Política de privacidad
Versión vigente: 1 de mayo de 2026 · Sustituye a la versión de 28 de agosto de 2025
1. Responsable del tratamiento
- Razón social: Nestra Housing Tech, S.L.
- CIF: B75960047
- Domicilio: C/ Fray Vicente Nicolás 27, 07800 Ibiza (Illes Balears).
- Inscripción: Registro Mercantil de Illes Balears.
- Sitio web: nestra.es
- Atención general: hola@nestra.es
- Privacidad y protección de datos: privacidad@nestra.es
- Cuestiones contractuales: legal@nestra.es
Aunque Nestra no está obligada a designar un Delegado de Protección de Datos, hemos habilitado el canal privacidad@nestra.es como punto de contacto único para cualquier consulta sobre el tratamiento de tus datos.
2. Doble rol de Nestra: responsable y encargada
Nestra interviene en dos roles distintos según el dato del que se trate:
- Responsable del tratamiento respecto a: datos de la cuenta del Cliente, datos de facturación, datos de soporte, datos de visitantes web (formularios de contacto y demo), datos de analítica del sitio y de la aplicación, autenticación, seguridad y comunicaciones propias de Nestra.
- Encargada del tratamiento respecto a los datos personales que el Cliente (promotor, gestora, constructora, asesor profesional, inversor o cualquier otro perfil que contrate la Plataforma) introduce en la Plataforma sobre terceros — en particular, sobre Customer Hub Users (compradores y propietarios). En este caso, el Cliente es el responsable del tratamiento y Nestra actúa siguiendo sus instrucciones, conforme al artículo 28 RGPD y al Anexo I (Acuerdo de Encargado de Tratamiento) de los Términos y Condiciones.
Nota para Customer Hub Users. Si has accedido al portal del Owner por invitación de un promotor o de tu Cliente, los datos del proyecto, vivienda, incidencias y comunicaciones son tratados por Nestra por cuenta de ese Cliente. Para ejercer tus derechos sobre esos datos, dirígete en primer lugar al Cliente que te invitó. Nestra colaborará como encargada conforme al RGPD.
3. Categorías de datos que tratamos
- Datos de cuenta: nombre, apellidos, correo electrónico, teléfono, cargo, empresa, idioma y preferencias.
- Datos de autenticación: identificadores de sesión, magic links, códigos OTP y, en su caso, identificador OAuth de Google.
- Datos fiscales y de facturación: razón social, NIF/CIF, dirección fiscal, datos de operaciones e identificadores de pago de Stripe (sin datos de tarjeta).
- Contenido aportado por el Usuario: documentos subidos, archivos, planos, fotos, comentarios, prompts, conversaciones con los agentes de IA.
- Datos de Customer Hub Users: información sobre compradores y propietarios introducida por el Cliente — Nestra trata estos datos como encargada.
- Datos de soporte: registros de las acciones realizadas por personal autorizado de Nestra al asistir a un Cliente, con trazabilidad y procedimientos auditados.
- Datos de comunicación: notificaciones por email y, cuando aplique, WhatsApp transaccional vía Twilio.
- Datos del formulario de contacto y demo: nombre, empresa, email, teléfono opcional, mensaje y tipo de cliente.
- Datos de navegación y analítica: dirección IP (anonimizada en GA4), eventos de uso, dispositivo, navegador, métricas de rendimiento y, si los aceptas, identificadores de cookies.
- Datos de notificaciones push: endpoint del navegador y claves VAPID asociadas a tu suscripción.
- Datos de seguridad: logs, eventos de acceso, registros de incidentes y direcciones IP de origen.
4. Finalidades, base legal y plazos
Tratamos tus datos con las finalidades, bases legales y plazos que se detallan en la siguiente tabla. Cuando indicamos "interés legítimo" como base, hemos realizado el correspondiente juicio de ponderación; puedes solicitar más información sobre dicho juicio escribiendo a privacidad@nestra.es.
