1. Objetivo y Alcance
La presente política establece los lineamientos bajo los cuales INMOBILMESA S.A. (en adelante, «RE/MAX Ecuador» o «la Empresa») realiza el tratamiento, recolección, almacenamiento, uso, circulación, verificación y transferencia de datos personales, en cumplimiento de la Ley Orgánica de Protección de Datos Personales (LOPDP) y su Reglamento General.
Esta política aplica a todos los titulares de datos que se relacionen con la Empresa, incluyendo: clientes (vendedores, compradores, arrendadores y arrendatarios), prospectos, usuarios de plataformas digitales, seguidores y usuarios de redes sociales oficiales, personas interesadas en unirse a la red, interesados en adquisición de franquicias, personas que contacten por consulta general, proveedores, empleados directos, agentes asociados, brokers, staff de oficinas, ex-agentes, dueños y ex-dueños de franquicias, y accionistas y ex-accionistas de franquicias.
2. Principios Rectores (Art. 10 LOPDP)
Todo tratamiento de datos realizado por la Empresa se rige por los siguientes principios, que prevalecen sobre cualquier práctica operativa que los contradiga:
- Juridicidad: apego estricto a la Constitución, la LOPDP, su Reglamento y demás normativa aplicable.
- Lealtad y transparencia: tratamiento honesto y comprensible para el titular.
- Legitimidad y finalidad: solo se trata para fines lícitos, específicos e informados previamente.
- Pertinencia y minimización: se recolecta únicamente lo estrictamente necesario.
- Proporcionalidad: el alcance del tratamiento debe ser proporcional a la finalidad.
- Confidencialidad y calidad: los datos deben mantenerse exactos, actualizados y reservados.
- Conservación limitada: los datos se conservan solo durante el tiempo necesario (ver Sección 7).
- Seguridad: medidas técnicas y organizativas adecuadas (ver Sección 9).
- Responsabilidad proactiva y demostrada: la Empresa debe poder demostrar el cumplimiento, no solo declararlo.
- Aplicación favorable al titular: en caso de duda, toda disposición se interpretará en el sentido más favorable al titular.
3. Bases Legales del Tratamiento (Art. 7-9 LOPDP)
A diferencia de un consentimiento único y general, cada finalidad de tratamiento debe fundamentarse en una base legal específica:
| Base legal | Aplicación en la Empresa |
| Consentimiento del titular | Marketing, boletines, uso de datos de prospectos y seguidores de redes sociales, uso de imagen/testimoniales. |
| Interés legítimo (con prueba de ponderación documentada) | Verificación razonable de identidad o solvencia para prevenir fraude en una transacción concreta. |
| Protección de intereses vitales | Situaciones de emergencia. |
El consentimiento, cuando sea la base aplicable, debe ser libre, específico, informado e inequívoco, obtenido mediante una acción afirmativa clara del titular. No es válido el consentimiento por omisión, mediante casillas premarcadas, ni el que se presuma del simple hecho de interactuar con redes sociales, visitar el sitio web o realizar una consulta puntual por curiosidad.
4. Tratamiento por Categoría de Titular
A. Prospectos, Clientes, Usuarios de Redes Sociales y Contactos Generales
Aplica a:
- Prospectos e interesados que busquen información para comprar, vender o alquilar un inmueble.
- Clientes de captación (vendedores/arrendadores) que firmen contrato o autorización de gestión.
- Clientes de cierre (compradores/arrendatarios) que firmen contratos, promesas, actas u ofertas.
- Seguidores y usuarios de redes sociales que interactúen con las cuentas oficiales de la Empresa.
- Contactos generales que escriban o llamen con fines informativos o de simple consulta.
Finalidades y base legal aplicable:
- Envío de avisos comerciales, alertas de propiedades y promociones → consentimiento específico, otorgable y revocable de forma independiente a la prestación del servicio inmobiliario.
- Seguimiento de requerimientos inmobiliarios y comunicación operativa → ejecución del contrato (clientes de captación/cierre) o consentimiento (prospectos).
- Canales autorizados: llamadas telefónicas, correo electrónico, SMS, WhatsApp, mensajería de redes sociales, dirección física — siempre conforme al canal y finalidad consentidos por el titular.
B. Interesados en Franquicias y Aspirantes a Agentes Asociados
Aplica a quienes contacten a la Empresa para adquirir/operar una franquicia o convertirse en agente asociado.
Finalidad y base legal: evaluación de perfil comercial, remisión de propuestas, convocatorias a entrevistas o webinars, y seguimiento del proceso de incorporación, con base en el consentimiento otorgado al enviar su postulación o perfil profesional, informado de forma previa sobre el alcance del tratamiento.
C. Agentes Asociados, Brokers, Staff, Ex-Agentes, Dueños/Ex-Dueños y Accionistas/Ex-Accionistas de Franquicias
Finalidades: fines promocionales, posicionamiento de marca, testimoniales e historial de gestión, seguimiento comercial, evaluación de desempeño y cumplimiento de manuales de franquicia — con base en el contrato de vinculación y, para uso de imagen/testimoniales, consentimiento específico y revocable.
