Política de Privacidad
Última actualización: 17 de junio de 2026
1. Responsable del tratamiento
El responsable del tratamiento de los datos personales recogidos a través de Rentabilidad.com es:
- Razón social: RITZA LABS, SL
- NIF: B27688480 (provisional, en trámite de NIF definitivo)
- Domicilio social: Carrer Sant Pau 1, 17600 Figueres (Girona), España
- Situación registral: sociedad en proceso de constitución; inscripción en el Registro Mercantil de Girona en trámite.
- Contacto en materia de protección de datos: ritza@ritzalabs.com
A los efectos de esta política, las referencias a “nosotros”, “Rentabilidad.com” o “el servicio” se entenderán hechas a RITZA LABS, SL.
2. Datos que recogemos
Recogemos únicamente los datos necesarios para prestar el servicio. Las categorías que tratamos son las siguientes:
2.1. Datos de cuenta
- Dirección de correo electrónico
- Nombre completo (si lo proporcionas o lo facilita tu proveedor de inicio de sesión)
- Imagen de avatar (sólo si inicias sesión con Google y Google nos facilita esa URL)
- Identificador interno único (UUID) generado por el sistema
2.2. Datos de autenticación
- Si te registras con email y contraseña: la contraseña se almacena cifrada por nuestro proveedor de autenticación (Supabase). En ningún caso tenemos acceso a la contraseña en claro.
- Si inicias sesión con Google: recibimos los datos básicos del perfil (email, nombre, imagen) que Google nos facilita. No solicitamos permisos adicionales (Google Drive, Calendar, Contactos u otros).
2.3. Datos de suscripción y pago
- Plan contratado (Gratuito, Inversor o Inversor Pro), periodicidad (mensual o anual) y comunidad autónoma seleccionada para los planes regionales.
- Estado de la suscripción (en prueba, activa, cancelada, expirada) y fechas asociadas (fin del periodo de prueba, próximo cobro, fecha de cancelación).
- Identificadores opacos generados por nuestro proveedor de pagos (Stripe) que vinculan tu cuenta con tu cliente y suscripción en su sistema.
Los datos financieros propiamente dichos (número de tarjeta, fecha de caducidad, CVV, datos de tu cuenta bancaria) los recoge y custodia directamente Stripe Payments Europe Ltd. NO tenemos acceso a tu número de tarjeta ni a tus credenciales bancarias en ningún momento del proceso.
2.4. Datos de uso del servicio
- Anuncios inmobiliarios que añades a tus favoritos
- Anuncios que abres con detalle de análisis (utilizados para gestionar el límite del plan Gratuito)
2.5. Datos técnicos
- Dirección IP y cabeceras de la solicitud (procesadas por nuestro proveedor de alojamiento para fines de seguridad y registro de accesos)
- Cookie de sesión necesaria para mantener tu autenticación entre páginas (ver sección 11)
2.6. Datos de funcionalidades en desarrollo
Las siguientes funcionalidades aún no están operativas. Cuando se activen, recogerán los datos descritos. Esta política se actualizará consecuentemente y, cuando corresponda, te solicitaremos consentimiento previo antes de comenzar a tratar estos datos.
- Alertas y búsquedas guardadas (próximamente): tu dirección de correo electrónico y los criterios de búsqueda guardados (zonas, rangos de precio, número de habitaciones, etc.), con base en tu consentimiento opt-in y posibilidad de baja en cada envío.
- Analítica de producto (próximamente): eventos de uso (páginas visitadas, interacciones), identificador anónimo del dispositivo y, si has iniciado sesión, tu identificador de cuenta. Esta analítica requerirá tu consentimiento expreso mediante banner antes de activarse.
3. Finalidades del tratamiento
Tratamos tus datos personales con las siguientes finalidades:
- Crear y gestionar tu cuenta de usuario.
- Permitirte iniciar sesión y mantener tu sesión autenticada.
- Prestar el servicio que has contratado, incluyendo el acceso a los análisis y funcionalidades correspondientes a tu plan.
- Gestionar la facturación, los cobros y la renovación o cancelación de tu suscripción a través de nuestro proveedor de pagos.
- Enviarte comunicaciones transaccionales necesarias (bienvenida, recordatorio de fin de prueba, confirmación de cobro, confirmación de cancelación, cambios en el servicio).
- Cumplir con las obligaciones legales que nos sean aplicables (en particular, conservación de documentación mercantil y fiscal).
- Atender solicitudes de ejercicio de derechos en materia de protección de datos.
- Mantener la seguridad e integridad del servicio (registro de accesos, detección de abusos).