| Finalidad | Categorías de datos | Base legal | Plazo |
|---|---|---|---|
| Gestión de la cuenta del Cliente y prestación de los Servicios contratados (Customer Hub y Solución de IA). | Datos identificativos, datos de contacto, datos profesionales, credenciales y datos de uso de la Plataforma. | Ejecución del contrato (art. 6.1.b RGPD). | Vigencia del contrato + 6 años (prescripción mercantil, Código de Comercio). |
| Facturación, cobro y procesamiento de pagos a través de Stripe. | Datos identificativos y fiscales, correo electrónico, referencias e importes de las operaciones (los datos de tarjeta los gestiona directamente Stripe). | Ejecución del contrato + obligación legal (art. 6.1.b y 6.1.c RGPD; Cód. Comercio y LGT). | 6 años (Cód. Comercio art. 30) / 4 años (LGT art. 66). |
| Comunicaciones transaccionales: OTP, magic links, notificaciones de tickets, hitos de obra, digests, alertas de saldo de Tokens. | Correo electrónico, teléfono (si aplica para WhatsApp transaccional), datos del evento. | Ejecución del contrato (art. 6.1.b RGPD). | Mientras dure la relación contractual. |
| Atención al cliente y soporte técnico, incluyendo los accesos de soporte por personal autorizado de Nestra con trazabilidad y procedimientos auditados. | Datos de cuenta, contenido de las consultas y de los tickets, registros de soporte. | Ejecución del contrato + interés legítimo en prestar un soporte adecuado (art. 6.1.b y 6.1.f RGPD). | Hasta 3 años desde la última interacción. |
| Procesamiento de prompts, conversaciones, archivos y consultas con los agentes conversacionales de Nestra (Solución de IA). | Contenido de los prompts, archivos subidos, metadatos de la conversación e identificador del Usuario. | Ejecución del contrato (art. 6.1.b RGPD). | Vigencia del contrato y plazos exigibles para obligaciones legales o defensa frente a reclamaciones. |
| Operar, evaluar y mejorar los Servicios IA (incluyendo ajuste, evaluación y supervisión de modelos y prompts). | Prompts, conversaciones, valoraciones y métricas de uso. | Interés legítimo en operar y mejorar el servicio, valorado en juicio de ponderación (art. 6.1.f RGPD). | Mientras sea necesario para la finalidad, con un máximo orientativo de 36 meses. |
| Atención de consultas a través del formulario de contacto del sitio web. | Nombre, empresa, correo electrónico, teléfono (opcional), asunto y mensaje libre. | Consentimiento e interés legítimo precontractual (art. 6.1.a y 6.1.b RGPD). | Hasta 24 meses desde el último contacto si no se establece relación contractual. |
| Gestión de solicitudes de demo desde el sitio web. | Nombre, empresa, correo profesional, teléfono, tipo de cliente y mensaje. | Consentimiento e interés legítimo precontractual (art. 6.1.a y 6.1.b RGPD). | Hasta 24 meses desde el último contacto si no se establece relación contractual. |
| Comunicaciones comerciales a Clientes activos sobre productos o servicios similares de Nestra. | Correo electrónico, datos de contacto profesional y producto contratado. | Interés legítimo conforme al art. 21.2 LSSI-CE. | Hasta oposición del destinatario o baja del Servicio. |
| Marketing y comunicaciones promocionales a quienes lo consientan expresamente (newsletters, eventos, novedades). | Correo electrónico, nombre, preferencias de comunicación. | Consentimiento (art. 6.1.a RGPD). | Hasta la retirada del consentimiento. |
| Analítica de uso del sitio web y de la aplicación (Google Analytics 4, Amplitude, Vercel Analytics). | Dirección IP anonimizada, eventos de navegación, identificadores de cookie y métricas de rendimiento. | Consentimiento (art. 6.1.a RGPD y art. 22 LSSI-CE). | Hasta 25 meses (criterio AEPD para GA4 con anonimización). |
| Notificaciones push en navegador (Web Push API con claves VAPID propias). | Endpoint del navegador y claves de suscripción. | Consentimiento (art. 6.1.a RGPD). | Hasta la retirada de la suscripción por el Usuario. |
| Autenticación federada con cuenta Google (OAuth). | Correo electrónico, identificador del proveedor de identidad y datos de perfil básicos autorizados. | Ejecución del contrato (art. 6.1.b RGPD). | Mientras dure la relación contractual. |
| Seguridad, prevención del fraude, trazabilidad y respuesta a incidentes. | Logs, dirección IP, navegador, identificadores de sesión y eventos de acceso. | Interés legítimo + obligación legal (art. 6.1.f y 6.1.c RGPD). | 12 meses para logs operativos; plazos superiores si existe un incidente bajo investigación. |
| Cumplimiento de obligaciones legales (fiscal, contable, prevención del blanqueo, requerimientos judiciales o administrativos). | Datos identificativos, fiscales y de transacciones. | Obligación legal (art. 6.1.c RGPD). | Plazos legales aplicables a cada obligación. |
| Defensa frente a reclamaciones y ejercicio de acciones legales. | Datos relevantes para el caso concreto. | Interés legítimo (art. 6.1.f RGPD). | Hasta la prescripción de la acción correspondiente. |
Si retiras tu consentimiento (cuando sea la base legal), dejaremos de tratar los datos para esa finalidad sin que ello afecte a la licitud del tratamiento previo. Las bases de "ejecución del contrato" y "obligación legal" no se ven afectadas por la retirada del consentimiento.
