Legal

Política de privacidad

Última actualización: 29 de mayo de 2026 · Versión 2.0

Esta política explica de forma transparente quién recoge tus datos personales cuando usas idRent, qué datos recogemos, para qué los usamos, con quién los compartimos, cuánto tiempo los conservamos y qué derechos tienes sobre ellos. Está redactada conforme al Reglamento General de Protección de Datos (UE 2016/679 — RGPD), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), la Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI-CE) y la Directiva ePrivacy.

1. Responsables del tratamiento

idRent es un servicio operado por dos entidades complementarias. Cada una tiene una función bien definida en el tratamiento de tus datos:

Responsable principal del tratamiento (Data Controller)

• Razón social:Moverelocacion, S.L. (en adelante, “Move”)
• NIF: B23856172
• Domicilio social: Avenida de Manoteras 24, 2ª planta, 28050 Madrid, España
• Email de contacto en materia de privacidad: hi@idrent.io
• Función: recogida y tratamiento de toda la información personal vinculada al perfil de inquilino, su documentación, los servicios contratados y las comunicaciones con propietarios y avalistas.

Procesador de pagos (Payment Processor)

• Razón social: Racimo, LLC
• EIN: 37-1826881
• Domicilio: 382 NE 191st St, PMB 813073, Miami, FL 33179-3899, EE. UU.
• Función: intermediario para la facturación de suscripciones y servicios de pago, gestionado a través de Stripe. Sólo recibe datos estrictamente necesarios para procesar el cobro (nombre, email, importe, método de pago). No accede a tu documentación ni a tu perfil de inquilino.

Delegado de Protección de Datos (DPO)

El tratamiento de datos por parte de Move no entra en los supuestos de designación obligatoria de DPO previstos en el art. 37.1 del RGPD (no somos una autoridad pública, no realizamos observación sistemática a gran escala, y no tratamos categorías especiales de datos del art. 9 RGPD como actividad principal). No obstante, hemos designado un Responsable interno de Privacidad al que puedes contactar para cualquier consulta o ejercicio de derechos en hi@idrent.io.

2. Definiciones

• Datos personales: toda información sobre una persona física identificada o identificable (p. ej. nombre, email, fotografía, DNI, dirección IP).
• Tratamiento: cualquier operación realizada sobre datos personales (recogida, almacenamiento, modificación, comunicación, supresión).
• Interesado / Usuario: la persona física a quien pertenecen los datos personales (tú, en su caso).
• Encargado del tratamiento: tercero que trata datos por cuenta del Responsable (p. ej. Firebase Storage, Resend).
• Cesionario: tercero independiente al que comunicamos datos para que los trate por cuenta propia (p. ej. una empresa avalista al evaluar tu solicitud).
• RGPD: Reglamento (UE) 2016/679 General de Protección de Datos.
• AEPD: Agencia Española de Protección de Datos, autoridad de control española.

3. Categorías de datos personales que recogemos

Sólo recogemos los datos estrictamente necesarios para prestar el servicio (principio de minimización del art. 5.1.c RGPD). Las categorías son:

3.1. Datos de identificación y contacto

• Nombre y apellidos
• Email
• Teléfono
• Idioma preferido
• Fotografía de perfil (opcional)

3.2. Datos identificativos oficiales

• DNI / NIE / Pasaporte (número y copia escaneada)
• NIF / TIN / número de identificación fiscal
• Fecha de nacimiento
• Nacionalidad / país de origen
• País de residencia actual

3.3. Datos económicos y financieros

• Tipo de empleo (asalariado, autónomo, etc.)
• Tipo de contrato laboral
• Nómina o justificantes de ingresos
• Ingresos netos mensuales (importe y moneda)
• Ahorros disponibles (importe y moneda)
• Extractos bancarios (cuando se aportan)
• Histórico de alquileres anteriores
• Información de avalistas que designas (los datos del propio avalista los recogemos directamente del avalista con su propio consentimiento)

3.4. Datos de la unidad familiar

• Nombres y datos básicos de personas que convivirán contigo (cuando tú nos los facilitas; el alta de miembros menores de edad la realizas tú como representante legal)
• Mascotas (especie, cantidad)

3.5. Datos del alquiler buscado

• Ciudad destino
• Fecha estimada de mudanza
• Presupuesto mensual (importe y moneda)
• Tipo de propiedad
• Tus búsquedas activas y propiedades guardadas

