Acuerdo de Encargado de Tratamiento
Última actualización: 19 de junio de 2026
Este Acuerdo de Encargado de Tratamiento ("el Acuerdo" o "el DPA") desarrolla, conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD) y la LOPDGDD, las obligaciones de DESARROLLO DE PLATAFORMAS INTELIGENTES S.L. (NIF B27597954, Av. Diagonal 534, Bajo 1, 08006 Barcelona; en adelante, "DPSI" o "el Encargado") como encargado del tratamiento respecto de los datos personales que cada taller cliente ("el Cliente" o "el Responsable") trata a través de la plataforma "Taller de Motos IA" (la "Plataforma") sobre sus propios clientes finales.
Este Acuerdo queda incorporado por referencia a los Términos de Servicio que el Cliente acepta al registrarse en la Plataforma, y forma parte integrante de dicho contrato. En caso de conflicto entre este Acuerdo y los Términos de Servicio en materia de protección de datos, prevalece este Acuerdo.
1. Definiciones
- RGPD: Reglamento (UE) 2016/679 General de Protección de Datos.
- Datos Personales, Tratamiento, Responsable, Encargado, Interesado, Violación de la seguridad de los datos: tienen el significado que les atribuye el artículo 4 del RGPD.
- Subencargado: cualquier tercero al que el Encargado recurre para realizar actividades de tratamiento específicas por cuenta del Responsable, conforme al Anexo III.
- Datos del Cliente: los datos personales que el Responsable introduce, genera o recibe a través de la Plataforma sobre sus propios clientes finales (nombre, contacto, datos de vehículos, conversaciones de WhatsApp, presupuestos, facturas y cualquier otro dato descrito en el Anexo I).
2. Objeto y alcance
El Encargado tratará los Datos del Cliente únicamente para la prestación del servicio de la Plataforma, en los términos y con el alcance descritos en el Anexo I, y exclusivamente siguiendo las instrucciones documentadas del Responsable. A los efectos de este Acuerdo, la configuración y el uso de la Plataforma por el Responsable (incluida la introducción de datos, la configuración de números de WhatsApp y la gestión de usuarios) constituye su instrucción documentada. Cualquier instrucción adicional fuera de la funcionalidad estándar de la Plataforma deberá acordarse expresamente por escrito.
Si el Encargado considera que una instrucción infringe el RGPD o cualquier otra norma de protección de datos de la Unión Europea o de sus Estados miembros, lo informará inmediatamente al Responsable.
3. Obligaciones del Encargado (DPSI)
- Tratar los Datos del Cliente únicamente conforme a las instrucciones documentadas del Responsable, salvo que una norma de la Unión o de un Estado miembro exija otra cosa, en cuyo caso informará al Responsable de ese requisito legal antes del tratamiento, salvo que dicha norma lo prohíba.
- Garantizar que las personas autorizadas a tratar los Datos del Cliente se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad legal adecuada.
- Adoptar las medidas técnicas y organizativas descritas en el Anexo II, en los términos del artículo 32 del RGPD.
- No recurrir a otro encargado (subencargado) sin la autorización previa, específica o general, del Responsable. El Cliente otorga, mediante la aceptación de los Términos de Servicio, una autorización general para los subencargados listados en el Anexo III. El Encargado informará al Responsable de cualquier cambio previsto en dicha lista (incorporación o sustitución de subencargados) con una antelación razonable, dando al Responsable la oportunidad de oponerse al cambio por motivos legítimos relacionados con la protección de datos.
- Imponer a cada subencargado, mediante contrato, las mismas obligaciones de protección de datos establecidas en este Acuerdo.
- Asistir al Responsable, mediante medidas técnicas y organizativas apropiadas, en la respuesta a las solicitudes de ejercicio de los derechos de los interesados (acceso, rectificación, supresión, oposición, limitación y portabilidad).
- Asistir al Responsable a garantizar el cumplimiento de las obligaciones de seguridad (art. 32), notificación de violaciones de seguridad (arts. 33 y 34), evaluaciones de impacto (art. 35) y consultas previas a la autoridad de control (art. 36), teniendo en cuenta la naturaleza del tratamiento y la información de la que disponga el Encargado.
- Notificar al Responsable cualquier violación de la seguridad de los Datos del Cliente sin dilación indebida y, en todo caso, dentro de las 48 horas siguientes a tener conocimiento de ella, proporcionando la información disponible para que el Responsable pueda cumplir, si procede, su propio deber de notificación a la autoridad de control y a los interesados.
- Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este Acuerdo, y permitir y contribuir a la realización de auditorías, incluidas inspecciones, por el Responsable o por un auditor que este designe, previo aviso razonable y sin perjuicio de la confidencialidad debida a otros clientes de la Plataforma.
- A elección del Responsable, y al finalizar la prestación del servicio, suprimir o devolver todos los Datos del Cliente, conforme al periodo de gracia de 90 días descrito en la Política de Privacidad, salvo que una norma exija su conservación.
4. Obligaciones del Responsable (el Cliente / Taller)
- Garantizar que dispone de una base legal válida para el tratamiento de los Datos del Cliente que introduce en la Plataforma, y que ha cumplido su deber de informar a sus propios clientes finales conforme a los artículos 13 y 14 del RGPD.
- Dar al Encargado instrucciones lícitas, documentadas y conformes con el RGPD y demás normativa aplicable.