5. Decisiones automatizadas e inteligencia artificial
Nestra incorpora agentes conversacionales y modelos de inteligencia artificial generativa para análisis urbanístico, viabilidad, riesgos y otras funcionalidades relacionadas (Solución de IA). Estas funcionalidades son una asistencia al Cliente: la decisión final sobre cualquier inversión, contratación o trámite siempre recae en el Cliente o en sus asesores cualificados.
No tomamos decisiones únicamente automatizadas con efectos jurídicos o significativos sobre los interesados en el sentido del artículo 22 RGPD. Si en el futuro implementáramos cualquier tratamiento de este tipo, lo informaríamos previamente y aplicaríamos las garantías exigidas por la normativa.
Tus consultas, prompts, archivos subidos y conversaciones con los agentes IA se procesan por nuestros proveedores de modelos de lenguaje (consulta el detalle en /subprocesadores) y pueden ser utilizadas por Nestra para operar, evaluar y mejorar los Servicios IA, conforme a la cláusula 8.4 de los Términos y Condiciones. Te recomendamos no introducir información estrictamente confidencial ni categorías especiales de datos personales que no sean estrictamente necesarias para la consulta.
Conforme al Reglamento (UE) 2024/1689 (AI Act), te informamos de que cuando interactúas con la Solución de IA estás interactuando con un sistema de inteligencia artificial. Los outputs generados por IA se identifican como tales en la Plataforma.
6. Datos de menores
La Plataforma está dirigida a profesionales mayores de edad. En el caso de Customer Hub Users menores de edad o sin plena capacidad de obrar, el acceso se realizará a través de su representante legal, quien actuará por cuenta del menor y aceptará las condiciones aplicables, conforme a la cláusula 4.2 de los Términos y Condiciones. Si tienes conocimiento de que se han recogido datos de un menor sin la autorización adecuada, escribe a privacidad@nestra.es y procederemos a su revisión inmediata.
7. Destinatarios de los datos
Compartimos datos personales con dos tipos de destinatarios:
7.1. Encargados de tratamiento (subprocesadores)
Trabajamos con proveedores que tratan datos por cuenta de Nestra para prestar los Servicios. Solo tratan tus datos siguiendo nuestras instrucciones documentadas y bajo garantías contractuales conformes al artículo 28 RGPD (firma de DPA, medidas técnicas y organizativas, deber de confidencialidad y notificación de brechas).
La lista vigente y actualizada está publicada en /subprocesadores, organizada por categoría (infraestructura, IA, pagos, email transaccional y autenticación, voz, cartografía, tipografía, analítica). Esa página forma parte del Anexo II de los Términos y Condiciones y se notifica al Cliente con preaviso razonable cuando se incorporan o sustituyen subencargados.
7.2. Cesionarios (destinatarios distintos de los encargados)
Solo cedemos datos personales a terceros cuando exista una base legal que lo ampare:
- Administraciones Públicas, autoridades fiscales, judiciales o de control cuando lo exija una obligación legal o un requerimiento válido (Hacienda, AEPD, Juzgados, fuerzas y cuerpos de seguridad).
- Asesores profesionales de Nestra (asesoría legal, fiscal, auditoría) cuando sea estrictamente necesario y con deber de confidencialidad, sobre la base del interés legítimo de Nestra.
- Adquirentes potenciales o efectivos en el marco de operaciones de reorganización societaria, fusión, escisión o venta de activos, conforme a la cláusula 16.2 de los Términos y Condiciones, con las garantías oportunas.
Nestra no comparte tus datos con anunciantes ni con terceros con fines de marketing propio de terceros.
8. Transferencias internacionales
Algunos de nuestros encargados de tratamiento se encuentran fuera del Espacio Económico Europeo (principalmente en Estados Unidos). Las transferencias internacionales se realizan amparadas en mecanismos válidos del Capítulo V del RGPD, en particular:
- Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea.
- Data Privacy Framework (DPF) UE-EE. UU. en los proveedores adheridos.
- Decisiones de adecuación cuando existan para el país destino.
Todos los datos del Customer Hub residen en infraestructura europea (Supabase sobre AWS eu-west-1, Brevo en Francia). En la Solución de IA los datos residen igualmente en infraestructura europea (Supabase sobre AWS eu-central-1) salvo en los servicios prestados desde EE. UU. (Anthropic, Resend, Google, Amplitude, Vercel, Notion). Encontrarás el detalle proveedor por proveedor, con país y mecanismo de transferencia, en /subprocesadores.