3.6. Comunicaciones y contenido generado

• Mensajes que envías a propietarios o avalistas a través de la plataforma
• Comentarios en hilos de documentos
• Tu “historia” — el párrafo de presentación que escribes
• Comunicaciones con nuestro equipo de soporte

3.7. Datos técnicos

• Dirección IP
• User agent del navegador (tipo y versión)
• Marca de tiempo de las solicitudes
• Identificadores de sesión (en cookies estrictas)
• Eventos de uso de la aplicación (sin tracking publicitario)
• Logs de auditoría de acceso a tus documentos

3.8. Datos de pago (cuando contratas plan de pago)

• ID de cliente Stripe y de suscripción (necesarios para gestionar la facturación)
• Historial de facturas y pagos
• Plan contratado (Basic, Premium o Mantenimiento) y modalidad de cobro (mensual, anual o mantenimiento de solo lectura). Este dato lo necesitamos para aplicar los límites y entitlements del plan correspondiente y para que el cambio manual entre planes (p. ej. activar Mantenimiento desde /dashboard/billing) se refleje sin demora.
• No almacenamos tus datos de tarjeta en ningún momento. Stripe los procesa directamente bajo certificación PCI-DSS Nivel 1.

3.9. Datos sensibles (categorías especiales del art. 9 RGPD)

No solicitamos datos pertenecientes a categorías especiales (origen racial o étnico, opiniones políticas, convicciones religiosas, afiliación sindical, salud, vida u orientación sexual, datos genéticos, datos biométricos para identificar unívocamente). Si involuntariamente aportas alguno (p. ej. información médica en una carta de recomendación), te recomendamos que la omitas o tachees antes de subirla.

4. Origen de los datos

Recogemos los datos descritos en la sección anterior a través de las siguientes vías:

• Directamente de ti: al crear tu cuenta, completar tu perfil, cargar documentación o usar la plataforma.
• De terceros con tu consentimiento:
  • Firebase Authentication (Google LLC): cuando te registras o inicias sesión con email/password o Google. Recibimos el ID firmado por Firebase y email verificado.
  • Stripe, Inc.: al procesar un pago recibimos confirmaciones webhook sin los datos de tarjeta.
• De fuentes públicas (con tu solicitud): cuando solicitas la verificación de un propietario por 30 €, consultamos registros públicos (Registro de la Propiedad, Catastro, Registro Mercantil) sobre los datos del propietario que tú nos facilitas.
• Automáticamente: los datos técnicos enumerados en la sección 3.7 se recogen automáticamente al interactuar con la plataforma.

5. Fines del tratamiento y bases legales

Tratamos tus datos sólo para fines específicos, explícitos y legítimos (art. 5.1.b RGPD). A continuación detallamos cada fin y la base jurídica que lo legitima (art. 6 RGPD):

5.1. Prestación del servicio idRent

Crear tu perfil verificado, gestionar tu documentación, generar enlaces compartibles con propietarios, traducir tus documentos al formato local, almacenar tus búsquedas y propiedades. Base legal: ejecución del contrato del que el interesado es parte (art. 6.1.b RGPD).

5.2. Verificación de identidad y solvencia

Revisión manual por nuestro equipo de los documentos que cargas para emitir badges de verificación que los propietarios consultan. Base legal: ejecución del contrato (art. 6.1.b RGPD).

5.3. Verificación de propietarios

Cuando solicitas la verificación de un propietario por 30 €, consultamos fuentes públicas para comprobar titularidad, identidad y antecedentes. Base legal: ejecución del contrato (art. 6.1.b RGPD) + interés legítimo en proteger al inquilino frente al fraude inmobiliario (art. 6.1.f RGPD).

5.4. Intermediación con empresas avalistas

Cuando solicitas que una empresa avalista evalúe tu perfil, compartimos los datos estrictamente necesarios con la avalista que tú elijas. Base legal: ejecución del contrato + consentimiento expreso en el momento de la solicitud (arts. 6.1.b y 6.1.a RGPD).

5.5. Gestión de pagos y facturación

Cobro de suscripciones, add-ons y emisión de facturas a través de Stripe / Racimo LLC. Base legal: ejecución del contrato + obligación legal de mantener registros contables (arts. 6.1.b y 6.1.c RGPD; art. 30 del Código de Comercio).

