Política de privacidad
En cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), se informa al usuario del tratamiento de datos personales que se realiza a través del sitio web nertio.es y del portal asociado app.nertio.es.
El responsable del tratamiento de los datos personales recogidos a través de este sitio web y del portal asociado es Joaquín Calvo Llinás, NIF 75887024L, con domicilio profesional en Calle Hartzenbusch 14, 3.º izquierda, 28010 Madrid, España, que opera bajo la marca comercial Nertio. Dirección de contacto a efectos de ejercicio de derechos y comunicaciones relativas a protección de datos: [email protected]. Para cuestiones operativas relacionadas con la gestión del expediente a través del portal del propietario, el canal habitual es [email protected]. En la fecha de esta versión no se ha designado Delegado de Protección de Datos por no concurrir los supuestos del artículo 37 RGPD.
A través del formulario de contacto de nertio.es se recogen los datos personales que el usuario facilita voluntariamente, entre los que pueden incluirse: nombre y apellidos, dirección de correo electrónico, número de teléfono (opcional), perfil profesional (propietario, comunidad de vecinos, instalador, ingeniería, administrador de fincas u otro), tipo o tipos de actuación de eficiencia energética realizada o prevista, estado de ejecución de la obra, código postal de la vivienda, fecha prevista de ejecución, información sobre si cuenta con instalador, otras ayudas solicitadas para la misma actuación y cualquier información adicional que el usuario incluya libremente en el campo de mensaje. Posteriormente, y mediante acceso a un portal personal ("Portal del propietario", alojado en app.nertio.es), pueden recabarse datos adicionales necesarios para la precualificación y tramitación del expediente, tales como la dirección completa de la vivienda, la referencia catastral cuando esté disponible, datos técnicos de la actuación y de los equipos sustituidos o instalados, así como la documentación justificativa que sea necesaria (facturas, certificados de eficiencia energética, memorias técnicas, presupuestos y demás documentación asociada al expediente CAE).
El acceso del usuario al Portal del propietario se realiza mediante enlaces de un solo uso ("magic links") remitidos por correo electrónico. Estos enlaces tienen una validez limitada en el tiempo, son personales e intransferibles, y no requieren el establecimiento de contraseñas. Cada acceso al portal queda registrado (fecha y hora, dirección IP y agente de usuario del dispositivo utilizado) con la única finalidad de velar por la integridad y seguridad del expediente. Los enlaces expirados pueden regenerarse desde la propia página de recuperación del portal. Asimismo, en el contexto de la aceptación de documentos legales y de firma electrónica, se conservan metadatos del proceso (fecha y hora, dirección IP, identificador del navegador o dispositivo, hash documental y trazas técnicas) con la finalidad de acreditar la prestación del consentimiento y la prestación del servicio.
El tratamiento de estos datos tiene como finalidad la gestión de la consulta y, en su caso, del expediente del usuario en relación con el sistema de Certificados de Ahorro Energético (CAE): evaluar la posible elegibilidad de la actuación comunicada, revisar la documentación aportada, identificar y proponer en su caso un Sujeto Delegado acreditado para la tramitación del expediente, comunicarse con el usuario sobre incidencias, requerimientos y estado del expediente, generar y conservar evidencias electrónicas del proceso contractual, cumplir las obligaciones legales aplicables a Nertio y atender las solicitudes de ejercicio de derechos. También se realizan tratamientos vinculados a la seguridad de los sistemas, la prevención del fraude y la mejora operativa del servicio.
Las bases jurídicas que legitiman el tratamiento son, según corresponda en cada caso, la aplicación de medidas precontractuales y la ejecución de la relación contractual solicitada por el interesado conforme al artículo 6.1.b RGPD, que constituye la base principal de los tratamientos vinculados a la apertura, análisis y gestión del expediente, incluida la comunicación de datos al Sujeto Delegado que deba intervenir en la tramitación, por ser necesaria para la ejecución del servicio solicitado por el propietario y para posibilitar la posterior formalización del Convenio CAE o, en su caso, del documento regulatorio equivalente que corresponda; el cumplimiento de obligaciones legales aplicables a Nertio conforme al artículo 6.1.c RGPD, en particular en materia fiscal, contable, regulatoria o de prevención del fraude; el interés legítimo de Nertio conforme al artículo 6.1.f RGPD para la conservación de evidencias del proceso contractual con fines probatorios y de defensa jurídica, la organización interna del servicio, la seguridad de los sistemas y el envío de comunicaciones operativas estrictamente necesarias para la ejecución del expediente, ponderando en cada caso dicho interés con los derechos y libertades del interesado; y el consentimiento del interesado conforme al artículo 6.1.a RGPD, únicamente cuando se solicite de forma separada para finalidades opcionales que no sean necesarias para la gestión del expediente, como en su caso comunicaciones comerciales o el uso de cookies sujetas a consentimiento conforme a la Política de Cookies.