Ex-miembros de la red: la Empresa podrá conservar un registro histórico de gestión y cumplimiento de obligaciones de no-competencia, limitado a:
- La información estrictamente necesaria para fines de auditoría y seguimiento legal.
- El plazo definido en la Sección 7 (no de forma indefinida).
- Uso restringido a las finalidades de control de cumplimiento contractual y obligaciones legales vigentes, no para fines comerciales adicionales sin nuevo consentimiento.
D. Empleados Directos y Proveedores
- Empleados: tratamiento basado en la relación laboral (Código de Trabajo) para gestión de talento humano, nómina, evaluación de desempeño, seguridad interna y comunicación institucional.
- Proveedores: tratamiento basado en la relación contractual para gestión de compras, pagos, evaluación de calidad y auditorías, limitado a datos comerciales, financieros y de contacto pertinentes.
5. Protección Especial de Menores de Edad
- El tratamiento de datos de niñas, niños y adolescentes requiere, por regla general, el consentimiento de su representante legal.
- Los adolescentes a partir de 15 años pueden otorgar su propio consentimiento explícito, siempre que se les informe en lenguaje claro y adecuado a su edad sobre finalidades, derechos y consecuencias del tratamiento.
- Para datos sensibles de menores o decisiones basadas en valoraciones automatizadas que les afecten, se requiere siempre el consentimiento expreso del representante legal, sin importar la edad del menor.
- El silencio o la inacción del menor o su representante no presume consentimiento.
- La Empresa se abstendrá de incorporar datos de menores a bases de marketing salvo finalidad legítima específica (p. ej. menores integrantes del núcleo familiar comprador) y con el consentimiento correspondiente.
6. Verificación y Due Diligence
Con el fin de salvaguardar la seguridad de las operaciones y prevenir fraude, la Empresa podrá realizar consultas de verificación sobre clientes de cierre, agentes asociados, brokers, dueños/ex-dueños y accionistas/ex-accionistas de franquicias, empleados, proveedores e interesados en franquicias o reclutamiento, bajo las siguientes condiciones:
- Las consultas se limitan a lo estrictamente necesario y proporcional respecto de la finalidad específica informada al titular (p. ej., evaluar solvencia para un contrato de arrendamiento, verificar antecedentes para vinculación como agente).
- No se realizan de forma genérica sobre cualquier persona que solo haya contactado por curiosidad o consulta puntual, ni de forma «irrestricta».
- Fuentes consultables, según el caso y la finalidad: burós de crédito autorizados y entidades del sistema financiero (capacidad de pago); récord policial y sistema de la Función Judicial (eSATJE) cuando exista finalidad legítima de seguridad contractual; SRI, Superintendencia de Compañías, Registro Civil y UAFE, en el marco de obligaciones legales de prevención de lavado de activos o verificación de identidad.
- Esta facultad de verificación se otorga mediante consentimiento específico y revocable, o se fundamenta en el cumplimiento de una obligación legal, según corresponda — en ningún caso se invoca como autorización «irrestricta, irrevocable y permanente».
7. Retención de Datos
Los datos se conservarán únicamente durante el tiempo necesario para cumplir la finalidad del tratamiento, conforme a los siguientes plazos:
| Categoría de titular | Plazo de conservación |
| Prospectos sin conversión a cliente | Hasta 24 meses desde el último contacto, o hasta revocatoria del consentimiento |
| Clientes de cierre (compradores/vendedores/arrendatarios) | Duración de la relación contractual + plazos legales de prescripción civil y tributaria aplicables |
| Agentes asociados / brokers activos | Mientras dure la vinculación con la franquicia |
| Ex-agentes, ex-dueños, ex-accionistas | Plazo de la obligación de no-competencia contractual + plazo legal de prescripción de acciones aplicable; vencido este plazo, los datos se eliminan o anonimizan |
| Empleados | Duración de la relación laboral + plazos legales laborales y tributarios |
| Proveedores | Duración de la relación contractual + plazo de prescripción de obligaciones comerciales |
| Seguidores de redes sociales / contactos por curiosidad | Mientras se mantenga interacción activa |
Vencido el plazo aplicable, los datos serán eliminados o anonimizados, salvo requerimiento expreso de autoridad competente que justifique su conservación adicional.
8. Derechos del Titular
Los titulares de datos tienen derecho, en todo momento y a través de los canales oficiales que la Empresa disponga para el efecto, a:
- Información: conocer de forma previa y clara cómo se tratan sus datos.
- Acceso: saber si sus datos están siendo tratados y obtener copia de ellos.
- Rectificación/actualización: corregir datos inexactos o incompletos sin dilación injustificada.
- Eliminación (supresión): solicitar el borrado cuando los datos ya no sean necesarios, se revoque el consentimiento, o el tratamiento sea ilícito.
- Oposición: oponerse al tratamiento por motivos particulares, incluido el marketing directo.
- Portabilidad: recibir sus datos en formato estructurado y transmitirlos a otro responsable.
- Limitación/suspensión del tratamiento mientras se resuelve una reclamación.