No utilizamos tus datos personales para publicidad de terceros, ni los vendemos, ni los cedemos a anunciantes.
4. Bases jurídicas
Cada tratamiento está amparado en una base jurídica conforme al artículo 6.1 del Reglamento General de Protección de Datos (RGPD):
| Tratamiento | Base jurídica |
|---|---|
| Datos de cuenta y autenticación | Art. 6.1.b) — ejecución del contrato de prestación del servicio |
| Datos de suscripción y pago | Art. 6.1.b) ejecución del contrato + Art. 6.1.c) cumplimiento de obligación legal (facturación) |
| Datos de uso (favoritos, análisis abiertos) | Art. 6.1.b) — ejecución del contrato (estas funciones forman parte del servicio) |
| Comunicaciones transaccionales | Art. 6.1.b) ejecución del contrato + art. 21 LSSI (no requieren consentimiento por ser estrictamente necesarias) |
| Datos técnicos / cookie de sesión | Art. 6.1.b) — necesarios para la prestación del servicio solicitado |
| Conservación de documentación mercantil y fiscal | Art. 6.1.c) — cumplimiento de obligación legal |
| Alertas / búsquedas guardadas (próximamente) | Art. 6.1.a) — consentimiento opt-in del usuario |
| Analítica de producto (próximamente) | Art. 6.1.a) — consentimiento expreso mediante banner |
5. Destinatarios y encargados del tratamiento
Para prestar el servicio, recurrimos a los siguientes proveedores que tratan datos personales por nuestra cuenta y bajo contrato de encargo de tratamiento conforme al artículo 28 del RGPD:
Proveedor de backend y autenticación
Supabase, Inc. — almacena la base de datos del servicio (cuentas, perfiles, suscripciones, favoritos) y gestiona el inicio de sesión.
Política: supabase.com/privacy. Región del proyecto: Frankfurt (Alemania), dentro del Espacio Económico Europeo.
Proveedor de alojamiento web
Vercel Inc. — aloja la aplicación, ejecuta las funciones de servidor y registra los accesos para fines de seguridad y operación.
Política: vercel.com/legal/privacy-policy. Región de ejecución: Frankfurt (Alemania), dentro del Espacio Económico Europeo.
Proveedor de pagos (responsable del pago como Merchant of Record)
Stripe Payments Europe Ltd. (Irlanda) y Stripe, Inc. (Estados Unidos), actuando bajo la modalidad de Merchant of Record (“Stripe Managed Payments”). Stripe procesa los pagos, calcula y remite el IVA aplicable, emite la factura/recibo correspondiente y asume la responsabilidad frente a las disputas de pago.
Política: stripe.com/privacy. Stripe actúa como responsable independiente del tratamiento respecto a los datos que recoge directamente del usuario en el momento del checkout (datos de la tarjeta, dirección de facturación, IBAN, etc.). Garantía para transferencias internacionales: SCC aprobadas por la Comisión Europea.
Proveedor de inicio de sesión federado (opcional)
Google LLC (Estados Unidos) — si eliges “Continuar con Google”, Google nos facilita los datos básicos de tu perfil (email, nombre, imagen) tras tu autorización en la pantalla de consentimiento de Google.
Política: policies.google.com/privacy. Garantía para transferencias internacionales: SCC.
Proveedor de envío de correo transaccional
Resend, Inc. (Estados Unidos) — envía las comunicaciones transaccionales (bienvenida, recordatorios, confirmaciones).
Política: resend.com/legal/privacy-policy. Garantía para transferencias internacionales: SCC.
Proveedor de mapas
Mapbox, Inc. (Estados Unidos) — proporciona los mapas base que se muestran en el navegador del usuario. La carga de los tiles implica que tu dirección IP y las coordenadas del área visualizada se envían directamente desde tu navegador a Mapbox.
Política: mapbox.com/legal/privacy. Garantía para transferencias internacionales: SCC.
Proveedor de analítica de producto (próximamente)
PostHog Inc. — la activación de la analítica de producto está prevista en la versión Cloud alojada en la Unión Europea (eu.posthog.com). Su activación quedará condicionada a tu consentimiento expreso mediante banner de cookies.
Política: posthog.com/privacy.
Aclaración importante sobre los anuncios inmobiliarios que muestra el servicio: los anuncios y la información asociada proceden de fuentes públicas de terceros, son contenido de terceros, y no contienen datos personales de los usuarios de Rentabilidad.com. Los proveedores de infraestructura que utilizamos para incorporar esos datos al servicio no actúan como encargados del tratamiento respecto a los datos personales de nuestros usuarios, porque no procesan ninguno de esos datos.
