter general, seis años conforme al artículo 30 del Código de Comercio).
• Los registros de auditoría de seguridad y los datos asociados a denuncias o investigaciones por uso indebido se conservan durante el tiempo necesario para la formulación, ejercicio o defensa de reclamaciones y, en cualquier caso, durante los plazos de prescripción de las acciones legales aplicables.
• Las copias de seguridad pueden retener datos personales hasta treinta (30) días después de su eliminación en el sistema en producción, transcurridos los cuales se sobrescriben mediante los ciclos normales de rotación.

6. Destinatarios de los datos

Los datos personales no se ceden a terceros salvo en los supuestos previstos en la normativa aplicable o cuando ello resulte necesario para la prestación del servicio. En particular, pueden ser destinatarios:

• Los demás usuarios de la Plataforma con los que el usuario interactúe — necesariamente respecto del contenido del anuncio, del nombre o alias del perfil y, en el marco de una conversación 1:1, de los mensajes que él mismo decida enviar.
• Las autoridades públicas, jueces, tribunales, fuerzas y cuerpos de seguridad y demás organismos competentes, cuando exista una obligación legal de cesión o un requerimiento válidamente formulado.
• Los encargados del tratamiento que se relacionan en la cláusula 7, en su condición de proveedores de infraestructura y de servicios técnicos auxiliares.

No vendemos datos personales, no los cedemos a corredores de datos y no los empleamos para publicidad de terceros.

7. Encargados del tratamiento

Para la prestación del servicio, Nexalix Technologies S.L.U. recurre a los siguientes encargados del tratamiento, que tratan los datos por cuenta del responsable y conforme a un contrato suscrito al amparo del artículo 28 RGPD:

• Hetzner Online GmbH (Alemania) — alojamiento de la infraestructura de aplicación, base de datos, cache y motor de búsqueda. Centros de datos ubicados en la Unión Europea.
• Amazon Web Services, Inc. (Estados Unidos, certificado bajo el EU-US Data Privacy Framework) — almacenamiento de las fotografías y demás archivos en S3 (región europea), distribución a través de CloudFront, protección perimetral mediante AWS WAF y emisión de certificados TLS mediante ACM. El almacenamiento de archivos se restringe a centros de datos europeos; la red CDN se procesa a través de la red global de AWS.
• Cloudflare, Inc. (Estados Unidos, certificado bajo el EU-US Data Privacy Framework) — únicamente prestación del servicio de DNS autoritativo. No interviene en el enrutamiento del tráfico de la API ni en la terminación TLS.
• Stripe, Inc. y, según el país de residencia del usuario, sus filiales europeas (certificado bajo el EU-US Data Privacy Framework) — procesamiento de los pagos y de la intermediación técnica de cobros. Los datos completos de la tarjeta o medio de pago son recabados directamente por Stripe en su entorno PCI-DSS y no se almacenan en los sistemas de Nexalix Technologies S.L.U..
• Firebase Cloud Messaging — Google LLC (Estados Unidos, certificado bajo el EU-US Data Privacy Framework) — entrega de notificaciones push a los dispositivos móviles. Se transmite a Firebase el token del dispositivo y el contenido mínimo necesario de la notificación.
• Proveedor de correo electrónico transaccional con sede en la Unión Europea — entrega de los códigos de acceso y de las notificaciones por correo electrónico vinculadas al uso de la Plataforma.

Todos los encargados están vinculados por contratos de tratamiento de datos que garantizan un nivel de protección equivalente al exigido por el RGPD. Los encargados con sede en Estados Unidos están adicionalmente certificados bajo el Marco de Privacidad de Datos UE-EE.UU. (DPF) y, como salvaguarda complementaria, mantienen Cláusulas Contractuales Tipo aprobadas por la Decisión de Ejecución (UE) 2021/914.

La lista actualizada de encargados puede solicitarse en cualquier momento al DPO.

8. Transferencias internacionales

El tratamiento principal de los datos personales se realiza dentro de la Unión Europea / Espacio Económico Europeo. No obstante, determinados encargados pueden realizar tratamientos puntuales fuera del EEE — en particular, AWS CloudFront enruta tráfico web a través de su red CDN global, Stripe procesa los datos de pago en Estados Unidos y Firebase Cloud Messaging entrega notificaciones push desde infraestructura de Google LLC en Estados Unidos.

La base jurídica principal para estas transferencias es la decisión de adecuación adoptada por la Comisión Europea el 10 de julio de 2023, relativa al Marco de Privacidad de Datos UE-EE.UU. (Data Privacy Framework). Como salvaguarda complementaria, mantenemos Cláusulas Contractuales Tipo con cada encargado estadounidense, y hemos realizado las correspondientes evaluaciones de impacto de las transferencias.