5.6. Comunicaciones transaccionales

Emails de notificación cuando algo cambia en tu cuenta: nueva solicitud de propietario, verificación completada, recordatorios de alquiler, etc. Base legal: ejecución del contrato (art. 6.1.b RGPD). Estas comunicaciones son necesarias para prestar el servicio — no requieren consentimiento y no las puedes desactivar íntegramente sin cerrar tu cuenta. Sí puedes desactivar notificaciones no esenciales desde Ajustes.

5.7. Comunicaciones comerciales

Si te suscribes a nuestra newsletter o aceptas recibir información sobre nuevas funciones / servicios PLUS, recibirás correos con esta finalidad. Base legal: consentimiento (art. 6.1.a RGPD). Puedes retirarlo en cualquier momento a través del enlace “cancelar suscripción” del propio email o escribiendo a hi@idrent.io.

5.8. Seguridad, prevención del fraude y resolución de incidencias

Logs de auditoría, detección de accesos sospechosos, bloqueo de cuentas comprometidas, investigación de incidentes. Base legal: interés legítimo en garantizar la seguridad de la plataforma y de los demás usuarios (art. 6.1.f RGPD). Hemos realizado el correspondiente análisis de equilibrio entre nuestro interés y tus derechos, y consideramos que esta base es proporcional.

5.9. Cumplimiento de obligaciones legales

Conservación de facturas con fines fiscales, respuesta a requerimientos judiciales o de autoridades, cooperación con investigaciones de fraude. Base legal: obligación legal (art. 6.1.c RGPD).

5.10. Mejora del producto y estadísticas agregadas

Análisis interno de uso de la plataforma con datos siempre anonimizados o agregados de modo que no permita reidentificarte. Base legal: interés legítimo (art. 6.1.f RGPD). No vendemos estos análisis a terceros ni los usamos para publicidad dirigida.

6. Destinatarios y encargados del tratamiento

Compartimos tus datos exclusivamente cuando es necesario para prestar el servicio o cuando lo exige la ley. Categorías de destinatarios:

6.1. Propietarios e inmobiliarias

Cuando generas un enlace privado, los propietarios o agencias que tú decidas ven la información de tu perfil que tú explícitamente has marcado como compartible. Tú controlas qué secciones se muestran y puedes revocar el acceso en cualquier momento desde “Mis links”. Base legal: consentimiento al generar el enlace + ejecución del contrato.

6.2. Empresas avalistas (rent guarantee companies)

Cuando solicitas una garantía, compartimos con la avalista elegida el perfil que ella necesita para evaluar la emisión del aval. Las avalistas son responsables del tratamiento independientes para sus propias finalidades; recibirás su propia política de privacidad al iniciar el flujo.

6.3. Encargados del tratamiento (subprocesadores)

Los siguientes proveedores tratan tus datos por cuenta nuestra bajo contrato GDPR-compliant (Data Processing Agreement / cláusulas contractuales tipo cuando es aplicable):

Mantenemos un registro actualizado de subprocesadores. Si añadimos o cambiamos alguno material, te informaremos con al menos 30 días de antelación para que puedas oponerte y, en su caso, terminar la relación contractual sin coste.

6.4. Autoridades públicas y órganos judiciales

Compartiremos tus datos cuando lo exija una orden judicial, un requerimiento administrativo motivado o una norma con rango de ley aplicable.

6.5. En operaciones corporativas

En caso de fusión, adquisición o venta de activos de Move, tus datos pueden transferirse al adquirente. Te lo comunicaremos antes de que la transferencia se produzca, para que puedas oponerte si lo deseas.

6.6. Lo que NO hacemos con tus datos

• No vendemos tus datos personales a terceros.
• No entrenamos modelos de inteligencia artificial con tu documentación.
• No compartimos tus datos con anunciantes ni con redes publicitarias.
• No usamos tus datos para perfilado comercial en plataformas de terceros.

7. Transferencias internacionales de datos

Tus datos se almacenan principalmente en servidores ubicados en la Unión Europea (Firebase Storage region europe-west1; copias de seguridad en la misma jurisdicción). No obstante, algunos de nuestros encargados del tratamiento tienen su sede principal en EE. UU. (Google, Stripe, Resend, Racimo LLC) y pueden acceder a datos desde allí para mantenimiento, soporte o gestión administrativa.