Versiones anteriores de esta política, publicadas con anterioridad a la versión 1.1, podían sugerir que la base jurídica general del tratamiento era el consentimiento expreso. La presente versión sustituye y deja sin efecto cualquier indicación anterior incompatible con lo aquí establecido. La base jurídica principal del tratamiento, salvo finalidades opcionales claramente diferenciadas, son las medidas precontractuales y la ejecución de la relación contractual conforme al artículo 6.1.b RGPD.
En cuanto a los destinatarios de los datos, los datos personales del usuario podrán comunicarse a un Sujeto Delegado acreditado dentro del sistema CAE que deba intervenir en la tramitación del expediente. En el momento de la primera consulta o aceptación de los documentos legales, el Sujeto Delegado concreto puede no estar designado nominalmente; Nertio comunicará al usuario la identidad del Sujeto Delegado antes de la comunicación efectiva de sus datos a dicho tercero, junto con la documentación específica que deba suscribirse para continuar la tramitación. La comunicación se limitará a los datos y documentos razonablemente necesarios para valorar la viabilidad del expediente, preparar su tramitación regulatoria y, en su caso, formalizar el Convenio CAE o el documento equivalente que corresponda. Salvo que la normativa o la configuración concreta del servicio exijan otra cosa, el Sujeto Delegado tratará los datos recibidos como responsable independiente respecto de sus propias finalidades regulatorias y contractuales.
Asimismo, los datos podrán comunicarse a proveedores tecnológicos que actúen como encargados del tratamiento conforme al artículo 28 RGPD, con acceso limitado a lo estrictamente necesario para prestar sus servicios y obligados por contrato a tratar los datos exclusivamente conforme a las instrucciones de Nertio y a aplicar medidas técnicas y organizativas adecuadas. Las categorías de proveedores actualmente utilizados incluyen proveedor de infraestructura y alojamiento, proveedor de DNS, CDN y seguridad perimetral, proveedor de correo electrónico transaccional, proveedor de correo electrónico corporativo, proveedor de analítica web en los términos descritos en la Política de Cookies y, en su caso, proveedores de firma electrónica y almacenamiento documental necesarios para la gestión del expediente. El interesado puede solicitar información detallada y actualizada sobre los proveedores concretos y su ubicación enviando una solicitud a [email protected]. Los datos podrán también comunicarse a administraciones públicas, jueces, tribunales y profesionales cuando exista obligación legal, requerimiento administrativo o judicial, o resulte necesario para la defensa jurídica de Nertio o del propio interesado. Nertio no vende los datos personales del usuario ni los cede a terceros con fines comerciales propios de esos terceros.
Con carácter general, Nertio procura que el tratamiento de los datos se realice dentro del Espacio Económico Europeo. Cuando para la prestación del servicio o el uso de proveedores tecnológicos se produjeran transferencias internacionales de datos a países terceros, estas se realizarán con arreglo a las garantías exigidas por el RGPD, incluidas, según corresponda, las decisiones de adecuación de la Comisión Europea, las cláusulas contractuales tipo y las demás garantías reconocidas en los artículos 45 a 49 RGPD. En particular, cuando se utilicen servicios de proveedores con sede o tratamientos en Estados Unidos, Nertio se asegurará de que dichos proveedores estén adheridos al Marco de Privacidad de Datos UE-EE. UU. (Data Privacy Framework, DPF) o, en su defecto, de que existan cláusulas contractuales tipo y medidas suplementarias razonables. El interesado puede solicitar información sobre las garantías concretas aplicables a transferencias internacionales relevantes para su tratamiento enviando una solicitud a [email protected].
Los datos personales se conservarán durante el tiempo necesario para gestionar la consulta y, en su caso, el expediente correspondiente, y posteriormente durante los plazos de prescripción legal aplicables, a fin de atender posibles responsabilidades legales, contractuales o regulatorias y de cumplir las obligaciones de conservación impuestas por norma. A título orientativo y sin perjuicio de plazos específicos que resulten aplicables, los datos del expediente activo se conservan durante toda la vigencia del expediente; la documentación del expediente cerrado, durante el plazo de prescripción de las acciones derivadas de la relación contractual y de las obligaciones regulatorias asociadas al sistema CAE; la documentación contable y fiscal, durante los plazos exigidos por la normativa fiscal y contable, con carácter general seis años conforme al artículo 30 del Código de Comercio, sin perjuicio de plazos superiores en caso de requerimiento administrativo; las evidencias del proceso de aceptación de documentos legales, durante los plazos necesarios para acreditar el consentimiento prestado y la prestación del servicio; los logs técnicos y de seguridad, durante un plazo razonable proporcionado a la finalidad de seguridad y prevención del fraude, con carácter general no superior a 24 meses, salvo que se requiera conservación adicional por motivos de defensa jurídica o requerimiento. En caso de que el usuario no llegue a formalizar la tramitación de un expediente, los datos se conservarán durante un plazo máximo razonable a partir de la última comunicación, transcurrido el cual serán suprimidos o anonimizados de forma irreversible.
