CasaConnect
CasaConnect

GDPR

Resumen de cumplimiento GDPR para CasaConnect.

Marco de RGPD y gobernanza de IA: CasaConnect

Estado del documento: Final (versión lanzamiento 2026)

Entidad matriz: Thinkable Holdings Inc. (Delaware, EE. UU.)

1. Gobernanza e identidad corporativa

CasaConnect es un nombre comercial de Thinkable Holdings Inc. Operamos bajo un mandato de "Privacy by Design", garantizando que toda automatización con IA para el mercado inmobiliario español cumple con:

  • RGPD UE (Reglamento 2016/679)
  • LOPDGDD española (Ley Orgánica 3/2018)
  • EU AI Act 2024/2026 (requisitos de transparencia y riesgo)

2. Representación en la Unión Europea (Art. 27)

Dado que Thinkable Holdings Inc. está establecida en Delaware pero trata datos de residentes españoles, hemos designado un representante formal en España como punto de contacto para la AEPD y los interesados.

  • Representante en la UE: [Insert Name of EU Rep Service, e.g., European Data Rep SL]
  • Jurisdicción: Madrid, España
  • Rol: Conforme al Art. 27 RGPD, el representante está autorizado a ser contactado además de, o en lugar de, Thinkable Holdings Inc. en cuestiones de tratamiento de datos.

3. Lógica de "transparencia de IA" (EU AI Act y Art. 13 RGPD)

En cumplimiento del EU AI Act (2026) y del Artículo 13 del RGPD, ofrecemos plena transparencia sobre los sistemas automatizados utilizados:

  • Divulgación algorítmica: Usamos Modelos de Lenguaje (LLM) para calificar leads en función de intención, presupuesto y ubicación.
  • Sin decisiones automatizadas de alto riesgo: Nuestra IA notoma decisiones con efectos legales (p. ej., scoring crediticio o rechazo de alquiler). Genera una Puntuación de Calificación y un resumen para revisión de la Agencia.
  • Requisito "Human-in-the-Loop": La arquitectura impide que la IA firme contratos o haga ofertas vinculantes. Toda acción inmobiliaria final debe ser iniciada por un usuario humano verificado de la Agencia.

4. Transferencias internacionales y soberanía

Para salvar la "brecha Delaware", aplicamos un enfoque escalonado:

  1. EU-U.S. Data Privacy Framework (DPF): Thinkable Holdings Inc. está autocertificada bajo el DPF. Esto permite la transferencia "adecuada" de datos de cuenta y flujos de procesamiento hacia EE. UU.
  2. Residencia de datos: Todos los datos de leads y el historial de conversaciones se almacenan en reposo en AWS eu-central-1 (Frankfurt).
  3. Procesamiento transitorio: Para la calificación con IA, los datos pueden procesarse por APIs basadas en EE. UU. (p. ej., OpenAI/Anthropic). Estos flujos están protegidos por acuerdos de Zero Data Retention (ZDR), asegurando que los datos de ciudadanos españoles no se usan para entrenar modelos fundacionales.

5. Derechos digitales en España (ARCO-POL+)

Además de los derechos estándar del RGPD, ofrecemos herramientas específicas para los "Derechos Digitales" españoles (LOPDGDD):

  • Derecho a intervención humana: Los leads pueden activar un comando "Bypass AI" en cualquier momento para hablar con un agente humano.
  • Derecho de supresión (ARCO): Ofrecemos un botón de "Derecho al Olvido" en el panel de la Agencia para eliminar registros de leads en logs de WhatsApp y bases de datos.
  • Derecho a la desconexión: La plataforma permite silenciar fuera de horario para cumplir la normativa laboral española sobre desconexión digital.

6. Seguridad y supervisión técnica

  • Cifrado: TLS 1.3 en tránsito y AES-256 en reposo.
  • Auditabilidad: Mantenemos un ROPA (Registro de Actividades de Tratamiento) para cada cliente, documentando el ciclo de datos desde Meta Lead Ads hasta la calificación con IA.
  • Protocolo de brechas: En caso de incidente, Thinkable notificará al Responsable (la Agencia) en un plazo de 48 horas, facilitando su reporte obligatorio de 72 horas ante la AEPD.