Estas transferencias se amparan en las Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea (Decisión 2021/914) o, en su caso, en otros mecanismos de adecuación previstos en el Capítulo V del RGPD (decisiones de adecuación, certificaciones aprobadas, normas corporativas vinculantes).

Si quieres recibir copia de las SCCs aplicables a tu caso, solicítalo en hi@idrent.io.

8. Periodos de conservación

Conservamos cada categoría de datos sólo durante el tiempo necesario para los fines del tratamiento, salvo que una obligación legal exija plazos mayores. Detalle:

Tras los plazos indicados, los datos se suprimen de forma irreversible o se anonimizan completamente para fines estadísticos agregados.

9. Medidas de seguridad

Aplicamos las medidas técnicas y organizativas apropiadas previstas en el art. 32 RGPD para garantizar un nivel de seguridad adecuado al riesgo. Entre ellas:

• Cifrado en tránsito: TLS 1.2+ obligatorio en todas las conexiones a la plataforma.
• Cifrado en reposo: tus documentos y datos se almacenan cifrados en Firebase Cloud Storage y en la base de datos.
• Autenticación: JWT con rotación de tokens de actualización y revocación inmediata en bloqueo de cuenta. Contraseñas hasheadas; nunca almacenadas en claro.
• Control de acceso: sólo el personal autorizado de Move accede a tus datos en el ámbito de sus funciones, bajo deber de confidencialidad contractual y formación específica en protección de datos.
• Verificación de archivos: los documentos que cargas se analizan por firma de bytes para evitar archivos maliciosos.
• Registros de auditoría: cada acceso a tus documentos por nuestro equipo o por propietarios queda registrado.
• Copias de seguridad: backups cifrados con retención limitada y en la misma jurisdicción que los datos primarios.
• Rate limiting y protección anti-DDoS en los endpoints sensibles.
• Auditorías periódicas internas y plan de respuesta a incidentes documentado.

A pesar de estas medidas, ninguna transmisión de datos por Internet o sistema de almacenamiento es seguro al 100 %. Si sospechas que tu cuenta ha sido comprometida, contáctanos inmediatamente.

10. Tus derechos

Como interesado, tienes los siguientes derechos sobre tus datos personales, reconocidos en los arts. 15 a 22 del RGPD:

• Acceso (art. 15): obtener confirmación de si tratamos tus datos y, en su caso, una copia de los mismos. Puedes descargar un dump completo en JSON desde Ajustes → Mi cuenta o haciendo GET a /api/users/me/export.
• Rectificación (art. 16): corregir datos inexactos. Edita los campos de tu perfil directamente desde Ajustes; para datos no editables (p. ej. email), escríbenos.
• Supresión / derecho al olvido (art. 17): eliminar tus datos cuando no sean necesarios para los fines que los recabamos, retires el consentimiento, te opongas al tratamiento, o sean ilícitamente tratados. Elimina tu cuenta desde Ajustes o haz DELETE /api/users/me con { confirm: "DELETE" } en el body.
• Limitación del tratamiento (art. 18): solicitar que dejemos de tratar tus datos pero los conservemos para acreditar reclamaciones.
• Portabilidad (art. 20): recibir tus datos en formato estructurado, de uso común y legible mecánicamente (te lo damos en JSON; cumple con este artículo).
• Oposición (art. 21): oponerte al tratamiento basado en interés legítimo o marketing directo en cualquier momento.
• No ser sometido a decisiones automatizadas individuales con efectos jurídicos (art. 22): en idRent no realizamos decisiones totalmente automatizadas con efectos jurídicos significativos para ti. Toda verificación importante (identidad, propietario) la realiza un humano de nuestro equipo.
• Retirada del consentimiento (art. 7.3): cuando una finalidad se basa en consentimiento (p. ej. marketing), puedes retirarlo cuando quieras sin que ello afecte a la licitud del tratamiento anterior.

11. Cómo ejercer tus derechos

Puedes ejercer cualquiera de los derechos anteriores:

• Por email: hi@idrent.io identificándote y describiendo tu solicitud. Si dudamos de tu identidad podemos pedirte verificación adicional.
• Por correo postal: Moverelocacion, S.L., Avenida de Manoteras 24, 2ª planta, 28050 Madrid, España.
• A través de los endpoints de la propia plataforma: exportación y supresión están directamente accesibles para mayor agilidad.