9. Derechos de los interesados

El usuario puede ejercer en cualquier momento los siguientes derechos respecto de sus datos personales:

• Acceso (artículo 15 RGPD) — obtener información sobre los datos personales que tratamos y obtener una copia.
• Rectificación (artículo 16 RGPD) — corregir los datos inexactos o completar los incompletos.
• Supresión (artículo 17 RGPD) — solicitar la eliminación de los datos cuando ya no sean necesarios para la finalidad para la que fueron recabados, sin perjuicio de los plazos legales de conservación.
• Limitación del tratamiento (artículo 18 RGPD) — solicitar la suspensión del tratamiento mientras se verifica la exactitud de los datos o se resuelve una controversia.
• Portabilidad (artículo 20 RGPD) — recibir los datos en un formato estructurado, de uso común y lectura mecánica, o solicitar su transmisión directa a otro responsable cuando sea técnicamente posible.
• Oposición (artículo 21 RGPD) — oponerse a los tratamientos basados en el interés legítimo del responsable.
• Retirada del consentimiento (artículo 7.3 RGPD) — retirar en cualquier momento el consentimiento previamente otorgado, sin que ello afecte a la licitud del tratamiento previo.
• No ser objeto de decisiones automatizadas con efectos jurídicos significativos (artículo 22 RGPD). Nexalix Technologies S.L.U. no adopta decisiones individuales automatizadas que produzcan efectos jurídicos sobre el usuario o le afecten significativamente de modo similar.

Estos derechos pueden ejercerse de forma gratuita escribiendo al DPO a dpo@yamevoy.app, adjuntando una copia de un documento que acredite la identidad del solicitante. Atenderemos la solicitud en el plazo máximo de un mes desde su recepción, ampliable en dos meses adicionales si la complejidad o el número de solicitudes así lo exigieran, en cuyo caso se informará al interesado dentro del primer mes.

Si el usuario considera que el tratamiento de sus datos no se ajusta a la normativa, o si no ve satisfecho el ejercicio de sus derechos, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en https://www.aepd.es, sin perjuicio de cualquier otro recurso administrativo o judicial.

10. Medidas de seguridad

Nexalix Technologies S.L.U. ha implantado medidas técnicas y organizativas apropiadas, conforme al artículo 32 RGPD, para garantizar un nivel de seguridad adecuado al riesgo del tratamiento. Estas medidas incluyen, entre otras:

• Cifrado en tránsito mediante TLS 1.2 o superior para todas las comunicaciones con la Plataforma, así como cifrado en reposo de los campos sensibles.
• Almacenamiento de las contraseñas o códigos sensibles mediante algoritmos de hash adecuados, sin reversibilidad.
• Autenticación basada en código de un solo uso enviado por correo electrónico, con tiempo de expiración limitado y limitación de intentos.
• Control de acceso basado en roles, separación entre los entornos de desarrollo y producción, y aislamiento lógico de los datos por usuario.
• Registros de auditoría de los eventos relevantes de seguridad y sesiones administrativas con tiempo de expiración.
• Copias de seguridad periódicas, cifradas y con políticas de rotación, así como pruebas razonables de restauración.
• URLs firmadas con tiempo de expiración limitado para servir las fotografías y los archivos almacenados en S3, evitando su acceso público no autorizado.

11. Datos de menores

Yamevoy no se dirige a personas menores de dieciocho (18) años. La Plataforma está diseñada para adultos con capacidad para suscribir un contrato de arrendamiento o asumir las obligaciones derivadas de la compraventa de bienes muebles. Si tenemos conocimiento de que un menor ha facilitado datos personales sin el consentimiento adecuado, procederemos a la eliminación de tales datos sin demora indebida.

12. Contenido publicado por los usuarios

El usuario es el único responsable del contenido que publica en sus anuncios, en su perfil o en los mensajes de chat. Al publicar dicho contenido, garantiza que dispone de los derechos necesarios para ello y que no infringe derechos de terceros, normativa aplicable ni los Términos y Condiciones.

Aunque Nexalix Technologies S.L.U. no controla con carácter previo el contenido publicado por los usuarios, podrá retirarlo o restringirlo cuando reciba una denuncia fundada o tenga conocimiento efectivo de su carácter ilícito, conforme al régimen previsto en la LSSI-CE.

13. Cookies y tecnologías similares

El sitio web y la aplicación utilizan exclusivamente cookies y tecnologías de almacenamiento estrictamente necesarias para la prestación del servicio (autenticación, sesión, preferencia de idioma). No utilizamos cookies analíticas, de personalización ni publicitarias sin el consentimiento expreso del usuario; en caso de incorporarse en el futuro, se actualizará oportunamente la presente Política y, cuando resulte exigible, se solicitará el consentimiento mediante un panel de configuración.

14. Cambios en la presente Política

Nexalix Technologies S.L.U. podrá actualizar la presente Política de Privacidad cuando resulte necesario para reflejar cambios legales, incorporación o modificación de encargados, ampliación o modificación de finalidades o mejoras del servicio. Las modificaciones serán publicadas en esta página, actualizando la fecha de «Última actualización». Cuando los cambios afecten significativamente al tratamiento, se notificará a los usuarios a través de la Plataforma o del correo electrónico de contacto y, cuando resulte exigible, se solicitará el consentimiento renovado.

15. Contacto

Para cualquier consulta, queja o solicitud relativa al tratamiento de sus datos personales, el usuario puede dirigirse al Delegado de Protección de Datos de Nexalix Technologies S.L.U. en dpo@yamevoy.app, o bien al correo electrónico general de contacto hola@yamevoy.app.