Acuerdo de Encargado de Tratamiento

Este Acuerdo (en adelante, «DPA») regula el tratamiento de datos personales que DMS Suite, en calidad de encargado del tratamiento, realiza por cuenta del taller usuario, en calidad de responsable del tratamiento, en el marco de la prestación del Servicio. Se suscribe al amparo del artículo 28 del Reglamento (UE) 2016/679 (RGPD) y forma parte integrante de los Términos y Condiciones de uso aceptados por el taller.

1. Partes

• Responsable del tratamiento: el taller que se registra y crea una organización en DMS Suite (en adelante, el «Taller»).
• Encargado del tratamiento: Daniel Monroy Pruna, NIF 38846510Q, con domicilio en calle Valeri Saleta 52, 1.º 6.ª, 08370 Calella (Barcelona); titular de DMS Suite (en adelante, el «Encargado»).

2. Objeto, naturaleza y finalidad del tratamiento

El Encargado tratará los datos personales que el Taller introduzca en la plataforma con la única finalidad de prestar el Servicio contratado: gestión de citas, recepción activa de vehículos, seguimiento de ITV, comunicaciones operativas con los clientes finales del Taller y demás funcionalidades del producto.

3. Categorías de interesados

• Clientes finales del Taller (personas físicas que llevan su vehículo al taller).
• Empleados del Taller que utilicen la plataforma como usuarios.

4. Tipos de datos tratados

• Datos identificativos: nombre, apellidos, teléfono, dirección de email.
• Datos del vehículo: matrícula, marca, modelo, año, VIN, kilometraje, fecha de caducidad de ITV.
• Datos relativos al servicio mecánico: citas, recepciones, inspecciones realizadas, intentos de ITV, comunicaciones enviadas.

El Encargado no trata datos pertenecientes a categorías especiales (art. 9 RGPD).

5. Duración

Este DPA estará vigente mientras el Taller mantenga su cuenta activa en DMS Suite. Las obligaciones de confidencialidad subsistirán indefinidamente.

6. Obligaciones del Encargado

• Tratar los datos personales únicamente siguiendo instrucciones documentadas del Responsable, incluyendo las recogidas en este DPA y en la configuración del Servicio.
• Garantizar que las personas autorizadas para tratar los datos se han comprometido a respetar la confidencialidad.
• Adoptar todas las medidas técnicas y organizativas necesarias para garantizar un nivel de seguridad adecuado al riesgo (art. 32 RGPD).
• Asistir al Responsable, mediante medidas técnicas y organizativas razonables, para que pueda atender las solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, oposición, portabilidad y limitación).
• Notificar al Responsable, sin dilación indebida y en cualquier caso dentro de las setenta y dos (72) horas, cualquier violación de la seguridad de los datos personales de la que tenga conocimiento.
• Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del art. 28 RGPD.
• Una vez finalizada la prestación del Servicio, suprimir o devolver al Responsable todos los datos personales y las copias existentes, salvo que la legislación aplicable exija su conservación.

7. Subencargados autorizados

El Responsable autoriza con carácter general la subcontratación con los siguientes proveedores, en su calidad de subencargados del tratamiento, para los servicios indicados:

• Vercel Inc. (EE. UU.) — alojamiento y ejecución de la aplicación.
• Neon Inc. (EE. UU.) — base de datos gestionada (Postgres).
• Clerk Inc. (EE. UU.) — autenticación y gestión de identidades.
• Google LLC (EE. UU.) — integración con Google Calendar y Gmail (solo si el Taller la activa).
• ManyContacts — envío de mensajes vía WhatsApp (solo si el Taller lo activa).

El Encargado informará al Responsable de cualquier cambio previsto en la incorporación o sustitución de subencargados con una antelación razonable, dando al Responsable la oportunidad de oponerse. La oposición fundamentada podrá implicar la imposibilidad de seguir prestando el Servicio.

8. Transferencias internacionales

Algunos subencargados están radicados en EE. UU. Estas transferencias se amparan en el EU-U.S. Data Privacy Framework (Decisión de adecuación 2023/1795) y en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea, junto con las medidas técnicas adicionales adecuadas.

9. Medidas de seguridad

El Encargado aplica, como mínimo, las siguientes medidas:

• Cifrado en tránsito (TLS) para todas las comunicaciones con la plataforma.
• Cifrado en tránsito y en reposo en la base de datos a través del proveedor gestionado.
• Aislamiento por organización (multi-tenant) basado en identificador de tenant en cada registro.
• Control de accesos basado en roles, autenticación gestionada y rotación periódica de credenciales sensibles.
• Registro de actividad relevante y monitorización de errores.
• Copias de seguridad y posibilidad de restauración a un punto en el tiempo a través del proveedor de base de datos.

10. Derechos de los interesados

Cuando el Encargado reciba una solicitud directa de un interesado (cliente final del Taller) relativa al ejercicio de sus derechos, se abstendrá de responder y la trasladará al Taller correspondiente para que sea éste quien la atienda como Responsable.

11. Devolución y supresión de datos

A la finalización de la prestación del Servicio por cualquier causa, el Encargado pondrá a disposición del Responsable, durante un plazo razonable, una vía para exportar sus datos. Transcurrido dicho plazo, los datos se eliminarán de los sistemas de producción del Encargado y de los subencargados, salvo en lo que respecta a copias residuales en backups, que se eliminarán conforme a su ciclo de rotación.

12. Régimen de responsabilidad

Cada parte responderá frente a la otra y, en su caso, frente a los interesados, en la medida en que su actuación haya sido la causa de un perjuicio o sanción, conforme al art. 82 RGPD. La responsabilidad económica del Encargado frente al Responsable queda sujeta a los límites establecidos en los Términos y Condiciones.

13. Aceptación

Este DPA se considera aceptado por el Taller en el momento del registro de su organización en DMS Suite y forma parte inseparable del contrato de prestación del Servicio.