- Ser el único responsable de gestionar el consentimiento de sus clientes finales cuando active funcionalidades que lo requieran (por ejemplo, comunicaciones de marketing), y de atender directamente las solicitudes de derechos que sus clientes finales le dirijan, pudiendo requerir la asistencia del Encargado conforme a la sección 3.
- Mantener actualizada y exacta la información que introduce en la Plataforma sobre sus clientes finales.
5. Transferencias internacionales de datos
Cuando el tratamiento de los Datos del Cliente por el Encargado o por un subencargado implique una transferencia de datos personales fuera del Espacio Económico Europeo, dicha transferencia se realizará amparada en las garantías exigidas por el Capítulo V del RGPD (Cláusulas Contractuales Tipo aprobadas por la Comisión Europea o, en su caso, el Data Privacy Framework UE-EE.UU.), conforme se detalla para cada subencargado en el Anexo III.
6. Responsabilidad
Cada parte responderá frente a los interesados y frente a la autoridad de control conforme a lo establecido en el RGPD y en la normativa aplicable, en función de su respectiva condición de Responsable o Encargado del tratamiento. Las limitaciones de responsabilidad pactadas en los Términos de Servicio se aplicarán también a este Acuerdo en la medida en que lo permita la normativa de protección de datos.
7. Duración y terminación
Este Acuerdo estará vigente durante toda la duración del contrato de prestación de servicios entre el Cliente y DPSI (los Términos de Servicio), y se extinguirá automáticamente con dicho contrato. Sus obligaciones de confidencialidad y las relativas a la supresión o devolución de los Datos del Cliente sobrevivirán a la terminación durante el tiempo necesario para cumplirlas.
8. Legislación aplicable y jurisdicción
Este Acuerdo se rige por la legislación española. Para cualquier controversia derivada de su interpretación o cumplimiento, las partes se someten a los Juzgados y Tribunales de la ciudad de Barcelona, en los mismos términos previstos en los Términos de Servicio.
Anexo I — Detalles del tratamiento
| Aspecto | Descripción |
|---|---|
| Objeto | Prestación del servicio SaaS "Taller de Motos IA": gestión de clientes, vehículos, reparaciones, presupuestos y facturas, y atención automatizada por WhatsApp. |
| Naturaleza | Almacenamiento, estructuración, consulta, comunicación y supresión de datos mediante una base de datos multiinquilino con aislamiento por organización, y procesamiento del contenido de las conversaciones por un agente de inteligencia artificial. |
| Finalidad | Permitir al Responsable gestionar su taller: fichas de clientes y vehículos, historial de reparaciones, presupuestos, facturación, y comunicación automatizada y manual con sus clientes por WhatsApp. |
| Categorías de interesados | Clientes finales del Responsable (personas físicas propietarias de vehículos) y, en su caso, personas de contacto de clientes con forma societaria. |
| Categorías de datos | Identificación (nombre, NIF), contacto (teléfono, WhatsApp, email, dirección), datos de vehículos (matrícula, VIN, compañía de seguros, número de póliza), historial de conversaciones de WhatsApp y archivos multimedia adjuntos, datos de presupuestos y facturación. No se tratan categorías especiales de datos conforme al artículo 9 del RGPD. |
| Duración del tratamiento | Mientras la cuenta del Responsable esté activa en la Plataforma, y durante el periodo de gracia de 90 días posterior a la baja descrito en la Política de Privacidad. |
Anexo II — Medidas técnicas y organizativas de seguridad
- Cifrado de las comunicaciones en tránsito (HTTPS/TLS) entre todos los componentes de la Plataforma.
- Aislamiento lógico de los datos por organización en cada consulta a la base de datos, de forma que es arquitectónicamente imposible que una consulta devuelva datos de un Responsable distinto.
- Control de acceso basado en autenticación para el panel de gestión, y autenticación por API key para el acceso programático (MCP).
- Registro de auditoría de los cambios de estado y notas de las reparaciones (histórico de solo escritura, sin modificación ni borrado de entradas pasadas).
- Hospedaje de la base de datos principal en infraestructura ubicada en la Unión Europea.
- Revisión periódica de dependencias de software y de los proveedores subencargados.
Anexo III — Subencargados autorizados
Lista de subencargados a los que DPSI recurre para el tratamiento de los Datos del Cliente. Coincide con la tabla de destinatarios de nuestra Política de Privacidad, limitada a aquellos proveedores que tratan Datos del Cliente (se excluyen los proveedores que únicamente tratan datos de cuenta de DPSI, como Clerk o Resend, que no son subencargados a efectos de este Acuerdo).
| Subencargado | Función | Ubicación / garantía de transferencia |
|---|---|---|
| Turso | Base de datos donde se almacenan los Datos del Cliente | Unión Europea (Irlanda) |
| Kapso Spa | Proveedor de la integración con WhatsApp Business | Chile / infraestructura en EE.UU. y la UE — SCC / Data Privacy Framework |
| OpenRouter y proveedores de modelos de IA subyacentes | Generación de las respuestas del agente de IA sobre el contenido de las conversaciones | EE.UU. y otras jurisdicciones según el modelo — SCC |
| Anthropic | Herramienta interna puntual de deduplicación de datos durante migraciones | EE.UU. — SCC |
| Langfuse | Trazabilidad técnica del agente de IA | Unión Europea |
| Render | Alojamiento del servicio de mensajería (agente de IA) | Estados Unidos — SCC |
| Cloudflare | Alojamiento del panel de gestión, red de entrega de contenido | Red global — SCC |
Cualquier consulta sobre este Acuerdo puede dirigirse a comercial@tallerdemotosia.com.