Plazo de respuesta: responderemos en un plazo máximo de un mes desde la recepción de la solicitud. Este plazo puede prorrogarse otros dos meses cuando la complejidad o número de solicitudes lo requiera (te lo notificaremos en el plazo del primer mes). El ejercicio de derechos es gratuito, salvo solicitudes manifiestamente infundadas o excesivas (especialmente por su carácter repetitivo).

Derecho a presentar una reclamación: si consideras que el tratamiento de tus datos no se ajusta a la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD):

• C/ Jorge Juan, 6, 28001 Madrid
• Teléfono: 901 100 099 / 912 663 517
• Web: www.aepd.es (sede electrónica para reclamaciones online)

Antes de acudir a la AEPD, te invitamos a contactarnos directamente — la mayoría de incidencias se resuelven en pocos días.

12. Datos de menores de edad

idRent NO está dirigida a menores de 18 años. No recogemos datos de personas que sepamos que son menores de 18. Si eres padre, madre o tutor legal y crees que tu hijo/a nos ha facilitado datos personales sin autorización, contáctanos en hi@idrent.io para que los eliminemos inmediatamente.

Si añades datos de menores como parte de tu unidad familiar (sección 3.4), lo haces en tu condición de representante legal y bajo tu responsabilidad. Sólo recogeremos los datos mínimos necesarios (nombre, fecha de nacimiento, relación familiar).

13. Decisiones automatizadas y elaboración de perfiles

idRent no realiza decisiones totalmente automatizadas con efectos jurídicos o que te afecten significativamente. Las verificaciones de identidad, ingresos y propietarios las realiza un revisor humano de nuestro equipo.

Usamos algoritmos básicos sólo para tareas operativas internas sin efecto sobre tus derechos (p. ej. ordenación de listados, sugerencia de ciudades). Estos procesos no constituyen elaboración de perfiles a efectos del art. 22 RGPD.

14. Notificación de brechas de seguridad

En caso de que se produzca una violación de la seguridad de tus datos personales que entrañe un alto riesgo para tus derechos y libertades, te lo comunicaremos sin dilación indebida y, en cualquier caso, dentro del plazo de 72 horas que establece el art. 33 RGPD para la notificación a la AEPD.

La comunicación incluirá la naturaleza de la violación, los datos afectados, las medidas adoptadas para mitigar sus efectos y la persona de contacto en Move para obtener más información (art. 34 RGPD).

15. Comunicaciones comerciales

Sólo te enviaremos comunicaciones comerciales (newsletter, información de nuevas funciones, ofertas) si has aceptado recibirlas expresamente al crear tu cuenta o en un momento posterior. Cada email comercial incluye un enlace de baja en un solo clic, y puedes desactivarlas también desde Ajustes → Notificaciones.

Las comunicaciones transaccionales (confirmación de pagos, cambios en tu cuenta, recordatorios operativos) son necesarias para la prestación del servicio y no requieren consentimiento adicional. Si quieres dejar de recibirlas íntegramente, deberás cerrar tu cuenta.

16. Cookies y tecnologías similares

Utilizamos sólo cookies estrictamente necesarias para que la plataforma funcione (sesión, preferencia de idioma). Si en el futuro añadimos cookies de analítica o publicidad, sólo se activarán con tu consentimiento expreso a través del banner de cookies. Consulta nuestra Política de cookies para más detalle.

17. Modificaciones de esta política

Podemos actualizar esta política para reflejar cambios en nuestras prácticas, requerimientos legales o nuevos servicios. Cuando los cambios afecten materialmente al tratamiento de tus datos (p. ej. nuevas finalidades, nuevos destinatarios, nuevos plazos de conservación):

• Te lo notificaremos por email con al menos 30 días naturales de antelación.
• Si la base legal del nuevo tratamiento es el consentimiento, te lo solicitaremos explícitamente antes de empezar el tratamiento.
• Si no estás de acuerdo con los cambios, puedes cerrar tu cuenta sin coste antes de que entren en vigor.

Para cambios menores (clarificaciones, correcciones tipográficas) publicaremos la versión actualizada con la fecha de revisión. Revisa esta política periódicamente.

18. Contacto

Para cualquier consulta sobre privacidad o sobre esta política:

• Email: hi@idrent.io
• Correo postal: Moverelocacion, S.L., Avenida de Manoteras 24, 2ª planta, 28050 Madrid, España

Esta política se rige por la legislación española y el Derecho de la Unión Europea aplicable.