- Consulta pública y gratuita ante el Registro Nacional de Protección de Datos Personales.
- Educación digital.
- Revocación del consentimiento en cualquier momento (ver Sección 10).
- Derechos de causahabientes: los familiares de titulares fallecidos podrán solicitar acceso, rectificación o eliminación de los datos del causante.
El ejercicio de estos derechos es gratuito, sencillo, y solo podrá limitarse cuando exista una obligación legal, contractual, de auditoría o regulatoria vigente que lo justifique expresamente, debiendo la Empresa motivar dicha limitación frente al titular.
9. Seguridad de la Información y Gestión de Brechas
9.1 Medidas de seguridad
La Empresa implementará, como mínimo:
- Privacidad desde el diseño y por defecto en cada nuevo formulario, campaña o sistema.
- Cifrado de datos sensibles y credenciales de acceso.
- Control de acceso basado en roles, limitando el acceso a cada categoría de datos al personal autorizado.
- Copias de seguridad (backups) periódicas y seguras (si llegaremos a tener).
- Análisis de riesgos y, cuando el tratamiento implique alto riesgo (datos sensibles a gran escala, scoring), una Evaluación de Impacto en la Protección de Datos (EIPD).
- Registro de Actividades de Tratamiento (RAT) actualizado.
- Evaluación de la necesidad de designar un Delegado de Protección de Datos (DPD), conforme al volumen y sensibilidad de los datos tratados.
9.2 Notificación de brechas de seguridad
Ante cualquier incidente que comprometa la confidencialidad, integridad o disponibilidad de los datos personales, la Empresa deberá:
- Notificar a la Superintendencia de Protección de Datos Personales (SPDP) dentro de los plazos establecidos por la normativa vigente.
- Notificar a los titulares afectados cuando la brecha implique un riesgo alto para sus derechos (p. ej. exposición de datos financieros, identificatorios o sensibles).
- Documentar internamente: naturaleza de la brecha, datos afectados, medidas correctivas adoptadas y acciones para prevenir recurrencia.
10. Revocación del Consentimiento
El titular tiene derecho a retirar su consentimiento en cualquier momento, mediante un procedimiento tan sencillo como el utilizado para otorgarlo.
- La revocatoria no afecta la licitud del tratamiento realizado previamente a la misma.
- La revocatoria no requiere justificación por parte del titular.
- La Empresa procesará la solicitud en un plazo razonable y lo comunicará expresamente al titular.
- La Empresa no invoca ni invocará autorizaciones de carácter «irrevocable y permanente» para ninguna finalidad de tratamiento; toda autorización del titular es revocable conforme a la LOPDP.
11. Transferencia y Comunicación de Datos a Terceros y Aliados
La Empresa podrá transferir o compartir datos personales con terceros, empresas filiales, socios comerciales o aliados estratégicos que participen en campañas conjuntas, siempre que:
- Exista una base legal aplicable a dicha transferencia (consentimiento específico del titular, ejecución contractual, u otra base prevista en la ley), y
- Los terceros receptores asuman las mismas obligaciones de confidencialidad, seguridad y limitación de uso establecidas en esta política.
Transferencias internacionales
Cuando la transferencia se realice a destinatarios ubicados fuera de Ecuador (incluyendo oficinas de la red RE/MAX internacional, proveedores de CRM o servicios en la nube), la Empresa deberá:
- Verificar que el país de destino cuente con un nivel adecuado de protección reconocido por la Autoridad de Protección de Datos, o
- Implementar garantías adecuadas: cláusulas contractuales tipo, normas corporativas vinculantes (en el caso de transferencias intra-red de franquicias), o consentimiento explícito del titular informado sobre los riesgos específicos de la transferencia.
12. Cookies y Tecnologías de Rastreo
Para los sitios web, landing pages y plataformas digitales de la Empresa:
- Se implementará un banner de consentimiento de cookies previo a la activación de cookies no esenciales.
- Las cookies estrictamente necesarias (sesión, funcionamiento del sitio) no requieren consentimiento previo, pero deben informarse.
- Las cookies analíticas y de marketing/retargeting (Google Analytics, Meta Pixel, Google Ads, etc.) requieren consentimiento previo, específico y revocable, con opción de «rechazar» igualmente accesible que «aceptar».
- Se habilitará un panel de preferencias de cookies accesible en todo momento para modificar o retirar el consentimiento otorgado.
13. Responsabilidad Proactiva y Cumplimiento
La Empresa mantendrá:
- Un Registro de Actividades de Tratamiento (RAT) actualizado.
- Procedimientos documentados para la atención de solicitudes de derechos del titular y para la respuesta ante brechas de seguridad.
- Capacitación periódica del personal en materia de protección de datos.
- Revisión periódica de esta política conforme a las resoluciones y guías técnicas que emita la Superintendencia de Protección de Datos Personales (SPDP).
14. Vigencia y Actualización
Esta política entra en vigencia a partir de su aprobación interna y será revisada al menos una vez al año, o cuando se modifique la normativa de protección de datos personales o las operaciones de la Empresa lo requieran.