El usuario puede ejercer en cualquier momento sus derechos de acceso, rectificación, supresión, portabilidad de los datos, limitación del tratamiento, oposición al mismo y, en su caso, los derechos relativos a no ser objeto de decisiones individuales automatizadas, así como revocar el consentimiento prestado para finalidades opcionales sin que ello afecte a la licitud del tratamiento previo a la revocación. Para ejercer sus derechos, el usuario puede dirigir una comunicación a [email protected] indicando el derecho que desea ejercer y aportando la información razonablemente necesaria para identificar el expediente o el tratamiento al que se refiere. Como regla general, no será necesario aportar copia del documento identificativo: si la solicitud puede atenderse a partir de los datos ya disponibles en el expediente o desde una dirección de correo electrónico verificada en los sistemas de Nertio, la solicitud se resolverá sin pedir documentación identificativa adicional. No obstante, Nertio podrá solicitar información adicional razonable si existieran dudas fundadas sobre la identidad del solicitante, conforme al artículo 12.6 RGPD, y lo hará de forma proporcionada y motivada. La solicitud será atendida en el plazo máximo de un mes desde su recepción, prorrogable por dos meses adicionales en casos complejos en los términos del artículo 12.3 RGPD; en tal caso, se comunicará la prórroga y sus motivos dentro del primer mes. Si el usuario considera que el tratamiento de sus datos personales no se ajusta a la normativa vigente, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (aepd.es), sin perjuicio de cualquier otro recurso administrativo o jurisdiccional que le asista, y sin perjuicio de la posibilidad de dirigirse previamente a Nertio para intentar resolver la cuestión.
Nertio no adopta decisiones basadas únicamente en tratamientos automatizados que produzcan efectos jurídicos sobre el interesado o le afecten significativamente de modo similar en relación con la admisión, rechazo o resolución del expediente. La revisión y gestión del expediente requiere intervención humana en los puntos de decisión sustantivos, sin perjuicio del uso de herramientas automatizadas como apoyo (por ejemplo, validaciones técnicas o de coherencia documental). Nertio no realiza elaboración de perfiles con fines publicitarios ni cede datos para que terceros los utilicen con esa finalidad.
El servicio de Nertio está dirigido a personas mayores de edad con capacidad para contratar. Nertio no recoge ni trata conscientemente datos de menores de edad y, en caso de tener conocimiento de haber recibido datos de un menor, los suprimirá conforme a la normativa aplicable.
El titular del sitio web aplica medidas técnicas y organizativas razonables y proporcionadas al riesgo para proteger los datos personales del usuario frente a accesos no autorizados, alteración, pérdida accidental o destrucción ilícita, conforme al artículo 32 RGPD. Si se produjera una violación de seguridad de datos personales que pueda suponer un riesgo para los derechos y libertades de los interesados, Nertio actuará conforme a los artículos 33 y 34 RGPD, notificando a la Agencia Española de Protección de Datos en el plazo aplicable y, cuando proceda, comunicando la incidencia a los interesados afectados. No obstante, el usuario reconoce y acepta que las medidas de seguridad en Internet no son inexpugnables y que la transmisión de información a través de redes de comunicación electrónica conlleva riesgos inherentes que no pueden eliminarse por completo.
Esta política se complementa con el Aviso Legal y con la Política de Cookies de nertio.es, accesibles desde el pie de página del sitio web. En caso de discrepancia material entre esta política y otros documentos en relación con tratamientos de datos personales, prevalecerá la versión más reciente de esta política respecto del régimen general de protección de datos.
El titular se reserva el derecho a modificar la presente política de privacidad para adaptarla a novedades legislativas, jurisprudenciales, regulatorias o de práctica empresarial. Las modificaciones se publicarán en esta misma página con indicación de la versión y la fecha; cuando afecten de forma sustancial a tratamientos en curso, se comunicarán a los interesados por medios razonables; y no tendrán efectos retroactivos sobre tratamientos ya realizados, salvo que una norma imperativa exija lo contrario. Si una modificación implicara nuevas finalidades incompatibles con las originales o requiriera una nueva base jurídica de consentimiento, Nertio solicitará dicho consentimiento de forma específica antes de iniciar el nuevo tratamiento. Se recomienda al usuario consultar periódicamente esta política para estar informado de cómo se protegen sus datos personales.
Versión: 1.1
Última actualización: 2 de mayo de 2026
Esta versión sustituye y deja sin efecto las versiones anteriores publicadas en https://nertio.es/privacidad.