9. Plazos de conservación
Conservamos los datos durante los plazos indicados en la tabla de la sección 4. Una vez cumplido el plazo, los datos se suprimen o se bloquean conforme al artículo 32 LOPDGDD durante el tiempo en que pudieran derivarse responsabilidades legales, contractuales, fiscales o frente a autoridades, tras lo cual se procederá a su supresión definitiva. Para los datos tratados como encargada por cuenta del Cliente, los plazos son los pactados con éste y los previstos en la cláusula 14.4 de los Términos y Condiciones (30 días de exportación + 90 días de supresión, salvo obligaciones legales).
10. Medidas de seguridad
Aplicamos medidas técnicas y organizativas apropiadas al riesgo del tratamiento, conforme al artículo 32 RGPD, entre otras:
- Cifrado en tránsito (HTTPS / TLS 1.3) y cifrado en reposo en los proveedores de almacenamiento.
- Control de acceso basado en roles, autenticación multifactor cuando es relevante y registro de eventos.
- Trazabilidad de los accesos de soporte por parte de personal autorizado de Nestra, con procedimientos internos auditados.
- Segregación de entornos (desarrollo, preproducción y producción).
- Copias de seguridad y políticas de retención.
- Procesos documentados de respuesta a incidentes y notificación de brechas (en máximo 48 horas al Cliente, conforme a la cláusula 9.5 de los Términos y Condiciones).
- Selección y revisión periódica de proveedores con DPAs y garantías contractuales.
11. Tus derechos
Como titular de los datos puedes ejercer los siguientes derechos en cualquier momento:
- Acceso a tus datos personales.
- Rectificación de datos inexactos o incompletos.
- Supresión ("derecho al olvido") cuando ya no sean necesarios o concurra otra causa legal.
- Limitación del tratamiento en los supuestos del art. 18 RGPD.
- Oposición al tratamiento por motivos relacionados con tu situación particular.
- Portabilidad de tus datos, en formato estructurado y de uso común, cuando sea técnicamente viable.
- No ser objeto de decisiones automatizadas con efectos jurídicos o similarmente significativos (art. 22 RGPD).
- Retirada del consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento previo.
Los Clientes B2B pueden además ejercer el derecho de portabilidad mediante las funcionalidades de exportación de la Plataforma o solicitándolo a soporte; al término del contrato se aplican los plazos de la cláusula 14.4 de los Términos y Condiciones.
¿Cómo ejercerlos? Envía un correo a privacidad@nestra.es indicando el derecho que deseas ejercer y los datos sobre los que recae. Para verificar tu identidad, puede que te solicitemos copia de tu DNI/NIE o documento equivalente, o cualquier otra información razonable que permita acreditar que eres el titular de los datos. Te responderemos en el plazo máximo de un mes desde la recepción, prorrogable hasta dos meses adicionales en supuestos de especial complejidad o volumen de solicitudes (art. 12.3 RGPD), informándote en su caso de la prórroga.
Reclamaciones. Si consideras que no hemos atendido correctamente tu solicitud, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), con domicilio en C/ Jorge Juan, 6, 28001 Madrid (www.aepd.es), sin perjuicio de cualquier otra vía administrativa o judicial.
Customer Hub Users. Si tus datos los está tratando Nestra como encargada por cuenta de un Cliente (promotor, gestora, constructora u otro), dirige tu solicitud al Cliente que te invitó a la Plataforma. Si nos contactas directamente, trasladaremos tu solicitud al Cliente correspondiente y colaboraremos en su atención conforme al RGPD.
12. Cookies
El uso de cookies y tecnologías análogas en el sitio web de Nestra se rige por la Política de Cookies. Implementamos Google Consent Mode v2: ninguna cookie no esencial se instala hasta que el Usuario presta su consentimiento explícito. Puedes modificar tus preferencias en cualquier momento desde el enlace "Gestionar cookies" disponible en el pie del sitio.
13. Cambios en esta política
Podemos actualizar esta Política para reflejar cambios legales, operativos o tecnológicos. La fecha de "Versión vigente" del encabezado indica la versión actual. Si los cambios son sustanciales, te avisaremos por correo electrónico o mediante un aviso destacado en la Plataforma con un preaviso razonable, conforme a la cláusula 15 de los Términos y Condiciones. Las versiones anteriores se conservan internamente y pueden solicitarse escribiendo a privacidad@nestra.es.
14. Versión vinculante e idioma
Esta Política se publica en español. En caso de divergencia entre versiones lingüísticas, prevalecerá la versión en español como única vinculante.