Política de privacidad

1. Responsable del tratamiento

El responsable del tratamiento de datos personales es el operador de la plataforma Inmox. Para cualquier consulta relacionada con tus datos, contáctanos en: privacidad@inmox-dev.kevinbelier.cloud.

2. Datos que recolectamos

La plataforma recolecta y procesa las siguientes categorías de datos, dependiendo del rol del usuario:

2.1 Datos de la cuenta del agente o agencia

• Nombre completo y dirección de correo electrónico.
• Contraseña (almacenada con hash bcrypt; nunca en texto plano).
• Nombre y datos de la agencia inmobiliaria.
• Rol dentro de la agencia (dueño o agente).
• Credenciales de WhatsApp Business API (número de teléfono, identificador de cuenta de WhatsApp Business —WABA ID—, token de acceso de Meta). El token de acceso se almacena cifrado con AES-256-GCM y nunca se transmite al navegador ni aparece en registros de sistema.

2.2 Datos de clientes finales (prospectos y arrendatarios)

• Número de teléfono de WhatsApp.
• Nombre y datos de contacto (si el agente los registra manualmente o si el cliente los comparte en conversación).
• Historial de mensajes de WhatsApp entre el cliente y la agencia.
• Datos de candidatura: propiedades de interés (renta o venta), estado del proceso, notas del agente, fechas de contacto y muestras.

2.3 Datos de propiedades

• Dirección, precio, tipo de operación (renta / venta), estado y características.
• Archivos adjuntos (fotos, documentos). Se almacenan en un servicio de objetos S3-compatible; los archivos de documentos se rastrean en cuanto a su estado, pero su contenido no es analizado por la plataforma.

2.4 Datos técnicos y de uso

• Registros de solicitudes a la API (timestamps, rutas, códigos de respuesta) con fines operacionales. No contienen contenido de mensajes.
• Identificadores internos de sesión (cookies de autenticación).

3. Finalidades del tratamiento y base legal

4. Terceros encargados del tratamiento

Inmox utiliza los siguientes proveedores externos que actúan como encargados del tratamiento:

• Meta Platforms, Inc. (WhatsApp Cloud API): El envío y recepción de mensajes de WhatsApp se realiza a través de la API oficial de Meta. Los mensajes transitan por la infraestructura de Meta según sus propias políticas de privacidad y los Términos de la Plataforma de Meta.
• Almacenamiento de objetos S3-compatible (Cloudflare R2 / MinIO): Los archivos adjuntos (fotos de propiedades, documentos de candidaturas) se almacenan en un servicio de objetos compatible con el estándar S3. El proveedor específico depende de la configuración del despliegue y puede ser R2 de Cloudflare o un servidor MinIO auto-hospedado.
• Infraestructura de hosting (VPS auto-hospedado, Coolify): La base de datos PostgreSQL y la aplicación Next.js se alojan en un servidor privado virtual (VPS) administrado por el operador, utilizando Coolify como plataforma de despliegue. Los datos no se replican a nubes públicas de terceros salvo el almacenamiento de objetos mencionado.

5. Conservación de los datos

• Los datos de cuenta y los datos operacionales se conservan mientras la agencia mantenga activa su cuenta en la plataforma.
• Tras la solicitud de eliminación de cuenta, los datos se eliminan o anonimizan en un plazo máximo de 30 días hábiles, salvo obligación legal de conservación aplicable.
• Los registros técnicos de operación se conservan por un período máximo de 90 días con fines de diagnóstico y seguridad.

6. Transferencias internacionales

Los mensajes de WhatsApp transitan por los servidores de Meta Platforms, Inc. (Estados Unidos) de conformidad con las políticas de transferencia internacional de Meta. No realizamos otras transferencias internacionales de datos fuera del alcance descrito en la sección 4.

7. Derechos del titular de los datos

Tienes derecho a ejercer los siguientes derechos respecto de tus datos personales:

• Acceso: conocer qué datos tenemos sobre ti.
• Rectificación: corregir datos inexactos o incompletos.
• Eliminación: solicitar la supresión de tus datos (ver página de eliminación de datos).
• Oposición y limitación: en los casos previstos por la normativa aplicable.
• Portabilidad: recibir tus datos en un formato estructurado y de uso común.

Para ejercer cualquiera de estos derechos, envía un correo a privacidad@inmox-dev.kevinbelier.cloud indicando tu nombre, correo de cuenta y el derecho que deseas ejercer. Responderemos en un plazo máximo de 20 días hábiles.

8. Seguridad

• Las comunicaciones con la plataforma se realizan exclusivamente por HTTPS/TLS.
• Los tokens de acceso de WhatsApp se cifran en reposo con AES-256-GCM y no son accesibles desde el lado del cliente ni aparecen en registros de sistema.
• El acceso multi-tenant garantiza que cada agencia solo puede ver sus propios datos mediante un identificador de organización presente en todas las consultas de base de datos.
• Las contraseñas de los usuarios se almacenan con hash bcrypt.

9. Menores de edad

La plataforma está dirigida exclusivamente a profesionales inmobiliarios. No recolectamos intencionalmente datos de personas menores de 18 años.

10. Cambios a esta política

Podremos actualizar esta política periódicamente. Notificaremos cambios materiales por correo electrónico o mediante aviso visible en la plataforma antes de que entren en vigor.