6. Transferencias internacionales
Nuestros proveedores principales de backend (Supabase) y de alojamiento (Vercel) procesan los datos dentro del Espacio Económico Europeo, en la región de Frankfurt (Alemania).
El resto de proveedores enumerados en la sección 5 (Stripe, Google, Resend, Mapbox) son entidades con sede en Estados Unidos o pueden almacenar o procesar datos fuera del EEE. Para garantizar un nivel adecuado de protección equivalente al exigido por el RGPD, esas transferencias internacionales se basan en las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea (Decisión de Ejecución (UE) 2021/914), firmadas con cada proveedor.
Puedes solicitar copia de las garantías aplicables a una transferencia concreta escribiéndonos a ritza@ritzalabs.com.
7. Plazos de conservación
- Datos de cuenta y de uso del servicio: durante el tiempo que mantengas tu cuenta activa. Si solicitas la supresión o das de baja la cuenta, eliminaremos o anonimizaremos estos datos en un plazo razonable, salvo aquellos que debamos conservar por obligaciones legales (ver siguiente punto).
- Documentación mercantil y fiscal asociada a la suscripción:6 años desde la última operación, conforme al artículo 30 del Código de Comercio y a la normativa fiscal aplicable.
- Datos de pago propiamente dichos: los conserva Stripe conforme a su propia política, no nosotros.
- Datos enviados por correo transaccional: Resend conserva los registros de envío conforme a su política de retención; el contenido del mensaje no se conserva en sus sistemas más allá del plazo necesario para confirmar la entrega.
- Datos analíticos (cuando se activen): hasta 12 meses por evento, salvo retirada del consentimiento.
8. Tus derechos
Tienes derecho a ejercer en cualquier momento los siguientes derechos que te reconocen el RGPD y la LOPDGDD:
- Acceso: conocer qué datos tuyos tratamos y obtener una copia.
- Rectificación: corregir datos inexactos o incompletos.
- Supresión (“derecho al olvido”): solicitar la eliminación de tus datos cuando ya no sean necesarios para las finalidades para las que se recogieron.
- Limitación del tratamiento: solicitar la suspensión del tratamiento en los supuestos del art. 18 RGPD.
- Portabilidad: recibir tus datos en un formato estructurado y de uso común para transmitirlos a otro responsable.
- Oposición: oponerte al tratamiento, en particular cuando se base en interés legítimo.
- Retirada del consentimiento: cuando un tratamiento se base en consentimiento, puedes retirarlo en cualquier momento sin que ello afecte a la licitud del tratamiento previo a la retirada.
- No ser objeto de decisiones automatizadas con efectos jurídicos significativos: no aplicamos perfilado automatizado con efectos jurídicos sobre nuestros usuarios.
Para ejercer cualquiera de estos derechos, escríbenos a ritza@ritzalabs.com, indicando claramente el derecho que deseas ejercer y, si lo consideras necesario para acreditar tu identidad, una referencia que nos permita identificarte de forma inequívoca. Responderemos en el plazo máximo de un mes desde la recepción de la solicitud, prorrogable por dos meses adicionales en casos complejos.
9. Derecho a reclamar ante la autoridad de control
Si consideras que el tratamiento de tus datos personales infringe la normativa o que no hemos atendido correctamente el ejercicio de tus derechos, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), C/ Jorge Juan 6, 28001 Madrid, o a través de su sede electrónica: www.aepd.es.
10. Seguridad de los datos
Aplicamos medidas técnicas y organizativas razonables para proteger los datos personales contra accesos no autorizados, pérdidas o alteraciones. Entre ellas:
- Cifrado de las comunicaciones mediante TLS.
- Control de acceso a la base de datos mediante políticas de fila (Row Level Security) que restringen el acceso de cada usuario a sus propios datos.
- Custodia de credenciales y secretos en sistemas de gestión de variables de entorno separados del código fuente.
- Autenticación obligatoria para acceder a cualquier dato personal del usuario.
- Registros de acceso conservados por el proveedor de alojamiento para fines de seguridad.
Ningún sistema en internet ofrece seguridad absoluta. En caso de que se produjera una violación de la seguridad que pudiera afectar a tus datos personales con riesgo para tus derechos, te lo notificaremos sin dilación indebida y, conforme al art. 33 RGPD, comunicaremos la incidencia a la AEPD en un plazo máximo de 72 horas.
12. Cambios en esta política
Podemos modificar esta política para reflejar cambios en el servicio, en los proveedores que utilizamos o en la normativa aplicable. La fecha de última actualización se muestra al inicio de este documento. Cuando los cambios afecten sustancialmente a tus derechos, te lo notificaremos a la dirección de correo asociada a tu cuenta.